Hacia un modelo para la gestión de riesgos de TI en MiPyMEs: MOGRIT

Autores/as

  • Gonzalo Andrés Vanegas Devia Universidad de San Buenaventura, Cali
  • César Jesús Pardo Calvache Universidad EAFIT

DOI:

https://doi.org/10.18046/syt.v12i30.1860

Palabras clave:

Mejora de procesos, riesgos de TI, modelos, estándares, MiPyMEs,

Resumen

Actualmente, los proyectos de desarrollo de software pueden fracasar por múltiples factores. En ese sentido, tanto la gestión de proyectos –que permite establecer el camino a seguir–, como el análisis de los riesgos es cada vez más necesario. Este artículo presenta la armonización de modelos de riesgos de TI (e.g., CRAMM, COBIT, EBIOS, ITIL V3 MAGERIT, OCTAVE, RISK IT) y algunas normas enfocadas en brindar soporte a los riesgos (e.g., ISO/IEC 27000, ISO/IEC 27005, ISO/IEC 31010, AS/NZS ISO 31000, BS 7799-3:2006, y UNE 71504:2008) y realiza un análisis comparativo, de alto y bajo nivel, que permite conocer las características más comunes y representativas de cada uno de ellos. Con los resultados obtenidos, se establecen los beneficios y la manera en la que los modelos comparados y su implementación pueden ser armonizados, y de esta manera dar soporte a los procesos de gestión dentro de las actividades de desarrollo de una organización. En este sentido, el artículo provee una perspectiva más clara de las diferencias, similitudes y posibles integraciones entre modelos y estándares de riesgos de TI para MiPyMEs que desarrollan software.

Biografía del autor/a

  • Gonzalo Andrés Vanegas Devia, Universidad de San Buenaventura, Cali
    Ingeniero de Sistemas de la Universidad de San Buenaventura de Cali (Colombia),  con interés profesional en el análisis de riesgos de las tecnologías de la información y el desarrollo de software.
  • César Jesús Pardo Calvache, Universidad EAFIT

    Ph.D. Ingeniero de sistemas de la Universidad del Cauca (Colombia) e Ingeniero en Informática (homologación del Ministerio de Educación de España); Magister y Doctor en Tecnologías Informáticas Avanzadas de la Universidad de Castilla-La Mancha (España); miembro del Grupo de Investigación I+D+I en TIC y docente del departamento de Informática y Sistemas de la Universidad Eafit (Medellín). Sus áreas de interés son: mejora de procesos, calidad de proceso y producto, armonización de múltiples modelos, gestión del conocimiento, ideación e innovación, metodologías ágiles, entre otros.

Referencias

Agendum. (2007). Norma UNE 71504. Retrieved from http://www.agedum.com/NormaUNE71504/tabid/118/Default.aspx

Axwloa. (2011). ITIL, continual service improvement. Norwich, UK: TSO
British Standards [BSI] (2006). Information security management systems. Part 3: Guidelines for information security risk management [BS 7799-3:2006] London, UK: BSI

CERT [Software Engineering Institute, Carnegie Mellon University]. (2008). Octave. Retrieved from http://www.cert.org/octave/

International Organization for Standardization [ISO]., & International Electrotechnical Commission [IEC]. (2011a). ISO/IEC 27005: gestión de riesgos de seguridad de la Información. Geneve, Swizerland: ISO

International Organization for Standardization [ISO]., & International Electrotechnical Commission [IEC]. (2011b). Risk management — Risk assessment techniques [IEC/FDIS 31010]. Retrieved from http://www.previ.be/pdf/31010_FDIS.pdf

Ionita, D. Hartel, P.H., Pieters, W. & Wieringa, R.J. (2013). Current established risk assessment methodologies and tools [Technical report, TR-CTIT-14-04]. Enschede, The Netherlands: Centre for Telematics and Information Technology, University of Twente

ISACA (2013). The RISK IT Framework [online]. Retrieved from http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/The-Risk-IT-Framework.aspx

Ministerio de Hacienda y Administraciones Públicas [MHAP]. (2012). MAGERIT – versión 3.0. Metodología de análisis y gestión de riesgos de los sistemas de información. Madrid, España: MHAP

Pardo, C. (2012). A framework to support the harmonization between multiple models and standards [Tesis doctoral]. Universidad Castilla–La Mancha: Ciudad Real, España

Pardo, C., Pino, F., García, F., Baldassarre, M., & Plattini, M. (2010). From chaos to the systematic harmonization of multiple reference models: A harmonization framework applied in two case studies. Journal of Systems and Software, 86(1), 25-43

Seguridad Informática (2005). Herramienta de Evaluación de Riesgo-CRAMM, Metodologías de análisis de riesgos [en línea]. Retrieved from http://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+Riesgo-CRAMM

Stoneburner, G., Gouguen, A., & Feringa, A. (2002). SP 800-30. Risk management guide for information technology systems [technical report]. Gaithersburg, MD: National Institute of Standards & Technology

Universidad EAFIT (2007). COBIT: modelo para auditoria y control de sistemas de información. Medellín, Colombia: EAFIT

Descargas

Publicado

2014-09-30

Número

Vol. 12 Núm. 30 (2014)

Sección

Investigación científica y tecnológica

Licencia

Esta publicación está licenciada bajo los términos de la licencia CC BY 4.0 (https://creativecommons.org/licenses/by/4.0/deed.es)