Professional Documents
Culture Documents
Resumen Summary
Este trabajo muestra los resultados de una investi- This work shows the results of an investigation
gación en Cali (Colombia), que tuvo como propósito in Cali (Colombia), which was aimed to empirically
determinar empíricamente cómo la participación determine the user participation, technological fac-
del usuario, los factores tecnológicos y la gestión tors and organizational management that contrib-
organizacional contribuyen al diseño y desempeño ute to the design and performance of controls in
de los controles al sistema de información (SI) de la the information system (IS) of small and medium
pequeña y mediana empresa (pyme). Para ello, se enterprises (SMEs). To do this, 107 surveys were car-
realizaron 107 encuestas sobre las prácticas de pla- ried out to determine the (IS) practices and planning,
neación del SI, la dirección organizacional, el uso de organizational management, the use of technologi-
herramientas tecnológicas, el diseño y desarrollo de cal tools, design and development of controls used
los controles que se usan para prevenir y detectar el to prevent and detect IT risks. In order to statistically
riesgo informático. Con el fin de contrastar estadís- compare the proposed hypotheses, estimates are
ticamente las hipótesis planteadas, las estimaciones made from multivariate linear regression by ordinary
se realizan a partir de regresiones lineales multiva- least squares (OLS). The results allow us to infer that
riantes por mínimos cuadrados ordinarios (MCO). by having an increased user and administrative sup-
Los resultados obtenidos permiten inferir que a un port, management and technological tools support,
mayor apoyo del usuario y de la administración, en these controls are able to improve and help minimize
la gestión y el soporte de herramientas tecnológi- IT risks in the company. This work promotes studies
cas, se logran mejorar los controles y se contribuye on managing IT risks, administrative and technologi-
a minimizar el riesgo informático en la empresa. Este cal tools used in SMEs with the intention of improv-
trabajo favorece los estudios sobre la administración ing the internal control system and its performance
del riesgo informático, las herramientas administra- effect, lower operational costs and (IS) performance
tivas y tecnológicas usadas en la pyme con la inten- in the organization.
ción de mejorar el sistema de control interno y su
efecto respecto del desempeño, la disminución de
los costos operacionales y el rendimiento del SI en
la organización.
por la participación del usuario final y por aplicaciones tecnológicas que no cuentan
los procesos y la gestión administrativa de con una gestión adecuada de seguridad
la empresa? Para responder a la pregunta de (Ramírez, 2012). Por esta razón, la gestión
investigación, se ha desarrollado un estudio de seguridad de la información se convierte
empírico, recogida de datos con una encuesta en una tarea importante y primordial para
a 107 directivos y usuarios de las pymes, las empresas (Nazareth y Choi, 2015; Sin-
con la proposición de cuatro hipótesis que dhuja, 2014). Labor que debe ser comple-
serán testadas mediante regresiones linea- mentada con modelos de control y estrategia
les, que permiten estadísticamente inferir tecnológicas de TI (Gheorghe, 2010). Por
algunos aspectos relacionados con este tipo consiguiente, la pyme debe garantizar una
de organizaciones. Esta investigación con- estrategia de control, siguiendo técnicas de
tribuye a la literatura sobre la seguridad de modelos que tengan las mejores prácticas
la información, al comprobar la importan- de estándares, como COSO, COBIT,
cia de la participación del usuario final y de ITIL, ISO 27001, 27002 e ISO 38500, entre
la dirección organizacional en el diseño de otros. Un estándar contribuye a advertir las
sistemas de control, a fin de minimizar los amenazas y los riesgos de la empresa en el
riesgos informáticos de la pyme colombiana. SI y a promover una cultura de control y
La estructura del trabajo se divide en cua- de seguridad en la información (Markelj
tro partes: la primera comprende el marco y Bernik, 2012).
teórico con una revisión de la literatura sobre La seguridad de la información no es
la seguridad de la información, la partici- solo cuestión de tener nombres de usuarios
pación del usuario del Sí, la influencia de y contraseñas (Von Solms y Von Solms,
la gestión administrativa, su efecto en el 2004), sino que requiere de reglamentos y
desempeño del control y el planteamiento diversas políticas de privacidad y protec-
de las hipótesis; la segunda corresponde a ción de los datos (Susanto, Almunawar y
la descripción de la metodología utilizada, Tuan, 2011). Además, debe apoyarse en los
donde se describe la muestra y se justifican factores o las herramientas tecnológicas
las variables; la tercera se ha destinado al para documentar las evidencias o rastros
análisis de los resultados; y la última con- de auditoría que dejan los delitos financie-
tiene las principales conclusiones obtenidas, ros e informáticos (Arellano y Castañeda,
que describen las limitaciones y las futuras 2012), los cuales utilizan altos volúme-
líneas de investigación. nes de datos e información para evitar ser
detectados (Kahan, 2006).
En un estudio empírico, Spears y Barki
Marco teórico y (2010) establecieron que el desempeño del
control está asociado con la administra-
estudios empíricos ción del riesgo del SI, el área financiera y
la seguridad de la información. Por tanto,
La seguridad de la información se debe estudiar un enfoque basado en el
y los factores tecnológicos riesgo, dado que permite evaluar su efecto
en el negocio (Borek, Parlikad, Woodall y
como mecanismos de control Tomasella, 2014). Entretanto, la seguridad
El riesgo tecnológico tiene su origen en el de la información en TI permite gestionar
continuo incremento de herramientas y con eficacia los activos de información y
puede minimizar los riesgos que atenten informática (Crossler et al., 2013; Finne,
contra el SI de la empresa (Broderick, 2006). 2000). Ellos inciden en la ocurrencia de
Considerando la base teórica y los estu- errores y en el fraude electrónico (Kraemer
dios empíricos previos presentados, se plan- y Carayon, 2007). Por eso, la educación y
tea la siguiente hipótesis de investigación: formación del usuario debe ser una priori-
dad para la empresa a definir mecanismos
H1: Las herramientas tecnológicas influ- de seguridad y políticas para salvaguardar
yen positivamente en el desempeño del la información (Chi y Wanner, 2011; Mar-
control informático de la pyme. kelj y Bernik, 2012). En una investigación
sobre seguridad informática en las pymes
de Singapur, Ban y Heng (1995) identifican
algunos problemas que están relacionados
El usuario final y el diseño con la sofisticación de la computadora, falta
de controles en el sistema de recursos, técnicos especialistas y altos
costos del hardware y software de oficina.
de información. Dificultades que unidas a la tecnología uti-
El usuario contribuye al control a través del lizada pueden influir en las expectativas de
conjunto de actividades y tareas que desa- los usuarios finales (Shaw, Lee-Partidge y
rrolla en el SI, además de participar en la Ang, 2003) y crear factores de riesgo en la
evaluación del riesgo informático (Barki ejecución de los proyectos de TI (Boehm
y Hartwick, 1994). Esa participación del y Turner, 2005; Boehm, 1991).
usuario se convirtió en un factor impor- Por lo anterior, considerando la base teó-
tante en los proyectos tecnológicos de Sí rica y los estudios empíricos previos, se plan-
(Spears y Barki, 2010). Asimismo, la pyme tea la siguiente hipótesis de investigación:
debe procurar fortalecer en el usuario una
cultura de control que introduzca valores, H2: La participación del usuario en
como la confianza y la honradez (Spears, el diseño y desarrollo de controles del SI
2007), dado que desde la óptica de Chen, influye positivamente en el desempeño del
Dawn y Shaw (2008), el usuario puede ser control informático de la pyme.
el primer nivel de protección para salva-
guardar la información.
Los gerentes y usuarios del SI orien-
tarán el sistema de seguridad de la infor-
La gestión organizativa
mación con mecanismos de control a la del SI y su efecto en el
medida de la empresa (Barki y Hartwick,
2001). Igualmente, deberán establecer un
desempeño del control
enfoque estructurado para la gestión de Gestionar la seguridad de la información
riesgos, basado en actividades integrales, requiere establecer políticas, medidas de
con el fin de analizar los riesgos desde el control y de monitoreo al SI (Chang, 2013).
nivel estratégico hasta el nivel táctico de Procesos que se deben articular a la gestión
la organización (Ross, 2008). organizacional mediante actividades de
Los estudios empíricos han estable- planificación y dirección organizacional de
cido que los usuarios del SI son el eslabón la empresa (Barki y Hartwick, 1989). Las
más débil dentro del sistema de seguridad directivas de la empresa deberán centrar un
Gestión Seguridad SI
Participacion del
usuario
Variables
H1 de control
Factores
tecnológicos
H2 Tamaño
Desempeño del
Gestión organizativa Control en el SI
H3 Edad
Planificación del SI
H4
Dirección
organizacional
Desviación
Variable Indicador Cuestionario Media Min. Máx.
estándar
Considera que la dirección
de la empresa apoya la
Apoyo a la gestión
gestión en TIC con el fin de 30.95 0.829 1 5
tecnológica
generar eficiencia y eficacia
en el SI
Cree que el apoyo
administrativo TI
Apoyo y control a los
contribuye al control de los 4.45 0.717 1 5
procesos del SI
procesos de los proyectos
Dirección tecnológicos
organizacional
La dirección lidera
acciones para apoyar los
Apoyo a la estrategias SI 4.17 0.830 1 5
planes y objetivos del giro
tecnológico de la empresa
La dirección organizacional
presta atención y apoyo a
Atención a compactibilidad
las actividades (tareas) de 4.21 0.774 1 5
de tareas
los usuarios durante el ciclo
del nuevo SI
El usuario en general se
Control y procedimientos de encuentra satisfecho con
4.21 0.774 1 5
acceso al SI el sistema, percibe un
adecuado control
Considera alta la
Desempeño Segregación de funciones
concentración de las 30.90 1.027 1 5
del control SI en el SI
funciones en el SI
Las políticas y normas
Políticas de seguridad y de implementadas mejoran el
4.40 0.889 1 5
acceso al sistema desempeño del sistema y
de los usuarios
N.º % %
Pregunta del cuestionario Frecuencia %
pregunta válido acumulado
Mencione los incidentes de seguridad informática que ha tenido la empresa
Infecciones informática 30.0 28.0 28.0 28.0
Robo de datos 59.0 55.1 55.1 83.2
2
Pérdida de información accidental 1.0 00.9 00.9 84.1
No sabe 16.0 15.0 15.0 99.1
Total 107 1 0 0
Quién es notificado en caso de incidentes de seguridad
No hay una política definida a quién reportar 7.0 6.5 6.5 6.5
Jefe de área o departamento 46.0 43.0 43.0 49.5
Jefe de sistemas 29.0 27.1 27.1 760.6
Gerente 17.0 150.9 150.9 92.5
3
Equipo de atención de incidentes 1.0 00.9 00.9 93.5
Empresa o persona que presta el servicio de
4.0 30.7 30.7 97.2
outsourcing
Otro 3.0 20.8 20.8 100.0
Total 107 100 100
Cuál es fuente generadora de riesgo
Interna 64.0 590.8 590.8 590.8
Externa 40.0 37.4 37.4 97.2
4
Ninguna 1.0 00.9 00.9 98.1
No sabe 2.0 10.9 10.9 100.0
Total 107 100 100
Metodologías o modelos de gestión implementados en la empresa
ITIL 4.0 30.7 30.7 30.7
COBIT 3.0 20.8 20.8 6.5
5
Ninguno 86.0 80.4 80.4 860.9
No sabe 14.0 13.1 13.1 100.0
Total 107 100 100
Principales obstáculos para el desarrollo de la seguridad informática
Falta de apoyo directivo 10.0 9.3 9.3 9.3
Falta de personal calificado 5.0 4.7 4.7 14.0
Falta de recursos económicos 20.0 180.7 180.7 320.7
Desconocimiento sobre seguridad informática 27.0 25,2 25,2 570.9
6
Falta de colaboración entre las áreas 5.0 4.7 4.7 620.6
Otros 3.0 20.8 20.8 65,4
No tiene 27.0 25,2 25,2 900.7
No sabe 10.0 9.3 9.3 100.0
Total 107 100 100
Karat, J. y Karat, C. M. (2003). The evolu- para la satisfacción del usuario. Journal of
tion of user-centered focus in the human- Information Systems and Technology Ma-
computer interaction field. IBM Systems nagement, 6(1), 25-44.
Journal, 42(4), 532-541. Merchant, K. A. (1984). Influences on de-
King, W. R. y Teo, T. S. (1996). Key dimen- partmental budgeting: An empirical exami-
sions of facilitators and inhibitors for the nation of a contingency model. Accounting,
strategic use of information technology. Organizations and Society, 9(3), 291-307.
Journal of Management Information Sys- Mithas, S., Ramasubbu, N. y Sambamurthy,
tems, 12(4), 35-53. V. (2011). How information management
King, W. R. y Zmud, R. W. (1981). Mana- capability influences firm performance.
ging information systems: Policy plan- MIS Quarterly, 35(1), 237.
ning, strategic planning and operational Mithas, S., Tafti, A. R., Bardhan, I. y Goh,
planning. ICIS 1981 Proceedings. Pa- J. M. (2012). Information technology and
per 16. Recuperado de http://aisel.ais- firm profitability: mechanisms and empirical
net.org/icis1981/16/?utm_source = aisel. evidence. MIS Quarterly, 36(1), 205-224.
aisnet.org %2Ficis1981 %2F16&utm_ Nazareth, D. L. y Choi, J. (2015). A system
medium = PDF&utm_ dynamics model for information security
campaign = PDFCoverPages management. Information & Management,
Kraemer, S. y Carayon, P. (2007). Human 52(1), 123-134.
errors and violations in computer and in- Parsons, K., McCormac, A., Butavicius, M.,
formation security: The viewpoint of net- Pattinson, M. y Jerram, C. (2014). Determi-
work administrators and security specia- ning employee awareness using the human
lists. Applied Ergonomics, 38(2), 143-154. aspects of information security question-
Kumar, M. (2010). Risk management prac- naire (HAIS-Q). Computers & Security,
tices in global manufacturing investment 42, 165-176.
(Tesis de doctorado, University of Cam- Petter, S., DeLone, W. y McLean, E. (2008).
bridge, Cambridge, Reino Unido). Measuring information systems success:
Lupu, M., Neagu, L. y Minea, V. (2013). models, dimensions, measures, and inte-
Internal audit, risk detection tool for con- rrelationships. European Journal Of Infor-
temporary crisis. Internal Auditing & Risk mation Systems, 17(3), 236-263.
Management, 8(2), 149-158. Petter, S., DeLone, W. y McLean, E. (2013).
Markelj, B. y Bernik, I. (2012). Mobile devi- Information systems success: The quest for
ces and corporate data security. Internatio- the independent variables. Journal of Mana-
nal Journal of Education and Information gement Information Systems, 29(4), 7-62.
Technologies, 6(1), 97-104. Premkumar, G. y King, W. R. (1992). An em-
Markus, M. L. y Mao, J. Y. (2004). Participa- pirical assessment of information systems
tion in development and implementation- planning and the role of information sys-
updating an old, tired concept for today’s tems in organizations. Journal of Manage-
IS contexts. Journal of the Association for ment Information Systems, 9(2), 99-125.
Information Systems, 5(11-12), 14-544. Ramírez, C. A. (2012). Riesgo tecnológico y
Medina Quintero, J. M., García Pedroche, su efecto para las organizaciones, parte I.
E. y De la Garza Ramos, M. I. (2009). In- Seguridad cultura de prevención para TI,
fluencia de los factores de implementación 14. 12-17. Recuperado de http://revista.se-
en la calidad de los sistemas de información guridad.unam.mx/sites/revista.seguridad.