RIESGOS TECNOLÓGICOS EN PEQUEÑAS EMPRESAS. UNA …
Transcript of RIESGOS TECNOLÓGICOS EN PEQUEÑAS EMPRESAS. UNA …
RIESGOS TECNOLÓGICOS EN PEQUEÑAS EMPRESAS. UNA REVISIÓN A
SUS INCIDENCIAS EN LA GESTIÓN ORGANIZACIONAL.
Laura Ortega Restrepo 1, Laura Valentina Medina Rubio 2
1. Fundación Universitaria Panamericana, Estudiante de Contaduría Pública,
Semillero de Investigación Colectivo Panas por el Saber Contable
2. Fundación Universitaria Panamericana, Estudiante de Contaduría Pública,
Semillero de Investigación Colectivo Panas por el Saber Contable
Tutores: Julián Andrés Londoño – Jairo Alberto Olarte
Resumen
En esta investigación se pretende realizar un aporte al proyecto diseño de un modelo de
control organizacional aplicable a pequeña empresa del sector textil en la ciudad de
Santiago de Cali investigación aprobada internamente por Unipanamericana en el año 2018
y que para el presente año, como estudiantes pertenecientes al grupo de Investigación
Estudios en Gestión Empresarial EGE, se busca profundizar en la inclusión de factores
externos como lo son la categoría de riesgos tecnológicos y su incidencia en las pequeñas
empresas, de forma especial, aquellas pertenecientes al sector textil en la ciudad de Santiago
de Cali.
Para el desarrollo de la investigación se propone realizar un estudio metodológico deductivo
y descriptivo que permita definir los elementos que componen los riesgos tecnológicos y
puedan ser incluidos como propuesta al modelo de control organizacional presentado por
Unipanamericana sede Valle, donde no se consideraron estos aspectos tecnológicos, así
mismo, se emprendió el camino hacia la búsqueda de una herramienta que proporcione una
medición confiable para la mitigación de estos riesgos y revisar modelos metodológicos que
se puedan adoptar para impedir que estos riesgos se materialicen.
Palabras claves: control organizacional, riesgo, riesgos tecnológicos, Cobit 5.
Introducción
En las MiPymes se presentan riesgos de diferentes categorías como son los Riesgos derivados
de las tecnologías de información (Riesgos TI), que son las tecnologías que una organización
emplea para el desarrollo de su actividad. Sin clasificar a que se dedique una organización
como mínimo poseen un computador e internet, muchas de ellas emplean recursos para las
TI tanto para agilizar procesos como para resguardar la información que se tiene de la
empresa, sin embargo, existen otras que no tienen presente invertir en tecnología y
probablemente no están innovando en la adopción de estas aquellas que permitan incidir en
las funciones que se asignan a los empleados donde se identifica uno de los riesgos TI por la
baja productividad que pueden tener y como consecuencia, menos competitividad ante el
mercado.
Existen controles en las organizaciones que no tienen definido como mantener la información
bajo la seguridad que se necesita, un personal calificado que vele por el buen uso de los
activos TI y actualizaciones acordes a las necesidades.
Por el avance diario y cambiante de la tecnología, cada vez más se presentan riesgos de TI y
por ello se hace necesario implementar metodologías para conservar la información de la
organización que pueden resultar muy útiles, como por ejemplo: metodología Octave,
Magerit, ISO 27005 e ISO 31000, cada una tiene un objetivo pero el más importante es la
mitigación de riesgos TI, en esta investigación se explican cada uno de los riesgos que afectan
directamente la empresa y se propone un control organizacional con base en las metodologías
estudiadas.
Planteamiento del problema
En la economía colombiana las empresas micro, pequeñas y medianas proporcionan la
capacidad para que la economía siga creciendo y mejorando día a día, según cifras del Dane
las Mipymes representan más del 90% del sector productivo nacional y generan el 35% del
PIB y el 80% del empleo de toda Colombia. Estas empresas se caracterizan por tener gran
potencial en el mercado con su continuo crecimiento y la competitividad que tienen frente a
las exigencias que se dan en la actualidad.
Frente a los datos planteados, las Mipymes aportan un porcentaje muy importante en el marco
económico del país, sin embargo, para estas empresas existen unas limitaciones que afectan
su progreso, como la ausencia un apoyo económico para la inversión en nuevas tecnologías
que permitan que cada vez más estas empresas desarrollen y generen valor en sus procesos,
para que así el servicio que oferten o el producto que comercialicen sea de calidad e
innovador ante el mercado.
Los pequeños empresarios deben analizar el entorno que los rodea para identificar los
diferentes riesgos tecnológicos a los que están expuestas las MiPymes para entrar en un
proceso de innovación y llevar a sus empresas a unos altos niveles de competitividad, creando
valor a sus partes de interés adoptando la tecnología en su actividad, sistematizando sus
procesos, asegurando su información y teniendo en cuenta los distintos cambios tecnológicos
que hay en la actualidad y seguirán teniendo repercusión en el tiempo.
Es por esto que se plantean mejoras en riesgos tecnológicos donde se complemente el diseño
de modelo de control organizacional de Unipanamericana Sede Valle en las MiPymes de la
ciudad de Santiago de Cali en el sector textil, que permita medir la identificación de posibles
riesgos en los que las pequeñas empresas pueden incidir y así mismo potencializar su
actividad con la incorporación de nuevas tecnologías, con lo expuesto en lo anterior el trabajo
de investigación cuestiona ¿Cómo incluir la categoría tecnológica en el modelo de control
organizacional diseñado por Unipanamericana Sede Valle?.
Justificación
La tecnología es una herramienta útil para las organizaciones, por sus avances diarios se hace
cada vez más indispensable para la creación de nuevos productos y la innovación en los
procesos internos de las organizaciones, no obstante, la tecnología es percibida como un
factor de riesgo importante por la falta de apoyo económico que tienen las MiPymes, no
buscan invertir en capacitaciones para sus empleados, no se tiene en cuenta en el plan de
trabajo que se desarrolla en la organización como una responsabilidad y como generadora de
una alta productividad, además no se adoptan sistemas organizacionales de calidad que son
fundamentales para ayudar en el manejo eficiente del control de la información .
Esta investigación es significativa porque da a conocer algunos de los riesgos TI que las
MiPymes presentan y como se pueden implementar metodologías en el control
organizacional que ayuden a mitigar estos riesgos, para así poder tener un buen uso de los
activos TI e identificar las amenazas a las que están expuestos por medio de un método que
esté acorde a la empresa y que logre identificar los factores que debe tener en cuenta para
que los riesgos no sean tan altos.
De acuerdo con lo explicado anteriormente, es fundamental determinar metodologías que son
convenientes para que las MiPymes tengan un control adecuado sobre los riesgos TI y que
permitan tener un manejo eficaz de los mismos.
Objetivos
Objetivo general
Estudiar la categoría riesgos tecnológicos en pequeñas empresas, considerando sus
incidencias en la gestión organizacional.
Objetivos específicos
• Describir las metodologías para la identificación los riesgos de tecnología en las
MiPymes.
• Explicar los elementos que componen la medición los riesgos tecnológicos en las
metodologías de control organizacional.
• Elaborar una matriz que identifique riesgos tecnológicos con base en propuestas
metodológicas de control que permitan disminuir los impactos en las pequeñas empresas.
Marco referencial
A continuación, se presentan algunos trabajos de investigación y artículos que orientaron al
desenlace del objetivo propuesto, además, se describen conceptos que permiten la
comprensión de las palabras clave expuestas.
Con la finalidad de profundizar en el tema de riesgos tecnológicos para pequeñas y medianas
empresas, en la revista Venezolana de Gerencia a través de la publicación titulada Gestión
Tecnológica en pymes del sector textil del municipio Maracaibo-estado Zulia- Venezuela,
para Leal, Labarca, Bracho, Vargas (2018) los riesgos en los que las Pymes de este sector
están expuestos, responden a las organizaciones se encuentran en un mercado competitivo y
en constante desarrollo tecnológico, el uso y la implementación de los recursos tecnológicos
permite obtener ventajas respecto a las mismas empresas del sector y aun así logrando
eficientemente los objetivos establecidos por la gestión organizacional.
Los Autores Leal, Labarca, Bracho, Vargas (2018) consideran basado en el aporte de Lall
(1996) tres elementos fundamentales de la gestión tecnológica: inversión tecnológica que se
refiere no solamente a planta y equipo sino también a la utilización de los recursos financieros
aplicando una tecnología integrada con la intención de controlar la calidad de los productos
mejorando el producto final, optimización de materiales, reducción de desperdicios o
desperfectos en la fabricación; para el capital humano expresan lo fundamental que es el
talento para la empresa donde las habilidades que han generado por la educación pueden
aportar a la experiencia y capacitación practica en actividades tecnológicas, por esto se debe
seleccionar el personal idóneo. En el esfuerzo tecnológico exponen el conjunto de actividades
donde se realiza un análisis e identificación de necesidades que se presenten dentro de la
organización, mejoras en los procesos, adaptaciones para el buen funcionamiento e
implementación de funciones de seguimiento y control con el fin de mitigar los posibles
riesgos en los que se puede incurrir.
Para esta investigación (la de los autores citados previamente) la metodología consistió en la
realización de una serie de encuestas a las empresas pymes del sector textil, Leal, Labarca,
Bracho, Vargas (2018), utilizaron criterios basados en los tres elementos relevantes en su
investigación como lo son la inversión tecnológica, el capital humano y el esfuerzo
tecnológico, reunieron la información estadística resaltada en tablas dinámicas que
permitieron su análisis posterior.
Con base en los resultados obtenidos por los investigadores, las pymes en el sector textil
requieren una apropiada inversión tecnológica donde tendrían incidencia en la calidad de los
productos y en los costos de producción, al propiciar un mejor acabado de las prendas, así
como optimización en el uso de los materiales, analizando el uso de la capacidad instalada,
se consideró como importante el conocimiento de las personas sobre las tecnologías de
información , con esto se explica porque estas empresas se caracterizan por tener un proceso
productivo donde la mayoría de las máquinas y equipos utilizados en la fabricación de
prendas de vestir no son automatizados, lo que requiere una mayor intervención del talento
humano.
Ramírez, y Ortiz (2011), a través del texto Gestión de riesgos tecnológicos basada en ISO
31000 e ISO 27005 y su aporte a la continuidad de negocios, exponen el uso de
metodologías agiles e integradas que permitan identificar y gestionar el riesgo tecnológico
que puede tener un impacto en la organización con el fin de prevenir la vulnerabilidad de los
sistemas de información respecto a la confidencialidad, integridad, disponibilidad,
trazabilidad y autenticidad.
En términos generales, la metodología utilizada por los autores es desarrollada por medio de
procesos donde se obtiene una perspectiva general de la organización para identificar los
riesgos de mayor grado a los que se está expuesto, se integran los sistemas de gestión de la
organización basados en la ISO 31000 la cual indica los principios para la gestión de riesgo,
el modelo PHVA (Planificar, Hacer, Verificar, Actuar) con la finalidad de establecer un
proceso de gestión que se enfoque en la mejora continua, eta metodología se realiza mediante
unas etapas establecidas para la definición, la valoración y el tratamiento de los riesgos
tecnológicos.
Los resultados de esta investigación proporcionan un plan de seguridad para contar con una
dirección que se enfoque en la búsqueda de estrategias para mitigar los diferentes riesgos
tecnológicos y aporte a la creación de planes de continuidad para tener lineamientos claros
de cómo gestionar este tipo de riesgos al momento que se presente una incidencia en este
campo.
Por otra parte, las organizaciones cada vez tienen más tecnologías implementadas para las
actividades que desempeñan, por esto los riesgos tecnológicos de la información son más
frecuentes. Para definir y dar a conocer algunos riegos tecnológicos la revista de ingeniería
con los autores Gómez, Pérez, Donoso, y Herrera (2010) en el artículo titulado Metodología
y gobierno de la gestión de riesgos de tecnologías de la información explican cómo se
pueden minimizar los riesgos y presentan ejemplos de organizaciones que han tenido
dificultades con la tecnología.
Para Gómez, Pérez, Donoso y Herrera (2010) las organizaciones son más conscientes de los
riesgos tecnológicos por los impactos negativos que han tenido, hacen planes internos dentro
de las funciones normales que constan de un análisis de riesgos y cómo pueden ser mitigados,
además aclaran que siempre habrá incertidumbre en la información por los avances y la
expansión de las tecnologías. Para procesar los riegos puede trabajarse en un tratamiento
enfocado en establecerlos y mitigarlos, aceptar el riesgo tal y como está porque no pueden
ser controlados, eliminar el riesgo quitando los procesos que los generan y por último, acudir
a un tercero como las aseguradoras. Con base a lo anterior, se tiene en cuenta que depende
de cómo la organización tenga definido su plan de riesgos así mismo puede resguardar su
información de una mejor manera. Un caso que se expone sobre el componente de tecnología
es el de la empresa “CardSystems Solutions Inc”, procesadora de tarjetas de crédito que en
el 2005 reportó que individuos accedieron a la información de las transacciones de 40
millones de tarjehabitantes Visa y Mastercard, muchos clientes se retiraron después del
sucedido.
Una metodología para el análisis de riesgos tecnológicos del artículo Metodología y
gobierno de la gestión de riesgos de tecnologías de la información, es fundamentada por
los autores en el planteamiento OCTAVE (Operationally Critical Threat, Asset and
Vulnerability Evaluation) el cual consiste en un modelo desarrollado, que tiene como
objetivo facilitar la evaluación de riesgos en una organización, plantea inicialmente la
identificación de los activos relacionados con la información como los elementos de TI que
tienen un valor representativo para la empresa (sistemas de información, software, archivos
físicos o magnéticos, personas, entre otros), OCTAVE estudia la infraestructura de la
información y cómo es utilizada día a día. Para proteger estos activos es fundamental tener
personas involucradas de diferentes niveles de la organización, desarrollado por un equipo
interdisciplinario llamado “el equipo de análisis” el cual se compone por personas de las
áreas de negocio y del área de TI. Esta composición plantea qué funcionarios son los más
indicados para definir e identificar los procesos más importantes en el día a día y cómo se
usa dicha información, las personas del área de TI saben cuáles pueden ser las debilidades de
la infraestructura de la información.
Con la anterior metodología se obtienen resultados para las empresas, puesto que permite
conocer las normas y regulaciones de las metodologías de análisis, de igual forma resalta la
importancia de tener un gobierno de TI que proporcione lineamientos claros para
contrarrestar las afectaciones que los riesgos puedan tener en la organización.
Jimeno, Ariza y Piñeres (2017) por medio del articulo Gobierno de TI en Pymes
Colombianas. ¿Mito o Realidad? Dan a conocer la importancia que tiene la implementación
de las TI en las empresas colombianas para su crecimiento, dado a que no invertir es este
ámbito puede resultar incompetente y no alcanzan a dimensionar las oportunidades que puede
generar su implementación, en este desafío se encuentran la mayoría de las empresas Pymes
en Colombia.
Los autores pretenden contribuir a la literatura sobre el gobierno corporativo y su alineación
con las TI, en el desarrollo del proyecto GobIT “modelo integrado para la adopción de
políticas de gobierno de tecnologías de la información en Pymes” y cómo influye este en las
empresas, además dar a conocer si es un mito o realidad que ayudan al aumento de la
productividad.
Para el desarrollo de esta investigación los autores se basaron en un modelo metodológico
propuesto desde la medición de las actividades científicas y tecnológicas I+D, que se
caracteriza por actividades de desarrollo experimental, que consiste en trabajos sistemáticos
que aprovechan conocimientos existentes obtenidos de la investigación y se dirige a la
producción de nuevos materiales. Analizaron varios documentos de las metodologías para
identificar semejanzas y diferencias.
Los resultados obtenidos de los documentos son de la Asociación Colombiana de las Micro,
pequeñas y medianas empresas (ACOPI) que desarrolla una encuesta cada trimestre sobre el
desempeño empresarial y en el año 2016 presento resultados donde se manifiesta que un
89,8% de empresas no usan nuevas tecnologías en su producción y aquellas que si las
implementan, que son alrededor del 95% de las nuevas compañías, usan tecnología de más
de 5 años de existencia, sin tener en cuenta que cada tecnología tiene un ciclo de vida propio
por su avance, además señalo que un 76,8% del aparato productivo de Colombia no innova.
La conclusión de acuerdo con los resultados indica que el modelo GobIT ha sido mal
estructurado porque solo se enfocan en el departamento de sistemas y deberían en las Pymes
Colombianas elaborar un modelo que agrupe mejores prácticas y permita integrar todos los
departamentos que conforman la empresa.
Gil y Gil (2017) con el artículo Seguridad informática organizacional: un modelo de
simulación basado en dinámica de sistemas, dicen que la evolución de la tecnología ha
hecho que se expanda en la mayoría de las actividades profesionales a nivel mundial. Las
redes de comunicación y los sistemas de información, por eso la seguridad de la información
se han convertido de suma importancia debido a la gran cantidad de datos, documentos,
cuentas bancarias y demás, todo lo que hoy en día se puede hacer por medio de internet.
Este artículo tiene como objetivo la protección de riesgos de los sistemas de información a
los que se encuentran expuestos. Emplearon una metodología basada en un modelo de
sistemas complejos cuya filosofía es el concepto de retroalimentación o causalidad circular
entre variables observables. Se simulo una empresa que va supliendo los ataques cada vez
que se presentan. Para el desarrollo de esta metodología los autores hacen referencia a una
empresa que no cuenta con sistemas de seguridad de la información y que tiene que suplir
las necesidades de todos los ataques que se presentan. En el modelo se establece que cuando
la empresa sufre un ataque debe solucionarlo y para esto hace una inversión con recursos de
la empresa. Esta táctica no es una solución, debido a que se pueden presentar más
vulnerabilidades porque están solo arreglando a medida que van surgiendo y no con una
planificación adecuada. Los resultados que obtuvieron es que las vulnerabilidades siguen
siendo mayores que los ataques y en sí, siguen en aumento porque se sigue invirtiendo en la
seguridad a medida que surgen los problemas y cada vez van apareciendo incidentes nuevos,
esto indica que la organización debe invertir frecuentemente.
Como conclusión, se tiene que hay organizaciones que no cuentan con un plan que guie los
esfuerzos de protección de los activos por más dinero que se invierta no alcanzan los niveles
de protección necesarios, las empresas deben aprender a limitar el gasto por seguridad,
cuestionándose si las inversiones que se están haciendo son necesarias para así, implementar
un modelo adecuado que mitigue todos los riesgos sin tantas inversiones.
Desde otra perspectiva y sobre los sistemas de control Mejía (2002) con el Articulo sistema
de control para las pequeñas y mediana empresas dice que la mayoría de las grandes
empresas tienen un control organizacional bien estructurado, pero en cambio las empresas
Pymes no tienen diseñado un control acorde a sus necesidades. Por eso el motivo de este
artículo es proponer un Sistema de Control Organizacional adecuado para las Pymes con las
guías para implantarlo. Para llevar a cabo el desarrollo de este sistema de control se basó en
un marco de referencia sobre el deber ser del control en cualquier empresa y se comparó con
el encontrado en las 33 Pymes entrevistadas y definió las necesidades Los puntos de análisis
fueron:
1. Requisitos para implementar un adecuado sistema de control: cultura de control,
apoyo de la dirección hacia el control, recursos físicos, humanos y financieros
disponibles para ejercer el control.
2. El análisis del proceso administrativo del control: cómo se realizan la planeación, la
organización, la dirección y el control del control.
3. Los componentes del sistema de control: tomando como referencia inicial el control
preventivo, ejecutivo, evaluativo y verificativo.
4. El análisis estratégico del control: análisis interno y externo del control.
Algunos de los resultados que se obtuvieron fueron: estructurar un sistema de control que
haga parte de la estrategia corporativa, sensibilizar al personal con el fin de lograr un cambio
de actitud frente al control, descentralizar el control delegando responsabilidades a todos los
niveles de la organización, definir criterios y metodologías que orienten hacia la forma de
realizar el autocontrol, Definir como un elemento básico del modelo el análisis del entorno y
sus implicaciones hacia la empresa y hacia el control, establecer mecanismos para coordinar
las funciones de control en toda la organización, diferenciar las etapas de Planeación,
ejecución y Evaluación del control y define los mecanismos para realizarlas.
En conclusión, la mayoría de la Pymes carecen de un Sistema de Control Organizacional que
les ayude a manejar los riesgos a los que se enfrentan, esto es debido a que desconocen las
ventajas de tener un sistema de control a la falta de capacitación sobre el tema. Las empresas
deben saber a dónde quieren llegar y como lo van a lograr, teniéndolo claro, van a hacer
planes y diseñar los sistemas que apoyen las labores para cumplir los objetivos.
Reconocimiento y conceptualización de los riesgos tecnológicos
Riesgo tecnológico
Algunos entes de control como la Unidad Nacional para la gestión del riesgo de desastres
(2018) enuncian que el riesgo tecnológico corresponde a los daños o pérdidas potenciales
que pueden presentarse debido a los eventos generados por el uso y acceso a la tecnología,
originados en sucesos antrópicos, naturales, socio naturales y propios de la operación. Este
riesgo se genera durante el funcionamiento de cualquier actividad y supone consecuencias
importantes para las personas, los bienes, la infraestructura, los medios de subsistencia, la
prestación de servicios o los recursos ambientales.
Para el autor Bosque Sendra (2004) el riesgo tecnológico hace referencia a la probabilidad
de sufrir daños o pérdidas económicas, ambientales y humanas como consecuencia del
funcionamiento deficiente o accidente de una tecnología aplicada en una actividad humana.
En las investigaciones sobre los riesgos, comúnmente se considera que la magnitud del riesgo
es una consecuencia de la interacción de tres factores:
1. Localización, volumen, probabilidad de ocurrencia de accidentes y características de
peligrosidad de la actividad que se considera fuente de riesgo.
2. Las dimensiones y características del área expuesta a un posible accidente.
3. El grado de la vulnerabilidad de los posibles receptores del daño.
La Gestión de Riesgos y de la Continuidad de Servicios basados en Tecnología de la
Información es de vital importancia, recogiéndose incluso en regulaciones, lo que nos obliga
a adoptar una serie de principios para la gestión del Riesgo Tecnológico:
• Gestión permanente, sistemática y continua de los riesgos.
• Existencia de planes de contingencia.
• Supervisión periódica e independiente.
• Evaluación del riesgo para todo nuevo sistema o proceso.
Clasificación de los riesgos
Según los autores Soler, Varela, Oñate y Naranjo (2018). Existen varias clasificaciones de
riesgos como: los riesgos internos o externos que están en función de cómo se analice el
impacto o la causa que genera el impacto. Generalmente se analiza en estos casos el riesgo
en función de la causa. Existe otra clasificación de los riesgos relacionado al riesgo financiero
y al riesgo puro. El riesgo financiero es aquel riesgo en la cual existe la posibilidad de ganar
o perder. En cambio, el riesgo puro posibilita no perder, pero nunca ganar.
Las empresas en sentido general están vinculas a los riesgos financieros y a los riesgos
Inherentes a su actividad (riesgos puros) que en gran medida se administran o se trasladan a
las empresas aseguradoras que asumen los riesgos bajo determinadas condiciones que se
denominan exclusiones en las pólizas de seguro.
Mecanismos de control para la gestión de los riesgos tecnológicos
Para identificar algunos mecanismos de gestión y minimización de los riesgos tecnológicos,
Ramírez y Ortiz (2011), exponen la implementación de sistemas de gestión de la
organización con base en la ISO 31000, la metodología reúne los lineamientos de la gestión
de riesgos con el esquema de organización integral, permite incluir la gestión de continuidad
de negocios como fase de apoyo para identificar posibles riesgos. Se analiza hardware,
software, recursos humanos y físicos. Para la metodología se utiliza como base el modelo
PHVA con la finalidad de establecer un proceso de gestión que se enfoque en la mejora
continua siguiendo el esquema presentado a continuación:
Planificar: Se establecen los objetivos, procesos y procedimientos para el proceso de gestión
de riesgos tecnológicos. La finalidad de la planeación es la entrega de resultados acordes con
las políticas y objetivos globales de la organización. Así mismo, se establece el plan de
comunicaciones y el análisis del contexto organizacional actual para definir el alcance de la
gestión de riesgos tecnológicos.
Hacer: Corresponde a la implementación y operación de los controles, procesos y
procedimientos (incluye la operación e implementación de las políticas definidas), lo
correspondiente a la valoración y tratamiento de los riesgos.
Verificar: Evaluar y medir el desempeño de los procesos contra la política y los objetivos de
seguridad e informar sobre los resultados.
Actuar: Establecer la política para la gestión de riesgos tecnológicos e implementar los
cambios requeridos para la mejora de los procesos. Como parte de las fases verificar y actuar,
se incluye el monitoreo y mejora continua, donde se verifican los cambios y el cumplimiento
de los indicadores que fueran establecidos desde la planificación.
Otro mecanismo de control es el Modelo de Estructuración del Proyecto de Gestión de
Riesgos según Magerit por el autor Pinzón (2009) donde propone un modelo de
estructuración que sirve como guía de trabajo para seguir paso a paso en un proyecto de
gestión de riesgos al interior de una organización.
• El proceso inicial llamado planificación es la base de constitución del proyecto. En este
primer proceso se define la oportunidad y la intención de la realización. Esta intención se
debe transmitir a la gerencia, a la cual se debe motivar, concienciar e involucrar. En este
proceso de planificación se debe establecer el dominio y sus límites. Este establecimiento
de alcance es muy importante principalmente la primera vez que se realiza, ya que su
elección implica la identificación de áreas o procesos que no se van a tener en cuenta en
este proyecto, por limitación de recursos o por tiempo. Por esta razón en esta primera
etapa se deben identificar los recursos con los que se cuenta, tanto financieros, humanos
y de tiempo. Finalmente, una vez identificados los recursos y realizada una planeación
del proyecto, se debe realizar el lanzamiento que inicia con una campaña de
sensibilización y con la recopilación inicial de datos y organización de los parámetros de
entrada que son: tipos de activos, dimensiones, criterios de valoración, plan de
entrevistas, entre otros. Con esto se cierra el primer proceso dándole inicio oficial al
proyecto.
• El segundo proceso llamado análisis de riesgos se describió en el numeral anterior. De
este proceso se extraen documentos muy importantes para todo el proyecto que son: el
modelo de valor, el mapa de riesgos, el estado de riesgos, entre otros. Estos documentos
son la base para la toma de decisiones en el siguiente proceso.
• El tercer y último proceso es la toma de decisiones e implementación de las medidas.
Luego de implementar las salvaguardas evaluadas en el análisis, y de ejecutar todos los
planes de mejora se extrae el riesgo y el impacto residual y con esto se cierra la etapa de
gestión. Una vez finalizado, es posible volver cíclico el proyecto. En algunos casos se
redefine el dominio y sus limitantes, pero la mayoría de las veces lo que cambia en una
siguiente iteración es el inventario de activos y su valoración. Estas iteraciones son
planeadas o se realizan cuando hay cambios importantes en sistemas de información o
con cambios estructurales de la organización.
Actividades en la adopción de las Tecnologías de la Información (TICS) en Pymes
El autor Buenrostro, E. (2015), llevo a cabo un estudio en las diferentes actividades que
pueden realizar las pequeñas y medianas empresas para la adopción de las TICS, expone que
para el caso de las Pymes en particular en los países en vías de desarrollo, debido a las
limitaciones de recursos financieros, técnicos y humanos se enfrentan retos relacionados con
los altos costos y la falta de conocimientos sobre TIC por parte del personal, que más allá de
las capacidades básicas de manejo de estas tecnologías, no cuenta con las habilidades para
aplicarlas y adaptarlas a ambientes productivos y de gestión específicos, que se constituye
como una barrera para una adopción más amplia dentro de los procesos internos y como
herramienta de vinculación con otros agentes de la cadena productiva.
Tabla 1. Presenta 4 etapas del manejo que le dan las pymes al desarrollo de la tecnología en
los diferentes procesos internos:
Fuente: Buenrostro con base en Cepal y OCDE, 2012; Kotelnikov, 2007
Se destaca que hay Pymes que se encuentran en la primera etapa de la adopción (no cuentan
con el equipamiento básico), pero realizan gastos destinados a contar con recursos humanos
capacitados y a software a la medida. Estos elementos reflejan la falta de una planificación
para la incorporación de las TIC, ya que no cuentan con los equipos necesarios para
desarrollar los conocimientos y habilidades adquiridas. Finalmente, se muestra que, a pesar
de las limitaciones presupuestales de las empresas, una proporción muy pequeña hace uso de
software libre, que puede convertirse en una vía para disminuir los gastos, debido a su menor
costo en relación con los programas comerciales y al software a la medida.
Como resultado se obtuvo que las MiPymes cuentan con un nivel relativamente elevado de
equipamiento básico en TIC, pero existen considerables diferencias entre los sectores
económicos, por lo que se deben reconocer las divergencias sectoriales para impulsar la
adopción de la tecnología en aquellas empresas que por su naturaleza presenten mayores
obstáculos para su incorporación en los procesos internos. Las inversiones que realizan las
empresas en TIC no se encuentran acompañadas por cambios en la organización y en
capacitación, así como en la gestión de la información y en los procesos de comunicación
intra e inter-firmas, limitando los efectos sobre la competitividad y el crecimiento de las
empresas, por lo que hay una subutilización de las herramientas que disponen.
Riesgos tecnológicos y su impacto en las PYMES de Santiago de Cali – Colombia
El autor Camacho (2008) plantea que las empresas caleñas son el motor del crecimiento de
la economía vallecaucana, debido a esto mantener niveles de competitividad empresarial,
garantizar la diversificación del comercio de sus productos, mejorar sus infraestructuras
básicas, exige que los empresarios innoven permanentemente sus procesos administrativos y
de fabricación. Los empresarios caleños tienen que superar las barreras sicológicas que
tradicionalmente han creado sobre el desarrollo tecnológico donde ven la adquisición de
tecnología más como un gasto que como una inversión.
En esta investigación hace referencia al concepto de Innovación tecnológica que se clasifica
en: Radicales, que se refieren a aplicaciones fundamentalmente nuevas de una tecnología, o
combinación original de tecnologías conocidas que dan lugar a productos o procesos
completamente nuevos; Incrementales que son aquellas que se refieren a mejoras que se
realizan dentro de la estructura existente y que no modifican sustancialmente la capacidad
competitiva de la empresa a largo plazo.
Indica que la competitividad va de la mano con la innovación en la tecnología: se requiere
que los pequeños empresarios cambien su mentalidad de toderos y fortalezcan sus equipos
de trabajo con jóvenes profesionales de la ingeniería, dotados de los conocimientos y
habilidades necesarios para entender lo que significa para una empresa el estar actualizada
tecnológicamente, innovar continuamente, estudiar la tecnología de fabricación y de los
procesos que se siguen y finalmente entender dentro de una empresa la fuerte interrelación
existente del campo técnico con el de mercadeo y administrativo. Las prácticas tecnológicas
varían entre las empresas y está demostrado que estas diferencias pueden convertirse
fácilmente en ventajas competitivas.
Lo importante es que los empresarios cuenten con una estrategia tecnológica integrada a sus
planes generales y que les sirva de soporte. Infortunadamente es muy común entre los
pequeños empresarios caleños centrar su atención en la planeación de las ventas anuales,
olvidando el cambio tecnológico que les garantice calidad y competitividad, por eso los
fracasos. Los empresarios tienen que utilizar estratégicamente la tecnología para mantenerse
competitivamente en el mercado.
Camacho (2008) hace referencia a las posibles mejoras de las habilidades tecnológicas que
pueden tener los empresarios caleños para incrementar la productividad de sus empresas
desde tres puntos:
1. Desarrollar una visión donde se tome el liderazgo necesario para definir el nivel de
desarrollo tecnológico quieren lograr las pequeñas empresas caleñas en cinco años.
2. El gobierno apoye a las pequeñas empresas para que de la mano con la tecnología tengan
grandes ventajas competitivas en el mercado.
3. Preparación del talento humano
Riesgos en la seguridad de la información en una PYME de Santiago de Cali
En el trabajo de investigación de Medina (2018) se explican los diferentes problemas que se
presentan en el manejo adecuado de los sistemas de información, por ello el objetivo de este
trabajo es desarrollar una herramienta que permita cumplir con lo establecido en políticas de
Seguridad, para pequeñas y medianas empresas de la ciudad de Cali.
Da a conocer distintas acciones para realizar una prevención de riesgos a los sistemas e
información de las empresas pequeñas y medianas:
• Identificación de riesgos
Clasificar el inventario de los activos que se involucran en el manejo de la información,
en niveles de riesgo donde se especifiquen las amanezcas a las que se encuentran
expuestos, así mismo a evaluación de impactos en caso de violación de la seguridad
informática de la empresa.
• Determinación de vulnerabilidades:
Lista de las vulnerabilidades identificadas, estimando sus niveles de riesgo frente al nivel
aceptable, establecido previamente con la dirección de la organización.
• Revisión de las políticas de seguridad y privacidad:
Si la organización tiene documentadas sus políticas, remítase especialmente a aquellas
relacionadas con seguridad y privacidad de la información. Aunque en muchas
organizaciones pequeñas y medianas este tipo de documentación no es muy frecuente, si
es posible que existan políticas generales.
El autor Medina (2018) explica que teniendo en cuenta la necesidad de la participación de
diversas personas al interior de la empresa en las diferentes áreas funcionales, se requiere
generar un proceso de sensibilización frente a la importancia del control y prevención de
riesgos informáticos, teniendo como base los siguientes objetivos:
• Identificar claramente los posibles efectos que para la empresa conllevaría una violación de
seguridad de la información en sus diferentes niveles.
• Conocer la importancia de su papel en la cadena de aseguramiento de la información.
• Entender la importancia de sus aportes en todos los pasos de la implementación y
funcionamiento de la metodología.
Finalmente, se debe hacer partícipe a toda la organización respecto a los procesos adecuados
para preservar la información, lineamiento que más allá de la norma debe trascender a la
sensibilización sobre las consecuencias que puede acarrear una falla en esta área y el efecto
que podría en un momento dado tener sobre todos los integrantes de la organización; no se
requieren funcionarios entrenados, se necesitan colaboradores responsables y
comprometidos.
Modelos de control organizacional que midan la presencia o el impacto de los riesgos
tecnológicos en pequeñas empresas.
Model Control Objectives For Information and Related Technology (COBIT 5)
Castañeda (2017) explica que este modelo se aplica a los sistemas de información de toda la
empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de
que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente
agrupados para proveer la información pertinente y confiable que requiere una organización
para lograr sus objetivos.
En la época de la sociedad de la información y la comunicación, el manejo de las tecnologías
de la información (TI) se ha convertido en un aspecto sensible para las organizaciones. La
informática y las telecomunicaciones han permitido que se intercambie información en
tiempo real sin limitantes. Su manejo cobra importancia frente al incremento de la
dependencia de datos y los sistemas que permiten su flujo, así como la vulnerabilidad frente
ataques cibernéticos y hackers, los costos de inversión en equipos y sistemas, y la capacidad
que tienen las TI para transformar una organización. Fue dirigido a las TI, partiendo del
principio de que éstas deben generar información que permita alcanzar los objetivos, que el
modelo fomenta el enfoque y la propiedad de los procesos, fue el resultado de una
investigación realizada por la Information Systems Audit and Control Association (Isaca).
La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios
de información, como por ejemplo la seguridad y calidad, se auditan los recursos que
comprenden la tecnología de información, como por ejemplo el recurso humano,
instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos
involucrados en la organización. El COBIT es un modelo de evaluación y monitoreo que
enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT
desde una perspectiva de negocios.
El modelo COBIT definido como un marco de referencia en el manejo y control de las TI,
clasifica en cuatro dominios los procesos que se presentan en estas que son:
• Planificación y organización
• Adquisición e implantación
• Soporte y servicio
• Monitoreo
Principios
COBIT 5 se basa en cinco principios claves para el gobierno y la gestión de riesgos
empresariales:
Figura 1. Principios COBIT 5
Fuente: elaboración propia (2020) basado en la revisión de literatura.
La adecuada implementación de un modelo COBIT en una organización provee una
herramienta automatizada para evaluar de manera ágil y consistente el cumplimiento de los
objetivos de control y controles detallados, que aseguran que los procesos y recursos de
información y tecnología contribuyen al logro de los objetivos del negocio en un mercado
cada vez más exigente, complejo y diversificado.
MAGERIT: metodología de análisis y gestión de riesgos de los sistemas de información
Es una metodología que se tiene como referente en organizaciones de España, el fin de este
método busca crear una conciencia de riesgos en TI y la manera de tratarlos en su uso diario
en las mismas, esta metodología ayuda a la identificación de los riesgos que se puedan
presentar aplicando medidas oportunas para controlarlos, cuenta con tres volúmenes
complementarios que se definen de la siguiente manera:
Método: Guía para analizar la gestión de los riesgos y la estructura que debe tener en la
implementación en tres lineamientos: métodos cualitativos, cuantitativos y semi cuantitativos
que actúan evaluando los riesgos mediante un análisis previo.
Catálogo de elementos: En este volumen se enfoca en analizar los riesgos utilizando
elementos presentes en las organizaciones como los tipos de activos y valoración de los
activos.
Guía de técnicas: Permite encontrar guías para la realización de análisis y gestión de los
riesgos con técnicas graficas como también modelos cualitativos y cuantitativos que se
enfocan en valorizar los riesgos plasmándolos de forma detallada.
Este método ofrece sistematizadamente opciones para identificar y analizar los riesgos que
pueden causar algún tipo de daño dentro de la empresa, como es la violación de la seguridad,
en base a los daños que podrían causar los riesgos MAGERIT implementa medidas de control
que permitan tener lo riesgos mitigados. Esta metodología fue creada por el Consejo Superior
de Administración Electrónica de España, para darse cuenta de que la sociedad necesita de
las TI para poder cumplir con sus objetivos.
ISO 27005: Gestión de la seguridad de la información
La norma ISO 27005 se encarga de la gestión de los riesgos de la seguridad de la información,
se basa principalmente en aplicar directrices a todo tipo de organizaciones, expone que el
aumento del uso de las tecnologías ha posibilitado fisuras en la seguridad, por esto es
necesario tener una gestión de información desde la perspectiva tecnológica con tres niveles:
• Nivel físico: Aseguramiento y control sobre la infraestructura
• Nivel Lógico: Sistemas de información
• Factor humano: Desde la perspectiva tecnológica.
Para la implementación de esta normatividad se establece una ruta de cuatro pasos:
1. Establecimiento de plan de comunicación interno y externo
Este plan se realiza a nivel interno (en las diferentes áreas de la empresa, los directivos, los
empleados, socios) y externo (clientes, proveedores, entes de control) donde se conoce sobre
la existencia del riesgo, os objetivos de la gestión, presentar el informe de los avances en el
proceso y realizar la utilización de todos los medios para comunicar el debido proceso de
gestión que va a realizar dependiendo de las necesidades de la organización
2. Definición del contexto organizacional
En esta etapa se requiere conocer la organización y así mismo identificar qué factores pueden
afectarla a nivel interno y externo, los elementos necesarios para proteger los recursos con
los que cuenta y como podría darse esta protección para establecer un riesgo aceptable.
3. Valoración de riesgos tecnológicos
Se identifican los activos que se protegerán y las amenazas a las cuales se encuentran
expuestos, se dan recomendaciones de los controles para la mitigación de estos riesgos.
4. Tratamiento de riesgos tecnológicos
Se establece las acciones a llevar a cabo para logar la mitigación de los riesgos encontrados
en las etapas anteriores y así tomar acciones para implementar un control para reducir,
aceptar, eliminar y transferir esos riesgos.
ISO 31000 Gestión del riesgo
Según exponen Lizarzaburu, E., Barriga, G., Noriega, L., López, L y Mejía, P., (2017). En la
guía ISO 31000 del año 2009 se precisa el riesgo como el efecto de la incertidumbre en la
consecución de los objetivos, esta es utilizable en todo tipo de riesgos ya sea financiero, de
instalaciones, de operaciones, sistémico entre otros. La ISO 31000 está basado en el
cumplimento de objetivos propuestos por los tomadores de decisión. El procedimiento de
administración de riesgos, contenido en las reglas ISO 31000, sigue el conjunto usado por la
norma australiana y neozelandesa AS / NZS 4360, que consiste en:
• Comunicación y consulta
• Introducir el contexto
• Tasación de riesgos consistente en los tres pasos de identificación, análisis y
aprobación.
• Tratamiento del riesgo
• Seguimiento y revisión
Objetivos
Los objetivos de la norma para ayudar a toda organización que la implemente son:
• Ayuda en la gestión ante acontecimientos de riesgos que se analizan.
• Proporcione una configuración para controlar riesgos, en particular para los que no
hayan sido reconocidos.
• Crear una compañía más adaptable, que permita adaptarse a riesgos futuros de manera
oportuna y logre una conveniente comunicación.
Se menciona que la ISO 31000 permite a la toda corporación que la implemente:
• Incrementar la posibilidad de alcanzar los objetivos.
• Dar una fuente confiable para decidir y la planificar.
• Optimizar tanto el aprendizaje como la flexibilidad organizacional.
• Fomentar e incentivar una gestión proactiva.
• Cumplir las exigencias legales y normativas pertinentes y con las reglas
internacionales.
• Perfeccionar la presentación de informes obligatorios y voluntarios.
• Mejorar la eficacia y la eficiencia operativa.
• Mejorar el gobierno.
• Optimizar los procesos de control.
• Mejorar la eficacia y la eficiencia operativa.
• Reformar la gestión de incidencias.
• Reducir el impacto de las pérdidas.
La ISO 31000 está estructurada en tres elementos claves para una gestión de riesgos efectiva,
transparente, sistemática y creíble. Dichos elementos son:
• Nociones de la gestión de riesgos.
• Marco de labores para la administración de riesgos.
• Proceso de administración de riesgos.
Figura. Proceso de la gestión de riesgo ISO 31000.
Fuente: Castro (2010)
En esta ilustración se da a conocer de manera simple el proceso de gestión de riesgo que
propone la ISO 31000 donde se evidencian los pasos para llegar a mitigar estos riesgos en
las operaciones de la empresa con unas definiciones claras de los elementos que son
necesarios al momento de realizar una gestión eficiente de los riesgos.
Metodología OCTAVE
Según Gómez, Pérez, Donoso y Herrera (2010). La metodología OCTAVE se centra en el
estudio de riesgos organizacionales y se focaliza principalmente en los aspectos relacionados
con el día a día de las empresas. OCTAVE estudia la infraestructura de información y, más
importante aún, la manera como dicha infraestructura se usa en el día a día. En OCTAVE se
considera que, con el fin de que una organización pueda cumplir su misión, los empleados a
todo nivel necesitan entender qué activos relacionados con la información son importantes y
cómo deben protegerlos; para ello, es fundamental que en la evaluación estén directamente
involucradas personas de diferente nivel de la organización.
Esta metodología se desarrolla en tres fases:
Fase 1. Construir perfiles de amenazas basados en los activos
Esta fase se desarrolla en cuatro etapas. Las tres primeras son talleres realizados a diferentes
niveles de la organización: directivo, gerencial, operativo y de TI. En estos talleres se
realizan actividades para identificar los activos relacionados con la información, las
amenazas que tienen, así como el impacto que tienen estas amenazas en la organización.
Para la cuarta etapa se verifica la información de las primeras tres etapas para analizar
aspectos como la completitud, coherencia y diferencias de apreciación en las diferentes áreas
de la empresa. Como resultados de esta fase se tienen:
• Activos críticos: la identificación de los activos que tienen relación con información
de mucha criticidad que tenga una importancia en la operación y la subsistencia de la
organización.
• Requerimientos de seguridad para activos críticos: Se identifican aspectos relativos
para proteger los activos críticos de la empresa.
• Perfiles de amenazas: Se muestran las distintas amenazas que presentan sobre cada
activo crítico, identifica el actor que genera la amenaza, el motivo y objeto que tenía
el actor y la manera como podía acceder al activo.
• Prácticas de seguridad: se incluyen catálogos de prácticas se seguridad y
vulnerabilidad.
Fase 2. Identificar Vulnerabilidades en la infraestructura
Se evalúan componentes para identificar las vulnerabilidades que pueden afectar los activos
críticos. Se identifican los componentes más importantes que están directamente
relacionados con cada activo critico como servidores, Routers, sistemas de backup y
almacenamiento de información, para revisar cuales son las vías de acceso al activo crítico.
Fase 3. Desarrollo estrategias y planes de seguridad
En esta última etapa se analizan las acciones a tomar conociendo los activos críticos de la
organización, se crea una estrategia se protección y planes de mitigación como:
• Identificación y evaluación de riesgos: con la información de las anteriores fases se
evalúa el impacto de los riesgos en una escala (alto, medio, bajo) teniendo en cuenta
los criterios de las primeras fases, son criterios como las pérdidas económicas,
afectación de imagen, entre otros.
• Estrategia de protección y planes de mitigación del riesgo: Se desarrollan planes de
mejora y el paso a paso para proteger los activos críticos.
Metodología
Este trabajo de investigación se adelanta bajo las premisas de la investigación de tipo
documental, su método es deductivo, el alcance descriptivo y se sistematizó la información
a través del diseño de reseñas bibliográficas y análisis a través de una matriz. Las fuentes de
información consultadas en su totalidad fueron fuentes secundarias, por ejemplo, artículos en
revistas académicas, trabajos de grado y otro tipo de documento que académicamente fuese
considerado confiable y apropiado para abordar el objeto de estudio.
En esta etapa de la investigación aún no se cuenta con un instrumento debidamente validado,
no obstante, si se ha iniciado por parte de los autores principales el proceso de
operacionalización de categorías y se espera en el corto plazo contar con un complemento a
la versión inicial de la herramienta diagnostico para realizar mediciones con respecto a
riesgos tecnológicos en pequeñas empresas.
Resultados esperados
Para la investigación se espera realizar un aporte importante en el diseño de modelo de
control organizacional que permita incluir todos los aspectos relevantes que representan los
riesgos tecnológicos en pequeñas empresas, de manera que estos puedan ser mitigados de la
mejor manera buscando fortalecer el diseño con las metodologías estudiadas para adaptar lo
mejor posible las características de estos modelos como apoyo fundamental en el desarrollo
de este proyecto.
Con base en estas metodologías se permitió obtener información acorde a los cambios
tecnológicos que pueden afectar directamente la operación y de igual forma la reputación de
las pequeñas empresas si no se tiene un control establecido para estos riesgos, las MiPymes
son gran fuente de ingresos para el país y por ende la adaptación de tecnologías y la gestión
de los riesgos que traen estas TI son un factor clave en la implementación de un sistema de
control de alta calidad.
Por último, para observar de una forma integral y a través de un análisis fundamentado en
una matriz, se les remita el anexo 1 para ampliar este último aporte (Ver anexo adjunto).
Referencias
Alvarado, J., Zabala, J., Guzmán, P., Martillo, I. (2018). El análisis y gestión de riesgos en
gobiernos de ti desde el enfoque de la metodología MAGERIT. Revista
Contribuciones a las Ciencias Sociales. Recuperado de
https://www.eumed.net/rev/cccss/2018/11/gestion-riesgos-
magerit.html//hdl.handle.net/20.500.11763/cccss1811gestion-riesgos-magerit
Bosque, J., Díaz, C., Díaz, M. A., Gómez, M., González, D., Rodríguez, V., Salado, M.
(2004). Propuesta metodológica para caracterizar las áreas expuestas a riesgos
tecnológicos mediante SIG. GeoFocus, (4) ,44-78. Recuperado de
http://geofocus.rediris.es/docPDF/Articulo3_2004.pdf
Buenrostro, E. (2015). Uso y apropiación de las tecnologías de la información y
comunicación (TIC) en las Pymes de Aguascalientes. Entreciencias: Diálogos en la
Sociedad del Conocimiento, 3,(6),27-40. Recuperado de
https://www.redalyc.org/articulo.oa?id=4576/457644944003
Camacho, Á. (2008). Impacto de la gestión tecnológica en la competitividad de las pymes
caleñas. Entramado, 4,(1),8-16. Recuperado de
https://www.redalyc.org/articulo.oa?id=2654/265420384002
Castañeda, J. (2017). Gestión, Administración de riesgos y modelos de control interno.
Revista Areandina. Recuperado de
https://digitk.areandina.edu.co/bitstream/handle/areandina/2132/RP_eje2.pdf?seque
nce=1&isAllowed=y
Gil, V., Gil, J. (2017) Seguridad informática organizacional: un modelo de simulación basado
en dinámica de sistemas. Scientia Et Technica, 22 (2), 193-197. Recuperado de
https://www.redalyc.org/pdf/849/84953103011.pdf
Gómez, R., Pérez, D., Donoso, Y. y Herrera, A. (2010). Metodología y gobierno de la gestión
de riesgos de tecnologías de la información. Revista de Ingeniería, (31), 109-118.
Recuperado de http://www.scielo.org.co/pdf/ring/n31/n31a12.pdf
Jimeno, K., Ariza, P. y Piñeres, M. (2017). Gobierno de TI en Pymes Colombianas. ¿Mito o
Realidad? Revista espacios, 38 (54). Recuperado de
http://repositorio.cuc.edu.co/bitstream/handle/11323/1996/Gobierno%20de%20TI%
20en%20Pymes%20Colombianas.%20%c2%bfMito%20o.pdf?sequence=1&isAllo
wed=y
Leal, M., Labarca, N., Bracho, O. y Vargas, V. (2018). Gestión Tecnológica en pymes del
sector textil del municipio Maracaibo-estado Zulia- Venezuela. Revista Venezolana
de Gerencia, 23, (82). Recuperado de
https://www.redalyc.org/jatsRepo/290/29056115005/29056115005.pdf
Lizarzaburu, E., Barriga, G., Noriega, L., López, L y Mejía, P., (2017). Gestión de riesgos
empresariales: Marco de revisión ISO 31000. Revista espacios, 38, (59),8.
Recuperado de
http://repositorio.ucv.edu.pe/bitstream/handle/UCV/37274/AC_Lizarzaburu_ER-
Barriga_AG-Noriega_FLE-Lopez_L-
Mej%c3%ada_PY.pdf?sequence=1&isAllowed=y
Medina, B. (2001). Metodología para la prevención de riesgos informáticos en una Pyme de
la ciudad de Cali. Revista de Ingeniería, innovación y desarrollo,1, (1). Recuperado
de https://revistas.unilibre.edu.co/index.php/riid/article/view/5277
Mejía, R. (2002) sistema de control para las pequeñas y mediana empresas. Universidad
EAFIT. Recuperado de http://publicaciones.eafit.edu.co/index.php/revista-
universidad-eafit/article/view/958/863
Pinzón, G. (2009). Acercamiento a la gestión de riesgos de TI con magerit y las 4A (tesis de
pregrado) Universidad de los Andes, Bogotá, Colombia. Recuperado de
https://repositorio.uniandes.edu.co/bitstream/handle/1992/14315/u402294.pdf?sequ
ence=1&isAllowed=y
Ramírez, A., Ortiz, Z. (2011). Gestión de riesgos tecnológicos basada en ISO 31000 e ISO
27005 y su aporte a la continuidad de negocios. Ingeniería, 16, (2), 56-66.
Recuperado de https://dialnet.unirioja.es/servlet/articulo?codigo=4797252
Soler, R., Varela, P., Oñate, A., Naranjo, E. (2018). La gestión de riesgo: el ausente recurrente
de la administración de empresas. Revista ciencia UNEMI,11, (26),51-62.
Recuperado de
https://pdfs.semanticscholar.org/4c43/9d933811a1d5f6509011b40e40584a7ce3ce.p
df