Soomro2016 ESP
Soomro2016 ESP
Soomro2016 ESP
Revista internacional de gestión de la información 36 (2016) 215–225
Listas de contenidos disponibles en ScienceDirect
Revista Internacional de Gestión de la Información
página de inicio de la revista: www.elsevier.com/locate/ijinfomgt
La gestión de la seguridad de la información necesita un enfoque más holístico: una
revisión de la literatura
Zahoor Ahmed Soomro , Mahmood Hussain Shah, Javed Ahmed
Escuela de Negocios de Lancashire, Universidad de Central Lancashire, Preston, Reino Unido
información del artículo abstracto
Historial del artículo: La tecnología de la información ha aumentado drásticamente las oportunidades comerciales en línea; sin embargo, estas oportunidades
Recibido el 24 de septiembre de 2014
también han creado serios riesgos en relación con la seguridad de la información. Anteriormente, los problemas de seguridad de la
Recibido en forma revisada el 29 de julio de 2015
información se estudiaban en un contexto tecnológico, pero las crecientes necesidades de seguridad han ampliado la atención de los
Aceptado el 9 de noviembre de 2015
investigadores para explorar el papel de la dirección en la gestión de la seguridad de la información. Varios estudios han explorado
diferentes roles y actividades de gestión, pero ninguno ha brindado una imagen completa de estos roles y actividades para administrar la
Palabras clave:
seguridad de la información de manera efectiva. Por lo tanto, es necesario acumular conocimientos sobre diversas funciones y actividades
Seguridad de información
gerenciales de la literatura para permitirles a los gerentes adoptarlas para un enfoque más holístico de la gestión de la seguridad de la
Gestión
política de seguridad de la información información. En este documento, utilizando un enfoque de revisión sistemática de la literatura, sintetizamos la literatura relacionada con los
Prácticas gerenciales roles de la administración en la seguridad de la información para explorar actividades administrativas específicas para mejorar la gestión
Arquitectura de la información empresarial de la seguridad de la información. Encontramos que numerosas actividades de gestión, particularmente el desarrollo y la ejecución de la
Alineación de TI empresarial política de seguridad de la información, la concientización, la capacitación en cumplimiento, el desarrollo de una arquitectura de información
Computación en la nube empresarial eficaz, la gestión de la infraestructura de TI, la alineación comercial y de TI y la gestión de recursos humanos, tuvieron un
Sistemático
impacto significativo en la calidad. de gestión de la seguridad de la información. Por lo tanto, esta investigación hace una contribución
Arquitectura informacional
novedosa al argumentar que se necesita un enfoque más holístico de la seguridad de la información y sugerimos las formas en que los
gerentes pueden desempeñar un papel eficaz en la seguridad de la información. Esta investigación también abre muchas nuevas vías para
futuras investigaciones en esta área.
© 2015 Elsevier Ltd. Todos los derechos reservados.
1. Introducción 2013; Siponen, Mahmood y Pahnila, 2014) sugieren que los problemas de
seguridad de la información también deben considerarse en un contexto de
Las tecnologías de la información y la comunicación (TIC) han hecho que gestión. Estas recomendaciones han despertado el interés de los autores
las compras en línea sean muy fáciles al eliminar las barreras de tiempo y por revisar la literatura existente sobre el papel informado de la gestión en la
espacio asociadas con las compras en las calles principales. Hoy en día, con seguridad de la información.
la ayuda de las TIC, es posible comprar 24 horas al día, 7 días a la semana, Este documento tiene como objetivo sintetizar la literatura existente para
con la ventaja añadida de comparar productos y precios con unos pocos comprender por qué se necesita un enfoque más holístico para la gestión de
clics. Por un lado, las TIC han creado oportunidades de negocio ilimitadas; la seguridad de la información. Esto se logra mediante la revisión y el análisis
sin embargo, por otro lado, ha generado nuevos desafíos. Estos desafíos sistemático de la literatura disponible. Se revisó y analizó la literatura de los
incluyen cambios drásticos en los diseños organizativos, los sistemas de últimos diez años con respecto a las sugerencias para los aspectos
gestión de datos, las implicaciones tecnológicas y los riesgos de seguridad gerenciales de la seguridad de la información, como el rol gerencial y las
de la información. En el pasado, la gestión de la seguridad de la información contribuciones humanas, para deducir ideas significativas. Este estudio
se trataba como un problema técnico (Singh, Picot, Kranz, Gupta y Ojha, también trató de explorar varias actividades gerenciales que son efectivas
2013) y se prestaba la mayor parte de la atención a las soluciones para la gestión de la seguridad de la información y el nivel de gestión en el
tecnológicas; sin embargo, estos no resultaron ser suficientes. Algunos que se debe tratar la seguridad de la información dentro de las organizaciones.
estudios (como, Ernst & Young, 2012; Phillips, 2013; Singh et al., Para lograr estos objetivos, se buscó la literatura existente sobre el papel de
la gestión en la seguridad de la información de varias bases de datos
electrónicas y un motor de búsqueda.
Con el uso de un proceso sistemático de revisión de la literatura, se hizo un
Autor de correspondencia.
esfuerzo por no perderse ningún trabajo relevante e importante sobre el tema.
Direcciones de correo electrónico: [email protected], [email protected] (ZA
Soomro), [email protected] (MH Shah), [email protected] (J. Ahmed).
La literatura fue analizada para una síntesis significativa con un enfoque
http://dx.doi.org/10.1016/j.ijinfomgt.2015.11.009 02684012/© 2015
Elsevier Ltd. Todos los derechos reservados.
Machine Translated by Google
216 ZA Soomro et al. / Revista Internacional de Gestión de la Información 36 (2016) 215–225
Tabla 1a
Lista de palabras clave y frases utilizadas para la búsqueda de literatura.
Tabla 1b
Lista de bases de datos y motor de búsqueda utilizados para la búsqueda de literatura.
1 Búsqueda académica completa 2 Rodaballo
sobre la búsqueda de evidencia para apoyar el uso de un enfoque más holístico para 10 años. Además, solo se incluyeron artículos en idioma inglés. Finalmente, para
la gestión de la seguridad de la información. Según nuestro conocimiento, no se ha verificar la relevancia de los artículos en el contexto de estudio, se leyeron los
realizado ningún estudio para analizar diversas actividades de gestión por su resúmenes y, en algunos casos, también se revisaron otras partes de los artículos
importancia en la gestión de la seguridad de la información. Por lo tanto, este con fines de selección. Como resultado, un total de 67 artículos se consideraron útiles
documento analiza el rol de la gerencia y las prácticas gerenciales para una gestión para este estudio.
eficaz de la seguridad de la información.
2.2. Análisis de la literatura identificada
2. Métodos de investigación
Los resultados de los artículos revisados se clasificaron en diferentes actividades
Con una revisión sistemática de la literatura existente sobre el papel de la de gestión como se informa en los artículos. El año de publicación de los artículos
gestión en la seguridad de la información, este documento tuvo como objetivo muestra las tendencias de la seguridad de la información en el contexto de gestión.
sintetizar el conocimiento existente en este dominio. Esta investigación tiene dos
partes principales. La primera parte de la búsqueda de literatura, que tiene un impacto La Tabla 2 muestra la tendencia del número de artículos publicados anualmente
crítico en la calidad de cualquier artículo de revisión. Para ello, se ha identificado desde 2004. La cantidad de artículos en los últimos tres años muestra que la
literatura relevante a través de un riguroso proceso de búsqueda sistemática. La tendencia de investigación en explorar el papel de la gestión en la seguridad de la
segunda parte consiste en el análisis y síntesis de la literatura identificada. información está creciendo.
Junto con el rol de la administración como un todo, se encontró que varios
aspectos de la administración mencionados en la Tabla 3 tienen un rol importante en
2.1. Buscando en la literatura la administración de la seguridad de la información.
La Tabla 3 muestra varios aspectos de la gestión que tienen un papel importante
Con el fin de presentar una visión general amplia sobre el papel de la gestión en la gestión de la seguridad de la información. El papel de la gestión en la seguridad
en la seguridad de la información, se llevó a cabo un proceso de búsqueda de la información es cada vez más importante y está captando la atención de los
sistemática. Se adoptó un riguroso proceso de búsqueda bibliográfica para asegurar investigadores. La literatura muestra que el desarrollo y la implementación de una
la validez y confiabilidad. En este artículo de revisión, la confiabilidad se basa en política de seguridad de la información eficaz tiene un papel fundamental en la gestión
bases de datos seleccionadas, publicaciones, el período cubierto y las palabras clave de la seguridad de la información. Los otros aspectos gerenciales discutidos en la
utilizadas para la búsqueda bibliográfica que se documentan para replicar el proceso literatura son el factor humano, la conciencia de la política de información y la
de búsqueda bibliográfica. capacitación en cumplimiento, el papel del empleado en las violaciones de datos, el
Para mayor confiabilidad, antes de la búsqueda bibliográfica se desarrolló una apoyo de la alta dirección y la integración de actividades técnicas y gerenciales para
lista de palabras clave (ver Tabla 1a) para enfocarse en estudios relevantes. una política de seguridad de la información exitosa. La función de gestión también se
Posteriormente, se buscó la literatura en ocho bases de datos y un motor de búsqueda destaca en las decisiones relacionadas con la seguridad con respecto a la
(ver Tabla 1b). Se realizaron búsquedas de palabras clave en las bases de datos computación en la nube, la alineación de la TI comercial, el desarrollo de la
especificadas en texto completo; título o resumen; y como un resultado; se arquitectura de la información empresarial y los problemas de seguridad relacionados
descargaron un total de 482 artículos para su posterior procesamiento. con las redes sociales. Todas estas actividades son elementos importantes de la
Después de la descarga, se verificó la lista en busca de repeticiones y se gestión de la seguridad de la información, por lo que la gestión puede desempeñar
eliminaron los artículos duplicados de la lista. Posteriormente, se leyó un resumen de un papel eficaz en la gestión de la seguridad de la información.
cada artículo y se realizó una mayor filtración.
La selección de los artículos más relevantes se basó en criterios de inclusión y
exclusión predeterminados. Se incluyeron artículos académicos en el campo de la 3. Antecedentes
seguridad de la información en el contexto de la gestión, independientemente de la
calificación de la revista, la metodología de investigación o la región geográfica. Sin En las organizaciones comerciales en línea, la gestión de la seguridad de la
embargo, se excluyeron artículos no académicos (libros blancos y artículos de revistas información es una preocupación principal, ya que las filtraciones de datos, el robo
de la industria), libros y ponencias de congresos por falta de rigor metodológico. de identidad y otros fraudes en línea son fatales para las organizaciones. La violación
Teniendo en cuenta el objetivo de este estudio, solo se incluyeron artículos publicados de datos es un problema muy crítico para el mundo en desarrollo. Solo en el Reino
en los últimos Unido, el 93 % de las grandes organizaciones y el 87 % de las pequeñas empresas sufrieron
Machine Translated by Google
ZA Soomro et al. / Revista Internacional de Gestión de la Información 36 (2016) 215–225 217
Tabla 2
Número anual de artículos de investigación utilizados en este estudio.
Nº de artículos 04 03 03 08 05 08 08 06 07 10 05
Año de publicacion 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 (hasta septiembre)
Tabla 3
Gestión y sus aspectos discutidos en la literatura con número de artículos.
La función de gestión es fundamental para la seguridad de la información 12
1 2 Rol de gestión en la alineación de TI empresarial y problemas de seguridad 05
3 Función de gestión en la arquitectura de la información empresarial 03
4 Función de gestión en el desarrollo de la infraestructura de la información 04
2 Impacto de la política de seguridad de la información, la concientización y la capacitación efectivas en la gestión de la seguridad de la información 13
3 Papel de los factores humanos en la gestión de la seguridad de la información 08
4 La seguridad de la información debe ser un problema a nivel de directorio 04
6 Rol del empleado en las violaciones de la seguridad de la información 03
7 Adhesión de los empleados a la política de seguridad y sus efectos 02
8 El apoyo de la alta dirección es fundamental para la seguridad de la información 05
9 Integración de actividades técnicas y gerenciales para la efectividad de la seguridad de la información 04
10 La seguridad de la información debe tratarse como un problema comercial. 03
11 Cuestiones de seguridad en la informática en la nube y la función de gestión 06
12 Rol de evaluación y gestión de riesgos de seguridad 06
13 Rol directivo en temas de seguridad relacionados con las redes sociales 02
violaciones de datos (Ring, 2013). El costo promedio de una brecha en el Reino Unido, y mayores niveles de conciencia y educación sobre políticas (Whitman, 2004). Los datos
según lo informado por Warwick Ashford, (2012), es de aproximadamente £1,4 millones, y alarmantes sobre el factor humano en las brechas de seguridad de la información invitan a
el período de recuperación a las condiciones normales es de aproximadamente 9,3 meses. los investigadores de gestión a estudiar el comportamiento humano en el contexto de la
Dichos estudios cuantifican principalmente los costos directamente relacionados con los seguridad de la información. Por lo tanto, existe la necesidad de explorar varios roles y
incidentes de violación de datos, mientras que los costos reales pueden ser mayores si se actividades gerenciales, incluida la gestión de recursos humanos para salvaguardar los
tienen en cuenta la reducción de las ventas (3 de cada 4 clientes dejan de comprar) activos de información.
(Computer Weekly, 2007), la disminución de las ganancias, la reducción de personal y otros efectos similares.
cuenta.
4. Análisis de los resultados
En un solo incidente de violación de datos en los EE. UU., se comprometieron 40
millones de números de tarjetas de crédito y alrededor de 70 millones de direcciones,
La literatura existente tiene muchos estudios sobre varios aspectos de la gestión en el
números de teléfono y otros detalles de información personal (Riley, Elgin, Lawrence y
contexto de gestión de la seguridad de la información. Para dar una imagen más clara de
Matlack, 2014). La firma afectada gastó US$ 61 millones en menos de un año del
los diferentes aspectos de la gestión, este artículo los categoriza como: seguridad y gestión
incumplimiento por daños y perjuicios y recuperación. Junto con una pérdida de efectivo, la
de la información; concienciación y formación sobre políticas de seguridad de la información;
ganancia también cayó un 46% en un trimestre del año. La situación en el resto del país es
integración de actividades técnicas y gerenciales para la gestión de la seguridad de la
muy similar, ya que en el año 2013 se reportaron 619 violaciones de datos que
información; aspectos humanos de la gestión de la seguridad de la información; y la
comprometieron alrededor de 58 millones de registros personales o financieros (Frenkel,
seguridad de la información como un tema de negocios.
2014). Los costos de las brechas de datos son muy altos: McKendrick (2013) menciona que
en promedio en los EE. UU., el costo de un incidente de brecha de seguridad fue de US$
4,4 millones para el año 2013, mientras que otra encuesta reportada por Sposito (2013)
4.1. Gestión y seguridad de la información
revela un costo promedio de US$ 9,4 millones para el 56% de las empresas encuestadas.
Por otro lado, la percepción de los clientes sobre los riesgos financieros, especialmente los
Se han desarrollado varias soluciones tecnológicas para la seguridad de la información
riesgos de pago en línea, tienen una influencia negativa en las compras en línea (Hong &
y hay más en progreso, sin embargo, los problemas de seguridad de la información son un
Cha, 2013), lo que es una gran amenaza para la industria del comercio electrónico.
gran desafío para la mayoría de las organizaciones (Grant, Edgar, Sukumar y Meyer, 2014).
Las soluciones tecnológicas también dependen de la política de seguridad de la información
La literatura existente menciona varias razones para la violación de datos. y las estrategias organizacionales, por lo que, en un aspecto más amplio, debe explorarse
desde una perspectiva gerencial. Ernst and Young (2012) sugiere que la seguridad de la
Jaeger (2013) informa que el 38 % de las causas de las filtraciones de datos fueron archivos
información debe considerarse una prioridad a nivel de la Junta, por lo que su responsabilidad
en papel perdidos, el 27 % relacionados con dispositivos de memoria portátiles extraviados
no debe limitarse únicamente a los funcionarios técnicos o de información.
y solo el 11 % se debieron a piratas informáticos. Los infiltrados maliciosos también son una
gran amenaza para la seguridad de la información debido a que, en comparación con los
Anteriormente, la seguridad de la información se consideraba en un contexto tecnológico
atacantes externos, poseen un mayor nivel de conocimiento, recursos y acceso (Vance,
(Singh et al., 2013); sin embargo, estudios de Cortada (2010), Chang y Ho (2006), Chang y
Lowry y Eggett, 2013). La violación de la política de acceso es otra amenaza interna
Lin (2007), Ernst y Young (2012), Ezingeard y BowenSchrire (2007), Knapp, Marshall,
importante, especialmente cuando va acompañada de intenciones maliciosas de fraude,
Rainer Jr. y Morrow (2006) ), Siponen et al. (2009, 2014), Phillips (2013) y Von Solms y Von
robo de propiedad intelectual, venta o divulgación de información confidencial y robo de
Solms (2004), han allanado el camino para considerar la seguridad de la información desde
identidad (Rubenstein & Francis, 2008). El Poneman Institute, 2012 revela que el 39 % de
una perspectiva gerencial.
todos los incidentes involucraron a empleados o contratistas negligentes, el 37 % se debió
a piratas informáticos o delincuentes internos y el 24 % fue el resultado de “fallas” del
sistema. Por lo que se puede argumentar que el factor humano es el eslabón más débil en La Tabla 4 muestra la literatura que sugiere un rol de gestión en la gestión de la seguridad
de la información.
la seguridad de la información (Yeniman, Ebru Akalp, Aytac, & Bayram, 2011). Por lo tanto,
En un aspecto más amplio, la gerencia tiene una responsabilidad central en los asuntos
existe la necesidad, especialmente para las organizaciones en línea, de contar con una
comerciales, por lo que tiene un impacto significativo en cada una de las actividades
política formal de seguridad de la información.
comerciales. La seguridad de la información es principalmente una cuestión de gestión y de
negocios, por lo que los altos directivos deben ser conscientes de la importancia
Machine Translated by Google
218 ZA Soomro et al. / Revista Internacional de Gestión de la Información 36 (2016) 215–225
Tabla 4
Literatura que sugiere la importancia de la gestión en la seguridad de la información.
Autor(es) y año Recomendaciones
Chang y Ho (2006) Una empresa debe tener una estructura y prácticas de gestión integrales para la seguridad de la información.
Knap et al. (2006) El apoyo de la alta dirección es el tema más crítico de un programa de seguridad de la información
Ezingeard y BowenSchrire (2007) El interés y la participación de la alta dirección son vitales para las mejoras continuas en los sistemas de seguridad de la información.
Ma et al. (2009) El apoyo a la gestión es posiblemente el componente más importante de una gestión eficaz de la seguridad de la información.
Hu, Dinev, Hart y Cooke (2012) La participación de la alta dirección en la gestión de la seguridad de la información tiene una influencia significativa en la actitud y el comportamiento
de los empleados sobre el cumplimiento de las políticas de seguridad de la información.
Whitman y Mattord (2012) La operación segura de los activos de información es una responsabilidad de la alta gerencia
Kwon et al. (2012) La participación de la alta dirección en la formulación de políticas tiene un impacto positivo en la eficacia de la seguridad de la
información
Phillips (2013) Las prácticas de gestión tienen un papel importante en la eficacia del sistema de tecnología de la información.
Tabla 5
Relación de artículos sobre política, sensibilización y formación en seguridad de la información.
Autor(es) y año Recomendaciones
Whitman (2004) La seguridad de la información necesita mayores niveles de conciencia, educación y política
Perdedor (2005) La administración de TI debe desarrollar políticas de seguridad efectivas, identificar activos críticos y fomentar la comunicación
entre TI y los administradores de riesgos.
Chang y Lin (2007) Una política y práctica de seguridad efectiva es vital para la seguridad de la información, ya que solo las medidas técnicas no son suficientes
para este propósito.
Hagen et al. (2008) La creación de conciencia sobre la seguridad de la información es más eficaz que otras medidas
Siponen et al. (2009) La visibilidad de la política de seguridad de la información tiene un impacto positivo en el comportamiento de los empleados hacia el
cumplimiento de la política
Ma et al. (2009) La capacitación en seguridad de la información es posiblemente la medida más importante para su efectividad, ya que aumenta la conciencia
y la comprensión.
Doherty et al. (2009) Las infracciones de seguridad se pueden reducir protegiendo la información de una empresa a través de una política de seguridad de la información
eficaz
Puhakainen y Siponen La capacitación en cumplimiento de políticas de seguridad de la información tiene un efecto positivo en el comportamiento de los empleados para el cumplimiento
(2010)
Albrechtsen y Hovden La participación de los empleados y la creación de conocimiento incorporan cambios positivos hacia la conciencia y el comportamiento de la
(2010) seguridad de la información.
Singh et al. (2013) Para la gestión de la seguridad de la información es necesaria una política integral y un proceso de gestión eficaz para su
implementación.
Rubenstein y Francisco (2008) Una importante amenaza interna para la seguridad de la información es la violación de la política de acceso con intenciones maliciosas.
Siponen et al. (2014) La conciencia sobre la seguridad de la información tiene un impacto significativo en el cumplimiento de la política de seguridad de la información por parte de los
empleados
Parsons et al. (2014) La capacitación y la educación para la concientización tienen un impacto positivo en la actitud y el comportamiento de los empleados hacia la
política de seguridad de la información.
de desarrollo e implementación de políticas de seguridad de la información y El desarrollo de sistemas de seguridad de la información no es suficiente
debe prestar más atención a la realización efectiva de controles de seguridad para evitar la intervención de la información por parte de los estafadores. Un
preestablecidos (Chang & Ho, 2006). Los factores organizacionales como el programa y una política de gobernanza de la seguridad de la información
tipo de industria, el tamaño y la estructura de la organización influyen eficaces; calidad del apoyo de la dirección ejecutiva (Johnston & Hale, 2009);
fuertemente en la implementación de la gestión de la seguridad de la y las revisiones continuas y la incorporación de ciertos cambios para enfrentar
información. Las grandes organizaciones financieras son relativamente más nuevos desafíos son factores clave para su efectividad (Ezingeard & Bowen
sensibles a la eficacia de la gestión de la seguridad de la información debido Schrire, 2007). Todas estas actividades necesitan el interés y la atención de la
a un mayor potencial de amenazas a la seguridad. Aparte del desarrollo de la gerencia de nivel superior, por lo que el rol de la alta gerencia puede ser
política de seguridad de la información, el apoyo de la gestión también es fundamental para una gestión eficaz de la seguridad de la información.
importante para la implementación efectiva de la política (Knapp et al., 2006; Cortada (2010) sostiene que ha habido disparidad entre las amenazas a la
Ma, Schmidt y Pearson, 2009). seguridad de la información y las respuestas de las organizaciones desde la
La estructura organizativa también es de enorme importancia en la gestión introducción de la tecnología de la información en las empresas comerciales.
de la seguridad de la información (Boss, Kirsch, Angermeier, Shingler y Boss, En una encuesta global sobre seguridad de la información realizada por Ernst
2009; Kayworth y Whitten, 2010). Ma et al. (2009) sugieren que la gestión de and Young (2012), los encuestados destacaron la falta de apoyo de la alta
la seguridad de la información requiere una estructura organizacional que dirección, las limitaciones presupuestarias, la ausencia de recursos humanos
facilite la presentación de informes, la comunicación eficiente, la autoridad calificados y la falta de herramientas como obstáculos clave para la eficacia
clara y los flujos de trabajo rápidos. La literatura existente apoya una estructura de la seguridad de la información. La dirección es responsable de abordar
formal para la mejor gestión de la seguridad de la información (Kayworth & estos obstáculos y la dirección de alto nivel debe desempeñar un papel
Whitten, 2010). También se recomienda un sistema de decisiones importante. Por lo tanto, los gerentes de seguridad de la información deberían
descentralizado para una gestión eficaz de la seguridad de la información, adoptar un enfoque más holístico de la seguridad de la información que debería
como Pulkkinen, Naumenko y Luostarinen (2007) sugieren que si se incluir la participación de la alta dirección de los etailors.
implementan las decisiones de seguridad en todos los niveles dentro de las La tecnología no puede proporcionar una solución fiable a las necesidades
organizaciones, se establecerá una arquitectura de información segura para y desafíos de seguridad de la información organizacional (Singh et al., 2013).
intercambiar información confidencial. en la red empresarial. Por lo tanto, para superar el siempre desafiante problema de la seguridad de
la información, será más eficaz un enfoque equilibrado de los factores técnicos,
humanos y organizacionales (Werlinger, Hawkey, &
Machine Translated by Google
ZA Soomro et al. / Revista Internacional de Gestión de la Información 36 (2016) 215–225 219
Tabla 6
Artículos sobre integración de actividades gerenciales y técnicas.
Autor(es) y año Recomendaciones
Ji et al. (2007) La integración de soluciones tecnológicas y de gestión es un requisito previo para combatir el robo de identidad
Young y Windsor (2010) Los datos de la organización y los recursos de información se pueden proteger de manera efectiva mediante la integración de las actividades
de seguridad de la información y planificación comercial.
Kayworth y Whitten (2010) La seguridad de la información efectiva se puede garantizar alineando múltiples factores organizacionales y sociales combinados con competencia
en tecnología
Beznosov, 2009). Los factores técnicos relacionados con la planificación y adquisición actividades, por lo que es necesario un enfoque holístico de la gestión de la seguridad
de nuevas tecnologías, las asignaciones presupuestarias y la compra de hardware y de la información para una gestión eficaz de la seguridad de la información.
software quedan a discreción de la gerencia. Los factores humanos, por ejemplo, la El conocimiento de la política de seguridad de la información hace que los
búsqueda de talentos, la contratación de personal especializado, la formación y empleados conozcan las razones para mantener los activos de información a salvo de
motivación de los empleados y la ejecución de diversas políticas, son responsabilidades ataques maliciosos y otras vulnerabilidades, mientras que la capacitación les permite
de gestión bajo el paraguas del departamento de gestión de recursos humanos. Los llevarlo a cabo de manera efectiva. Por lo tanto, ambos aspectos de la seguridad de la
factores organizacionales, como el desarrollo de políticas de seguridad, la información son tan importantes como la propia política. La Tabla 5 muestra una
concientización, el cumplimiento y la implementación de mejores prácticas, son imagen de los artículos que mencionan el rol del cumplimiento de la política de
medidas básicas para la seguridad de la información (Chang & Lin, 2007). Todas estas seguridad de la información y la efectividad de la capacitación. Una gran cantidad de
actividades son responsabilidad de la gerencia de una empresa, por lo que se puede artículos en esta tabla que mencionan el papel de la capacitación y la concientización
argumentar que se debe adoptar un enfoque más holístico para la gestión de la son evidencia de su importancia en la gestión de la seguridad de la información. Un
seguridad de la información. plan integral de seguridad de la información debe garantizar un medio de transferencia
de conocimientos sobre la importancia y las posibles amenazas a la seguridad de los
Las prácticas de gestión con respecto a la tecnología de la información son el activos de información con capacitación práctica adecuada y conciencia para cumplir
motor de la eficacia de TI (Phillips, 2013). La gerencia tiene una variedad de prácticas con la política de seguridad (Siponen et al., 2014) . El cumplimiento de la política
con respecto a la tecnología de la información, mientras que Phillips (2013) ha depende de la concientización y la capacitación: la creación de concientización es más
estudiado solo una parte de las prácticas de control de objetivos de control para TI efectiva que otras medidas para la seguridad de la información (Hagen et al., 2008) y
(COBIT). Las prácticas de mayor inversión han sido evidentes para una mayor la capacitación cambia el comportamiento de los empleados (Albrechtsen & Hovden,
protección y resistencia a los ataques de los estafadores (Khansa & Liginlal, 2009) y 2010) hacia el cumplimiento de la política.
las restricciones presupuestarias se han percibido como un obstáculo para la gestión
de la seguridad de la información (Ernst & Young, 2012). Por lo tanto, se puede sugerir La capacitación en cumplimiento tiene un papel fundamental en el desarrollo de la
que no solo las prácticas de control, sino todas las mejores prácticas de gestión conciencia y la comprensión (Ma et al., 2009), por lo que dicha capacitación puede
relacionadas con la seguridad de la información la harían más eficiente y alineada con tener un papel importante en la eficacia de la seguridad de la información. Las
los objetivos comerciales. Por lo tanto, los gerentes de seguridad de la información capacitaciones de cumplimiento no solo crean conciencia sobre la seguridad de la
deben adoptar un enfoque más holístico para incluir mejores prácticas gerenciales información, sino que también pueden impulsar el comportamiento de los empleados
para una gestión eficaz de la seguridad de la información. para evitar la violación de la política de acceso. La violación de la política de acceso
con intención maliciosa es una gran amenaza interna para la seguridad de la
información (Rubenstein & Francis, 2008), porque los empleados pueden acceder a
los datos más críticos. Por lo tanto, los entrenamientos de cumplimiento tienen efectos
4.2. Política de seguridad de la información, sensibilización y formación múltiples y significativos en la seguridad de la información de cualquier organización
(Parsons, McCormac, Butavicius, Pattinson y Jerram, 2014).
Aparte de la función de gestión en su conjunto, la literatura existente también Los programas de creación de conciencia y las capacitaciones son responsabilidad
contiene estudios sobre diversas prácticas de gestión, eficaces en la gestión de la de la gerencia, por lo que la inclusión de la gerencia general para un enfoque holístico
seguridad de la información. Las prácticas más discutidas son el desarrollo de políticas de la seguridad de la información puede hacer que la información comercial
de seguridad de la información, la concientización y capacitación de políticas y el más seguro.
cumplimiento de políticas.
La Tabla 5 representa un breve resumen de la investigación sobre la importancia
de la política de seguridad y el impacto de la concientización, capacitación y 4.3. Seguridad de la información e integración de actividades gerenciales y
cumplimiento en la efectividad de la seguridad de la información. técnicas
La política de seguridad de la información tiene un papel importante en la
seguridad de los datos organizacionales. La formulación de políticas de seguridad de La literatura existente también aboga por la integración de actividades técnicas y
la información y la implementación efectiva son dos contribuyentes principales a la de gestión para una gestión eficaz de la seguridad de la información. Como los
efectividad de la seguridad de la información (Chang & Lin, 2007; Doherty, Anastasakis sistemas de información incluyen hardware y software, la experiencia técnica en
& Fulford, 2009; Singh et al., 2013). Siponen et al. (2009) sugieren que debería haber sistemas de información es tan importante como la profesionalidad gerencial. La Tabla
una política clara de seguridad de la información en la práctica para un cumplimiento 6 presenta la literatura que sugiere la integración de las actividades técnicas y
efectivo, ya que su visibilidad tiene un impacto positivo en el cumplimiento de la política gerenciales.
de seguridad de la información por parte de los empleados. La existencia de una La literatura discutida anteriormente mencionó el papel de la gestión y las
política de seguridad de la información efectiva sin concientización y capacitación no prácticas gerenciales, mientras que algunos investigadores gerenciales (ver Tabla 6)
es muy efectiva; por lo tanto, muchos autores (como Hagen, Albrechtsen y Hovden, han sugerido la integración y alineación de las actividades gerenciales y técnicas.
2008; Ma et al., 2009; Puhakainen y Siponen, 2010; Siponen et al., 2014; Whitman, Como la gestión de la seguridad de la información se puede dividir en dos partes
2004) han sugerido que se deben introducir medidas para mejorar conciencia de la principales, es decir, técnica y gerencial, por lo que la integración de estos dos
política de seguridad de la información y la provisión de capacitación. Whitman (2004) aspectos asegurará la efectividad de la seguridad de la información (Ji, Wang, Min, &
sugiere tres factores para una gestión eficaz de la seguridad de la información: una Smith Chao, 2007; Kayworth & Whitten, 2010; Young & Windsor, 2010).
política integral; existencia de mecanismos de control de seguridad; y un programa de
sensibilización y formación. La gerencia es responsable de todos estos La dirección tiene que ocuparse de los aspectos no técnicos de la seguridad de la
información, como el desarrollo de políticas de seguridad, la formación de conciencia,
la adquisición de hardware y software de seguridad,
Machine Translated by Google
220 ZA Soomro et al. / Revista Internacional de Gestión de la Información 36 (2016) 215–225
control y decisiones sobre el tratamiento de datos. Sin el apoyo técnico de los profesionales impacto positivo en el cumplimiento de la política de seguridad de la información (Ma et al.,
de TI y seguridad, a la gerencia le resultaría difícil administrar la seguridad de la información. 2009; Puhakainen & Siponen, 2010) y un impacto negativo indirecto en el número de
Por otro lado, en la literatura existente es evidente que los profesionales de TI no pueden violaciones e incidentes de seguridad. En este punto, la dirección puede desempeñar un
salvaguardar los recursos de información sin el apoyo y la participación de la administración papel eficaz mediante el desarrollo de diversos programas de formación y concienciación
(Singh et al., 2013). Por lo tanto, se puede concluir que la protección de los activos de sobre la seguridad de la información. Por lo tanto, un enfoque más holístico de la gestión de
información y la seguridad de los datos se puede garantizar mediante la integración de la seguridad de la información, que incluya la gestión de los recursos humanos, puede
actividades técnicas y de gestión (Young & Windsor, 2010). hacerla más eficaz.
4.5. La seguridad de la información como un problema general de seguridad empresarial
4.4. La gestión de la seguridad de la información y el aspecto humano
La literatura existente sobre la seguridad de la información en el contexto de la gestión
Los seres humanos son el elemento más crítico en la gestión de la seguridad de la también incluye algunos estudios (como Goles, White y Dietrich, 2005; Kwon, Ulmer y Wang,
información. Dentro de las organizaciones, los empleados tienen un efecto bidireccional. 2012; Von Solms y von Solms, 2005) que sugieren la utilidad de ver la seguridad de la
Por un lado, los empleados pueden tener un rol negativo, por ejemplo, pueden estar información en un contexto más amplio y para que sea considerado como un problema de
involucrados en el robo de información con intenciones maliciosas y violar la política de seguridad empresarial (ver Tabla 8)
acceso, lo cual es una gran amenaza para las organizaciones empresariales (Vance et al.,
2013) . Sin embargo, por otro lado, el cumplimiento por parte de los empleados de la política La mitigación del riesgo de seguridad de la información tiene un impacto positivo en el
de seguridad, la concientización y la capacitación tendrán un impacto positivo significativo precio de las acciones y la posición de mercado de las empresas comerciales, por lo que
en la seguridad de la información. En consecuencia, existe la necesidad de analizar los debe tratarse como un problema comercial (Von Solms & von Solms, 2005). Dado que la
aspectos humanos en detalle para disminuir las deficiencias humanas y proporcionar alta dirección y las salas de juntas se ocupan de otros problemas comerciales que tienen un
eficiencias hacia una mejor gestión de la seguridad de la información. La gestión de recursos impacto en la posición comercial general, los problemas de seguridad de la información
humanos es una función de la gestión empresarial, por lo que la gestión también puede también deben discutirse allí (Chabinsky, 2014) , ya que tienen los mismos efectos. La
desempeñar un papel fundamental al monitorear, controlar y desviar el comportamiento de seguridad de la información, si se discutiera en reuniones de alto nivel, se alinearía con la
los empleados hacia una gestión eficaz de la seguridad de la información. planificación y las políticas comerciales generales, lo que garantizaría su eficacia (Kayworth
& Whitten, 2010; Young & Windsor, 2010).
La Tabla 7 destaca la literatura actual sobre los aspectos humanos de la gestión de la La seguridad de la información debe tratarse como seguridad comercial y no como un
seguridad de la información. La dirección de una empresa es responsable de todas las problema técnico (Kwon et al., 2012). Si la gerencia prioriza los asuntos de seguridad de la
actividades de recursos humanos, como la planificación, la adquisición, la motivación, la información y trata en consecuencia como se tratan otros asuntos de seguridad, no hay
formación, el modelado del comportamiento y el control de las actividades humanas en las duda de que la información estaría más protegida. La protección de los datos y la información
organizaciones, por lo que se convierte en responsabilidad de la dirección controlar y desviar frente a posibles amenazas debe formar parte de la estrategia empresarial, ya que puede
estas actividades hacia el seguridad de la información. El desarrollo de una política de ofrecer una ventaja competitiva en un mercado empresarial en línea vulnerable. El fracaso
seguridad no es una garantía de seguridad a menos que los empleados observen su o la falta de enfoque de las juntas directivas en la seguridad de la información es un fracaso
cumplimiento; sin embargo, la concienciación y la formación sobre la política de seguridad de la gestión, ya que no clasifica las vulnerabilidades de la seguridad de la información con
tienen un impacto significativo en el comportamiento de los empleados y en la intención de suficiente prioridad (Atkins, 2013). Whitman (2004) sugiere que la gerencia debe ser más
cumplir con la política de seguridad de la información (Puhakainen & Siponen, 2010). consciente de las amenazas a la seguridad, aumentar su conciencia y reconocer su
subestimación de los riesgos potenciales inherentes al entorno en línea. Por lo tanto, la
Las políticas de seguridad de la información tienen un impacto significativo en la gerencia debe adoptar un enfoque más amplio hacia la seguridad de la información y los
seguridad de los sistemas de información y las operaciones comerciales exitosas. De ahí consejos de administración deben involucrarse en los problemas de seguridad de la
que no se pueda ignorar la importancia del factor humano en la gestión de la seguridad de información.
la información. La literatura existente demuestra que el factor humano tiene un papel
fundamental en los problemas de seguridad de la información. Trcek, Trobec, Pavesic y
Tasic (2007) argumentan que los humanos son el factor más crítico de la seguridad de la
información y que en cada sistema de seguridad de la información existe una interacción 4.6. Alineación estratégica de negocios y TI/SI y temas de gestión de seguridad
compleja de factores humanos y técnicos. Por lo que este estudio sugiere que el papel de
los empleados debe ser considerado en la formulación e implementación de la política de
seguridad de la información y gestión de riesgos (Loster, 2005). La literatura existente también analiza la alineación estratégica del negocio y TI/SI para
la optimización de la seguridad de la información (consulte la Tabla 9). El problema es tan
antiguo como la introducción de TI en las organizaciones empresariales, porque la eficacia
La mayoría de las violaciones de datos y vulnerabilidades de seguridad de la de la seguridad de los sistemas de información depende de la alineación estratégica de TI
información se deben en parte a empleados ignorantes (Yeniman et al., 2011). empresarial (Anthony, Terry Lewis y Bryan, 2006; Bergeron, Raymond y Rivard, 2004).
En un estudio empírico, Jaeger (2013) informa que las causas de la filtración de datos son:
38 % debido a archivos en papel perdidos, 27 % como resultado de dispositivos de memoria Kayworth y Whitten (2010) argumentan que, debido a la falta de alineación entre los grupos
extraviados y 11 % debido a piratas informáticos. Los informes muestran que los empleados de seguridad empresarial y de TI, las políticas de seguridad y los presupuestos de seguridad
son una de las principales causas de las violaciones de datos y los riesgos de seguridad de de las empresas no reflejan las necesidades empresariales. Hablando de las competencias
la información en comparación con los piratas informáticos y las fallas del sistema. Las técnicas de la seguridad de la información , Kayworth & Whitten, (2010) sostienen que debe
razones por las que los empleados son una de las principales causas de las violaciones de complementarse con una estrategia para alinear la seguridad con las estrategias
datos pueden ser la falta de conciencia, la falta de cumplimiento de la política de seguridad organizacionales, lo que dará como resultado un mejor cumplimiento, una mejor alineación
de la información, la violación de la política de acceso (Rubenstein & Francis, 2008), la falta de políticas y menos incidentes de seguridad. Las estrategias comerciales cambian con la
de capacitación, los malos motivos (Vance et al., 2013) y las deficiencias . en el control gerencial. posición en el mercado y las incertidumbres ambientales, y la falta de consideración de la
Al abordar las deficiencias humanas en la seguridad de la información y las filtraciones gestión de la seguridad de la información provoca una alineación no sincronizada (Chen,
de datos, Hagen et al. (2008) argumentan que la creación de conciencia sobre la seguridad Sun, Helms y Jih, 2008).
de la información es la más efectiva en comparación con otras medidas. En este sentido, la
formación de los empleados para la concienciación en seguridad de la información y la Por lo tanto, dicha alineación debe garantizarse con cada cambio en la estrategia comercial,
motivación para el cumplimiento tiene una importante posiblidad. ya que la seguridad de TI es fundamental para el éxito de la organización.
Machine Translated by Google
ZA Soomro et al. / Revista Internacional de Gestión de la Información 36 (2016) 215–225 221
Tabla 7
Artículos que describen la importancia de los aspectos humanos en la gestión de la seguridad de la información.
Autor(es) y año Recomendaciones
Perdedor (2005) Los gerentes de seguridad de la información deben considerar los aspectos humanos de la seguridad de la información
Treck et al. (2007) El factor más importante para garantizar la seguridad de la información son los humanos, porque en cada sistema de seguridad de la información
existe una interacción compleja entre humanos y tecnología.
Yeniman et al. (2011) La vulnerabilidad de seguridad más común ha sido el descuido humano; el factor humano sigue siendo el eslabón más débil de la seguridad de
la información
Rhee, Ryu y Kim (2012) La gestión eficaz de la seguridad de la información debe considerar los aspectos humanos junto con las dimensiones tecnológicas
Vance et al. (2013) Los internos maliciosos que poseen un mayor nivel de conocimiento, recursos y acceso a datos son una gran amenaza para la seguridad de
la información en comparación con los externos.
Jager (2013) Las principales causas de las filtraciones de datos son los errores de los empleados y no los piratas informáticos.
Tabla 8
Artículos que sugieren la seguridad de la información como tema de seguridad empresarial.
Autor(es) y año Recomendaciones
von Solms y von Solms (2005) El gobierno de la seguridad de la información es una responsabilidad del directorio, ya que el impacto de la mitigación del riesgo tiene
efectos en el precio de las acciones y la posición en el mercado.
Kayworth y Whitten (2010) La alta gerencia y los ejecutivos de seguridad de la información deben tratar la seguridad de la información como un problema
Goles et al. (2005) comercial en lugar de un problema técnico.
Kwon et al. (2012) La seguridad de la información debe ser tratada por la alta dirección, ya que es un problema de seguridad empresarial.
Chabinsky (2014) Los problemas de seguridad cibernética deben discutirse en las salas de juntas y reuniones ejecutivas en lugar de
salas de servidores
Tabla 9
Artículos que sugieren la alineación estratégica del negocio y TI/SI.
Autor(es) y año Recomendaciones
Siponen y OinasKukkonen (2007) Es importante integrar la seguridad de la información en los aspectos principales del negocio.
Chen et al. (2008) En una estrategia comercial cambiante, la falta de consideración de los problemas de gestión de la seguridad de la información provoca
una alineación no sincronizada
Kayworth y Whitten (2010) La falta de alineación entre el grupo de seguridad y el negocio puede dar lugar a que las políticas y los presupuestos de seguridad no
reflejen las necesidades del negocio.
A medida que la TI se integra en las estrategias comerciales, se vuelve Requisitos del sistema. Incluso las mismas funciones comerciales con procesos
más crítica, por lo tanto, la gestión de su seguridad no debe dejarse solo en comerciales variados necesitan arquitecturas de información especializadas
manos de los profesionales de TI. La gestión de la seguridad de la información (Da Xu, 2011; Devece, 2013). Por lo tanto, un modelo de arquitectura de la
debe adoptar un enfoque holístico que incluya la gestión empresarial general información debe ser personalizado, teniendo en cuenta funciones y procesos
para actuar en consonancia con las estrategias empresariales. Al igual que comerciales específicos. Una arquitectura de información que integre funciones
con otras estrategias comerciales, la gestión de la seguridad de TI debe y procesos de negocio es fundamental para la continuidad del negocio, por lo
discutirse en las reuniones de la alta dirección o de la junta (Chabinsky, 2014). que su gestión de seguridad necesita la participación de los responsables de
todas las funciones de negocio.
4.7. Gestión de seguridad, infraestructura y arquitectura de la información La computación basada en la nube también presenta sus propios desafíos
empresarial/empresarial para los gerentes. Por un lado, promete oportunidades para ahorrar costos
pero, por otro lado, puede presentar muchos desafíos legales, éticos y de
Una arquitectura de información comercial/empresarial bien gestionada es seguridad. La seguridad de los datos es el principal problema de la computación
fundamental para la gestión de la seguridad de la información (Martin, Dmitriev en la nube que reduce el crecimiento de la computación basada en la nube
y Akeroyd, 2010). Pulkkinen et al. (2007) también argumentan que la (Hamlen, Kantarcioglu, Khan y Thuraisingham, 2010; Subashini y Kavitha,
arquitectura empresarial proporciona la base para la gestión de la seguridad 2011). La literatura existente es muy rica en temas de seguridad de la
de la información y funciona como una herramienta de coordinación para computación basada en la nube, ya que el 33 % de los artículos relacionados
planificar y diseñar soluciones a los problemas de seguridad. A favor de la con la computación en la nube de 2008 a 11 analizan los problemas de
noción , Johnso, Lagerström, Närman y Simonsson (2007) argumentan que el seguridad, pero en su mayoría abordan la seguridad desde la perspectiva
desarrollo de la arquitectura de la información es un enfoque establecido para técnica y las soluciones técnicas sugeridas (Yang & Tate , 2012). Si bien las
la gestión holística de los sistemas de información y sugieren que dichos decisiones sobre tener computación interna o cambiar a actividades basadas
modelos de arquitectura deberían ser susceptibles de análisis del nivel de en la nube parecen ser técnicas, los gerentes de otras áreas de negocios
seguridad de la información. Por lo tanto, se puede concluir que, en ausencia tienen un papel fundamental, dado que incluye implicaciones regulatorias,
de una arquitectura empresarial bien gestionada, la gestión de la seguridad de cambios culturales en la seguridad de la información, implicaciones de auditoría
la información no puede ser eficaz para salvaguardar los activos de información. de seguridad de la información ( Marston , Li, Bandyopadhyay, Zhang y
Para una gestión eficaz del sistema de seguridad de la información, Devece Ghalsasi, 2011) cuestiones éticas y legales (Dutta, Peng y Choudhary, 2013),
(2013) confirma el papel vital de la alta dirección, por lo que se debe adoptar auditoría de información, control de seguridad de la información y muchas
un enfoque holístico para la gestión de la seguridad de la información. otras cuestiones de gestión empresarial (Marston et al., 2011). Marston et al.
La noción de arquitectura de la información es una herramienta prometedora (2011) declara una necesidad urgente de comprender los problemas
para integrar y expandir los procesos comerciales a través de los límites de relacionados con los negocios que rodean a la computación en la nube.
las funciones comerciales (Da Xu, 2011). Jung y Joo (2011) describen las Refiriéndose al rol de la alta dirección en la gestión de la seguridad de la
diferentes necesidades de las diferentes funciones comerciales y argumentan información, Rebollo et al. (2012) sugieren que la alta dirección debe definir una estrateg
que las diferentes funciones comerciales representan información distinta.
Machine Translated by Google
Cuadro
10 Resumen de gestión, actividades de gestión y trabajos citados en cada una.
Autor
Whitman (2004)
Bergeron et al. (2004)
Alter y Sherer (2004)
Goles et al. (2005)
Gestión/prácticas de gestión
Función
general de
gestión
Elaboración de
políticas de
seguridad de SI
Factor
humano/HRM
La seguridad de SI como
un problema a nivel de
directorio
ES seguridad
conciencia
y
capacitación
en cumplimiento
√
Apoyo de la
alta dirección
Integración de
actividades
técnicas y
gerenciales
222
La seguridad de SI
como un asunto de
negocios
√
Alineación TI/SI Arquitectura
empresarial
√
informacional
SI riesgo de
seguridad
evaluación
√
Cuestiones
de gestión de
seguridad y
computación en la nube
Perdedor (2005) √
Gesti
Revis
(201
Soom
Infor
225
215
al. /
36
Inter
de
ZA
la
et von Solms y von Solms (2005)
Chang y Ho (2006)
Knap et al. (2006)
Antonio et al. (2006)
Chang y Lin (2007)
Ezingeard y BowenSchrire (2007) √ Ji et al.
(2007)
Treck et al. (2007)
Hicks (2007)
Pulkkinen et al. (2007)
Johnson et al. (2007)
Hagen et al. (2008)
Chen et al. (2008)
Bodín et al. (2008)
Salmela (2008)
Doherty et al. (2009)
Johnston y Hale (2009)
Ma et al. (2009)
Siponen et al. (2009)
Werlinger et al. (2009)
Albrechtsen y Hovden (2010)
Kayworth y Whitten (2010)
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
Puhakainen y Siponen (2010) √
Young y Windsor (2010) √
Hamlen et al. (2010) √
Yeniman et al. (2011) √ √
Feng y Li (2011) √ √
Subashini y Kavitha (2011) √ √
Marston et al. (2011) √ √
Hu et al. (2012) √
Rhee, Ryu y Kim (2012) √
Whitman y Mattord (2012) √
Ryan et al. (2012) √
Yang y Tate (2012) √
Rebollo et al. (2012) √
Atkins (2013) √
Jager (2013) √
Alaeddini y Salekfard (2013) √
Kwon et al. (2012) √ √
Phillips (2013) √
Rubenstein y Francisco (2008) √
Singh et al. (2013) √ √
Vance et al. (2013) √
Alaeddini y Salekfard (2013) √
Dutta et al. (2013) √
Chabinsky (2014) √
Parsons et al. (2014) √ √
Siponen et al. (2014) √
Dutot, Bergeron y Raymond (2014) √
Zang (2014) √
Machine Translated by Google
ZA Soomro et al. / Revista Internacional de Gestión de la Información 36 (2016) 215–225 223
seguridad de los activos de información antes de cambiar a la computación trata de la gestión, por lo que se recomienda un enfoque holístico de la gestión
basada en la nube. de la seguridad de la información.
Las decisiones relativas a la adopción de software propietario o de código
abierto dependen de las necesidades comerciales estratégicas, en particular los
requisitos de confidencialidad y seguridad. Hay argumentos mixtos sobre los 5. Resumen de la literatura
niveles de seguridad comparativos del software de código abierto y propietario
(Heron, Hanson y Ricketts, 2013). A favor del software de código abierto, Bouras, La administración, con sus actividades especializadas dirigidas a la seguridad
Kokkinos y Tseliou (2013) concluyen que ocultar el código fuente de un sistema de la información, juega un papel crítico en el éxito de la administración de la
no proporciona ninguna seguridad adicional y que un sistema de código abierto seguridad de la información. La Tabla 10 representa un resumen de varias
tiene la ventaja de los ajustes para mejorar las medidas de seguridad según las actividades de gestión y estudios de exploración sobre su efectividad en la
sugerencias. por revisores expertos. En contraste, Hoepman y Jacobs (2007) seguridad de la información.
debaten que mantener la fuente cerrada evita que los atacantes tengan fácil La Tabla 10 muestra las actividades de gestión que tienen un papel positivo
acceso a la información. King, Smith y Williams (2012) en un estudio empírico en la seguridad de la información junto con una lista de investigadores que
sobre la auditoría de seguridad del software médico concluyeron que el software exploraron estas actividades. El papel de la gestión en la seguridad de la
de código abierto satisfecho el 62,5% y propietario sólo el 19% durante la información está ganando importancia y aumentando la atención de los
auditoría de seguridad. La investigación sobre si el código abierto o el propietario investigadores en esta área. La literatura otorga importancia al papel crítico de la
es más seguro aún está en curso, por lo que no se puede decidir cuál es más administración en el desarrollo e implementación de una política de seguridad de
seguro. Con respecto a la adopción de software de código abierto o propietario, la información efectiva para mitigar los riesgos de seguridad de la información.
Caulkins et al. (2013) concluyen que el software de código abierto o propietario Varios investigadores enfatizan la alineación estratégica del negocio y TI/SI, en
necesita múltiples consideraciones, por lo que la gerencia de campos relación con su criticidad para la gestión de la seguridad de la información. Los
diversificados debe participar en dicha toma de decisiones. otros temas relacionados con la gestión de la seguridad de la información, como
la computación en la nube, la gestión de la arquitectura de la información
empresarial; la infraestructura de la información y los mecanismos de evaluación
La evaluación de riesgos de seguridad de la información es una parte crítica de la vulnerabilidad también necesitan coordinación gerencial interfuncional. El
de la gestión de riesgos, que incluye la evaluación de riesgos utilizando enfoques factor humano en la seguridad de la información recibe más espacio en la
cualitativos y cuantitativos e incorporando medios para contrarrestar estas literatura debido a su importante papel en la violación de datos y el cumplimiento
vulnerabilidades (Zang, 2014). Los enfoques cuantitativos consideran la de las políticas de seguridad de la información. También se sugiere la creación
exposición al riesgo sobre la probabilidad de amenaza y la pérdida esperada de conciencia y la formación en seguridad de la información por su importancia
debido a la vulnerabilidad de la organización ante la amenaza (Bodin, Gordon, & para la eficacia de la política de seguridad. Las otras actividades discutidas en la
Loeb, 2008), mientras que los enfoques cualitativos se basan en pérdidas literatura son el apoyo de la alta dirección y la integración de actividades técnicas
potenciales estimadas por expertos (Feng & Li, 2011). Teniendo en cuenta las y gerenciales para una política de seguridad de la información exitosa. Estas
complejidades de las empresas, Feng y Li (2011) sugieren que se deben utilizar actividades tienen un impacto significativo en la seguridad de la información y la
ambos enfoques al evaluar el riesgo de seguridad de la información (Alter & gerencia es responsable de todos estos aspectos. Por lo tanto, se puede sugerir
Sherer, 2004; Salmela, 2008). adoptar un enfoque más holístico para la gestión de la seguridad de la información
Ryan, Mazzuchi, Ryan, López de la Cruz y Cooke (2012) argumentan que cada que debería incluir todas aquellas actividades gerenciales que tienen un impacto
enfoque tiene algunas debilidades, por lo que la gerencia tiene una mayor significativo en la seguridad de las fuentes de información.
responsabilidad para desarrollar o adoptar un enfoque o uno mixto y hacer
ajustes en vista de la infraestructura de información. . La gerencia también tiene
que desarrollar estrategias para contrarrestar esas vulnerabilidades, a través de
medios técnicos y sociales. Las decisiones de gestión relacionadas con el control
de acceso, la política de seguridad, la seguridad del hardware, la provisión 6. Conclusión
financiera, la concienciación sobre la seguridad, la formación y la gestión de los
recursos humanos tienen un impacto crítico en la eficacia de las medidas, lo que La literatura existente en gestión muestra que anteriormente, el rol de gestión
solo es posible mediante un enfoque holístico de la gestión de la seguridad de la se exploró en relación con el desempeño organizacional, la productividad y las
información. perspectivas de recursos humanos. La introducción de la tecnología de la
información en las empresas y la aparición de los mercados comerciales en línea
han ampliado el alcance de la gestión. La investigación actual está más
preocupada por el papel de la administración en la seguridad de la información.
4.8. Gestión de redes sociales y seguridad. La tendencia de considerar a los profesionales de TI como responsables de la
seguridad de la información ha cambiado y ahora se cree que la administración
El crecimiento de las redes sociales en las corporaciones ha abierto muchas es responsable de la seguridad de la información. Se están explorando varias
oportunidades e inquietudes. La principal preocupación en las redes sociales es prácticas de gestión relacionadas con su importancia en la gestión de la seguridad
la seguridad de la información y la privacidad. Las redes sociales promueven la de la información. Según nuestra información, ningún estudio de este tipo está
apertura y el intercambio de información sin restricciones, lo que puede no ser disponible en la literatura que haya presentado todas las actividades en un solo
coherente con la cultura, las políticas y las prácticas de una organización (Fagnot lugar, por lo que este es el primer estudio de su naturaleza y, por lo tanto, hace
& Paquette, 2010). En lugar de amenazas internas, Fagnot y Paquette (2010) una contribución teórica importante. Este estudio sugiere que los problemas de
argumentan que las prácticas en las redes sociales y la cultura deseada de seguridad de la información deben ser considerados como una responsabilidad
seguridad de la información en las organizaciones no son compatibles. Por el de la gerencia, ya que tiene un impacto en la posición de mercado de una
contrario, Patel y Jasani (2010) argumentan que las redes sociales presentan empresa (Von Solms & von Solms, 2005).
muchas ventajas a las empresas, en particular a sus empleados, porque pueden
tener un entorno abierto en el que discutir ideas, colaborar e interactuar y Este estudio también aconseja a las organizaciones que adopten un enfoque
ejemplificar el uso de las redes sociales de IBM. Hay muchas teorías sobre si las más holístico para la gestión de la seguridad de la información que incluya: la
políticas corporativas deben o no controlar el uso de las redes sociales por parte participación de la dirección desde la dirección de alto nivel; administración de
de los empleados (Patel & Jasani, 2010). La formulación y ejecución de políticas recursos humanos; desarrollo y ejecución de políticas de seguridad de la
de control de las redes sociales es una de las principales información; concienciación y formación en seguridad de la información; y la
participación de los tomadores de decisiones estratégicas.
Machine Translated by Google
224 ZA Soomro et al. / Revista Internacional de Gestión de la Información 36 (2016) 215–225
7. Limitaciones y futuras investigaciones Encuesta de seguridad de la información /$FILE/2012 Encuesta global de seguridad de la información
Luchando para cerrar la brecha.pdf.
Ezingeard, J. y BowenSchrire, M. (2007). Disparadores de cambio en la información.
Aunque utilizamos un enfoque riguroso para buscar literatura relacionada, aún prácticas de gestión de la seguridad . Revista de Gestión General , 32(4), 53–72.
existen algunas limitaciones con respecto a los términos de búsqueda utilizados y Fagnot, I., Paquette, S., (2010). Uso de las redes sociales y actitudes de los empleados hacia la seguridad
de la información.
los artículos identificados. En primer lugar, solo se utilizaron términos en inglés y no
Feng, N. y Li, M. (2011). Un modelo de evaluación de riesgos de seguridad de los sistemas de información
se incluyeron publicaciones en otros idiomas para este estudio. En segundo lugar, en un entorno incierto . Informática blanda aplicada , 11(7), 4332–4340.
se utilizó una lista de términos de búsqueda predefinidos que pueden causar que Frenkel, KA (2014). Qué hacer después de una brecha de seguridad . Perspectiva del CIO , 1.
Goles, T., White, GB y Dietrich, G. (2005). Pantalla oscura : un ejercicio de ciberseguridad . MIS
parte de la literatura quede sin detectar. Se debe realizar un proceso de búsqueda
Quarterly Executive, 4(2), 303–318.
alternativo con términos de búsqueda recopilados durante el análisis de la literatura Grant, K., Edgar, D., Sukumar, A. y Meyer, M. (2014). ' Negocio arriesgado ' : percepciones del riesgo del
para encontrar más literatura. comercio electrónico por parte de las pequeñas y medianas empresas (PYME) del Reino Unido.
Revista internacional de gestión de la información , 34(2), 99–122.
relevante para esta revisión. Probar empíricamente los hallazgos de esta
Hagen, JM, Albrechtsen, E. y Hovden, J. (2008). Implementación y efectividad de las medidas organizacionales
investigación mediante encuestas cuantitativas y estudios de casos cualitativos de seguridad de la información . Gestión de la información y seguridad informática, 16(4), 377–397.
también podría mejorar nuestra comprensión de los problemas destacados en este
documento. Este documento también sugiere analizar los problemas relacionados Hamlen, K., Kantarcioglu, M., Khan, L. y Thuraisingham, B. (2010). Problemas de seguridad para la
computación en la nube . Revista internacional de seguridad y privacidad de la información (IJISP), 4(2),
con la seguridad en la arquitectura empresarial, la infraestructura de la información 36–48.
y la computación basada en la nube desde la perspectiva de la gestión. Garza, M., Hanson, VL y Ricketts, I. (2013). Código abierto y accesibilidad: ventajas y limitaciones.
Revista de Ciencias de la Interacción, 1(1), 1–10.
Hoepman, J. y Jacobs, B. (2007). Mayor seguridad a través de código abierto .
Comunicaciones de la ACM, 50(1), 79–83.
Referencias Hicks, B. (2007). Gestión de la información ajustada : comprender y eliminar el desperdicio. Revista internacional
de gestión de la información, 27(4), 233–249.
Hong, IB y Cha, HS (2013). El papel mediador de la confianza del consumidor en una red
Alaeddini, M. y Salekfard, S. (2013). Investigar el papel de una empresa
proyecto de arquitectura en la alineación negocioTI en Irán. Fronteras de los sistemas de información , comerciante en la predicción de la intención de compra . Revista internacional de gestión de la
15(1), 67–88. información, 33(6), 927–939.
Hu, Q., Dinev, T., Hart, P. y Cooke, D. (2012). Gestión del cumplimiento de las políticas de seguridad de la
Albrechtsen, E. y Hovden, J. (2010). Mejorar la conciencia y el comportamiento de la seguridad de la
información por parte de los empleados : el papel fundamental de la alta dirección y la cultura organizacional .
información a través del diálogo, la participación y la reflexión colectiva . Un estudio de intervención .
Decision Sciences, 43(4), 615–660.
Informática y seguridad, 29(4), 432–445.
Jaeger, J. (2013). El error humano , no los piratas informáticos, causa la mayoría de las filtraciones de datos . Semana
Alter, S. y Sherer, SA (2004). Un modelo general, pero fácilmente adaptable, de
de Cumplimiento , 10(110), 56–57.
riesgo del sistema de información . Comunicaciones de la Asociación de Sistemas de Información ,
14(1), 1. Ji, S., Wang, J., Min, Q., SmithChao, S., (2007). Plan de sistemas para combatir la usurpación de identidadUn
Anthony, B., Terry Lewis, BR y Bryan, RW (2006). La influencia multiplicadora de marco teórico. Comunicaciones inalámbricas, redes y computación móvil, 2007. WiCom 2007. Conferencia
alineación estratégica en la inversión en TI: un examen empírico . Información y Gestión, 43(3), 308–321. internacional sobre, 6402–6405.
Johnson, P., Lagerström, R., Närman, P. y Simonsson, M. (2007). Empresa
análisis de arquitectura con diagramas de influencia extendidos . Fronteras de los sistemas de información ,
Atkins, B. (2013). El enfoque de la junta en la seguridad cibernética: la perspectiva de un director . Asesor de
9(2–3), 163–180.
Gobierno Corporativo , 21(4), 24–26.
Bergeron, F., Raymond, L. y Rivard, S. (2004). Patrones ideales de alineación estratégica y desempeño del Johnston, AC y Hale, R. (2009). Mejora de la seguridad a través de la gobernanza de la seguridad de la
negocio . Información y gestión, 41(8), 1003–1020. información . Comunicaciones de la ACM, 52(1), 126–129.
Jung, Y. y Joo, M. (2011). Marco de modelado de información de construcción (BIM) para la implementación
Bodin, LD, Gordon, LA y Loeb, MP (2008). Seguridad de la información y gestión de riesgos .
práctica . Automatización en la Construcción, 20(2), 126–133.
Comunicaciones de la ACM, 51(4), 64–68.
Boss, SR, Kirsch, LJ, Angermeier, I., Shingler, RA y Boss, RW (2009). Si alguien está mirando, haré Kayworth, T. y Whitten, D. (2010). La seguridad de la información efectiva requiere una
lo que me pidan: obligatoriedad, control y seguridad de la información . Revista Europea de equilibrio de factores sociales y tecnológicos . MIS Quarterly Executive, 9(3), 163–175.
Sistemas de Información , 18(2), 151–164. Khansa, L. y Liginlal, D. (2009). Cuantificar los beneficios de invertir en seguridad de la
Bouras, C., Kokkinos, V. y Tseliou, G. (2013). Metodología para público información . Comunicaciones de la ACM, 52(11), 113–117.
King, J., Smith, B. y Williams, L. (2012). Mecanismos de auditoría en los sistemas de registros de salud
administradores para seleccionar entre software de código abierto y propietario .
electrónicos : la información de salud protegida puede seguir siendo vulnerable a un uso indebido no
Telemática e Informática, 30(2), 100–110.
detectado. Revista Internacional de Modelos Computacionales y Algoritmos en Medicina (IJCMAM),
Caulkins, JP, Feichtinger, G., Grass, D., Hartl, RF, Kort, PM y Seidl, A. (2013).
3(2), 23–42.
Cuándo hacer software propietario de código abierto . Journal of Economic Dynamics and Control, 37(6),
Knapp, KJ, Marshall, TE, Rainer, RK, Jr. y Morrow, DW (2006). la parte superior
1182–1194.
problemas de seguridad de la información que enfrentan las organizaciones: ¿qué puede hacer el gobierno
Chabinsky, S. (2014). La necesidad comercial de la ciberseguridad: no es un problema de TI.
para ayudar? Seguridad de la red , 1, 327.
Seguridad: soluciones para líderes de seguridad empresarial , 51(3), 56.
Chang, SE y Ho, CB (2006). Factores organizacionales para la efectividad de Kwon, J., Ulmer, JR y Wang, T. (2012). La asociación entre la participación de la alta dirección y la
implementar la gestión de la seguridad de la información . Gestión industrial y sistemas de datos, 106(3), compensación y las violaciones de la seguridad de la información . Revista de Sistemas de Información ,
345–361. 27(1), 219–236.
Perdedor, PC (2005). Gestionar el riesgo del comercio electrónico para mitigar las pérdidas. ejecutivo financiero ,
Chang, SE y Lin, C. (2007). Explorando la cultura organizacional para la información
gestión de la seguridad . Gestión industrial y sistemas de datos, 107(3), 438–458. 21(5), 43–45.
Ma, Q., Schmidt, MB y Pearson, JM (2009). Un marco integrado para la gestión de la seguridad de la
Chen, R., Sun, C., Helms, MM y Jih, W. (2008). Alineación de la tecnología de la información y la estrategia
información . Revista de Negocios, 30(1), 58–69.
empresarial con una perspectiva de capacidades dinámicas: un estudio longitudinal de una empresa de
Marston, S., Li, Z., Bandyopadhyay, S., Zhang, J. y Ghalsasi, A. (2011). Computación en la nube : la
semiconductores de Taiwán. Revista Internacional de Gestión de la Información, 28(5), 366–378.
perspectiva empresarial . Sistemas de apoyo a la toma de decisiones , 51(1),
176–189.
Computadora Semanal, (2007). Las empresas ignoran la amenaza a la reputación de las filtraciones
Martin, A., Dmitriev, D. y Akeroyd, J. (2010). Un resurgimiento del interés por
de datos. Obtenido de http://www.computerweekly.com/news/2240082499/Companiesignore
arquitectura de la información Revista internacional de gestión de la información, 30(1), 6–12.
reputationthreatfromdatabreaches .
Cortada, JW (2010). Cómo las sociedades adoptan la tecnología de la información: lecciones para la
McKendrick, J. (2013). Una lección de gestión de riesgos . Noticias de redes de seguros ,
gerencia y el resto de nosotros. Hoboken, NJ, EE. UU.: John Wiley & Sons, Inc. http://dx.doi.org/
10.1002/9780470643938, ch4 Da Xu, L. (2011). Sistemas empresariales : estado del arte y 16(5), 24–26.
tendencias futuras . Informática industrial , IEEE Transactions on, 7(4), 630–640. Parsons, K., McCormac, A., Butavicius, M., Pattinson, M. y Jerram, C. (2014).
Determinación de la conciencia de los empleados utilizando el cuestionario sobre aspectos humanos de
la seguridad de la información (HAISQ). Informática y Seguridad, 42, 165–176.
Devece, C. (2013). El valor de la información de los gestores de empresas
Patel, N. y Jasani, H. (2010). Políticas de seguridad en redes sociales : Directrices para organizaciones.
competencia tecnológica. The Service Industries Journal, 33(7–8), 720–733.
Problemas en los sistemas de información , 11(1), 628–634.
Doherty, NF, Anastasakis, L. y Fulford, H. (2009). La política de seguridad de la información al descubierto: un
Phillips, B. (2013). Práctica de gestión de tecnología de la información: impactos sobre la eficacia. Journal of
estudio crítico del contenido de las políticas universitarias . Revista internacional de gestión de la información,
Organizational & End User Computing, 25(4), 50–74. http://dx.doi.org/10.4018/joeuc.2013100103
29(6), 449–457.
Dutot, V., Bergeron, F. y Raymond, L. (2014). Gestión de la información para la internacionalización de las
Instituto Poneman, (2012). Estudio sobre el costo de la violación de datos de 2011: Estados Unidos. Obtenido de
PYMES: un estudio exploratorio basado en una perspectiva de alineación estratégica . Revista
http://www.ponemon.org/local/upload/file/2011 US CODB FINAL 5.pdf.
Internacional de Gestión de la Información , 34(5),
672–681. Puhakainen, P. y Siponen, M. (2010). Mejorar el cumplimiento de los empleados a través de la capacitación en
seguridad de los sistemas de información : un estudio de investigación de acción . Mis Quarterly, 34(4), 757–
Dutta, A., Peng, G. y Choudhary, A. (2013). Riesgos en la computación en la nube empresarial : la perspectiva
778.
de los expertos en TI. Revista de Sistemas de Información Informática , 53(4), 39–48.
Pulkkinen, M., Naumenko, A. y Luostarinen, K. (2007). Gestión de la seguridad de la información en una red
empresarial de servicios de mantenimiento de maquinaria
Ernst, Young, (2012). Luchando para cerrar la brecha. Obtenido de http://www.ey. com/Publication/
vwLUAssets/Fighting para cerrar la brecha: 2012 Global
Machine Translated by Google
ZA Soomro et al. / Revista Internacional de Gestión de la Información 36 (2016) 215–225 225
arquitectura negocioempresa como herramienta de coordinación. Diario de Sistemas y Software, 80(10), Trcek, D., Trobec, R., Pavesic, N. y Tasic, JF (2007). Seguridad de los sistemas de información y comportamiento
1607–1620. humano . Comportamiento y tecnología de la información, 26(2), 113–118.
Rebollo, O., Mellado, D., & FernándezMedina, E. (2012). Una revisión sistemática de los marcos de gobierno
de la seguridad de la información en el entorno de computación en la nube . J.UCS, 18(6), 798–815. Vance, A., Lowry, PB y Eggett, D. (2013). Uso de la rendición de cuentas para reducir las violaciones de las
políticas de acceso en los sistemas de información . Revista de Sistemas de Información de Gestión ,
Rhee, H., Ryu, YU y Kim, C. (2012). Optimismo poco realista sobre la seguridad de la información 29(4), 263–290.
gestión. Informática y seguridad, 31(2), 221–232. Von Solms, B. y Von Solms, R. (2004). Los 10 pecados capitales de la seguridad de la información
Riley, M., Elgin, B., Lawrence, D., Matlack, C., (2014). Alarmas perdidas y 40 millones de números de tarjetas gestión. Informática y seguridad, 23(5), 371–376.
de crédito robados: cómo lo arruinó el objetivo. Obtenido de http://www. businessweek.com/articles/ von Solms, B. y von Solms, R. (2005). ¿ De la seguridad de la información a la seguridad empresarial ?
20140313/targetmissedalarmsinepichack ofcreditcarddata#p2. Informática y seguridad, 24(4), 271–273.
Warwick Ashford, (2012). Muchas empresas del Reino Unido subestiman el costo de las filtraciones de
Anillo, T. (2013). ¿ Una brecha demasiado lejana? Fraude informático y seguridad, 2013(6), 5–9. datos, según un estudio. Obtenido de http://www.computerweekly.com/news/2240171040/ManyUK
Rubenstein, S. y Francisco, T. (2008). ¿ Están en riesgo sus registros médicos ? pared de la calle firmsunderestimatecostofdatabreachesstudy finds .
Revista— Edición del Este, 251(100), D1–D2.
Ryan, JJ, Mazzuchi, TA, Ryan, DJ, López de la Cruz, Juliana y Cooke, R. (2012). Werlinger, R., Hawkey, K. y Beznosov, K. (2009). Una visión integrada de los desafíos humanos,
Cuantificación de los riesgos de seguridad de la información utilizando la obtención del juicio de expertos . organizacionales y tecnológicos de la gestión de la seguridad de TI .
Computadoras e investigación de operaciones, 39(4), 774–784. Gestión de la información y seguridad informática, 17(1), 4–19.
Salmela, H. (2008). Análisis de pérdidas comerciales causadas por el riesgo de los sistemas de información : Whitman, ME (2004). En defensa del reino: comprender las amenazas a
un enfoque de análisis de procesos comerciales . Revista de tecnología de la información, 23(3), 185– seguridad de la información Revista internacional de gestión de la información , 24(1), 43–57.
202.
Singh, AN, Picot, A., Kranz, J., Gupta, MP y Ojha, A. (2013). Prácticas de gestión de seguridad de la información Whitman, ME y Mattord, HJ (2012). Gobernanza de la seguridad de la información para el
(ISM): lecciones de casos seleccionados de India y Alemania. Revista global de gestión de sistemas ejecutivo de negocios no relacionado con la seguridad . Revista de Educación Ejecutiva , 11(1), 97–111.
flexibles, 14(4), 225–239. http://dx.doi.org/10.1007/s4017101300474 _ Yang, H. y Tate, M. (2012). Una revisión descriptiva de la literatura y clasificación de la investigación en
computación en la nube . Comunicaciones de la Asociación de Sistemas de Información , 31(2), 35–
Siponen, M., Mahmood, MA y Pahnila, S. (2009). ¿ Los empleados ponen en riesgo a su empresa al no 60.
seguir las políticas de seguridad de la información ? Yeniman, Y., Ebru Akalp, G., Aytac, S. y Bayram, N. (2011). Factores que influyen
Comunicaciones de la ACM, 52(12), 145–147. gestión de seguridad de la información en pequeñas y medianas empresas: un estudio de caso de
Siponen, M., Mahmood, MA y Pahnila, S. (2014). Adhesión de los empleados a las políticas de seguridad turquía. Revista Internacional de Gestión de la Información, 31(4),
de la información : un estudio de campo exploratorio . Información y Gestión, 51(2), 217–224. 360–365.
Young, R. y Windsor, J. (2010). Evaluación empírica de la seguridad de la información
Siponen, MT y OinasKukkonen, H. (2007). Una revisión de los problemas de seguridad de la información planificación e integración. Comunicaciones de la Asociación de Sistemas de Información , 26(1),
y las respectivas contribuciones de investigación . Base de datos ACM Sigmis , 38(1), 245–266.
60–80. Zang, WL (2014). Investigación del método de evaluación cuantitativa de la seguridad de la información .
Posito, S. (2013). A raíz de las filtraciones de datos , los bancos enfrentan enormes pérdidas: encuesta. Mecánica aplicada y materiales, 513, 369–372.
Banquero estadounidense , 178(122), 17.
Subashini, S. y Kavitha, V. (2011). Una encuesta sobre problemas de seguridad en los modelos de prestación
de servicios de computación en la nube . Revista de aplicaciones informáticas y de redes , 34(1), 1–11.