covid
Buscar en
Estudios Gerenciales
Toda la web
Inicio Estudios Gerenciales Gestión de riesgos y controles en sistemas de información: del aprendizaje a l...
Información de la revista
Vol. 28. Núm. 125.
Páginas 87-95 (octubre - diciembre 2012)
Compartir
Compartir
Descargar PDF
Más opciones de artículo
Vol. 28. Núm. 125.
Páginas 87-95 (octubre - diciembre 2012)
Open Access
Gestión de riesgos y controles en sistemas de información: del aprendizaje a la transformación organizacional
Risk management and controls in information systems: from the learning to organizational transformation
Gestão de riscos e controlos em sistemas de informação: da aprendizagem à transformação organizacional
Visitas
10182
Marlene Lucila Guerrero Julioa,
Autor para correspondencia
marlene.guerrero@ucc.edu.co

Autor para correspondencia: Universidad Cooperativa de Colombia, Calle 30.a N.° 33-51 Piso 6 Oficina 605, Bucaramanga, Colombia.
, Luis Carlos Gómez Flórezb
a Decana, Facultad de Ingeniería, Universidad Cooperativa de Colombia, Bucaramanga, Colombia
b Profesor Titular, Universidad Industrial de Santander, Colombia
Este artículo ha recibido

Under a Creative Commons license
Información del artículo
Resumen
Bibliografía
Descargar PDF
Estadísticas
Resumen

La gestión de riesgos y controles en sistemas de información (GRCSI) comúnmente se ve como una función técnica encomendada a expertos en tecnologías de la información, ingenieros de software o programadores de sistemas de información. No obstante, esta labor requiere una perspectiva más amplia que aporte al aprendizaje de su sentido y a la apropiación de los procesos de cambio organizacional que ella requiere. Este artículo presenta el resultado de un proceso de investigación, abordado desde la perspectiva del pensamiento de sistemas blandos para apoyar la GRCSI en las organizaciones, mostrando el sistema de actividad humana de la dirección estratégica de tecnologías de información, la transformación organizacional necesaria y la descripción de las actividades y métodos propuestos.

Palabras clave:
Gestión de riesgos y controles
Aprendizaje
Pensamiento de sistemas blandos
Sistemas de información
Transformación organizacional
Abstract

Risk management and controls for information systems (RMCIS) is commonly seen as a technical function used by experts in information technology, software engineers, or information systems programmers. However, this task requires a much broader perspective that helps the learner have better comprehension of its meaning and the processes of organizational change that it requires. This article shows the results of a research process, approached from the perspective of soft systems thinking, to support RMCIS in organizations, showing the human activity system of the strategic management of information technology, the organizational changes necessary, and a description of the activities and methods proposed.

Keywords:
Risk management and controls
Learning
Information systems
Soft system thinking
Organizational transformation
Resumo

A gestão de riscos e controlos em sistemas de informação (GRCSI) é habitualmente vista como uma função técnica encomendada a especialistas em tecnologias da informação, engenheiros de software ou programadores de sistemas de informação. No entanto, este trabalho necessita de uma perspectiva mais larga que dê sentido à aprendizagem e à adequação dos processos à mudança organizacional que ela necessita. Este artigo apresenta o resultado de um processo de investigação, abordado da perspectiva do pensamento de sistemas moles para apoiar a GRCSI nas organizações, mostrando o sistema de actividade humana da direcção estratégica de tecnologias de informação, a transformação organizacional necessária e a descrição das actividades e métodos propostos.

Palavras-chave:
Gestão de riscos e controlos
Aprendizagem
Pensamento de sistemas moles
Sistemas de informação
Transformação organizacional
El Texto completo está disponible en PDF
Bibliografía
[Adams, 2005]
Adams, J. (2005). Risk management, it's not rocket science: it's more complicated. Journal The Social Affair Unit. Risk Management Magazine-Social Affairs Unit. Disponible en: http://www.socialaffairsunit.org.uk/blog/archives/000318.php
[Aguilera and Riascos, 2009]
A. Aguilera, S. Riascos.
Direccionamiento estratégico apoyado en las Tics.
Estudios Gerenciales, 25 (2009), pp. 127-146
[Alberts, 1999]
Alberts, C. (1999). Operationally Critical Threat, Asset, and Vulnerability Evaluation SM (OCTAVESM) Framework, Version 1.0. Technical Report. SEE, Carnegie Mellon.
[Standards, 2004]
Standards Association of Australia.
AS/NZS 4360, Estándar Australiano de Administración de Riesgos.
3.ª ed., Standards, (2004),
[Cater-Steel and Al-Hakim, 2009]
A. Cater-Steel, L. Al-Hakim.
Information systems research methods, epistemology and applications.
IGI Publishing, (2009),
[Checkland, 2000a]
P. Checkland.
Soft systems methodology: a thirty year retrospective.
Wiley, (2000),
[Checkland, 2000b]
P. Checkland.
Systems, thinking, systems pactice includes a 30-year retrospective.
Wiley, (2000),
[Checkland and Griffin, 1970]
P. Checkland, R. Griffin.
Management information systems: a systems view.
Journal of Systems Engineering, 1 (1970), pp. 29-42
[Checkland and Scholes, 1999a]
P. Checkland, J. Scholes.
Information, systems, and information systems.
Cybernetics and Humans Knowing, (1999), pp. 6
[Checkland and Scholes, 1999b]
P. Checkland, J. Scholes.
Soft system methodology in action.
Wiley, (1999),
[Checkland and Poulter, 2006]
P. Checkland, J. Poulter.
Learning for action. a short definitive account of soft systems methodology and its use for practitioners teachers and students.
Wiley, (2006),
[Checkland and Holwell, 1998]
P. Checkland, S. Holwell.
Information systems and information systems: making sense of the field.
Wiley, (1998),
[CLUS, 2007]
CLUSIF. (2007). MEHARI 2007. Guide de l’analyse des risques. Disponible en: http://www.clusif.asso.fr
[Consortium, 2006]
Consortium ISM3. (2006). Information security management maturity model. Version 2.0. Madrid. Disponible en: http://www.lean.org/FuseTalk/Forum/Attachments/ISM3_v2.00-HandBook.pdf
[Díaz, 2010]
Díaz, M., & Naranjo, M. (2010). Herramienta software open source orientada a apoyar los procesos de evaluación y promoción en la educación básica primaria Escuelacol 2.0. Proyecto de Pregrado. Universidad Industrial de Santander. Disponible en: http://tangara.uis.edu.co/biblioweb/pags/cat/popup/pa_detalle_matbib.jsp?parametros=154165/%20/24/80
[Gómez and Olave, 2007]
L. Gómez, Y. Olave.
Una reflexión sistémica sobre los fundamentos conceptuales para sistemas de información.
Revista Colombiana de Computación, 8 (2007), pp. 71-92
[Guerrero, 2010]
Guerrero, M. (2010). Gestión de riesgos y controles en SI. Proyecto investigación de Maestría. Universidad Industrial de Santander. Disponible en: http://tangara.uis.edu.co/biblioweb/pags/cat/popup/pa_detalle_matbib.jsp?parametros=155422/%20/14/58
[Guerrero and Gómez, 2011]
M. Guerrero, L. Gómez.
Revisión de estándares relevantes y literatura de gestión de riesgos y controles en sistemas de información.
Estudios Gerenciales, 27 (2011), pp. 195-218
[ISACA, 2007]
ISACA, 2007. Student Book COBIT 4.1. ISACA, Estados Unidos.
[Laudon and Laudon, 2008]
K. Laudon, J. Laudon.
Sistemas de información gerencial.
Prentice Hall, (2008),
[León, 2009]
León, N. (2009). Propuesta de un modelo para la evaluación de calidad de productos software utilizados como apoyo a la biomedicina [documento no publicado]. Vicerrectoría de Investigación y Extensión, Universidad Industrial de Santander.
[Ministerio, 2006]
Ministerio de Administraciones Públicas, (2006). MAGERIT 2.0. Catálogo de Elementos. Madrid. Disponible en: http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General⟨Pae=es∈iciativa=magerit
[Norma, 2007]
Norma RFC4949. (2007). Internet security glossary version 2. Disponible en: http://www.ietf.org/rfc/rfc4949
[Paulk et al., 2001]
M. Paulk, C. Weber, B. Curtis, M. Chrissis.
The capability maturity model: guidelines for improving the software process.
Addison-Wesley, (2001),
[Piattini, 2007]
M. Piattini.
Análisis y diseño de aplicaciones informáticas de gestión.
Alfa y Omega, (2007),
[Ribagorda, 1997]
A. Ribagorda.
Glosario de términos de seguridad de las T.I.
CODA, (1997),
[Ross, 2008]
Ross, R. (2008). Managing risk from information systems. recommendations of the National Institute of Standards and Technology. NIST Special Publication 800-39, Gaithersburg.
[Silberfich, 2009]
P.A. Silberfich.
Análisis y gestión de riesgos en TI ISO 27005 – Aplicación Práctica.
Quinto Congreso Argentino de Seguridad de la Información,
[SOM, 2006]
SOMAP. (2006). Open information security risk management handbook. Versión 1.0. Disponible en: http://www.somap.org/methodology/handbook.html
[Stonebumer, 2002]
Stonebumer, G. (2002). Risk management guide for information technology systems. Recommendations of the National Institute of Standards and Technology. NIST. Special Publication 800-30, Estados Unidos. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
[TCS, 1985]
TCSEC. (1985). Trusted computer systems evaluation criteria, DoD 5200.28-STD, Department of Defense, United States of America. Disponible en: http://csrc.nist.gov/publications/history/dod85.pdf
Copyright © 2012. Universidad ICESI
Descargar PDF
Opciones de artículo