Revisión de estándares relevantes y literatura de gestión de riesgos y controles en sistemas de información

Información del artículo

Resumen

La gestión de riesgos y controles en sistemas de información (GRCSI) es una actividad importante en los sistemas de gestión. No obstante, aunque en las organizaciones parece haber interés en su aplicación, la GRCSI aún no logra el impacto deseado, debido en gran parte a la falta de entendimiento de su sentido o propósito y a la ausencia de los procesos de cambio organizacional necesarios para su implantación. Este artículo presenta una revisión sobre los estándares de GRCSI más relevantes, con el fin de plantear una propuesta de integración de los roles y las actividades que las organizaciones deben desarrollar, y de analizar los niveles de riesgo y sus implicaciones frente a los sistemas de información.

Palabras clave:

Estándar

gestión de riesgos y controles

nivel de riesgo

sistemas de información

Abstract

Risk management and controls in information systems (RMCIS) are important activities involved with management systems. Nevertheless, although organizations seem to have an interest in its application, RMCIS has not yet achieved its real impact because there is an inadequate understanding of its meaning or purpose and there is also a lack of organizational change processes needed for its implementation. This article presents a review of the current most relevant RMCIS standards for the purpose of proposing an integration of the roles and activities that organizations should carry out, together with an analysis of the risk levels and their implications for information systems.

Keywords:

Information systems

risk level

risk management and controls

standard

Resumo

A gestão de riscos e controles em sistemas de informação (GRCSI) é uma atividade importante nos sistemas de gestão. No entanto, apesar de que nas organizações parece haver interesse em sua aplicação, a GRCSI ainda não atingiu o impacto desejado, devido em grande parte a falta de compreensão de seu sentido ou propósito e a ausência dos processos de mudança organizacional necessários a sua implantação. Este artigo apresenta uma revisão dos padrões mais relevantes da GRCSI, com o objetivo de apresentar uma proposta de integração das funções e as atividades que as organizações devem desenvolver, e de analisar os níveis de risco e suas implicações perante os sistemas de informação.

Palavras chave:

Padrão

gestão de riscos e controles

nível de risc

sistemas de informação

El Texto completo está disponible en PDF

Referencias Bibliográficas

[1.]

C. Alberts, S. Behrens, R. Pethia, W. Wilson.

Operationally critical threat, asset, and vulnerability evaluations (OCTAVESM) framework, Version 1.0.

TECHNICAL REPORT. CMU/SEI-99- TR-017. ESC-TR-99-017. Carnegie Mellon, SEE, (1999),

[2.]

D. Ashenden.

Information security management: A human challenge?.

Proceeding of Information Security Technical Report, 13 (2008), pp. 195-201

[3.]

D. Ashenden, J.N. Ezingeard.

The need for a sociological approach to information security risk management.

Documento no publicado, presentado en la 4th Annual Security Conference, Las Vegas, Nevada, Estados Unidos, (2005),

[4.]

4360: Estándar Australiano. Administración de Riesgos.

3a, Standards Australia International., (2004),

[5.]

R. Baskerville.

Information systems security design methods: Implications for information systems development.

ACM Computing Surveys, 25 (1993), pp. 375414

[6.]

B. Blakley, E. Mcdermott, D. Geer.

Information security is information risk management.

NSPW ‘01 Proceedings of the 2001 workshop on new security paradigms, NY: ACM, (2001), pp. 97-104

[7.]

B.W. Boehm.

Software risk management: principles and practice.

IEEE Software, 8 (1991), pp. 32-41

[8.]

J. Cano.

Monitoreo y evolución de la seguridad de la información.

Revista ACIS, 110 (2009), pp. 4-13

[9.]

Castilla, M., Herrera, L., Llanes, E. y Sánchez, D. (2004). Estudio de riesgos y controles del sistema de información de la Biblioteca Germán Bula Meyer. Recuperado el 25 de mayo de 2009, de http://www.scribd.com/doc/16445970/Riesgos-y-ControlProteccion-de- Datos-Biblioteca-GBM.

[10.]

P. Checkland.

Systems thinking, systems practice. Includes a 30-year retrospective.

NY: John Wiley & Sons, (2000),

[11.]

P. Checkland, S. Holwell.

Information, systems and information systems.

making sense of the field, NY: John Wiley & Sons, (1998),

[12.]

P. Checkland, J. Poulter.

Learning for action. A short definitive account of soft systems methodology and its use for practitioners.

teachers and students, NY: John Wiley & Sons, (2006),

[13.]

P. Checkland, Scholes.

Information, Systems, and Information Systems.

Cybernetics and humans knowing, 6 (1999), pp. 91-95

[14.]

P. Checkland, J. Scholes.

Soft system methodology in action.

NY: John Wiley & Sons, (1999),

[15.]

P. Checkland, J. Scholes.

Soft systems methodology in action: a thirty year retrospective.

System research and behavioral science, 17 (2000), pp. S11-S58

[16.]

C. Chittister, Y.Y. Haimes.

Risks associated with software development: a holistic framework for assessment and management.

IEEE Transactions on Systems, Man and Cybernetics, 23 (1993), pp. 710-723

[17.]

Clusif, M. (2007). Guide de l’analyse des risques. Recuperado el 11 de diciembre de 2009, de http://www.clusif.asso.fr.

[18.]

Contraloría General de la República de Nicaragua -CGRN. (1995). Normas técnicas de control interno para el sector público. Recuperado el 18 de abril de 2009, de http://legislacion.asamblea.gob. ni/normaweb.nsf/%28$All%29/804 DEAE046418EEB062571790058C 3B5?OpenDocument.

[19.]

Elissondo, L. (2008). Auditoria y Seguridad de Sistemas de Información. Recuperado el 8 de noviembre de 2011, de http://econ.unicen.edu.ar/monitorit/i n d e x.p h p ? o p t i o n = c o m _ docman&task=doc_downloa d&gid=175&Itemid=19.

[20.]

R. Fairley.

Risk management for software projects.

IEEE Software, 11 (1994), pp. 57-67

[21.]

Farahmand, F., Navathe, S. y Enslow, P. (2003). Managing vul-nerabilities of information systems to security incidents. Documento no publicado, presentado en The 5th International Conference on Electronic Commerce, Pittsburgh, PA, Estados Unidos. Recuperado de http://portal.acm.org/citation. cfm?id=948050.

[22.]

García, J. y Martínez, C. (2008). Análisis y control de riesgos de seguridad informática: control adaptativo un cambio de paradigma hacia la gestión de riesgos orientada al control adaptativo. Revista Sistemas ACIS, 105. Recuperado de http://www.acis.org.co/fileadmin/Revista_105/JMGarcia. pdf.

[23.]

M. Guerrero.

Gestión de riesgos y controles en sistemas de información.

Tesis de Maestría no publicada, Universidad Industrial de Santander, Bucaramanga, Colombia, (2010),

[24.]

B. Haig.

Man in the Middle..

Grand Central Publishing, (2009),

[25.]

F. Harold, M.K. Tipton.

Information Security Management Handbook.

5a, CRC Press, (2006),

[26.]

C. Hirsch, J.N. Ezingeard.

Perceptual and cultural aspects of risk management alignment: a case study.

Journal of Information System Security, 4 (2008), pp. 1551-2123

[27.]

ISACA. (2002). Documento S11. Recuperado el 19 de junio de 2009, de http://www.isaca.org. in

[28.]

ISM3 Consortium. (2009). Information security management maturity model. Versión 2.0. Madrid, España.

[29.]

I S O. (2 0 0 5). I S O /IEC 27001:2005(E) Information technology - Security techniques - Information security management systems - Requirements. Londres: International Organization for Standardization and International Electrotechnical Commission.

[30.]

ISO. (2008) Introduction to ISO 27005 (ISO27005). ICONTEC.

[31.]

D. Landoll.

The security risk assessment handbook.

A complete guide for performing security risk assessments, FL: Auerbach, (2005),

[32.]

K. Laudon, J. Laudon.

Sistemas de información gerencial.

10a, Prentice Hall, (2008),

[33.]

N. Leon, L.C. Gomez.

Propuesta de un modelo para la evaluación de calidad de productos software utilizados como apoyo a la biomedicina.

Bucaramanga: Vicerrectoria de Investigación y Extensión, Universidad Industrial de Santander, (2010),

[34.]

E. McFadzean, J.N. Ezineard, D. Birchall.

Perception of risk and the strategic impact of existing IT on Information Security strategy at board level.

Online Information Review, 31 (2007), pp. 622-660

[35.]

R. McLeod.

Sistemas de información gerencial.

7a, Prentice Hall, (2000),

[36.]

Ministerio de Administraciones Públicas. (1997). MAGUERIT. Metodología de Análisis y Gestión de Riesgos de los sistemas de información. España: Autores.

[37.]

Norma RFC4949. (2007). Internet Security Glossary, Version 2. Recuperado el 24 de Feb de 2010, de http://www.ietf.org/rfc/rfc4949.

[38.]

R. Norton.

Crooked managers.

Changing technology. Financial surprises. Who knows what company-killers lie ahead?, (2004),

[39.]

T. Peltier.

Information security risk analysis.

Auerbach Publications, (2001),

[40.]

PriceWaterhouseCoopers. (2004). Managing risk: An assessment of CEO preparedness. Recuperado de http://www.pwc.com.

[41.]

Ribagorda, A. (1997). Glosario de términos de seguridad de las T.I. Madrid:CODA.

[42.]

R. Ross, S. Katzke, A. Johnson, M. Swanson, G. Stoneburner.

Managing risk from information systems an organizational perspective, Special Publication 800-839.

U.S. Dept. of Commerce, National Institute of Standards and Technology, (2008),

[43.]

E.H. Schein.

Psicología de la Organización.

Prentice- Hall, (1991),

[44.]

P.A. Silberfich.

Análisis y Gestión de riesgos en TI ISO 27005 – Aplicación Práctica. Documento no publicado presentado en el Quinto Congreso Argentino de Seguridad de la Información.

Argentina, (2009),

[45.]

Singh, S. y Brewer, R. (2008). The evolution of risk and controls from score-keeping to strategic partnering. KPGM International. Recuperado el 18 de diciembre de 2009, de http://sociedaddelainformacion w o r d p r e s s.c o m /c a t e g o r y /seguridad/gestion-de-riesgos/.

[46.]

H. Smith, J. McKeen, D. Staples.

Risk management in information systems: Problems and potential.

Communications of the Association for Information Systems, 7., 13 (2001),

[47.]

SOMAP. (2006). Open Information Security Risk Management Handbook. Versión 1.0. Recuperado el 15 de diciembre de 2009, de http://ufpr.dl.sourceforge.net/project/somap/Infosec%20Risk%20 Mgmt%20Handbook/Version%20 1.0/somap_handbook_v1.0.0.pdf.

[48.]

G. Stonebumer, A. Coguen, A. Feringa.

Risk Management Guide for Managing risk from information systems an organizational perspective, Special Publication 800-830.

U.S. Dept. of Commerce, National Institute of Standards and Technology, (2002),

[49.]

D. Straub, R. Welke.

Coping with systems risk: Security planning models for management decision making.

MIS Quarterly, 22 (1998), pp. 441-469

[50.]

TCSEC - Trusted Computer Systems Evaluation Criteria.

DoD 5200. 28-STD, Department of Defense, (1985),

[51.]

L. Wah.

The risky business of managing IT risks.

Management Review, 87 (1998), pp. 6

[52.]

M. Whitman, H. Mattord.

Principles of information security.

2a, Thomson Course Technology, (2005),

Este artículo se basó en el trabajo “Gestión de Riesgos y Controles en Sistemas de Información” desarrollado por Marlene Lucila Guerrero Julio (Autor 1) en la Maestría en Ingeniería Área Informática y Ciencias de la Computación de la Universidad Industrial de Santander, cuyo proyecto de grado de maestría fue dirigido por Luís Carlos Gómez Flórez (Autor 2).

Indexada en:

Síguenos:

Indexada en:

Síguenos:

Suscríbase a la newsletter