Escolar Documentos
Profissional Documentos
Cultura Documentos
E
adquieren cada vez más importancia en las
n la actualidad, la incorporación de
organizaciones por el apoyo que brindan a la
sistematización y la organización de la información. sistemas de información para apoyar los
No obstante, debido a diversas vulnerabilidades y a procesos de negocio en las organizaciones busca
amenazas, los Sistemas de Información pueden propiciar un aumento en su competitividad y en
poner en riesgo la integridad, la confidencialidad y la rapidez con la que se toman decisiones
la disponibilidad de la información. En este marco acertadas [1], [2], [3], [4].
de ideas se propuso el proyecto de investigación
No obstante, la calidad de los Sistemas de
“Gestión de Riesgos y Controles en Sistemas de
Información”, el cual pretendía diseñar los Información es un tema de constante
procesos que posibiliten el “hacer” de esta labor en preocupación en las organizaciones. En 2007 el
las organizaciones. El siguiente artículo presenta Standish Group llevo a cabo un estudio en donde
los resultados de dicho proyecto, mostrando de se logró determinar que el 23% de los
manera general los niveles de riesgo propuestos y desarrollos de software fallan, en contraste con
los métodos propuestos por cada actividad.
un 49% cuyo desarrollo es cuestionado y sólo un
Palabras Clave— Controles, Gestión, Riesgos, 28% satisfactorio [5]. Esta preocupación ha
Seguridad de la Información, Sistemas de ocasionado que las organizaciones sean cada vez
Información. más conscientes de las pérdidas económicas
acarreadas por los riesgos asociados a la falta de
calidad en los sistemas de información.
Abstract— Information systems are becoming Es en este escenario que el grupo de
increasingly important in organizations for their Investigación en Sistemas y Tecnologías de la
support to the systematization and organization of
information. However, due to various threats and Información STI llevo a cabo el proyecto de
vulnerabilities, the information systems can investigación “Gestión de Riesgos y Controles en
compromise the integrity, confidentiality and Sistemas de Información - GRCSI”, con el
availability of information. In this framework of propósito de apoyar a las organizaciones en el
ideas was proposed the research project "Risk reconocimiento de las implicaciones de la
Management and Control Information Systems", ocurrencia de un determinado espacio de riesgo
aimed to design the processes that enable the "do"
of this work in organizations. The following article dentro de su entorno complejo, a partir del diseño
presents the results of this project, showing de un modelo centrado en niveles de riesgo y
generally the risk levels proposed and the methods basado en la revisión y la integración de las
proposed for each activity. actividades para la GRCSI propuestas por los
estándares y la literatura.
Keywords— Controls, Information Security,
Information Systems, Management, Risk.
En este artículo se presentan los resultados y las
conclusiones más relevantes obtenidas del
proceso de investigación sobre la gestión de
1
M. L. Guerrero Julio, M.Sc. Docente tiempo completo riesgos y controles en sistemas de información y
de la Universidad Pontificia Bolivariana.e-mail:
marlene.guerrero@upb.edu.co
sobre los métodos sugeridos para apoyar a la
2
L.C. Gómez Flórez, Profesor titular adscrito a la Escuela dirección de tecnologías de información en el
de Ingeniería de Sistemas e informática de la Universidad “hacer” de la GRCSI.
Industrial de Santander. E-mail: lcgomezf@uis.edu.co
TABLA I
CRITERIOS DE LA SEGURIDAD DE LOS SISTEMAS DE
INFORMACIÓN.
CRITERIO DESCRIPCIÓN
Protección de la información
Confidencialidad sensible contra revelación no
autorizada.
Precisión y completitud de la
información. Validez de la
Integridad información de acuerdo con las
expectativas de la empresa.
Accesibilidad a la información
cuando sea requerida por los
procesos del negocio. Protección de
Disponibilidad
los recursos y capacidades asociadas
a los mismos.
Por último, se hará referencia al informe Asegurar los recursos asociados a los SI es hoy en
publicado por Ernst & Young denominado día un factor clave para las organizaciones,
“Managing Risk in the Current Climate” [8], en circunstancia por la cual se han establecido
donde se especifican las áreas que las organizaciones estándares a nivel mundial que buscan ofrecer guías
deben atender en materia de seguridad y gestión de o pautas sobre este tema.
riesgos.
La implementación de un modelo de gestión de
Entra las áreas mencionadas por Ernst & Young riesgos y controles permite una reducción en los
se encuentran: costos administrativos y operacionales, ya que se
previenen los daños o alteraciones que se pueden
• Incrementar la Comunicación y Visibilidad realizar a la información teniendo en cuenta que la
de los Riesgos confidencialidad, integridad y disponibilidad de la
• Definir Políticas y Procedimientos de misma de mantengan y además se controlen aspectos
Riesgos. que tiene que ver con pérdidas que ocasionen
• Subcontratar la Gestión de Riesgos. mayores gastos de recuperación y restablecimiento.
organizaciones y a los desarrolladores de software a [2] K.C. Laudon y J.P. Laudon. “Sistemas de
reconocer no sólo los niveles de riesgo de los SI sino Información Gerencial”, Prentice Hall, 2010.
también las implicaciones sobre los activos [3] R. Pressman. “Ingeniería del Software – Un
enfoque práctico”. McGrawHill, 2008.
organizacionales que su ocurrencia pudiera [4] I. Sommerville. “Ingeniería del Software”.
ocasionar. Prentice Hall, 2007.
[5] M. Piattini. “Calidad de Sistemas de
El modelo brinda a las organizaciones una serie de Información”, Alfa y Omega, 2007.
actividades definidas y organizadas [6] B. Brenner. “The Global State of Information
metodológicamente para llevar a cabo la gestión de Security”, www.pwc.com/gx/en/information-
security-survey, 2009.
riesgos y controles en Sistemas de Información – [7] Deloitte. “Confianza y Garantía. Informe Anual de
GRCSI, las cuales son producto de la revisión e Seguridad de la Información en Instituciones
integración de las actividades relacionadas por los Financieras”, Febrero 2009.
estándares y la literatura sobre GRCSI. [8] Ernst & Young. “Managing Risk in the Current
Climate”. 2009.
La integración de las actividades relacionadas por [9] Ministerio de Administraciones Públicas.
“MAGUERIT - Metodología de Análisis y Gestión
los estándares, permitirán concretar futuras de Riesgos de los Sistemas de Información”, 1997.
investigaciones, orientadas a la definición de los [10] M. Guerrero y L. Gómez. “Gestión de riesgos y
procesos culturales y de cambio organizacional controles en Sistemas de Información”. Tesis de
requeridos para llevar a cabo la GRCSI. Maestría, 2010.
[11] M. Guerrero y L. Gómez. “Revisión de estándares
Para cada una de las actividades se propuso un relevantes y literatura de gestión de riesgos y
controles en Sistemas de Información”. Revista
conjunto de métodos, los cuales apoyan a los Estudios Gerenciales, Vol. 27, No. 120, 2011.
distintos involucrados en el “hacer” que conlleva la [12] C. Alberts. “Operationally Critical Threat, Asset,
GRCSI. and Vulnerability Evaluation SM (OCTAVESM)
Framework, Version 1.0”. TECHNICAL
Por otro lado, el modelo centra la GRCSI en la REPORT. CMU/SEI-99-TR-017. ESC-TR-99-017,
concepción de niveles de riesgo, lo cual permite 1999.
[13] ISM3 Consortium. “Information Security
apoyar a las organizaciones en el reconocimiento de Managemente Maturity Model. Versión 2.0”,
los espacios organizacionales y de sistemas de 2009.
información en los que se podría dar la ocurrencia de [14] AS/NZS. “Estándar Australiano. Administración
riesgos. de Riesgos”. Tercera edición, 2004.
[15] G. Stonebumer. “Risk Management Guide for
De igual manera, el modelo propuesto contribuye Information Technology Systems.
Recommendations of the National Institute of
a la definición de medidas de mitigación asociadas a Standards and Technology”. NIST, Special
cada uno de los niveles de riesgo, las cuales deben Publication 800-30, 2002.
ser posteriormente profundizadas por parte de las [16] SOMAP. Open Information Security Risk
organizaciones de acuerdo con la complejidad de su Management Handbook. Versión 1.0, 2006.
entorno. [17] CLUSIF. “MEHARI 2007. Guide de l’analyse des
risques”, http://www.clusif.asso.fr, 2007.
[18] ISO Directory. “Introduction To ISO 27005
El modelo diseñado no tiene la pretensión de (ISO27005)”. ICONTEC, 2008.
convertirse en un patrón para todas las [19] R. Ross. “Managing Risk from Information
organizaciones, por lo cual la definición inicial de los Systems. Recommendations of the National
controles sugeridos para los seis niveles de riesgo Institute of Standards and Technology.
planteados es un punto de partida que posteriormente Gaithersburg”, NIST Special Publication 800-39,
puede ser ampliado por los responsables de la GRCSI 2008.
[20] ISACA. “Documento S11”. http://www.isaca.org,
en cada organización. 2002.
[21] Ministerio de Administraciones Públicas. “Modelo
Estándar de Control Interno – MECI”, Decreto
REFERENCIAS 1599, 2005.
[22] L. Elissondo. “Informática Aplicada a los
[1] M. Bennett y F. Bennett. “Object Oriented Systems Negocios - Seguridad en los Sistemas de
Analysis and Design Using UML”, McGraw Hill, Información”, 2008.
2005.
BIOGRAFÍA