Sie sind auf Seite 1von 9

Documento descargado de http://www.elsevier.es el 07/03/2017.

Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.

estud.gerenc. 28 (2012) 87-95

ISSN 0123-5923

EG Estudios
Gerenciales
ESTUDIOS GERENCIALES Journal of Management and Economics for Iberoamerica

www.elsevier.es/estudios_gerenciales Publicacin de la Facultad de Ciencias Administrativas y Econmicas

Vol.28

125
Octubre-Diciembre 2012

Gestin de riesgos y controles en sistemas de informacin: del aprendizaje


a la transformacin organizacional
Marlene Lucila Guerrero Julio a,* y Luis Carlos Gmez Flrez b
a
Decana, Facultad de Ingeniera, Universidad Cooperativa de Colombia, Bucaramanga, Colombia
b
Profesor Titular, Universidad Industrial de Santander, Colombia

INFORMACIN DEL ARTCULO RESUMEN

Historia del artculo: La gestin de riesgos y controles en sistemas de informacin (GRCSI) comnmente se ve como una funcin
Recibido el 27 de mayo de 2011 tcnica encomendada a expertos en tecnologas de la informacin, ingenieros de software o programadores
Aceptado el 13 de diciembre de 2012 de sistemas de informacin. No obstante, esta labor requiere una perspectiva ms amplia que aporte al
aprendizaje de su sentido y a la apropiacin de los procesos de cambio organizacional que ella requiere.
Cdigos JEL:
M15 Este artculo presenta el resultado de un proceso de investigacin, abordado desde la perspectiva del pen-
M42 samiento de sistemas blandos para apoyar la GRCSI en las organizaciones, mostrando el sistema de activi-
dad humana de la direccin estratgica de tecnologas de informacin, la transformacin organizacional
Palabras clave: necesaria y la descripcin de las actividades y mtodos propuestos.
Gestin de riesgos y controles 2012 Universidad ICESI. Publicado por Elsevier Espaa. Todos los derechos reservados.
Aprendizaje
Pensamiento de sistemas blandos
Sistemas de informacin
Transformacin organizacional
Risk management and controls in information systems: from the learning
to organizational transformation
ABSTRACT

JEL classification:
M15 Risk management and controls for information systems (RMCIS) is commonly seen as a technical function
M42 used by experts in information technology, software engineers, or information systems programmers. .
However, this task requires a much broader perspective that helps the learner have better comprehension
Keywords: of its meaning and the processes of organizational change that it requires. This article shows the results of
Risk management and controls a research process, approached from the perspective of soft systems thinking, to support RMCIS in
Learning organizations, showing the human activity system of the strategic management of information technology,
Information systems
the organizational changes necessary, and a description of the activities and methods proposed.
Soft system thinking
2012 Universidad ICESI. Publicado por Elsevier Espaa. All rights reserved.
Organizational transformation

Gesto de riscos e controlos emsistemas deinformao: daaprendizagem


transformao organizacional
RESUMO

Classificao JEL:
A gesto de riscos e controlos em sistemas de informao (GRCSI) habitualmente vista como uma funo
M15
M42 tcnica encomendada a especialistas em tecnologias da informao, engenheiros de software ou
programadores de sistemas de informao. No entanto, este trabalho necessita de uma perspectiva mais
Palavras-chave: larga que d sentido aprendizagem e adequao dos processos mudana organizacional que ela
Gesto de riscos e controlos necessita. Este artigo apresenta o resultado de um processo de investigao, abordado da perspectiva do
Aprendizagem pensamento de sistemas moles para apoiar a GRCSI nas organizaes, mostrando o sistema de actividade
Pensamento de sistemas moles humana da direco estratgica de tecnologias de informao, a transformao organizacional necessria e
Sistemas de informao
a descrio das actividades e mtodos propostos.
Transformao organizacional
2012 Universidad ICESI. Publicado por Elsevier Espaa. Todos los derechos reservados.

*Autor para correspondencia: Universidad Cooperativa de Colombia,


Calle30.aN.o33-51Piso6Oficina605, Bucaramanga, Colombia.
Correo electrnico: marlene.guerrero@ucc.edu.co (M.L.GuerreroJulio).

0123-5923/$ see front matter 2012 Universidad ICESI. Publicado por Elsevier Espaa. Todos los derechos reservados
Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.

88 M.L. Guerrero Julio, L.C. Gmez Flrez / estud.gerenc. 28 (2012) 87-95

1. Introduccin disearon el primer modelo conceptual para determinar las necesi-


dades de informacin de una empresa textil de mediano tamao.
Actualmente, segn Laudon y Laudon (2008), el auge en el desa- Desde entonces, estudios como el de Gmez y Olave (2007) han per-
rrollo de los sistemas de informacin ha generado mayor crecimien- mitido relacionar el pensamiento de sistemas en general y la MSB en
to y competitividad en las organizaciones al apoyar los procesos de particular con el campo de los sistemas de informacin (Checkland y
negocio, las actividades de procesamiento de la informacin y las Scholes, 1999a).
actividades de administracin, lo que abre un sinnmero de posibili- Por su parte, autores contemporneos como Cater-Steel y Ka-Wai-
dades para ampliar las relaciones entre clientes, proveedores y em- Lai, entre otros (Cater-Steel y Al-Hakim, 2009), proveen una mirada
pleados, y posibilita la rapidez en las respuestas a los cambios en el a la aplicacin de la MSB al mantenimiento y el desarrollo de siste-
entorno (Aguilera y Riascos, 2009). mas de informacin. La mayora de estas perspectivas sealan que en
No obstante, en un estudio realizado por Piattini (2007), basado los ltimos aos el desarrollo de sistemas de informacin se ha ido
en la denominada crisis de la ingeniera del software, se logr deter- incrementando, de tal manera que han apoyado el cambio organiza-
minar que el 23% de los desarrollos de sistemas de informacin fa- cional desde el punto de vista de la funcionalidad, la flexibilidad y la
llan, en contraste con un 49% cuyo desarrollo es cuestionado y con disponibilidad de la informacin. Sin embargo, los sistemas de infor-
slo un 28% entregado satisfactoriamente. Lo anterior ha llevado a las macin no estn exentos de errores y/o cambios en el entorno ope-
organizaciones a preocuparse cada vez ms por las prdidas econ- rativo al que brindan servicio, por lo cual es necesario realizar peri-
micas acarreadas por los riesgos ocasionados tanto por la propia na- dicamente estudios de evaluacin de los riesgos a que se exponen,
turaleza de los sistemas de informacin como por la falta de calidad con el fin de generar controles que permitan disminuir el costo aso-
en su desarrollo. ciado a la prdida de informacin y recursos informticos.
En este punto, la gestin de riesgos y controles en sistemas de Para efectos especficos de la investigacin presentada en este ar-
informacin (GRCSI) tiene un papel esencial en la proteccin de los tculo, la MSB permiti abordar el tema de la apropiacin sobre el
riesgos relacionados con los sistemas de informacin, al proporcio- sentido y el propsito de la GRCSI en las organizaciones, desde el
nar a las organizaciones capacidades para: alinear los niveles de ries- punto de vista de la definicin de los procesos y las responsabilida-
go con su impacto organizacional y el retorno de la inversin, opti- des de cada uno de los actores que intervienen. Esto posibilit esta-
mizar la toma de decisiones y minimizar las prdidas. blecer la definicin de la transformacin organizacional necesaria
El objetivo principal de la GRCSI en una organizacin es proteger para llevar a cabo las actividades de GRCSI y la elaboracin de casos
sus procesos de negocio y su capacidad para cumplir su misin. Por de estudio para el aprendizaje de los diversos niveles de riesgo. En la
lo tanto, la GRCSI no debe ser tratada solamente como una funcin figura1 se presenta la aplicacin de la metodologa al contexto de la
tcnica realizada por los expertos de tecnologas de informacin que investigacin mencionada anteriormente.
manejan los sistemas de informacin, sino como una labor organiza-
cional que requiere una perspectiva mucho ms compleja que la que 3. Hacia una comprensin del SAH para la GRCSI
se da desde el pensamiento duro (Adams, 2005) y que incluye los
sistemas de actividad humana (SAH) encargados de su utilizacin y La elaboracin de la definicin raz del SAH pertinente para llevar
su desarrollo durante todo el ciclo de vida. a cabo la GRCSI en la organizaciones est basada en la revisin de la
En este artculo, se presenta una propuesta para la GRCSI, desde la literatura y los estndares relevantes para la GRCSI; se presenta un
perspectiva de pensamiento blando, partiendo desde los diagnsti- estudio sobre los niveles de riesgo y los controles que podran miti-
cos exploratorios acerca de los estndares y la literatura relevante garlos y una propuesta de integracin de las actividades que las or-
para la GRCSI planteado por Guerrero y Gmez (2011), hasta llegar al ganizaciones deben desarrollar.
diseo de los SAH (Checkland, 2000a; Checkland y Scholes, 1999a;
Checkland y Scholes, 1999b) encargados de dicha labor en las orga- 3.1. Transformacin organizacional
nizaciones.
En la primera seccin del documento se presentar una descrip- La siguiente transformacin organizacional corresponde al siste-
cin del aporte de la metodologa de los sistemas blandos al proceso ma planteado para la GRCSI para la cual se enuncian sus elementos
de investigacin desarrollado. En la segunda seccin se analizar y CATWOE (abreviatura utilizada por Peter Checkland para elaborar la
describir el sistema de actividad humana pertinente para la gestin transformacin organizacional. C: clientes; A: actores; T: transforma-
de riesgos y controles en sistemas de informacin. Finalmente, en la cin; W: weltanschauung cosmovisin o perspectiva que da origen
tercera seccin se plantearn las conclusiones obtenidas a partir de a la transformacin organizacional; O: owners propietarios, y E:
las reflexiones realizadas y las recomendaciones para futuras inves- restricciones del entorno).
tigaciones. La GRCSI es un sistema que hace parte del sistema de gestin de
seguridad de la informacin de una organizacin, el cual es desarro-
2. La metodologa de los sistemas blandos y su aporte al proceso llado por la direccin estratgica de tecnologas de informacin y de
de investigacin responsabilidad de todos los miembros de la organizacin mediante
el alineamiento con los estndares de seguridad de sistemas de in-
La metodologa de los sistemas blandos (MSB) ha sido involucrada formacin que permitan el establecimiento del contexto organiza-
en estudios de sistemas de informacin a travs del proceso de inves- cional, la identificacin de los activos crticos en los diferentes espa-
tigacin-accin en las organizaciones en los ltimos aos, con el fin de cios de la organizacin, la identificacin y evaluacin de las amenazas
apoyar a la disciplina desde la perspectiva organizacional (Checkland y vulnerabilidades de los activos, el diseo de escenarios de riesgo de
y Poulter, 2006). Lo anterior implica tener en cuenta los factores socio- acuerdo con su impacto organizacional, el diseo de estrategias de
cultural, poltico y administrativo que en muchas ocasiones se tiende tratamiento y proteccin basados en estndares y buenas prcticas,
a minimizar o excluir (Checkland, 2000b; Checkland y Holwell, 1998). la documentacin de los resultados y revisin de casos y la imple-
La idea central detrs de la labor descrita por Checkland y Holwell mentacin de procesos de monitoreo y control; con el fin de proteger
es que los modelos conceptuales desarrollados en la MSB puedan ser la misin y los activos de la organizacin y apoyar a los administra-
utilizados para iniciar y estructurar discusiones sobre la informacin dores de tecnologas de la informacin a equilibrar los costos econ-
soportada por las actividades que las personas realizan en el mundo micos y operacionales de las medidas de seguridad utilizadas para
real, proceso que normalmente se conoce como anlisis de requeri- proteger los Sistemas de Informacin que apoyan los procesos de ne-
mientos. Durante el desarrollo de la MSB, Checkland y Griffin (1970) gocio de la organizacin. (Guerrero, 2010, p. 88.)
Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.

M.L. Guerrero Julio, L.C. Gmez Flrez / estud.gerenc. 28 (2012) 87-95 89

Apropiacin sobre la
nocin y los procesos de Aplicacin del modelo
cambio organizacional de GRCSI a EscuelaCol
1,0 Diseo de los
para la GRCSI
mtodos para el
desarrollo de las
actividades de
GRCSI
Comparacin de las
actividades relacionadas
Definicin de por los estndares de
procesos y GRCSI
responsabilidades de Mundo real
la GFCSI

Pensamiento
Modelos conceptuales de las sistmico acerca
actividades y del mundo real
Definiciones raz de los
sistemas de actividad responsabilidades para la
humana para la GRCSI GRCSI

Figura 1. Aplicacin de la metodologa al contexto de la investigacin.


GRCSI: gestin de riesgos y controles en sistemas de informacin.
Fuente. Adaptado deCheckland y Scholes (1999b).pp. 77-105.

3.2. Elementos CATWOE 3.3. Descripcin de las actividades propuestas para la GRCSI

Los elementos CATWOE para la transformacin organizacional Teniendo en cuenta la transformacin organizacional construida,
planteada, posibilitarn la seleccin de una perspectiva particular y se plante el sistema de actividades (fig.2) que permita a la direccin
la realizacin de un estructurado y riguroso proceso de desarrollo de de tecnologas de informacin definir los niveles de riesgo de los sis-
los modelos. El punto de partida es una transformacin para la pers- temas de informacin en su contexto organizacional propio y que la
pectiva seleccionada y a partir de all se identifican los otros elemen- organizacin pueda identificar los activos relacionados con los siste-
tos clave del sistema para la GRCSI (tabla1). mas de informacin que, por su propia vulnerabilidad o por factores
En la transformacin organizacional planteada se utilizarn los externos, estn expuestos a amenazas. De igual manera, se busca que
conceptos de amenaza, vulnerabilidad y riesgo, en el sentido plan- los miembros de la organizacin conozcan su funcin y su responsa-
teado por Silberfich (2009), que explica que la amenaza es una con- bilidad dentro de la GRCSI y que aprendan de los incidentes en la
dicin del entorno del sistema de informacin, que ante determinada organizacin para evitar la repeticin de esfuerzos y el desgaste or-
circunstancia podra ser una fuente de desastre informtico y afectar ganizacional.
a los activos de la compaa. Por su parte, la vulnerabilidad es una
situacin generada por la falta de controles que permite concretar 3.3.1. Actividad A1. Establecer el contexto organizacional
una amenaza, y el riesgo es la posibilidad que una amenaza se mate- Establecer el contexto organizacional es la actividad primaria que
rialice y produzca un impacto en la organizacin. la empresa ha de llevar a cabo, dado que esto permite identificar las

Tabla 1
Elementos CATWOE de la transformacin organizacional para la GRCSI

Elemento Descripcin

Clientes Miembros de la organizacin y clientes de la organizacin

Actores Direccin estratgica de tecnologas de informacin

Transformacin Direccin de tecnologas de informacin con necesidad de definir los niveles de riesgo de los sistemas de informacin en su contexto organizacio-
nal contexto organizacional identificado y establecido

Organizacin con necesidad de identificar los activos expuestos a amenazas y el impacto organizacional ocasionado por la vulnerabilidad de los
sistemas de informacin organizacin con elementos de accin para identificar los activos expuestos a amenazas y con conocimiento de los
niveles de riesgo de los sistemas de informacin

Entes organizacionales con necesidad de conocer su funcin y su responsabilidad dentro de la GRCSI funciones y responsabilidades definidas

Organizacin con necesidades de aprendizaje sobre los casos de riesgo ocurridos en la organizacin organizacin con documentacin de resul-
tados sobre las estrategias de mitigacin implantadas, monitoreo y control

Cosmovisin La GRCSI ayuda a proteger los activos de la organizacin y ayuda a los administradores de tecnologas de la informacin a equilibrar los costos
administrativos y operacionales de las medidas de seguridad utilizadas para proteger los sistemas de informacin que sustentan los procesos de
negocio de las organizaciones, mediante el alineamiento con los estndares de seguridad de sistemas de informacin

Propietarios Administracin

Restricciones del entorno Recursos, estndares utilizados

Fuente: tomado de Guerrero (2010), p. 89.


Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.

90 M.L. Guerrero Julio, L.C. Gmez Flrez / estud.gerenc. 28 (2012) 87-95

A1. Establecer el
contexto organizacional
A3. Identificar y evaluar las
amenazas y vulnerabilidades
de los activos

A2. Identificar los activos


crticos A7. Monitereo y control
A4. Disear escenarios de
riesgo simpatico
organizacional
A5. Disear estrategias de
tratamiento y proteccin

A6. Documentacin de
resultados y revisin de
casos

Figura 2. Sistema de actividades para la direccin de tecnologas de informacin.


Fuente: tomado de Guerrero (2010), p.90.

funciones y sus responsabilidades frente a la GRCSI. Como se ha ex- comparaciones que tienden a detectar la integracin de las subacti-
presado anteriormente, cada organizacin tiene una cultura particu- vidades y disear los mtodos para establecer el contexto organiza-
lar, por lo cual la aplicacin de esta actividad requiere repensar la cional para el desarrollo de la GRCSI (fig.3).
organizacin en cuanto a sus necesidades, caractersticas, sistemas Las subactividades A1.1, A1.2 y A1.3 que se presentan a continua-
de informacin que apoyan los procesos de negocio, funciones y res- cin y su alineamiento con los sistemas de informacin y los proce-
ponsabilidades de los actores vinculados con los sistemas de infor- sos de negocio debern ser responsabilidad inicialmente de los ad-
macin y la caracterizacin de la informacin que estos manejan. ministradores de la organizacin y del comit de seguridad
Establecer el contexto organizacional es una actividad incluida encargado especficamente para esta labor.
directamente en los modelos planteados por AS/NZS (2004) (Estn-
dar Australiano para la Administracin de Riesgos), SP800-30 (Gua 3.3.1.1. Subactividad A1.1. Identificar la estrategia de la organizacin en
para la Gestin de Riesgos en Tecnologas de la Informacin), presenta- torno a los sistemas de informacin
da por Stonebumer (2002), y SP800-39 (Gua para la Gestin de Ries- Las organizaciones efectivas deben ser capaces de clarificar las
gos en Sistemas de Informacin), los cuales posibilitaron plantear estrategias asociadas a los sistemas de informacin, las cuales deben

Mtodo

Entrevistar a los jefes del dpto. de sistemas o


Identificar la estrategia de administradores de tecnologas de informacin.
la organizacin en torno a Revisar la documentacin sobre las polticas
los sistemas de organizacionales de adquisicin, implementacin y uso de
informacin los sistemas de informacin.

Determinar la dependencia de los procesos de negocio


Especificar los sistemas respecto de los sistemas de informacin.
de informacin que Determinar los niveles de servicio de los sistemas de
apoyan los procesos de informacin.
negocio Revisar la documentacin de los sistemas de
informacin-diagramas de casos de uso y especificaciones
de los requisitos funcionales del sistema de informacin.

Especificar los roles de los


actores y sus Entrevistar a los actores de los sistemas de informacin
responsabilidades en los sobre la conducta ante riesgos.
riesgos asociados a los
sistemas de informacin

Figura 3. Mtodos definidos para la actividad A1.


Fuente: tomado de Guerrero (2010), p.92.
Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.

M.L. Guerrero Julio, L.C. Gmez Flrez / estud.gerenc. 28 (2012) 87-95 91

estar enmarcadas dentro de la estrategia organizacional, de manera sistema de informacin. De acuerdo con esto, surgen responsabilida-
que los proyectos y las inversiones relacionadas con sistemas de in- des en trminos de la informacin que manejan. Esta actividad debe
formacin sean especificadas a los distintos actores de la organiza- ser desarrollada por los jefes del departamento de tecnologas de in-
cin y administradas de manera adecuada. Las tareas que la organi- formacin en concordancia con los administradores funcionales y de
zacin podra utilizar para llevar a cabo esta actividad se describen a negocio. Las tareas que la organizacin podra utilizar para llevar a
continuacin: cabo esta actividad se describen a continuacin:

Entrevistar a los jefes del departamento de sistemas o administra- Entrevista a los actores de los sistemas de informacin sobre la con-
dores de tecnologas de informacin. Esta tarea es desarrollada por ducta ante riesgos. Determinar la cultura de riesgo de los actores
los lderes de seguridad de la informacin en la organizacin. Uno relacionados con los sistemas de informacin permite detectar y
de los mtodos que se podra utilizar para esta actividad son las generar estrategias de mitigacin de los riesgos ocasionados por
listas de verificacin con preguntas orientadas a descubrir los inte- dolo o negligencia (desconocimiento, falta de apropiacin) de los
reses y/o necesidades organizacionales en trminos de la estrategia actores. El mtodo propuesto para esta actividad son las listas de
asociada a los sistemas de informacin. verificacin con preguntas orientadas a descubrir la conducta orga-
Revisar la documentacin sobre las polticas organizacionales de nizacional de los actores de sistemas de informacin ante los ries-
adquisicin, implementacin y uso de los sistemas de informacin. gos.
Esta tarea es desarrollada por el grupo de trabajo encargado del
gobierno de tecnologas de informacin y sistemas de informacin 3.3.2. Actividad A2. Identificar los activos crticos
con el fin de esclarecer si la organizacin tiene un nivel de madurez Los activos crticos relacionados con los sistemas de informacin
asociado con la adquisicin, implementacin y uso de los sistemas son: la informacin, los servicios, las aplicaciones informticas, los
de informacin. La definicin de estos niveles de madurez se sus- equipos informticos, los soportes de informacin, el equipamiento
tenta en los estndares COBIT (Control Objectives for Information and auxiliar, las redes de comunicaciones, las instalaciones y las perso-
Related Technologies) (ISACA, 2007) y CMM (Capability Madurability nas. Identificar los activos crticos es una actividad incluida en los
Model) (Paulk, Weber, Curtis y Chissis, 2001). modelos planteados por OCTAVE (marco de evaluacin de amenazas
operacionalmente crticas, activos y vulnerabilidades) en Alberts
3.3.1.2. Subactividad A1.2. Especificar los sistemas de informacin que (1999) y MAGERIT (metodologa de anlisis y gestin de riesgos de
apoyan los procesos de negocio los sistemas de informacin), que permitieron plantear comparacio-
Actualmente muchas organizaciones dan soporte a sus procesos nes que tienden a detectar las integraciones en las subactividades y
de negocio con sistemas de informacin. Por lo tanto, un reconoci- a disear los mtodos relacionados con esta actividad (fig.4).
miento del contexto organizacional implica especificar los sistemas De igual manera, esta actividad busca determinar la informacin
de informacin que apoyan a los procesos de negocio, de manera sensible y crtica, con el fin de identificar la informacin que puede
que se clarifique la dependencia de la ejecucin de los procesos con estar expuesta a determinado nivel de riesgo. Informacin sensible
respecto a la disponibilidad de los sistemas de informacin. Esta ac- es aquella que debe ser especialmente protegida, pues su revelacin,
tividad es desarrollada por el grupo de trabajo encargado del gobier- alteracin, prdida o destruccin puede producir daos importantes
no de tecnologas de informacin. Las tareas que la organizacin a alguien o algo (Ribagorda, 1997; TCSEC, 1985). Por su parte, la in-
podra utilizar para llevar a cabo esta actividad se describen a conti- formacin crtica es aquella de vital importancia para la organiza-
nuacin. cin, cuya prdida o destruccin podra tener efectos adversos para
la seguridad y la disponibilidad de los procesos de negocio (Norma
Determinar la dependencia de los procesos de negocio respecto de RFC4949, 2007).
los sistemas de informacin. Dentro de las organizaciones, no todos Las actividades pertinentes para la identificacin de los activos
los procesos de negocio se apoyan en sistemas de informacin, y en crticos que se describen a continuacin debern ser responsabilidad
otros casos, aunque as sea, la dependencia de la continuidad del inicialmente de la direccin de tecnologas de informacin.
servicio de aquellos no es demasiado alta. Por lo tanto, una organi-
zacin efectiva debe medir qu tanto depende de los sistemas de 3.3.2.1. Subactividad A.2.1. Catalogar los activos relacionados
informacin la disponibilidad de sus procesos de negocio. La jerar- con los sistemas de informacin
quizacin de estos niveles de dependencia se bas en la propuesta Ofrecer informacin a la organizacin sobre los recursos asocia-
de ISM3 (modelo de madurez para la seguridad de la informacin). dos a los sistemas de informacin es de suma importancia para la
Determinar los niveles de servicio de los sistemas de informacin. toma de decisiones acertadas sobre las polticas y las estrategias de
Esta tarea est orientada a establecer los servicios prestados por el control relacionadas con sus vulnerabilidades. Esta actividad debe
sistema de informacin a los diferentes actores, que se podr clasi- ser desarrollada por los jefes de seguridad de sistemas de informa-
ficar en niveles segn su relevancia. Los niveles de servicio se clasi- cin.
ficaron en alto, medio o bajo, de acuerdo con su relacin con Para esta actividad se puede desarrollar un software de cataloga-
los requisitos funcionales del sistema de informacin. cin de activos que permita gestionar y controlar los recursos asocia-
Revisar la documentacin de los sistemas de informacin. La revisin dos a los sistemas de informacin o se puede llevar manualmente un
de los manuales de usuario, administracin, configuracin e instala- consolidado de catalogacin de activos.
cin del sistema de informacin es de vital importancia para estable-
cer los riesgos asociados con los cambios realizados a los programas. 3.3.2.2. Subactividad A.2.2. Determinar la informacin sensible y crtica
De igual manera, la revisin de los diagramas de casos de uso del Clarificar qu la informacin que es sensible y crtica permite a las
sistema implantado y de las especificaciones de los requisitos reali- organizaciones generar estrategias para protegerla contra su divulga-
zadas por la organizacin permitir detectar el grado de cumpli- cin, modificacin o prdida. Esta actividad es responsabilidad de los
miento de los requisitos contractuales del sistema de informacin. jefes del departamento de tecnologas de informacin. Una de las
tareas que la organizacin podra utilizar para llevar a cabo esta acti-
3.3.1.3. Subactividad A1.3. Especificar las funciones de los actores vidad se describe a continuacin:
y sus responsabilidades en la GRCSI
Los actores de los sistemas de informacin cumplen con una fun- Revisar las bases de datos y los informes de los sistemas de infor-
cin de acuerdo con sus necesidades y los servicios prestados por el macin para detectar la informacin sensible y crtica. El contraste
Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.

92 M.L. Guerrero Julio, L.C. Gmez Flrez / estud.gerenc. 28 (2012) 87-95

Mtodo

Catalogar los activos


relacionados con los sistemas Implantar software de catalogacin de activos o diccionario
de informacin de activos

Determinar la informacin Revisar las bases de datos y los informes de los sistemas de
sensible y crtica informacin para detectar la informacin vulnerable

Dimensionar los activos en


cuanto a los niveles de riesgo y
Utilizar el esquema comparativo provisto por el modelo de
su relacin con la disponibilidad,
GRCSI
auntenticidad, integridad
y confidencialidad

Figura 4. Mtodos definidos para la actividad A2. GRCSI: gestin de riesgos y controles en sistemas de informacin.
Fuente: tomado de Guerrero (2010), p.99.

entre la base de datos del sistema de informacin y sus niveles de utilizando el catlogo propuesto por el Ministerio de Administracio-
servicio permitir identificar la informacin que es susceptible de nes Pblicas (2006).
resguardo o que hay que proteger. Cabe destacar que cada organi-
zacin debe decidir esto a partir de lo crtica que sea la informacin 3.3.4. Actividad A4. Disear escenarios de riesgos con respecto
y de los activos afectados por esta. Un esquema que se podra utili- a su impacto organizacional
zar para realizar dicho contraste requiere una definicin del nivel Un escenario de riesgo es la descripcin hipottica de un mal fun-
de servicio detectado, las tablas de la base de datos que las soporta cionamiento del sistema de informacin. La evaluacin del impacto
y la informacin sensible y crtica que manejan. potencial de un escenario de riesgo provee a la organizacin las he-
rramientas necesarias para la medicin y la actuacin.
3.3.2.3. Subactividad A2.3. Dimensionar los activos en cuanto Aunque cada sistema de informacin por su naturaleza intrnseca
a los niveles de riesgo y su relacin con la disponibilidad, estar expuesto a escenarios de riesgo especficos, estndares como
la autenticidad, la integridad y la confidencialidad MEHARI (marco armonizado para el anlisis de riesgos) proveen una
Esta actividad corresponde al grupo de trabajo de seguridad de lista de 170 escenarios, clasificados en 12 familias (CLUSIF, 2007), que
tecnologas de informacin y sistemas de informacin e implica re- se puede utilizar como gua. Por otro lado, MAGERIT, presenta algu-
conocer los activos que pueden estar expuestos a determinados nive- nas consideraciones que se deben tener en cuenta al momento de
les de riesgo. De igual manera, en esta actividad se debe tener en definir los escenarios de riesgo: identificar las causas que originan el
cuenta los criterios de seguridad que podran verse afectados. En el escenario, especificar las consecuencias directas e indirectas del he-
trabajo propuesto por Guerrero (2010), se presenta un modelo para cho que el escenario se produzca y medir la probabilidad de que ocu-
relacionar estos tres factores (activos, niveles de riesgo, criterios de rra. Las actividades propuestas para llevar a cabo la actividad A4 se
seguridad). muestran a continuacin y los mtodos planteados se presentan en
la figura5.
3.3.3. Actividad A3. Identificar y evaluar las amenazas
y vulnerabilidades de los activos crticos 3.3.4.1. Subactividad A4.1. Creacin de una base especfica
Identificar y evaluar los hechos o actividades que permitiran con- de escenarios de riesgo
cretar una violacin de seguridad y las condiciones del entorno del Muchos factores pueden originar un escenario de riesgo, y es pre-
sistema de informacin que ante determinada circunstancia podran cisamente esto lo que deriva en la probabilidad de que este se con-
dar lugar a que se produjesen dichas violaciones, que afectaran a al- crete. A partir de la referencia de la base de escenarios MEHARI, se
guno de los activos de la compaa, es uno de los aspectos ms im- identifican los escenarios especficos, teniendo en cuenta los si-
portantes en materia de GRCSI. Esta actividad est incluida en los guientes criterios planteados por MAGERIT:
modelos inmersos en OCTAVE, ISM3 (2006), SP800-30 y MAGERIT,
los cuales permitieron plantear comparaciones tendentes a detectar El tipo de consecuencia.
la integracin de las subactividades y a disear los mtodos a seguir Las causas que pueden dar lugar a la situacin de riesgo.
para identificar los activos crticos. La probabilidad de que se produzca el escenario.
Las actividades a desarrollar para la identificacin y evaluacin de
vulnerabilidades y amenazas debern ser responsabilidad inicial- La probabilidad de ocurrencia se dar de acuerdo con niveles: ni-
mente de la direccin de tecnologas de la informacin. Aunque las vel 4, muy probable; nivel3, es probable; nivel2, es poco probable;
vulnerabilidades y amenazas de los activos relacionados con los sis- nivel1, es muy poco probable, y nivel0, no se considera.
temas de informacin tienen que ver en primera instancia con la Como estrategia de organizacin de la informacin sobre los esce-
propia naturaleza del sistema de informacin, en la investigacin se narios especficos detectados, se propone un esquema que contenga
provee un esquema de relacin entre amenazas, vulnerabilidades y la descripcin del escenario de riesgo, las consecuencias directas o
activos de los sistemas de informacin. Las amenazas se catalogaron indirectas del escenario y la probabilidad de ocurrencia.
Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.

M.L. Guerrero Julio, L.C. Gmez Flrez / estud.gerenc. 28 (2012) 87-95 93

Mtodo

Creacin de una base especfica Utilizar la base de datos de escenarios genricos propuesta
de escenarios de riesgo por MEHARI
Identificar las causas y consecuencias de los escenarios de
riesgo especficos

Derivar el impacto que los


escenarios de riesgo tienen Relacionar por cada escenario de riesgo especfico los activos
sobre la organizacin impactados en la organizacin

Figura 5. Mtodos definidos para la actividad A4.


Fuente: tomado de Guerrero (2010), p.104.

3.3.4.2. Subactividad A4.2. Derivar el impacto de los escenarios nos no slo de la relacin costo-beneficio, sino tambin de los
de riesgo en la organizacin recursos que se encuentran disponibles para su implantacin.
Las consecuencias directas e indirectas de los escenarios de riesgo
permiten determinar el impacto en los activos de la organizacin. En 3.3.5.3. Subactividad A5.3. Elaborar e implementar un plan para el
este sentido, se denomina impacto a la magnitud del dao deriva- tratamiento del riesgo
do del hecho que un riesgo se materialice. Un esquema que se podra Desarrollar y establecer un plan permite llevar a cabo de manera
utilizar para organizar la informacin de esta actividad debe incluir ordenada las decisiones tomadas y planeadas para el tratamiento del
la descripcin del escenario, su impacto en los activos de la organi- riesgo. Para la correcta elaboracin de un plan de tratamiento de
zacin y el criterio de seguridad afectado (disponibilidad, integridad, riesgos, el estndar AS/NZS propone los siguientes elementos:
autenticidad y/o confidencialidad).
En cuanto a la disponibilidad, se debe responder a la pregunta: Identificar el orden de prioridad del riesgo.
qu importancia tendra que el activo no estuviese disponible cuan- Especificar las posibles opciones de tratamiento.
do se requiera? Con respecto a la autenticidad: qu importancia Seleccionar las opciones factibles.
tendra que quien accede al activo no fuese quien se cree? En el caso Describir los resultados del anlisis de costo-beneficio y determinar
de la integridad: qu importancia tendra que el activo fuese modi- si se acepta o se rechaza la propuesta de tratamiento.
ficado indebidamente? Y por ltimo, para la confidencialidad: qu Especificar la persona responsable de implementar la opcin.
importancia tendra que el activo fuese conocido por personas no Elaborar un calendario de implementacin.
autorizadas? Especificar cmo ser monitoreado el riesgo y las opciones de tra-
tamiento.
3.3.5. Actividad A5. Disear estrategias de tratamiento y proteccin
Una de las actividades ms representativas en la GRCSI es disear 3.3.6. Actividad A6. Documentacin de resultados y revisin de casos
las estrategias de tratamiento y mitigacin de los riesgos encontra- Documentar los resultados es una actividad que permitir a las
dos. Esta actividad implica seleccionar estrategias de mitigacin que organizaciones realimentar sus resultados y aprender sobre las si-
mejoren la seguridad de la empresa mediante la reduccin del ries- tuaciones de riesgo presentadas a partir de la revisin de los casos
go. Actualmente, estndares como ISO 27005 (gua para la evaluacin histricos ms representativos y sus respectivas estrategias de trata-
y los requerimientos de calidad de productos software), OCTAVE, miento. Un esquema que se podra utilizar para la documentacin de
ISM3, AS/NZS 4360:2004, SP800-30, SOMAP (2009) (handbook open casos debera incluir la descripcin del caso presentado, la frecuencia
source para la gestin de riesgos de seguridad de la informacin), de ocurrencia, el (los) mecanismo(s) de mitigacin y los resultados
MAGERIT y la SP800-39 publicada por Ross (2008) proveen informa- obtenidos.
cin sobre el propsito de esta actividad, lo cual permiti la integra-
cin de las actividades que se muestran a continuacin y el diseo de 3.3.7. Actividad A7. Monitoreo y control
los mtodos para llevarlas a cabo (fig.6). Las actividades propuestas El monitoreo y el control ayudan a evaluar si las estrategias de
para realizar la actividad A5 se describen a continuacin. mitigacin de los riesgos implantadas lograron el alcance propuesto.
Un programa continuo de monitoreo bien diseado y bien adminis-
3.3.5.1. Subactividad A5.1. Identificar las estrategias de mitigacin trado puede transformar efectivamente una evaluacin esttica de
candidatas los controles de seguridad y de los procesos de determinacin del
Con base en el levantamiento de los escenarios de riesgo realizado riesgo, en un proceso dinmico que proporciona informacin esen-
en la actividad A4.1, se procede a asociar cada escenario de riesgo con cial del estado de la seguridad, en el momento necesario para que los
los niveles definidos por Guerrero y Gmez (2010). Posteriormente administradores puedan tomar decisiones acertadas. El monitoreo y
se identifica el tipo de estrategia de mitigacin (control) ms adecua- el control proporcionan a las organizaciones herramientas eficaces
da para su tratamiento. para producir cambios en torno a los planes de seguridad, los infor-
mes de evaluacin de la seguridad y los planes de accin.
3.3.5.2. Subactividad A5.2. Seleccionar la alternativa ms adecuada en
costo y recursos disponibles 4. Conclusiones
Una vez que se ha determinado en qu nivel de riesgo se encuen-
tra el sistema de informacin, los lderes de seguridad deben selec- La propuesta desarrollada presenta una integracin de las activi-
cionar la alternativa ms conveniente para la organizacin en trmi- dades relacionadas por los estndares de GRCSI y los mtodos que se
Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.

94 M.L. Guerrero Julio, L.C. Gmez Flrez / estud.gerenc. 28 (2012) 87-95

Mtodo

Identificar las estrategias de Asociar los escenarios con los niveles de riesgo
mitigacin candidatas Identificar los controles pertinentes de acuerdo con el nivel de
riesgo

Seleccionar la alternativa ms
adecuada en trminos de costo Elaborar una matriz de relacin control - costo - recursos
y recursos disponibles

Elaborar e implementar Priorizar los riesgos


un plan para el tratamiento Especificar el (los) responsables del tratamiento del riesgo
del riesgo Generar un calendario de implementacin
Evaluar los riesgos luego del tratamiento
Evidenciar el seguimiento del riesgo

Figura 6. Mtodos definidos para la actividad A5.


Fuente: tomado de Guerrero (2010), p.108.

puede utilizar para que los involucrados en la organizacin las lleven versidad Industrial de Santander (UIS) y a la Vicerrectora de investi-
a cabo. La propuesta centra su atencin en el sentido de la GRCSI gacin y extensin, tambin de la UIS, por el apoyo recibido para la
utilizando un esquema basado en niveles de riesgo y se gua por la realizacin de esta investigacin mediante la financiacin del pro-
definicin original diseada para la transformacin organizacional. yecto de investigacin Propuesta de un modelo para la evaluacin
La GRCSI no es una tarea simple, ya que son muchos los activos de calidad de productos software utilizados como apoyo a la biome-
que se debe proteger y son muchas y diversas las amenazas a que dicina, cdigo 5545 (Len, 2009). De igual manera, al acompaa-
pueden estar expuestos. A esto se suma la naturaleza compleja del miento realizado por el proyecto EscuelaCol 2.0 en la ilustracin de
sistema organizacional en la que se circunscribe, lo cual conlleva ne- la aplicacin del modelo de GRCSI diseado (Daz y Naranjo, 2010).
cesidades de proteccin especficas. Por tal motivo, la GRCSI es una
labor que lleva tiempo, requiere esfuerzo, cuesta dinero y no es sufi- Bibliografa
ciente con realizarla una sola vez.
La complejidad de la GRCSI se debe abordar metodolgicamente, Adams, J. (2005). Risk management, its not rocket science: its more complicated.
Journal The Social Affair Unit. Risk Management Magazine-Social Affairs Unit.
de manera que se cubra la mayor parte posible de lo que se desea Disponible en: http://www.socialaffairsunit.org.uk/blog/archives/000318.php
cubrir y se logre explicar a los diferentes entes implicados lo que se Aguilera, A., & Riascos, S. (2009). Direccionamiento estratgico apoyado en las Tics.
necesita y se espera de ellos como partcipes del proceso de GRCSI. Estudios Gerenciales, 25(111), 127-146
Alberts, C. (1999). Operationally Critical Threat, Asset, and Vulnerability Evaluation SM
De esta forma, la GRCSI debe contar con el compromiso y el em- (OCTAVESM) Framework, Version 1.0. Technical Report. SEE, Carnegie Mellon.
peo de la direccin de tecnologas de la informacin, los responsa- Standards Association of Australia. (2004). AS/NZS 4360, Estndar Australiano de
bles de la gerencia y los sectores estratgicos de la organizacin y las Administracin de Riesgos (3.a ed.). Australia: Standards. Disponible en: www.
imfperu.com/facipub/download/contenido/dnl/fp_cont/902/dlfnc/file/standard__
diversas reas de tecnologas de la informacin, ya que a menudo las
adm_risk_as_nzs_4360_1999.pdf
decisiones de proteccin de la informacin se realizan ad-hoc, por la Cater-Steel, A., & Al-Hakim, L. (2009). Information systems research methods,
experiencia previa del departamento de tecnologas de la informa- epistemology, and applications. Queensland: IGI Publishing.
Checkland, P. (2000a). Soft systems methodology: a thirty year retrospective. Lancashire:
cin con las vulnerabilidades y las amenazas que actualmente se co-
Wiley.
nocen, ocasionando que se tienda a no gestionar los riesgos de ma- Checkland, P. (2000b). Systems, thinking, systems pactice. includes a 30-year retrospective.
nera sistemtica o que no los administren las personas adecuadas. Chichester: Wiley.
La propuesta para el desarrollo de la GRCSI permite proponer di- Checkland, P., & Griffin, R. (1970). Management information systems: a systems view.
Journal of Systems Engineering, 1, 29-42.
versos mtodos para la gestin de riesgos y controles en sistemas de Checkland, P., & Scholes, J. (1999a). Information, systems, and information systems.
informacin, que posteriormente podrn generar proyectos orienta- Cybernetics and Humans Knowing, 6.
dos a construir herramientas software que permitan sistematizarlos, Checkland, P., & Scholes, J. (1999b). Soft system methodology in action. London: Wiley.
Checkland P., & Poulter, J. (2006). Learning for action. a short definitive account of soft systems
de manera que su utilizacin sea ms amplia. methodology and its use for practitioners, teachers and students. Chichester: Wiley.
La investigacin presentada en este artculo abre camino al desa- Checkland P., & Holwell, S. (1998). Information, systems and information systems:
rrollo de estudios relacionados con la cultura organizacional hacia making sense of the field. Chichester: Wiley.
CLUSIF. (2007). MEHARI 2007. Guide de lanalyse des risques. Disponible en: http://
los riesgos y controles en sistemas de informacin, que permitan in- www.clusif.asso.fr
dagar sobre los procesos de cambio organizacional necesarios para Consortium ISM3. (2006). Information security management maturity model. Version
una adecuada incorporacin de la GRCSI en las organizaciones. 2.0. Madrid. Disponible en: http://www.lean.org/FuseTalk/Forum/Attachments/
ISM3_v2.00-HandBook.pdf
Daz, M., & Naranjo, M. (2010). Herramienta software open source orientada a apoyar los
Agradecimientos procesos de evaluacin y promocin en la educacin bsica primaria Escuelacol 2.0.
Proyecto de Pregrado. Universidad Industrial de Santander. Disponible en: http://
tangara.uis.edu.co/biblioweb/pags/cat/popup/pa_detalle_matbib.
Los autores expresan sus agradecimientos al grupo de investiga-
jsp?parametros=154165|%20|24|80
cin en sistemas y tecnologas de la informacin, a la Maestra en Gmez, L., & Olave, Y. (2007). Una reflexin sistmica sobre los fundamentos conceptuales
Ingeniera rea Informtica y Ciencias de la Computacin de la Uni- para sistemas de informacin. Revista Colombiana de Computacin, 8, 71-92.
Documento descargado de http://www.elsevier.es el 07/03/2017. Copia para uso personal, se prohbe la transmisin de este documento por cualquier medio o formato.

M.L. Guerrero Julio, L.C. Gmez Flrez / estud.gerenc. 28 (2012) 87-95 95

Guerrero, M. (2010). Gestin de riesgos y controles en SI. Proyecto investigacin de Paulk, M., Weber, C., Curtis, B., & Chrissis, M. (2001). The capability maturity model:
Maestra. Universidad Industrial de Santander. Disponible en: http://tangara.uis. guidelines for improving the software process. Pittsburgh: Addison-Wesley.
edu.co/biblioweb/pags/cat/popup/pa_detalle_matbib.jsp?parametros=155422|%20 Piattini, M. (2007). Anlisis y diseo de aplicaciones informticas de gestin. Bogot: Alfa
|14|58 y Omega.
Guerrero, M., & Gmez, L. (2011). Revisin de estndares relevantes y literatura de Ribagorda, A. (1997). Glosario de trminos de seguridad de las T.I. Madrid: CODA.
gestin de riesgos y controles en sistemas de informacin. Estudios Gerenciales, Ross, R. (2008). Managing risk from information systems. recommendations of the
27(121), 195-218. Disponible en: http://www.icesi.edu.co/revistas/index.php/ National Institute of Standards and Technology. NIST Special Publication 800-39,
estudios_gerenciales/article/view/1124 Gaithersburg.
ISACA, 2007. Student Book COBIT 4.1. ISACA, Estados Unidos. Silberfich, P.A. (2009). Anlisis y gestin de riesgos en TI ISO 27005 Aplicacin Prctica.
Laudon, K., & Laudon, J. (2008). Sistemas de informacin gerencial. Mxico: Prentice Quinto Congreso Argentino de Seguridad de la Informacin.
Hall. SOMAP. (2006). Open information security risk management handbook. Versin 1.0.
Len, N. (2009). Propuesta de un modelo para la evaluacin de calidad de productos Disponible en: http://www.somap.org/methodology/handbook.html
software utilizados como apoyo a la biomedicina [documento no publicado]. Stonebumer, G. (2002). Risk management guide for information technology systems.
Vicerrectora de Investigacin y Extensin, Universidad Industrial de Santander. Recommendations of the National Institute of Standards and Technology. NIST. Special
Ministerio de Administraciones Pblicas, (2006). MAGERIT 2.0. Catlogo de Elementos. Publication 800-30, Estados Unidos. Disponible en: http://csrc.nist.gov/
Madrid. Disponible en: http://administracionelectronica.gob.es/?_nfpb=true&_ publications/nistpubs/800-30/sp800-30.pdf
pageLabel=PAE_PG_CTT_General&langPae=es&iniciativa=magerit TCSEC. (1985). Trusted computer systems evaluation criteria, DoD 5200.28-STD,
Norma RFC4949. (2007). Internet security glossary version 2. Disponible en: http:// Department of Defense, United States of America. Disponible en: http://csrc.nist.gov/
www.ietf.org/rfc/rfc4949 publications/history/dod85.pdf