REVISIÓN DE ESTÁNDARES RELEVANTES Y LITERATURA DE GESTIÓN DE RIESGOS Y CONTROLES EN SISTEMAS DE INFORMACIÓN¹

MARLENE LUCILA GUERRERO JULIO, Mg.*¹, LUIS CARLOS GÓMEZ FLÓREZ, Mg.²

¹Profesora Asociada, Universidad Pontificia Bolivariana, Colombia. marlene.guerrero@upb.edu.co

²Profesor titular, Universidad Industrial de Santander, Colombia. lcgomezf@uis.edu.co

* Autor para correspondencia. Dirigir correspondencia a: Universidad Pontificia Bolivariana, Kilómetro 7 vía Piedecuesta Edificio D Oficina 305C Floridablanca, Santander, Colombia.

Fecha de recepción: 05-07-2010 Fecha de corrección: 07-12-2010 Fecha de aceptación: 03-10-2011

RESUMEN

La gestión de riesgos y controles en sistemas de información (GRCSI) es una actividad importante en los sistemas de gestión. No obstante, aunque en las organizaciones parece haber interés en su aplicación, la GRCSI aún no logra el impacto deseado, debido en gran parte a la falta de entendimiento de su sentido o propósito y a la ausencia de los procesos de cambio organizacional necesarios para su implantación. Este artículo presenta una revisión sobre los estándares de GRCSI más relevantes, con el fin de plantear una propuesta de integración de los roles y las actividades que las organizaciones deben desarrollar, y de analizar los niveles de riesgo y sus implicaciones frente a los sistemas de información.

PALABRAS CLAVE

Clasificación JEL: M15, M42

ABSTRACT

Review of relevant standards and literature regarding information systems risk management and controls

Risk management and controls in information systems (RMCIS) are important activities involved with management systems. Nevertheless, although organizations seem to have an interest in its application, RMCIS has not yet achieved its real impact because there is an inadequate understanding of its meaning or purpose and there is also a lack of organizational change processes needed for its implementation. This article presents a review of the current most relevant RMCIS standards for the purpose of proposing an integration of the roles and activities that organizations should carry out, together with an analysis of the risk levels and their implications for information systems.

KEYWORDS

Information systems, risk level, risk management and controls, standard.

RESUMO

Revisão de padrões relevantes e literatura de gestão de riscos e controles em sistemas de informação

A gestão de riscos e controles em sistemas de informação (GRCSI) é uma atividade importante nos sistemas de gestão. No entanto, apesar de que nas organizações parece haver interesse em sua aplicação, a GRCSI ainda não atingiu o impacto desejado, devido em grande parte a falta de compreensão de seu sentido ou propósito e a ausência dos processos de mudança organizacional necessários a sua implantação. Este artigo apresenta uma revisão dos padrões mais relevantes da GRCSI, com o objetivo de apresentar uma proposta de integração das funções e as atividades que as organizações devem desenvolver, e de analisar os níveis de risco e suas implicações perante os sistemas de informação.

Padrão, gestão de riscos e controles, nível de risco, sistemas de informação.

INTRODUCCIÓN

Según un estudio realizado por Singh y Brewer (2008) y soportado por diversas fuentes (Norton, 2004; PriceWaterhouseCouper, 2004; Wah, 1998), la gestión y el control de riesgos en sistemas de información no logra aún ganar la importancia necesaria para la gerencia organizacional, lo que se atribuye a dos premisas: en primera instancia, a la falta de comprensión de las cuestiones de riesgos y, en segundo lugar, al hecho de no contar con una cultura corporativa debidamente sensibilizada con los riesgos de su propio negocio.

La primera premisa está asociada con la falta de entendimiento sobre el sentido o propósito de las actividades de la gestión de riesgos y controles en sistemas de información (GRCSI en adelante), dado que si los directivos y los demás actores de las organizaciones no comprenden las razones de las políticas de seguridad de la información y de la gestión de riesgos, no apoyarán plenamente la lógica de la estrategia, haciendo poco probable que participen en su desarrollo o se adhieran a ellas más tarde (Farahmand, Navathe y Enslow, 2003; Hirsch y Ezingeard, 2008; Straub y Welke, 1998).

La segunda premisa, por su parte, está asociada con la ausencia de los procesos de cambio organizacional necesarios para la transformación de la cultura organizacional propicia para el desarrollo de la gestión de riesgos y controles (Cano, 2009). Esta premisa implica incorporar en la cultura organizacional la preocupación por las nociones de riesgo lo que a su vez se debe traducir en la planeación, organización y conducción de procesos orientados a lograr que los actores organizacionales se sientan insatisfechos con el estado actual de sus actuaciones ante la GRCSI. Igualmente, es importante que los actores involucrados se convenzan de la necesidad de cambio y se sientan dispuestos y motivados a enfrentarlo. Estos procesos de cambio organizacional son descritos por Schein (1991) como procesos de invalidación, inducción y motivación.

Ahora bien, estas premisas se acentúan debido a la diversidad de posturas sobre la forma más adecuada de desarrollar las actividades de GRCSI y la confusión que sus descripciones generan en los actores organizacionales. Lo anterior posibilita el desarrollo de investigaciones orientadas a responder ¿cómo podría la organización mejorar su comprensión acerca del sentido o propósito de la GRCSI?

Una aproximación a la respuesta se desarrolla en el presente artículo, abordando el conjunto de estándares de GRCSI reconocidos con el fin de realizar una revisión de los niveles de riesgo y plantear una propuesta para la integración de los roles y las actividades necesarias para llevarlo a cabo.

En la primera sección del documento se presentará una revisión de las actividades asociadas a la GRCSI relacionadas por los estándares relevantes de carácter nacional e internacional. En la segunda sección se elaborará una imagen enriquecida que permitirá plantear una postura propia sobre las actividades para la GRCSI. En la tercera sección se presentará la definición de los niveles de riesgo en los sistemas de información y su identificación en la organización. En la cuarta sección se plantearán las conclusiones obtenidas a partir de la reflexión, así como recomendaciones sobre futuras investigaciones. Finalmente, en la quinta sección se expresarán algunos agradecimientos.

1. REVISANDO LAS ACTIVIDADES DE GRCSI EN EL MARCO DE LOS ESTÁNDARES

Un primer grupo integrado por cuatro estándares está dirigido a la seguridad de los sistemas de información. Este grupo se conforma del Operationally Critical Threat, Asset, and Vulnerability Evaluation – OCTAVE (Alberts, Behrens, Pethia y Wilson, 1999), el Risk Management Guide for Information Technology Systems SP800-30 (Stonebumer, Coguen y Feringa, 2002), la Metodología de Análisis y Gestión de Riesgos de los sistemas de información MAGUERIT Versión 2.0 (1997) y el Managing Risk from Information Systems SP800-39 (Ross, Katzke, Johnson, Swanson y Stoneburner, 2008). En ellos, la GRCSI es tenida en cuenta para garantizar la continuidad de los procesos de negocio que tienen un nivel determinado de dependencia de los sistemas de información y para evaluar y generar salvaguardas de las distintas amenazas a las que se exponen los sistemas de información por su naturaleza o por fuentes externas.

En estos estándares se entiende la seguridad de los sistemas de información como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de la información almacenada o transmitida y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles (Baskerville, 1993; Harold y Tipton, 2006; Ministerio de Administraciones Públicas, 1997). Otros estándares revisados no proveen una definición exacta sobre este tema.

Un segundo grupo de cuatro estándares está orientado a los aspectos de seguridad de la información, en donde la GRCSI encaja como elemento destinado a garantizar la disponibilidad, la integridad, la confidencialidad y la confiabilidad de la información. Este grupo lo conforman la norma ISO 27005 (ISO, 2008), el Information Security Maturity Model – ISM3 (2009), el Open Information Security Risk Management - SOMAP (2006) y el Método Armonizado para la Gestión de Riesgos (Clusif, 2007).

La seguridad de la información es definida como la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento dentro de una organización (ISO, 2005; Whitman y Mattord, 2005). Esta definición es tenida en cuenta por todos los estándares de seguridad de la información revisados.

Complementando los dos grupos de estándares anteriores, en lo relacionado con la GRCSI, se encuentra el Estándar Australiano de Administración de Riesgos AS/NZS 4360 (2004), el cual está orientado a la administración de riesgos organizacionales, ofreciendo una identificación de las oportunidades y amenazas para la adecuada toma de decisiones de acuerdo con cada contexto organizacional.

Ahora bien, si se reconoce a la GRCSI como parte de la seguridad de los sistemas de información y de la seguridad de la información (Blakley, McDermott y Geer, 2001) y estas a su vez como parte del entorno organizacional, es prioritario distinguir cuáles serían los roles asociados a la GRCSI con el fin de determinar las actividades y la respectiva asignación de responsabilidades que las organizaciones deberían implementar (Ashenden, 2008; Ashenden y Ezingeard, 2005). Algunos de los estándares revisados ofrecen una perspectiva sobre los roles supeditados a la GRCSI en las organizaciones (ver Tabla 1), lo cual permitió identificar cuál sería el personal que estaría involucrado o comprometido en la GRCSI.

La especificación de los roles de la GRCSI posibilita abordar las actividades involucradas en este proceso. En este punto, los estándares revisados proveen diferentes posturas sobre cómo llevarlas a cabo. Por ello, se realizó una comparación ubicando para cada estándar el listado de actividades en orden lógico y asociándolas mediante las similitudes y diferencias entre ellas, para finalmente obtener una propuesta de actividades resultado de su agrupación. La Tabla 2 presenta el resultado del ejercicio anteriormente descrito.

Como se puede observar, en algunas casillas en las que se agrupan las actividades aparecen diferentes nombres, esto evidencia que aunque los estándares relacionan actividades con diferente nombre, tienen definiciones o propósitos similares. De igual manera, en el Gráfico 1 aparece una imagen enriquecida que ilustra el resultado de la agrupación de las actividades para la GRCSI, permitiendo apreciar la secuencia e interacción entre ellas.

2. ELABORACIÓN DE UNA IMAGEN ENRIQUECIDA DE LAS ACTIVIDADES PARA LA GRCSI

La GRCSI se encuentra rodeada por un alto componente social, político y humano (Checkland y Holwell, 1998; Checkland y Scholes, 1999a, 2000). Esto conlleva que puedan existir perspectivas diferentes aunque a veces complementarias sobre cómo se deberían llevar a cabo estas actividades en una organización. Es en este punto en el que el pensamiento de sistemas blandos (Checkland y Poulter, 2006; Checkland y Scholes, 1999b) se convierte en una de las metodologías más propicias para este tipo de estudios, en los cuales se debe trabajar con diferentes perspectivas de una misma situación, las que son examinadas y discutidas en torno a un proceso sistémico de aprendizaje (Checkland, 2000) con el fin de definir acciones orientadas a su mejoramiento.

Los riesgos tienen un impacto potencial en el sistema de gestión de la seguridad (Chittister y Haimes, 1993; Fairley, 1994); por lo tanto, la GRCSI es una labor que requiere el esfuerzo y coordinación de los entes de la organización en favor de la protección de los activos del negocio y del cumplimiento de la misión organizacional (McFadzean, Ezineard y Birchall, 2007). No obstante, los modelos proveídos por los diferentes estándares sólo son guías o pautas y cada organización debe velar por reconocer en su naturaleza intrínseca y en su contexto, las necesidades y requerimientos de gestión (Landoll, 2005).

De la comparación de los estándares revisados, se logró evidenciar algunas actividades claves vinculadas a cada uno de ellos y en las cuales se pudo detectar que existían coincidencias. Lo anterior permitió crear la imagen enriquecida del Gráfico 1, en la que se puede observar la perspectiva planteada por el grupo de investigación en "Sistemas y Tecnologías de la Información (STI)²" y que es compartida por la mayoría de los estándares presentados, en especial por el estándar SOMAP. Bajo esta perspectiva, se presenta la GRCSI como parte del sistema de seguridad de los sistemas de información y como reflejo del sistema de gestión de riesgos a nivel organizacional. Esta idea es apoyada por los estándares AS/NZS, MAGUERIT y OCTAVE, en los cuales la identificación de los niveles de riesgo en los sistemas de información es un factor clave para el aumento de la competitividad de las organizaciones, al apoyar la acertada toma de decisiones sobre la inversión en la protección de los activos.

Por su parte, estándares como ISO 27005 (ISO, 2008) ayudan a considerar la GRCSI dentro del esquema de calidad organizacional como un requerimiento para aumentar su competitividad.

Considerando las actividades comunes encontradas anteriormente en la revisión de los estándares y la imagen enriquecida elaborada, en la Tabla 3 se plantea una posible consolidación de las actividades necesarias para la GRCSI.

El proceso de cambio organizacional necesario para la implantación de la GRCSI implica no sólo el reconocimiento de las actividades a desarrollar de acuerdo con los estándares, sino el asimilar y asociar los niveles de riesgo con los eventos inseguros que se podrían presentar, de manera que se logre un alineamiento organizacional con las políticas de seguridad y un entendimiento de las implicaciones de los riesgos frente a los sistemas de información. A continuación se presenta una revisión sobre los niveles de riesgo en sistemas de información, el cual permitirá abordar el tema de la importancia de la GRCSI en el entorno organizacional.

3. NIVELES DE RIESGO EN LOS SISTEMAS DE INFORMACIÓN Y SU IDENTIFICACIÓN EN LA ORGANIZACIÓN

Un nivel de riesgo es una clasificación, en el plano organizacional y de sistemas de información, de los espacios en los que se pueden presentar determinados riesgos. En la literatura, PriceWaterhouseCooper –PWC (Elissondo, 2008) define siete niveles de riesgo asociados a los sistemas de información y algunos controles utilizados para mitigarlos, los cuales, tal y como se muestra en diversos estudios (Castilla, Herrera, Llanes y Sánchez, 2004; Contraloría General de la República de Nicaragua -CGRN, 1995), dan cuenta de aplicaciones y resultados plausibles en contextos reales. Los niveles definidos por PWC se presentan en la Tabla 4.

Estos siete niveles de riesgo son el punto de partida de la propuesta de esta investigación, los cuales se enriquecieron a partir de la indagación realizada en los estándares de seguridad de la información y en los de seguridad de los sistemas de información. Esto permitió la identificación, en el plano organizacional y de sistemas de información, de los espacios en los que se pueden presentar los niveles de riesgo.

Por otro lado, enfoques sobre sistemas de información como los presentados por Laudon y Laudon (2008) y McLeod (2000), permiten argumentar que actualmente estos sistemas han pasado de un enfoque centrado en los datos a uno centrado en la información y el conocimiento. De acuerdo con esto, los sistemas de información utilizan la información que es capturada por diversos medios para la ejecución de las transacciones y el apoyo a la toma de decisiones. Siguiendo este orden de ideas, es apropiado pretender que en la actualidad no se hable de un riesgo de ingreso de datos sino de un riesgo de ingreso de información.

En cuanto al nivel de riesgo de procesamiento, se reestructuró la definición con el fin de centrarse en el riesgo que surge cuando los procesos de los sistemas de información no garantizan el adecuado procesamiento de la información, ocasionando que las salidas esperadas no sean correctas, la información se pierda y los procesos subsecuentes fallen o se retarden.

En cuanto al sexto nivel de riesgo, el de la estructura organizativa del departamento de sistemas, se incorporaron los riesgos establecidos por ISM3 que surgen en el caso de la destrucción de instalaciones y/o sistemas de información, o del cambio o pérdida del personal clave. Esto puede ocurrir porque no se han actualizado los sistemas de información o porque no se cuenta con adecuados procedimientos para garantizar la continuidad del negocio.

Por otro lado, dado el despliegue y la incorporación de las tecnologías de la información y de las redes en los procesos de negocio en toda la organización, no tiene sentido pensar que este nivel de riesgo se dé únicamente en el departamento de sistemas, ya que el riesgo de un inadecuado manejo de la información ocasionado por un inapropiado ambiente de procesamiento, podría presentarse en cualquier dependencia e involucrar a todo el personal de la organización encargado de desarrollar los procesos y de operar los sistemas de información. Por tal motivo, este nivel se denominará "estructura organizativa".

De esta manera, cada una de las definiciones de los niveles de riesgo proporcionadas por PWC se reestructuraron teniendo en cuenta las descripciones sobre riesgo y nivel de riesgo, procurando que para cada nivel de riesgo, la definición contara con los siguientes elementos:

• Dónde ocurre. Es la denominación de cada nivel de riesgo.
• Qué lo ocasiona. Cuáles son las causas que posibilitan la ocurrencia del riesgo.
• Impacto posible. Conjunto de posibles efectos sobre los activos de la organización.

Por otro lado, los controles proporcionados en el esquema de PWC se ampliaron teniendo en cuenta los aportes suministrados por MAGUERIT y por la norma RFC4949 (2007), obteniendo el resultado presentado en la Tabla 6.

Como se puede observar, algunos de los estándares revisados soportan y ayudan a complementar los niveles de riesgo propuestos por PWC. No obstante, son relativamente pocos los que ofrecen una descripción guiada por niveles de riesgo que contribuya a que las organizaciones reconozcan el impacto de los riesgos en sus procesos de negocio.

Ahora bien, la comprensión sobre el sentido o el propósito organizacional de los diferentes estándares en lo concerniente a los diversos modelos de GRCSI, no se logra únicamente teniendo claridad sobre los niveles de riesgo, los roles y las actividades a desarrollar, también es necesario reconocer cuándo se puede utilizar un determinado estándar según el propósito de gestión de riesgos requerido (ver Gráfico 3).

La escogencia de la aplicación de los estándares implica un reconocimiento de las necesidades propias de cada organización (García y Martínez, 2008). En la Tabla 7 se presenta una conclusión de la aplicación de los estándares revisados respecto de las necesidades de gestión de riesgos de la organización.

4. CONCLUSIONES

Una adecuada comprensión de los niveles de riesgo asociados con los sistemas de información ayudará a las organizaciones a reconocer las implicaciones de la ocurrencia de un determinado espacio de riesgo dentro de su entorno, logrando con esto apropiarse del sentido o propósito de las políticas de seguridad y su respectivo alineamiento con los procesos de negocio.

Los niveles de riesgo de PWC ofrecen una descripción que contribuye a que las organizaciones reconozcan el impacto de los riesgos en sus procesos. No obstante, al aplicar una metodología para la revisión de la estructura de sus definiciones, se logró evidenciar que no todas contenían los elementos asociados a los conceptos de nivel de riesgo y riesgo. Esto posibilitó la discusión y definición de una estructura en la que se diferenciara dónde ocurre y qué ocasiona el nivel de riesgo, además de cuál es el impacto posible para la organización.

Por su parte, abordar la complejidad de la ausencia de los procesos de cambio organizacional necesarios para llevar a cabo una adecuada GRCSI, es una labor que implica en los actores involucrados, el reconocimiento de las actividades organizacionales necesarias para su implantación en el negocio y de las responsabilidades que, como partícipes en el proceso de cambio, deben estar dispuestos a enfrentar.

La integración de las actividades relacionadas por los estándares permitirá concretar futuras investigaciones orientadas a la definición de los procesos culturales y de cambio organizacional requeridos para llevar a cabo la GRCSI. De igual manera, posibilitará el diseño de modelos de GRCSI basados en definiciones-raíz orientadas a establecer análisis de riesgos, amenazas, vulnerabilidades, subactividades y métodos concretos con el fin de llevar el riesgo a niveles aceptables, mitigando su impacto en los activos de la organización (Bas-kerville, 1993). Estos métodos podrán incluir listas de verificación, niveles de madurez, criterios de dependencia de los procesos de negocio respecto de los sistemas de información, planes de continuidad y seguimiento de riesgos, entre otros.

Los autores expresan sus agradecimientos al grupo de investigación en "Sistemas y Tecnologías de la Información (STI)" adscrito a la Escuela de Ingeniería de Sistemas de la Universidad Industrial de Santander y a la Vicerrectoría de Investigación y Extensión de esta universidad, por el apoyo recibido para la realización de esta investigación mediante la financiación del proyecto de investigación desarrollado por León y Gomez (2010) denominado "Propuesta de un modelo para la evaluación de calidad de productos software utilizados como apoyo a la biomedicina"; código 5545.

NOTAS AL PIE DE PÁGINA

1. Este artículo se basó en el trabajo "Gestión de Riesgos y Controles en Sistemas de Información" desarrollado por Marlene Lucila Guerrero Julio (Autor 1) en la Maestría en Ingeniería Área Informática y Ciencias de la Computación de la Universidad Industrial de Santander, cuyo proyecto de grado de maestría fue dirigido por Luís Carlos Gómez Flórez (Autor 2).

2. Grupo de investigación en Sistemas y Tecnologías de la Información (STI) de la Universidad Industrial de Santander, clasificación B de Colciencias.

REFERENCIAS BIBLIOGRÁFICAS

1. Alberts, C., Behrens, S., Pethia, R. y Wilson, W. (1999). Operationally critical threat, asset, and vulnerability evaluations (OCTAVESM) framework, Version 1.0. TECHNICAL REPORT. CMU/SEI-99- TR-017. ESC-TR-99-017. Carnegie Mellon, SEE.         [ Links ]

2. Ashenden, D. (2008). Information security management: A human challenge? Proceeding of Information Security Technical Report, 13(4), 195-201.        [ Links ]

3. Ashenden, D. y Ezingeard, J.N. (2005). The need for a sociological approach to information security risk management. Documento no publicado, presentado en la 4th Annual Security Conference, Las Vegas, Nevada, Estados Unidos.        [ Links ]

4. AS/NZS 4360:2004. (2004). Estándar Australiano. Administración de Riesgos (3ª ed.). Sydney: Standards Australia International.        [ Links ]

5. Baskerville, R. (1993). Information systems security design methods: Implications for information systems development. ACM Computing Surveys, 25(4), 375-414.        [ Links ]

6. Blakley, B., McDermott, E. y Geer, D. (2001). Information security is information risk management. In NSPW ‘01 Proceedings of the 2001 workshop on new security paradigms (pp. 97-104). New York, NY: ACM.        [ Links ]

7. Boehm, B.W. (1991). Software risk management: principles and practice. IEEE Software, 8(1), 32-41.        [ Links ]

8. Cano, J. (2009). Monitoreo y evolución de la seguridad de la información. Revista ACIS, 110, 4-13.        [ Links ]

9. Castilla, M., Herrera, L., Llanes, E. y Sánchez, D. (2004). Estudio de riesgos y controles del sistema de información de la Biblioteca Germán Bula Meyer. Recuperado el 25 de mayo de 2009, de http://www.scribd.com/doc/16445970/Riesgos-y-ControlProteccion-de-Datos-Biblioteca-GBM        [ Links ]

10. Checkland, P. (2000). Systems thinking, systems practice. Includes a 30-year retrospective. New York, NY: John Wiley & Sons.        [ Links ]

11. Checkland P. y Holwell, S. (1998). Information, systems and information systems: making sense of the field. New York, NY: John Wiley & Sons.        [ Links ]

12. Checkland P. y Poulter, J. (2006). Learning for action. A short definitive account of soft systems methodology and its use for practitioners, teachers and students. New York, NY: John Wiley & Sons.        [ Links ]

13. Checkland, P. y Scholes, J. (1999a). Information, Systems, and Information Systems. Cybernetics and humans knowing, 6(3), 91-95.        [ Links ]

14. Checkland, P. y Scholes, J. (1999b). Soft system methodology in action. New York, NY: John Wiley & Sons.        [ Links ]

15. Checkland, P. y Scholes, J. (2000). Soft systems methodology in action: a thirty year retrospective. System research and behavioral science, 17, S11-S58.        [ Links ]

16. Chittister, C. y Haimes, Y.Y. (1993). Risks associated with software development: a holistic framework for assessment and management. IEEE Transactions on Systems, Man and Cybernetics, 23(3), 710-723.        [ Links ]

17. Clusif, M. (2007). Guide de l’analyse des risques. Recuperado el 11 de diciembre de 2009, de http://www.clusif.asso.fr        [ Links ]

18. Contraloría General de la República de Nicaragua -CGRN. (1995). Normas técnicas de control interno para el sector público. Recuperado el 18 de abril de 2009, de http://legislacion.asamblea.gob.ni/normaweb.nsf/%28$All%29/804DEAE046418EEB062571790058C3B5?OpenDocument        [ Links ]

19. Elissondo, L. (2008). Auditoria y Seguridad de Sistemas de Información. Recuperado el 8 de noviembre de 2011, de http://econ.unicen.edu.ar/monitorit/index.php?option=com_docman&task=doc_download&gid=175&Itemid=19        [ Links ]

20. Fairley, R. (1994). Risk management for software projects. IEEE Software, 11(3), 57-67.        [ Links ]

21. Farahmand, F., Navathe, S. y Enslow, P. (2003). Managing vulnerabilities of information systems to security incidents. Documento no publicado, presentado en The 5th International Conference on Electronic Commerce, Pittsburgh, PA, Estados Unidos. Recuperado de http://portal.acm.org/citation.cfm?id=948050        [ Links ]

22. García, J. y Martínez, C. (2008). Análisis y control de riesgos de seguridad informática: control adaptativo un cambio de paradigma hacia la gestión de riesgos orientada al control adaptativo. Revista Sistemas ACIS, 105. Recuperado de http://www.acis.org.co/fileadmin/Revista_105/JMGarcia.pdf        [ Links ]

23. Guerrero, M. (2010). Gestión de riesgos y controles en sistemas de información. Tesis de Maestría no publicada, Universidad Industrial de Santander, Bucaramanga, Colombia.        [ Links ]

24. Haig, B. (2009). Man in the Middle. New York, NY: Grand Central Publishing.        [ Links ]

25. Harold, F. y Tipton, M.K. (Eds.). (2006). Information Security Management Handbook (5a ed.). Danver, MA: CRC Press.         [ Links ]

26. Hirsch, C. y Ezingeard, J.N. (2008). Perceptual and cultural aspects of risk management alignment: a case study. Journal of Information System Security, 4(1), 1551-0123.        [ Links ]

27. ISACA. (2002). Documento S11. Recuperado el 19 de junio de 2009, de http://www.isaca.org        [ Links ]

28. ISM3 Consortium. (2009). Information security management maturity model. Versión 2.0. Madrid, España.         [ Links ]

29. ISO. (2005). ISO/IEC 27001:2005(E) Information technology - Security techniques - Information security management systems - Requirements. Londres: International Organization for Standardization and International Electrotechnical Commission.        [ Links ]

30. ISO. (2008) Introduction to ISO 27005 (ISO27005). ICONTEC.         [ Links ]

31. Landoll, D. (2005). The security risk assessment handbook: A complete guide for performing security risk assessments. Boca Raton, FL: Auerbach.        [ Links ]

32. Laudon, K. y Laudon, J. (2008). Sistemas de información gerencial(10ª ed.). México: Prentice Hall.        [ Links ]

33. Leon, N. y Gomez, L.C. (2010). Propuesta de un modelo para la evaluación de calidad de productos software utilizados como apoyo a la biomedicina. Bucaramanga: Vicerrectoria de Investigación y Extensión, Universidad Industrial de Santander.        [ Links ]

34. McFadzean, E., Ezineard, J.N. y Birchall, D. (2007). Perception of risk and the strategic impact of existing IT on Information Security strategy at board level. Online Information Review, 31(5), 622–660.        [ Links ]

35. McLeod, R. (2000). Sistemas de información gerencial (7ª ed.). México: Prentice Hall.        [ Links ]

36. Ministerio de Administraciones Públicas. (1997). MAGUERIT. Metodología de Análisis y Gestión de Riesgos de los sistemas de información. España: Autores.         [ Links ]

37. Norma RFC4949. (2007). Internet Security Glossary, Version 2. Recuperado el 24 de febrero de 2010, de http://www.ietf.org/rfc/rfc4949.        [ Links ]

38. Norton, R. (2004). Crooked managers. Changing technology. Financial surprises. Who knows what company-killers lie ahead? Here’s how directors can protect themselves. Institute of Public Administration of Canada. Toronto: Longwoods Publishing Corporation.         [ Links ]

39. Peltier, T. (2001). Information security risk analysis. Boca Raton, FL: Auerbach Publications.         [ Links ]

40. PriceWaterhouseCoopers. (2004). Managing risk: An assessment of CEO preparedness. Recuperado de http://www.pwc.com.        [ Links ]

41. Ribagorda, A. (1997). Glosario de términos de seguridad de las T.I. Madrid: CODA.        [ Links ]

42. Ross, R., Katzke, S., Johnson, A., Swanson, M. y Stoneburner, G. (2008). Managing risk from information systems an organizational perspective, Special Publication 800-839. Gaithersburg, MD: U.S. Dept. of Commerce, National Institute of Standards and Technology.         [ Links ]

43. Schein, E.H. (1991) Psicología de la Organización. México: Prentice-Hall.        [ Links ]

44. Silberfich, P.A. (2009). Análisis y Gestión de riesgos en TI ISO 27005 – Aplicación Práctica. Documento no publicado presentado en el Quinto Congreso Argentino de Seguridad de la Información, Argentina.         [ Links ]

45. Singh, S. y Brewer, R. (2008). The evolution of risk and controls from score-keeping to strategic partnering. KPGM International. Recuperado el 18 de diciembre de 2009, de http://sociedaddelainformacion.wordpress.com/category/seguridad/gestion-de-riesgos/        [ Links ]

46. Smith, H., McKeen, J. y Staples D. (2001). Risk management in information systems: Problems and potential. Communications of the Association for Information Systems, 7(13).        [ Links ]

47. SOMAP. (2006). Open Information Security Risk Management Handbook. Versión 1.0. Recuperado el 15 de diciembre de 2009, de http://ufpr.dl.sourceforge.net/project/somap/Infosec%20Risk%20Mgmt%20Handbook/Version%201.0/somap_handbook_v1.0.0.pdf        [ Links ]

48. Stonebumer, G., Coguen, A. y Feringa, A. (2002). Risk Management Guide for Managing risk from information systems an organizational perspective, Special Publication 800-830. Gaithersburg, MD: U.S. Dept. of Commerce, National Institute of Standards and Technology.         [ Links ]

49. Straub, D. y Welke, R. (1998). Coping with systems risk: Security planning models for management decision making. MIS Quarterly, 22(4), 441-469.        [ Links ]

50. TCSEC - Trusted Computer Systems Evaluation Criteria, DoD 5200.28-STD, Department of Defense, United States of America, 1985.        [ Links ]

51. Wah, L. (1998). The risky business of managing IT risks. Management Review, 87(5), 6.        [ Links ]

52. Whitman, M. y Mattord, H. (2005). Principles of information security (2a ed.). Boston, MA: Thomson Course Technology.         [ Links ] ]]> 1. 1999 2. 2008 13 4 4 195-201 3. 2005 Las Vegas Nevada 4. AS/NZS 4360:2004 2004 3 5. 1993 25 4 4 375-414 6. 2001 97-104 7. 1991 8 1 1 32-41 8. 2009 110 110 4-13 9. 2004 10. 2000 11. 1998 12. 2006 13. 1999 6 3 3 91-95 14. 1999 15. 2000 17 17 S11-S58 16. 1993 23 3 3 710-723 17. 2007 18. Contraloría General de la República de Nicaragua -CGRN 1995 19. 2008 20. 1994 11 3 3 57-67 21. 2003 Pittsburgh PA 22. 2008 105 105 23. 2010 24. 2009 25. 2006 5 26. 2008 4 1 1 1551-0123 27. ISACA 2002 28. ISM3 Consortium 2009 29. ISO 2005 30. ISO 2008 31. 2005 32. 2008 10 33. 2010 34. 2007 31 5 5 622-660 35. 2000 7 36. Ministerio de Administraciones Públicas 1997 37. Norma RFC4949 2007 2 38. 2004 39. 2001 40. PriceWaterhouseCoopers 2004 41. 1997 42. 2008 43. 1991 44. 2009 45. 2008 46. 2001 7 13 13 47. SOMAP 2006 48. 2002 49. 1998 22 4 4 441-469 50. TCSEC - Trusted Computer Systems Evaluation Criteria 1985 51. 1998 87 5 5 6 52. 2005 2