RIESGOS TECNOLÓGICOS EN PEQUEÑAS EMPRESAS. UNA REVISIÓN A

SUS INCIDENCIAS EN LA GESTIÓN ORGANIZACIONAL.

Laura Ortega Restrepo 1, Laura Valentina Medina Rubio 2

1. Fundación Universitaria Panamericana, Estudiante de Contaduría Pública,

Lortegar@unipanamericana.edu.co

Semillero de Investigación Colectivo Panas por el Saber Contable

2. Fundación Universitaria Panamericana, Estudiante de Contaduría Pública,

lvalentinamedina@unipanamericana.edu.co

Semillero de Investigación Colectivo Panas por el Saber Contable

Tutores: Julián Andrés Londoño – Jairo Alberto Olarte

Resumen

En esta investigación se pretende realizar un aporte al proyecto diseño de un modelo de

control organizacional aplicable a pequeña empresa del sector textil en la ciudad de

Santiago de Cali investigación aprobada internamente por Unipanamericana en el año 2018

y que para el presente año, como estudiantes pertenecientes al grupo de Investigación

Estudios en Gestión Empresarial EGE, se busca profundizar en la inclusión de factores

externos como lo son la categoría de riesgos tecnológicos y su incidencia en las pequeñas

empresas, de forma especial, aquellas pertenecientes al sector textil en la ciudad de Santiago

de Cali.

Para el desarrollo de la investigación se propone realizar un estudio metodológico deductivo

y descriptivo que permita definir los elementos que componen los riesgos tecnológicos y

puedan ser incluidos como propuesta al modelo de control organizacional presentado por

Unipanamericana sede Valle, donde no se consideraron estos aspectos tecnológicos, así

mismo, se emprendió el camino hacia la búsqueda de una herramienta que proporcione una

medición confiable para la mitigación de estos riesgos y revisar modelos metodológicos que

se puedan adoptar para impedir que estos riesgos se materialicen.

Palabras claves: control organizacional, riesgo, riesgos tecnológicos, Cobit 5.

Introducción

En las MiPymes se presentan riesgos de diferentes categorías como son los Riesgos derivados

de las tecnologías de información (Riesgos TI), que son las tecnologías que una organización

emplea para el desarrollo de su actividad. Sin clasificar a que se dedique una organización

como mínimo poseen un computador e internet, muchas de ellas emplean recursos para las

TI tanto para agilizar procesos como para resguardar la información que se tiene de la

empresa, sin embargo, existen otras que no tienen presente invertir en tecnología y

probablemente no están innovando en la adopción de estas aquellas que permitan incidir en

las funciones que se asignan a los empleados donde se identifica uno de los riesgos TI por la

baja productividad que pueden tener y como consecuencia, menos competitividad ante el

mercado.

Existen controles en las organizaciones que no tienen definido como mantener la información

bajo la seguridad que se necesita, un personal calificado que vele por el buen uso de los

activos TI y actualizaciones acordes a las necesidades.

Por el avance diario y cambiante de la tecnología, cada vez más se presentan riesgos de TI y

por ello se hace necesario implementar metodologías para conservar la información de la

organización que pueden resultar muy útiles, como por ejemplo: metodología Octave,

Magerit, ISO 27005 e ISO 31000, cada una tiene un objetivo pero el más importante es la

mitigación de riesgos TI, en esta investigación se explican cada uno de los riesgos que afectan

directamente la empresa y se propone un control organizacional con base en las metodologías

estudiadas.

Planteamiento del problema

En la economía colombiana las empresas micro, pequeñas y medianas proporcionan la

capacidad para que la economía siga creciendo y mejorando día a día, según cifras del Dane

las Mipymes representan más del 90% del sector productivo nacional y generan el 35% del

PIB y el 80% del empleo de toda Colombia. Estas empresas se caracterizan por tener gran

potencial en el mercado con su continuo crecimiento y la competitividad que tienen frente a

las exigencias que se dan en la actualidad.

Frente a los datos planteados, las Mipymes aportan un porcentaje muy importante en el marco

económico del país, sin embargo, para estas empresas existen unas limitaciones que afectan

su progreso, como la ausencia un apoyo económico para la inversión en nuevas tecnologías

que permitan que cada vez más estas empresas desarrollen y generen valor en sus procesos,

para que así el servicio que oferten o el producto que comercialicen sea de calidad e

innovador ante el mercado.

Los pequeños empresarios deben analizar el entorno que los rodea para identificar los

diferentes riesgos tecnológicos a los que están expuestas las MiPymes para entrar en un

proceso de innovación y llevar a sus empresas a unos altos niveles de competitividad, creando

valor a sus partes de interés adoptando la tecnología en su actividad, sistematizando sus

procesos, asegurando su información y teniendo en cuenta los distintos cambios tecnológicos

que hay en la actualidad y seguirán teniendo repercusión en el tiempo.

Es por esto que se plantean mejoras en riesgos tecnológicos donde se complemente el diseño

de modelo de control organizacional de Unipanamericana Sede Valle en las MiPymes de la

ciudad de Santiago de Cali en el sector textil, que permita medir la identificación de posibles

riesgos en los que las pequeñas empresas pueden incidir y así mismo potencializar su

actividad con la incorporación de nuevas tecnologías, con lo expuesto en lo anterior el trabajo

de investigación cuestiona ¿Cómo incluir la categoría tecnológica en el modelo de control

organizacional diseñado por Unipanamericana Sede Valle?.

Justificación

La tecnología es una herramienta útil para las organizaciones, por sus avances diarios se hace

cada vez más indispensable para la creación de nuevos productos y la innovación en los

procesos internos de las organizaciones, no obstante, la tecnología es percibida como un

factor de riesgo importante por la falta de apoyo económico que tienen las MiPymes, no

buscan invertir en capacitaciones para sus empleados, no se tiene en cuenta en el plan de

trabajo que se desarrolla en la organización como una responsabilidad y como generadora de

una alta productividad, además no se adoptan sistemas organizacionales de calidad que son

fundamentales para ayudar en el manejo eficiente del control de la información .

Esta investigación es significativa porque da a conocer algunos de los riesgos TI que las

MiPymes presentan y como se pueden implementar metodologías en el control

organizacional que ayuden a mitigar estos riesgos, para así poder tener un buen uso de los

activos TI e identificar las amenazas a las que están expuestos por medio de un método que

esté acorde a la empresa y que logre identificar los factores que debe tener en cuenta para

que los riesgos no sean tan altos.

De acuerdo con lo explicado anteriormente, es fundamental determinar metodologías que son

convenientes para que las MiPymes tengan un control adecuado sobre los riesgos TI y que

permitan tener un manejo eficaz de los mismos.

Objetivos

Objetivo general

Estudiar la categoría riesgos tecnológicos en pequeñas empresas, considerando sus

incidencias en la gestión organizacional.

Objetivos específicos

• Describir las metodologías para la identificación los riesgos de tecnología en las

MiPymes.

• Explicar los elementos que componen la medición los riesgos tecnológicos en las

metodologías de control organizacional.

• Elaborar una matriz que identifique riesgos tecnológicos con base en propuestas

metodológicas de control que permitan disminuir los impactos en las pequeñas empresas.

Marco referencial

A continuación, se presentan algunos trabajos de investigación y artículos que orientaron al

desenlace del objetivo propuesto, además, se describen conceptos que permiten la

comprensión de las palabras clave expuestas.

Con la finalidad de profundizar en el tema de riesgos tecnológicos para pequeñas y medianas

empresas, en la revista Venezolana de Gerencia a través de la publicación titulada Gestión

Tecnológica en pymes del sector textil del municipio Maracaibo-estado Zulia- Venezuela,

para Leal, Labarca, Bracho, Vargas (2018) los riesgos en los que las Pymes de este sector

están expuestos, responden a las organizaciones se encuentran en un mercado competitivo y

en constante desarrollo tecnológico, el uso y la implementación de los recursos tecnológicos

permite obtener ventajas respecto a las mismas empresas del sector y aun así logrando

eficientemente los objetivos establecidos por la gestión organizacional.

Los Autores Leal, Labarca, Bracho, Vargas (2018) consideran basado en el aporte de Lall

(1996) tres elementos fundamentales de la gestión tecnológica: inversión tecnológica que se

refiere no solamente a planta y equipo sino también a la utilización de los recursos financieros

aplicando una tecnología integrada con la intención de controlar la calidad de los productos

mejorando el producto final, optimización de materiales, reducción de desperdicios o

desperfectos en la fabricación; para el capital humano expresan lo fundamental que es el

talento para la empresa donde las habilidades que han generado por la educación pueden

aportar a la experiencia y capacitación practica en actividades tecnológicas, por esto se debe

seleccionar el personal idóneo. En el esfuerzo tecnológico exponen el conjunto de actividades

donde se realiza un análisis e identificación de necesidades que se presenten dentro de la

organización, mejoras en los procesos, adaptaciones para el buen funcionamiento e

implementación de funciones de seguimiento y control con el fin de mitigar los posibles

riesgos en los que se puede incurrir.

Para esta investigación (la de los autores citados previamente) la metodología consistió en la

realización de una serie de encuestas a las empresas pymes del sector textil, Leal, Labarca,

Bracho, Vargas (2018), utilizaron criterios basados en los tres elementos relevantes en su

investigación como lo son la inversión tecnológica, el capital humano y el esfuerzo

tecnológico, reunieron la información estadística resaltada en tablas dinámicas que

permitieron su análisis posterior.

Con base en los resultados obtenidos por los investigadores, las pymes en el sector textil

requieren una apropiada inversión tecnológica donde tendrían incidencia en la calidad de los

productos y en los costos de producción, al propiciar un mejor acabado de las prendas, así

como optimización en el uso de los materiales, analizando el uso de la capacidad instalada,

se consideró como importante el conocimiento de las personas sobre las tecnologías de

información , con esto se explica porque estas empresas se caracterizan por tener un proceso

productivo donde la mayoría de las máquinas y equipos utilizados en la fabricación de

prendas de vestir no son automatizados, lo que requiere una mayor intervención del talento

humano.

Ramírez, y Ortiz (2011), a través del texto Gestión de riesgos tecnológicos basada en ISO

31000 e ISO 27005 y su aporte a la continuidad de negocios, exponen el uso de

metodologías agiles e integradas que permitan identificar y gestionar el riesgo tecnológico

que puede tener un impacto en la organización con el fin de prevenir la vulnerabilidad de los

sistemas de información respecto a la confidencialidad, integridad, disponibilidad,

trazabilidad y autenticidad.

En términos generales, la metodología utilizada por los autores es desarrollada por medio de

procesos donde se obtiene una perspectiva general de la organización para identificar los

riesgos de mayor grado a los que se está expuesto, se integran los sistemas de gestión de la

organización basados en la ISO 31000 la cual indica los principios para la gestión de riesgo,

el modelo PHVA (Planificar, Hacer, Verificar, Actuar) con la finalidad de establecer un

proceso de gestión que se enfoque en la mejora continua, eta metodología se realiza mediante

unas etapas establecidas para la definición, la valoración y el tratamiento de los riesgos

tecnológicos.

Los resultados de esta investigación proporcionan un plan de seguridad para contar con una

dirección que se enfoque en la búsqueda de estrategias para mitigar los diferentes riesgos

tecnológicos y aporte a la creación de planes de continuidad para tener lineamientos claros

de cómo gestionar este tipo de riesgos al momento que se presente una incidencia en este

campo.

Por otra parte, las organizaciones cada vez tienen más tecnologías implementadas para las

actividades que desempeñan, por esto los riesgos tecnológicos de la información son más

frecuentes. Para definir y dar a conocer algunos riegos tecnológicos la revista de ingeniería

con los autores Gómez, Pérez, Donoso, y Herrera (2010) en el artículo titulado Metodología

y gobierno de la gestión de riesgos de tecnologías de la información explican cómo se

pueden minimizar los riesgos y presentan ejemplos de organizaciones que han tenido

dificultades con la tecnología.

Para Gómez, Pérez, Donoso y Herrera (2010) las organizaciones son más conscientes de los

riesgos tecnológicos por los impactos negativos que han tenido, hacen planes internos dentro

de las funciones normales que constan de un análisis de riesgos y cómo pueden ser mitigados,

además aclaran que siempre habrá incertidumbre en la información por los avances y la

expansión de las tecnologías. Para procesar los riegos puede trabajarse en un tratamiento

enfocado en establecerlos y mitigarlos, aceptar el riesgo tal y como está porque no pueden

ser controlados, eliminar el riesgo quitando los procesos que los generan y por último, acudir

a un tercero como las aseguradoras. Con base a lo anterior, se tiene en cuenta que depende

de cómo la organización tenga definido su plan de riesgos así mismo puede resguardar su

información de una mejor manera. Un caso que se expone sobre el componente de tecnología

es el de la empresa “CardSystems Solutions Inc”, procesadora de tarjetas de crédito que en

el 2005 reportó que individuos accedieron a la información de las transacciones de 40

millones de tarjehabitantes Visa y Mastercard, muchos clientes se retiraron después del

sucedido.

Una metodología para el análisis de riesgos tecnológicos del artículo Metodología y

gobierno de la gestión de riesgos de tecnologías de la información, es fundamentada por

los autores en el planteamiento OCTAVE (Operationally Critical Threat, Asset and

Vulnerability Evaluation) el cual consiste en un modelo desarrollado, que tiene como

objetivo facilitar la evaluación de riesgos en una organización, plantea inicialmente la

identificación de los activos relacionados con la información como los elementos de TI que

tienen un valor representativo para la empresa (sistemas de información, software, archivos

físicos o magnéticos, personas, entre otros), OCTAVE estudia la infraestructura de la

información y cómo es utilizada día a día. Para proteger estos activos es fundamental tener

personas involucradas de diferentes niveles de la organización, desarrollado por un equipo

interdisciplinario llamado “el equipo de análisis” el cual se compone por personas de las

áreas de negocio y del área de TI. Esta composición plantea qué funcionarios son los más

indicados para definir e identificar los procesos más importantes en el día a día y cómo se

usa dicha información, las personas del área de TI saben cuáles pueden ser las debilidades de

la infraestructura de la información.

Con la anterior metodología se obtienen resultados para las empresas, puesto que permite

conocer las normas y regulaciones de las metodologías de análisis, de igual forma resalta la

importancia de tener un gobierno de TI que proporcione lineamientos claros para

contrarrestar las afectaciones que los riesgos puedan tener en la organización.

Jimeno, Ariza y Piñeres (2017) por medio del articulo Gobierno de TI en Pymes

Colombianas. ¿Mito o Realidad? Dan a conocer la importancia que tiene la implementación

de las TI en las empresas colombianas para su crecimiento, dado a que no invertir es este

ámbito puede resultar incompetente y no alcanzan a dimensionar las oportunidades que puede

generar su implementación, en este desafío se encuentran la mayoría de las empresas Pymes

en Colombia.

Los autores pretenden contribuir a la literatura sobre el gobierno corporativo y su alineación

con las TI, en el desarrollo del proyecto GobIT “modelo integrado para la adopción de

políticas de gobierno de tecnologías de la información en Pymes” y cómo influye este en las

empresas, además dar a conocer si es un mito o realidad que ayudan al aumento de la

productividad.

Para el desarrollo de esta investigación los autores se basaron en un modelo metodológico

propuesto desde la medición de las actividades científicas y tecnológicas I+D, que se

caracteriza por actividades de desarrollo experimental, que consiste en trabajos sistemáticos

que aprovechan conocimientos existentes obtenidos de la investigación y se dirige a la

producción de nuevos materiales. Analizaron varios documentos de las metodologías para

identificar semejanzas y diferencias.

Los resultados obtenidos de los documentos son de la Asociación Colombiana de las Micro,

pequeñas y medianas empresas (ACOPI) que desarrolla una encuesta cada trimestre sobre el

desempeño empresarial y en el año 2016 presento resultados donde se manifiesta que un

89,8% de empresas no usan nuevas tecnologías en su producción y aquellas que si las

implementan, que son alrededor del 95% de las nuevas compañías, usan tecnología de más

de 5 años de existencia, sin tener en cuenta que cada tecnología tiene un ciclo de vida propio

por su avance, además señalo que un 76,8% del aparato productivo de Colombia no innova.

La conclusión de acuerdo con los resultados indica que el modelo GobIT ha sido mal

estructurado porque solo se enfocan en el departamento de sistemas y deberían en las Pymes

Colombianas elaborar un modelo que agrupe mejores prácticas y permita integrar todos los

departamentos que conforman la empresa.

Gil y Gil (2017) con el artículo Seguridad informática organizacional: un modelo de

simulación basado en dinámica de sistemas, dicen que la evolución de la tecnología ha

hecho que se expanda en la mayoría de las actividades profesionales a nivel mundial. Las

redes de comunicación y los sistemas de información, por eso la seguridad de la información

se han convertido de suma importancia debido a la gran cantidad de datos, documentos,

cuentas bancarias y demás, todo lo que hoy en día se puede hacer por medio de internet.

Este artículo tiene como objetivo la protección de riesgos de los sistemas de información a

los que se encuentran expuestos. Emplearon una metodología basada en un modelo de

sistemas complejos cuya filosofía es el concepto de retroalimentación o causalidad circular

entre variables observables. Se simulo una empresa que va supliendo los ataques cada vez

que se presentan. Para el desarrollo de esta metodología los autores hacen referencia a una

empresa que no cuenta con sistemas de seguridad de la información y que tiene que suplir

las necesidades de todos los ataques que se presentan. En el modelo se establece que cuando

la empresa sufre un ataque debe solucionarlo y para esto hace una inversión con recursos de

la empresa. Esta táctica no es una solución, debido a que se pueden presentar más

vulnerabilidades porque están solo arreglando a medida que van surgiendo y no con una

planificación adecuada. Los resultados que obtuvieron es que las vulnerabilidades siguen

siendo mayores que los ataques y en sí, siguen en aumento porque se sigue invirtiendo en la

seguridad a medida que surgen los problemas y cada vez van apareciendo incidentes nuevos,

esto indica que la organización debe invertir frecuentemente.

Como conclusión, se tiene que hay organizaciones que no cuentan con un plan que guie los

esfuerzos de protección de los activos por más dinero que se invierta no alcanzan los niveles

de protección necesarios, las empresas deben aprender a limitar el gasto por seguridad,

cuestionándose si las inversiones que se están haciendo son necesarias para así, implementar

un modelo adecuado que mitigue todos los riesgos sin tantas inversiones.

Desde otra perspectiva y sobre los sistemas de control Mejía (2002) con el Articulo sistema

de control para las pequeñas y mediana empresas dice que la mayoría de las grandes

empresas tienen un control organizacional bien estructurado, pero en cambio las empresas

Pymes no tienen diseñado un control acorde a sus necesidades. Por eso el motivo de este

artículo es proponer un Sistema de Control Organizacional adecuado para las Pymes con las

guías para implantarlo. Para llevar a cabo el desarrollo de este sistema de control se basó en

un marco de referencia sobre el deber ser del control en cualquier empresa y se comparó con

el encontrado en las 33 Pymes entrevistadas y definió las necesidades Los puntos de análisis

fueron:

1. Requisitos para implementar un adecuado sistema de control: cultura de control,

apoyo de la dirección hacia el control, recursos físicos, humanos y financieros

disponibles para ejercer el control.

2. El análisis del proceso administrativo del control: cómo se realizan la planeación, la

organización, la dirección y el control del control.

3. Los componentes del sistema de control: tomando como referencia inicial el control

preventivo, ejecutivo, evaluativo y verificativo.

4. El análisis estratégico del control: análisis interno y externo del control.

Algunos de los resultados que se obtuvieron fueron: estructurar un sistema de control que

haga parte de la estrategia corporativa, sensibilizar al personal con el fin de lograr un cambio

de actitud frente al control, descentralizar el control delegando responsabilidades a todos los

niveles de la organización, definir criterios y metodologías que orienten hacia la forma de

realizar el autocontrol, Definir como un elemento básico del modelo el análisis del entorno y

sus implicaciones hacia la empresa y hacia el control, establecer mecanismos para coordinar

las funciones de control en toda la organización, diferenciar las etapas de Planeación,

ejecución y Evaluación del control y define los mecanismos para realizarlas.

En conclusión, la mayoría de la Pymes carecen de un Sistema de Control Organizacional que

les ayude a manejar los riesgos a los que se enfrentan, esto es debido a que desconocen las

ventajas de tener un sistema de control a la falta de capacitación sobre el tema. Las empresas

deben saber a dónde quieren llegar y como lo van a lograr, teniéndolo claro, van a hacer

planes y diseñar los sistemas que apoyen las labores para cumplir los objetivos.

Reconocimiento y conceptualización de los riesgos tecnológicos

Riesgo tecnológico

Algunos entes de control como la Unidad Nacional para la gestión del riesgo de desastres

(2018) enuncian que el riesgo tecnológico corresponde a los daños o pérdidas potenciales

que pueden presentarse debido a los eventos generados por el uso y acceso a la tecnología,

originados en sucesos antrópicos, naturales, socio naturales y propios de la operación. Este

riesgo se genera durante el funcionamiento de cualquier actividad y supone consecuencias

importantes para las personas, los bienes, la infraestructura, los medios de subsistencia, la

prestación de servicios o los recursos ambientales.

Para el autor Bosque Sendra (2004) el riesgo tecnológico hace referencia a la probabilidad

de sufrir daños o pérdidas económicas, ambientales y humanas como consecuencia del

funcionamiento deficiente o accidente de una tecnología aplicada en una actividad humana.

En las investigaciones sobre los riesgos, comúnmente se considera que la magnitud del riesgo

es una consecuencia de la interacción de tres factores:

1. Localización, volumen, probabilidad de ocurrencia de accidentes y características de

peligrosidad de la actividad que se considera fuente de riesgo.

2. Las dimensiones y características del área expuesta a un posible accidente.

3. El grado de la vulnerabilidad de los posibles receptores del daño.

La Gestión de Riesgos y de la Continuidad de Servicios basados en Tecnología de la

Información es de vital importancia, recogiéndose incluso en regulaciones, lo que nos obliga

a adoptar una serie de principios para la gestión del Riesgo Tecnológico:

• Gestión permanente, sistemática y continua de los riesgos.

• Existencia de planes de contingencia.

• Supervisión periódica e independiente.

• Evaluación del riesgo para todo nuevo sistema o proceso.

Clasificación de los riesgos

Según los autores Soler, Varela, Oñate y Naranjo (2018). Existen varias clasificaciones de

riesgos como: los riesgos internos o externos que están en función de cómo se analice el

impacto o la causa que genera el impacto. Generalmente se analiza en estos casos el riesgo

en función de la causa. Existe otra clasificación de los riesgos relacionado al riesgo financiero

y al riesgo puro. El riesgo financiero es aquel riesgo en la cual existe la posibilidad de ganar

o perder. En cambio, el riesgo puro posibilita no perder, pero nunca ganar.

Las empresas en sentido general están vinculas a los riesgos financieros y a los riesgos

Inherentes a su actividad (riesgos puros) que en gran medida se administran o se trasladan a

las empresas aseguradoras que asumen los riesgos bajo determinadas condiciones que se

denominan exclusiones en las pólizas de seguro.

Mecanismos de control para la gestión de los riesgos tecnológicos

Para identificar algunos mecanismos de gestión y minimización de los riesgos tecnológicos,

Ramírez y Ortiz (2011), exponen la implementación de sistemas de gestión de la

organización con base en la ISO 31000, la metodología reúne los lineamientos de la gestión

de riesgos con el esquema de organización integral, permite incluir la gestión de continuidad

de negocios como fase de apoyo para identificar posibles riesgos. Se analiza hardware,

software, recursos humanos y físicos. Para la metodología se utiliza como base el modelo

PHVA con la finalidad de establecer un proceso de gestión que se enfoque en la mejora

continua siguiendo el esquema presentado a continuación:

Planificar: Se establecen los objetivos, procesos y procedimientos para el proceso de gestión

de riesgos tecnológicos. La finalidad de la planeación es la entrega de resultados acordes con

las políticas y objetivos globales de la organización. Así mismo, se establece el plan de

comunicaciones y el análisis del contexto organizacional actual para definir el alcance de la

gestión de riesgos tecnológicos.

Hacer: Corresponde a la implementación y operación de los controles, procesos y

procedimientos (incluye la operación e implementación de las políticas definidas), lo

correspondiente a la valoración y tratamiento de los riesgos.

Verificar: Evaluar y medir el desempeño de los procesos contra la política y los objetivos de

seguridad e informar sobre los resultados.

Actuar: Establecer la política para la gestión de riesgos tecnológicos e implementar los

cambios requeridos para la mejora de los procesos. Como parte de las fases verificar y actuar,

se incluye el monitoreo y mejora continua, donde se verifican los cambios y el cumplimiento

de los indicadores que fueran establecidos desde la planificación.

Otro mecanismo de control es el Modelo de Estructuración del Proyecto de Gestión de

Riesgos según Magerit por el autor Pinzón (2009) donde propone un modelo de

estructuración que sirve como guía de trabajo para seguir paso a paso en un proyecto de

gestión de riesgos al interior de una organización.

• El proceso inicial llamado planificación es la base de constitución del proyecto. En este

primer proceso se define la oportunidad y la intención de la realización. Esta intención se

debe transmitir a la gerencia, a la cual se debe motivar, concienciar e involucrar. En este

proceso de planificación se debe establecer el dominio y sus límites. Este establecimiento

de alcance es muy importante principalmente la primera vez que se realiza, ya que su

elección implica la identificación de áreas o procesos que no se van a tener en cuenta en

este proyecto, por limitación de recursos o por tiempo. Por esta razón en esta primera

etapa se deben identificar los recursos con los que se cuenta, tanto financieros, humanos

y de tiempo. Finalmente, una vez identificados los recursos y realizada una planeación

del proyecto, se debe realizar el lanzamiento que inicia con una campaña de

sensibilización y con la recopilación inicial de datos y organización de los parámetros de

entrada que son: tipos de activos, dimensiones, criterios de valoración, plan de

entrevistas, entre otros. Con esto se cierra el primer proceso dándole inicio oficial al

proyecto.

• El segundo proceso llamado análisis de riesgos se describió en el numeral anterior. De

este proceso se extraen documentos muy importantes para todo el proyecto que son: el

modelo de valor, el mapa de riesgos, el estado de riesgos, entre otros. Estos documentos

son la base para la toma de decisiones en el siguiente proceso.

• El tercer y último proceso es la toma de decisiones e implementación de las medidas.

Luego de implementar las salvaguardas evaluadas en el análisis, y de ejecutar todos los

planes de mejora se extrae el riesgo y el impacto residual y con esto se cierra la etapa de

gestión. Una vez finalizado, es posible volver cíclico el proyecto. En algunos casos se

redefine el dominio y sus limitantes, pero la mayoría de las veces lo que cambia en una

siguiente iteración es el inventario de activos y su valoración. Estas iteraciones son

planeadas o se realizan cuando hay cambios importantes en sistemas de información o

con cambios estructurales de la organización.

Actividades en la adopción de las Tecnologías de la Información (TICS) en Pymes

El autor Buenrostro, E. (2015), llevo a cabo un estudio en las diferentes actividades que

pueden realizar las pequeñas y medianas empresas para la adopción de las TICS, expone que

para el caso de las Pymes en particular en los países en vías de desarrollo, debido a las

limitaciones de recursos financieros, técnicos y humanos se enfrentan retos relacionados con

los altos costos y la falta de conocimientos sobre TIC por parte del personal, que más allá de

las capacidades básicas de manejo de estas tecnologías, no cuenta con las habilidades para

aplicarlas y adaptarlas a ambientes productivos y de gestión específicos, que se constituye

como una barrera para una adopción más amplia dentro de los procesos internos y como

herramienta de vinculación con otros agentes de la cadena productiva.

Tabla 1. Presenta 4 etapas del manejo que le dan las pymes al desarrollo de la tecnología en

los diferentes procesos internos:

Fuente: Buenrostro con base en Cepal y OCDE, 2012; Kotelnikov, 2007

Se destaca que hay Pymes que se encuentran en la primera etapa de la adopción (no cuentan

con el equipamiento básico), pero realizan gastos destinados a contar con recursos humanos

capacitados y a software a la medida. Estos elementos reflejan la falta de una planificación

para la incorporación de las TIC, ya que no cuentan con los equipos necesarios para

desarrollar los conocimientos y habilidades adquiridas. Finalmente, se muestra que, a pesar

de las limitaciones presupuestales de las empresas, una proporción muy pequeña hace uso de

software libre, que puede convertirse en una vía para disminuir los gastos, debido a su menor

costo en relación con los programas comerciales y al software a la medida.

Como resultado se obtuvo que las MiPymes cuentan con un nivel relativamente elevado de

equipamiento básico en TIC, pero existen considerables diferencias entre los sectores

económicos, por lo que se deben reconocer las divergencias sectoriales para impulsar la

adopción de la tecnología en aquellas empresas que por su naturaleza presenten mayores

obstáculos para su incorporación en los procesos internos. Las inversiones que realizan las

empresas en TIC no se encuentran acompañadas por cambios en la organización y en

capacitación, así como en la gestión de la información y en los procesos de comunicación

intra e inter-firmas, limitando los efectos sobre la competitividad y el crecimiento de las

empresas, por lo que hay una subutilización de las herramientas que disponen.

Riesgos tecnológicos y su impacto en las PYMES de Santiago de Cali – Colombia

El autor Camacho (2008) plantea que las empresas caleñas son el motor del crecimiento de

la economía vallecaucana, debido a esto mantener niveles de competitividad empresarial,

garantizar la diversificación del comercio de sus productos, mejorar sus infraestructuras

básicas, exige que los empresarios innoven permanentemente sus procesos administrativos y

de fabricación. Los empresarios caleños tienen que superar las barreras sicológicas que

tradicionalmente han creado sobre el desarrollo tecnológico donde ven la adquisición de

tecnología más como un gasto que como una inversión.

En esta investigación hace referencia al concepto de Innovación tecnológica que se clasifica

en: Radicales, que se refieren a aplicaciones fundamentalmente nuevas de una tecnología, o

combinación original de tecnologías conocidas que dan lugar a productos o procesos

completamente nuevos; Incrementales que son aquellas que se refieren a mejoras que se

realizan dentro de la estructura existente y que no modifican sustancialmente la capacidad

competitiva de la empresa a largo plazo.

Indica que la competitividad va de la mano con la innovación en la tecnología: se requiere

que los pequeños empresarios cambien su mentalidad de toderos y fortalezcan sus equipos

de trabajo con jóvenes profesionales de la ingeniería, dotados de los conocimientos y

habilidades necesarios para entender lo que significa para una empresa el estar actualizada

tecnológicamente, innovar continuamente, estudiar la tecnología de fabricación y de los

procesos que se siguen y finalmente entender dentro de una empresa la fuerte interrelación

existente del campo técnico con el de mercadeo y administrativo. Las prácticas tecnológicas

varían entre las empresas y está demostrado que estas diferencias pueden convertirse

fácilmente en ventajas competitivas.

Lo importante es que los empresarios cuenten con una estrategia tecnológica integrada a sus

planes generales y que les sirva de soporte. Infortunadamente es muy común entre los

pequeños empresarios caleños centrar su atención en la planeación de las ventas anuales,

olvidando el cambio tecnológico que les garantice calidad y competitividad, por eso los

fracasos. Los empresarios tienen que utilizar estratégicamente la tecnología para mantenerse

competitivamente en el mercado.

Camacho (2008) hace referencia a las posibles mejoras de las habilidades tecnológicas que

pueden tener los empresarios caleños para incrementar la productividad de sus empresas

desde tres puntos:

1. Desarrollar una visión donde se tome el liderazgo necesario para definir el nivel de

desarrollo tecnológico quieren lograr las pequeñas empresas caleñas en cinco años.

2. El gobierno apoye a las pequeñas empresas para que de la mano con la tecnología tengan

grandes ventajas competitivas en el mercado.

3. Preparación del talento humano

Riesgos en la seguridad de la información en una PYME de Santiago de Cali

En el trabajo de investigación de Medina (2018) se explican los diferentes problemas que se

presentan en el manejo adecuado de los sistemas de información, por ello el objetivo de este

trabajo es desarrollar una herramienta que permita cumplir con lo establecido en políticas de

Seguridad, para pequeñas y medianas empresas de la ciudad de Cali.

Da a conocer distintas acciones para realizar una prevención de riesgos a los sistemas e

información de las empresas pequeñas y medianas:

• Identificación de riesgos

Clasificar el inventario de los activos que se involucran en el manejo de la información,

en niveles de riesgo donde se especifiquen las amanezcas a las que se encuentran

expuestos, así mismo a evaluación de impactos en caso de violación de la seguridad

informática de la empresa.

• Determinación de vulnerabilidades:

Lista de las vulnerabilidades identificadas, estimando sus niveles de riesgo frente al nivel

aceptable, establecido previamente con la dirección de la organización.

• Revisión de las políticas de seguridad y privacidad:

Si la organización tiene documentadas sus políticas, remítase especialmente a aquellas

relacionadas con seguridad y privacidad de la información. Aunque en muchas

organizaciones pequeñas y medianas este tipo de documentación no es muy frecuente, si

es posible que existan políticas generales.

El autor Medina (2018) explica que teniendo en cuenta la necesidad de la participación de

diversas personas al interior de la empresa en las diferentes áreas funcionales, se requiere

generar un proceso de sensibilización frente a la importancia del control y prevención de

riesgos informáticos, teniendo como base los siguientes objetivos:

• Identificar claramente los posibles efectos que para la empresa conllevaría una violación de

seguridad de la información en sus diferentes niveles.

• Conocer la importancia de su papel en la cadena de aseguramiento de la información.

• Entender la importancia de sus aportes en todos los pasos de la implementación y

funcionamiento de la metodología.

Finalmente, se debe hacer partícipe a toda la organización respecto a los procesos adecuados

para preservar la información, lineamiento que más allá de la norma debe trascender a la

sensibilización sobre las consecuencias que puede acarrear una falla en esta área y el efecto

que podría en un momento dado tener sobre todos los integrantes de la organización; no se

requieren funcionarios entrenados, se necesitan colaboradores responsables y

comprometidos.

Modelos de control organizacional que midan la presencia o el impacto de los riesgos

tecnológicos en pequeñas empresas.

Model Control Objectives For Information and Related Technology (COBIT 5)

Castañeda (2017) explica que este modelo se aplica a los sistemas de información de toda la

empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de

que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente

agrupados para proveer la información pertinente y confiable que requiere una organización

para lograr sus objetivos.

En la época de la sociedad de la información y la comunicación, el manejo de las tecnologías

de la información (TI) se ha convertido en un aspecto sensible para las organizaciones. La

informática y las telecomunicaciones han permitido que se intercambie información en

tiempo real sin limitantes. Su manejo cobra importancia frente al incremento de la

dependencia de datos y los sistemas que permiten su flujo, así como la vulnerabilidad frente

ataques cibernéticos y hackers, los costos de inversión en equipos y sistemas, y la capacidad

que tienen las TI para transformar una organización. Fue dirigido a las TI, partiendo del

principio de que éstas deben generar información que permita alcanzar los objetivos, que el

modelo fomenta el enfoque y la propiedad de los procesos, fue el resultado de una

investigación realizada por la Information Systems Audit and Control Association (Isaca).

La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios

de información, como por ejemplo la seguridad y calidad, se auditan los recursos que

comprenden la tecnología de información, como por ejemplo el recurso humano,

instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos

involucrados en la organización. El COBIT es un modelo de evaluación y monitoreo que

enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT

desde una perspectiva de negocios.

El modelo COBIT definido como un marco de referencia en el manejo y control de las TI,

clasifica en cuatro dominios los procesos que se presentan en estas que son:

• Planificación y organización

• Adquisición e implantación

• Soporte y servicio

• Monitoreo

Principios

COBIT 5 se basa en cinco principios claves para el gobierno y la gestión de riesgos

empresariales:

Figura 1. Principios COBIT 5

Fuente: elaboración propia (2020) basado en la revisión de literatura.

La adecuada implementación de un modelo COBIT en una organización provee una

herramienta automatizada para evaluar de manera ágil y consistente el cumplimiento de los

objetivos de control y controles detallados, que aseguran que los procesos y recursos de

información y tecnología contribuyen al logro de los objetivos del negocio en un mercado

cada vez más exigente, complejo y diversificado.

MAGERIT: metodología de análisis y gestión de riesgos de los sistemas de información

Es una metodología que se tiene como referente en organizaciones de España, el fin de este

método busca crear una conciencia de riesgos en TI y la manera de tratarlos en su uso diario

en las mismas, esta metodología ayuda a la identificación de los riesgos que se puedan

presentar aplicando medidas oportunas para controlarlos, cuenta con tres volúmenes

complementarios que se definen de la siguiente manera:

Método: Guía para analizar la gestión de los riesgos y la estructura que debe tener en la

implementación en tres lineamientos: métodos cualitativos, cuantitativos y semi cuantitativos

que actúan evaluando los riesgos mediante un análisis previo.

Catálogo de elementos: En este volumen se enfoca en analizar los riesgos utilizando

elementos presentes en las organizaciones como los tipos de activos y valoración de los

activos.

Guía de técnicas: Permite encontrar guías para la realización de análisis y gestión de los

riesgos con técnicas graficas como también modelos cualitativos y cuantitativos que se

enfocan en valorizar los riesgos plasmándolos de forma detallada.

Este método ofrece sistematizadamente opciones para identificar y analizar los riesgos que

pueden causar algún tipo de daño dentro de la empresa, como es la violación de la seguridad,

en base a los daños que podrían causar los riesgos MAGERIT implementa medidas de control

que permitan tener lo riesgos mitigados. Esta metodología fue creada por el Consejo Superior

de Administración Electrónica de España, para darse cuenta de que la sociedad necesita de

las TI para poder cumplir con sus objetivos.

ISO 27005: Gestión de la seguridad de la información

La norma ISO 27005 se encarga de la gestión de los riesgos de la seguridad de la información,

se basa principalmente en aplicar directrices a todo tipo de organizaciones, expone que el

aumento del uso de las tecnologías ha posibilitado fisuras en la seguridad, por esto es

necesario tener una gestión de información desde la perspectiva tecnológica con tres niveles:

• Nivel físico: Aseguramiento y control sobre la infraestructura

• Nivel Lógico: Sistemas de información

• Factor humano: Desde la perspectiva tecnológica.

Para la implementación de esta normatividad se establece una ruta de cuatro pasos:

1. Establecimiento de plan de comunicación interno y externo

Este plan se realiza a nivel interno (en las diferentes áreas de la empresa, los directivos, los

empleados, socios) y externo (clientes, proveedores, entes de control) donde se conoce sobre

la existencia del riesgo, os objetivos de la gestión, presentar el informe de los avances en el

proceso y realizar la utilización de todos los medios para comunicar el debido proceso de

gestión que va a realizar dependiendo de las necesidades de la organización

2. Definición del contexto organizacional

En esta etapa se requiere conocer la organización y así mismo identificar qué factores pueden

afectarla a nivel interno y externo, los elementos necesarios para proteger los recursos con

los que cuenta y como podría darse esta protección para establecer un riesgo aceptable.

3. Valoración de riesgos tecnológicos

Se identifican los activos que se protegerán y las amenazas a las cuales se encuentran

expuestos, se dan recomendaciones de los controles para la mitigación de estos riesgos.

4. Tratamiento de riesgos tecnológicos

Se establece las acciones a llevar a cabo para logar la mitigación de los riesgos encontrados

en las etapas anteriores y así tomar acciones para implementar un control para reducir,

aceptar, eliminar y transferir esos riesgos.

ISO 31000 Gestión del riesgo

Según exponen Lizarzaburu, E., Barriga, G., Noriega, L., López, L y Mejía, P., (2017). En la

guía ISO 31000 del año 2009 se precisa el riesgo como el efecto de la incertidumbre en la

consecución de los objetivos, esta es utilizable en todo tipo de riesgos ya sea financiero, de

instalaciones, de operaciones, sistémico entre otros. La ISO 31000 está basado en el

cumplimento de objetivos propuestos por los tomadores de decisión. El procedimiento de

administración de riesgos, contenido en las reglas ISO 31000, sigue el conjunto usado por la

norma australiana y neozelandesa AS / NZS 4360, que consiste en:

• Comunicación y consulta

• Introducir el contexto

• Tasación de riesgos consistente en los tres pasos de identificación, análisis y

aprobación.

• Tratamiento del riesgo

• Seguimiento y revisión

Objetivos

Los objetivos de la norma para ayudar a toda organización que la implemente son:

• Ayuda en la gestión ante acontecimientos de riesgos que se analizan.

• Proporcione una configuración para controlar riesgos, en particular para los que no

hayan sido reconocidos.

• Crear una compañía más adaptable, que permita adaptarse a riesgos futuros de manera

oportuna y logre una conveniente comunicación.

Se menciona que la ISO 31000 permite a la toda corporación que la implemente:

• Incrementar la posibilidad de alcanzar los objetivos.

• Dar una fuente confiable para decidir y la planificar.

• Optimizar tanto el aprendizaje como la flexibilidad organizacional.

• Fomentar e incentivar una gestión proactiva.

• Cumplir las exigencias legales y normativas pertinentes y con las reglas

internacionales.

• Perfeccionar la presentación de informes obligatorios y voluntarios.

• Mejorar la eficacia y la eficiencia operativa.

• Mejorar el gobierno.

• Optimizar los procesos de control.

• Mejorar la eficacia y la eficiencia operativa.

• Reformar la gestión de incidencias.

• Reducir el impacto de las pérdidas.

La ISO 31000 está estructurada en tres elementos claves para una gestión de riesgos efectiva,

transparente, sistemática y creíble. Dichos elementos son:

• Nociones de la gestión de riesgos.

• Marco de labores para la administración de riesgos.

• Proceso de administración de riesgos.

Figura. Proceso de la gestión de riesgo ISO 31000.

Fuente: Castro (2010)

En esta ilustración se da a conocer de manera simple el proceso de gestión de riesgo que

propone la ISO 31000 donde se evidencian los pasos para llegar a mitigar estos riesgos en

las operaciones de la empresa con unas definiciones claras de los elementos que son

necesarios al momento de realizar una gestión eficiente de los riesgos.

Metodología OCTAVE

Según Gómez, Pérez, Donoso y Herrera (2010). La metodología OCTAVE se centra en el

estudio de riesgos organizacionales y se focaliza principalmente en los aspectos relacionados

con el día a día de las empresas. OCTAVE estudia la infraestructura de información y, más

importante aún, la manera como dicha infraestructura se usa en el día a día. En OCTAVE se

considera que, con el fin de que una organización pueda cumplir su misión, los empleados a

todo nivel necesitan entender qué activos relacionados con la información son importantes y

cómo deben protegerlos; para ello, es fundamental que en la evaluación estén directamente

involucradas personas de diferente nivel de la organización.

Esta metodología se desarrolla en tres fases:

Fase 1. Construir perfiles de amenazas basados en los activos

Esta fase se desarrolla en cuatro etapas. Las tres primeras son talleres realizados a diferentes

niveles de la organización: directivo, gerencial, operativo y de TI. En estos talleres se

realizan actividades para identificar los activos relacionados con la información, las

amenazas que tienen, así como el impacto que tienen estas amenazas en la organización.

Para la cuarta etapa se verifica la información de las primeras tres etapas para analizar

aspectos como la completitud, coherencia y diferencias de apreciación en las diferentes áreas

de la empresa. Como resultados de esta fase se tienen:

• Activos críticos: la identificación de los activos que tienen relación con información

de mucha criticidad que tenga una importancia en la operación y la subsistencia de la

organización.

• Requerimientos de seguridad para activos críticos: Se identifican aspectos relativos

para proteger los activos críticos de la empresa.

• Perfiles de amenazas: Se muestran las distintas amenazas que presentan sobre cada

activo crítico, identifica el actor que genera la amenaza, el motivo y objeto que tenía

el actor y la manera como podía acceder al activo.

• Prácticas de seguridad: se incluyen catálogos de prácticas se seguridad y

vulnerabilidad.

Fase 2. Identificar Vulnerabilidades en la infraestructura

Se evalúan componentes para identificar las vulnerabilidades que pueden afectar los activos

críticos. Se identifican los componentes más importantes que están directamente

relacionados con cada activo critico como servidores, Routers, sistemas de backup y

almacenamiento de información, para revisar cuales son las vías de acceso al activo crítico.

Fase 3. Desarrollo estrategias y planes de seguridad

En esta última etapa se analizan las acciones a tomar conociendo los activos críticos de la

organización, se crea una estrategia se protección y planes de mitigación como:

• Identificación y evaluación de riesgos: con la información de las anteriores fases se

evalúa el impacto de los riesgos en una escala (alto, medio, bajo) teniendo en cuenta

los criterios de las primeras fases, son criterios como las pérdidas económicas,

afectación de imagen, entre otros.

• Estrategia de protección y planes de mitigación del riesgo: Se desarrollan planes de

mejora y el paso a paso para proteger los activos críticos.

Metodología

Este trabajo de investigación se adelanta bajo las premisas de la investigación de tipo

documental, su método es deductivo, el alcance descriptivo y se sistematizó la información

a través del diseño de reseñas bibliográficas y análisis a través de una matriz. Las fuentes de

información consultadas en su totalidad fueron fuentes secundarias, por ejemplo, artículos en

revistas académicas, trabajos de grado y otro tipo de documento que académicamente fuese

considerado confiable y apropiado para abordar el objeto de estudio.

En esta etapa de la investigación aún no se cuenta con un instrumento debidamente validado,

no obstante, si se ha iniciado por parte de los autores principales el proceso de

operacionalización de categorías y se espera en el corto plazo contar con un complemento a

la versión inicial de la herramienta diagnostico para realizar mediciones con respecto a

riesgos tecnológicos en pequeñas empresas.

Resultados esperados

Para la investigación se espera realizar un aporte importante en el diseño de modelo de

control organizacional que permita incluir todos los aspectos relevantes que representan los

riesgos tecnológicos en pequeñas empresas, de manera que estos puedan ser mitigados de la

mejor manera buscando fortalecer el diseño con las metodologías estudiadas para adaptar lo

mejor posible las características de estos modelos como apoyo fundamental en el desarrollo

de este proyecto.

Con base en estas metodologías se permitió obtener información acorde a los cambios

tecnológicos que pueden afectar directamente la operación y de igual forma la reputación de

las pequeñas empresas si no se tiene un control establecido para estos riesgos, las MiPymes

son gran fuente de ingresos para el país y por ende la adaptación de tecnologías y la gestión

de los riesgos que traen estas TI son un factor clave en la implementación de un sistema de

control de alta calidad.

Por último, para observar de una forma integral y a través de un análisis fundamentado en

una matriz, se les remita el anexo 1 para ampliar este último aporte (Ver anexo adjunto).

Referencias

Alvarado, J., Zabala, J., Guzmán, P., Martillo, I. (2018). El análisis y gestión de riesgos en

gobiernos de ti desde el enfoque de la metodología MAGERIT. Revista

Contribuciones a las Ciencias Sociales. Recuperado de

https://www.eumed.net/rev/cccss/2018/11/gestion-riesgos-

magerit.html//hdl.handle.net/20.500.11763/cccss1811gestion-riesgos-magerit

Bosque, J., Díaz, C., Díaz, M. A., Gómez, M., González, D., Rodríguez, V., Salado, M.

(2004). Propuesta metodológica para caracterizar las áreas expuestas a riesgos

tecnológicos mediante SIG. GeoFocus, (4) ,44-78. Recuperado de

http://geofocus.rediris.es/docPDF/Articulo3_2004.pdf

Buenrostro, E. (2015). Uso y apropiación de las tecnologías de la información y

comunicación (TIC) en las Pymes de Aguascalientes. Entreciencias: Diálogos en la

Sociedad del Conocimiento, 3,(6),27-40. Recuperado de

https://www.redalyc.org/articulo.oa?id=4576/457644944003

Camacho, Á. (2008). Impacto de la gestión tecnológica en la competitividad de las pymes

caleñas. Entramado, 4,(1),8-16. Recuperado de

https://www.redalyc.org/articulo.oa?id=2654/265420384002

Castañeda, J. (2017). Gestión, Administración de riesgos y modelos de control interno.

Revista Areandina. Recuperado de

https://digitk.areandina.edu.co/bitstream/handle/areandina/2132/RP_eje2.pdf?seque

nce=1&isAllowed=y

Gil, V., Gil, J. (2017) Seguridad informática organizacional: un modelo de simulación basado

en dinámica de sistemas. Scientia Et Technica, 22 (2), 193-197. Recuperado de

https://www.redalyc.org/pdf/849/84953103011.pdf

Gómez, R., Pérez, D., Donoso, Y. y Herrera, A. (2010). Metodología y gobierno de la gestión

de riesgos de tecnologías de la información. Revista de Ingeniería, (31), 109-118.

Recuperado de http://www.scielo.org.co/pdf/ring/n31/n31a12.pdf

Jimeno, K., Ariza, P. y Piñeres, M. (2017). Gobierno de TI en Pymes Colombianas. ¿Mito o

Realidad? Revista espacios, 38 (54). Recuperado de

http://repositorio.cuc.edu.co/bitstream/handle/11323/1996/Gobierno%20de%20TI%

20en%20Pymes%20Colombianas.%20%c2%bfMito%20o.pdf?sequence=1&isAllo

wed=y

Leal, M., Labarca, N., Bracho, O. y Vargas, V. (2018). Gestión Tecnológica en pymes del

sector textil del municipio Maracaibo-estado Zulia- Venezuela. Revista Venezolana

de Gerencia, 23, (82). Recuperado de

https://www.redalyc.org/jatsRepo/290/29056115005/29056115005.pdf

Lizarzaburu, E., Barriga, G., Noriega, L., López, L y Mejía, P., (2017). Gestión de riesgos

empresariales: Marco de revisión ISO 31000. Revista espacios, 38, (59),8.

Recuperado de

http://repositorio.ucv.edu.pe/bitstream/handle/UCV/37274/AC_Lizarzaburu_ER-

Barriga_AG-Noriega_FLE-Lopez_L-

Mej%c3%ada_PY.pdf?sequence=1&isAllowed=y

Medina, B. (2001). Metodología para la prevención de riesgos informáticos en una Pyme de

la ciudad de Cali. Revista de Ingeniería, innovación y desarrollo,1, (1). Recuperado

de https://revistas.unilibre.edu.co/index.php/riid/article/view/5277

Mejía, R. (2002) sistema de control para las pequeñas y mediana empresas. Universidad

EAFIT. Recuperado de http://publicaciones.eafit.edu.co/index.php/revista-

universidad-eafit/article/view/958/863

Pinzón, G. (2009). Acercamiento a la gestión de riesgos de TI con magerit y las 4A (tesis de

pregrado) Universidad de los Andes, Bogotá, Colombia. Recuperado de

https://repositorio.uniandes.edu.co/bitstream/handle/1992/14315/u402294.pdf?sequ

ence=1&isAllowed=y

Ramírez, A., Ortiz, Z. (2011). Gestión de riesgos tecnológicos basada en ISO 31000 e ISO

27005 y su aporte a la continuidad de negocios. Ingeniería, 16, (2), 56-66.

Recuperado de https://dialnet.unirioja.es/servlet/articulo?codigo=4797252

Soler, R., Varela, P., Oñate, A., Naranjo, E. (2018). La gestión de riesgo: el ausente recurrente

de la administración de empresas. Revista ciencia UNEMI,11, (26),51-62.

Recuperado de

https://pdfs.semanticscholar.org/4c43/9d933811a1d5f6509011b40e40584a7ce3ce.p

df