Os dados são o maior ativo empresarial pois predizem eventos e aprimoram a estratégia (Mintzberg, 1994; Andrews, 1971; Porter, 1999; Prahalad e Hamel, 1990), proporcionando assim aumento da competitividade empresarial e que atenda a uma maior complexidade para a tomada de decisão (Bonabeau, 2002). Esses dados também devem estar seguros, deve-se manter a privacidade dos usuários e clientes devido à Lei Geral de Proteção de Dados (LGPD) e também ampliar os controles das vulnerabilidades diversas (Singh e Margam, 2018), limitações em autenticação e excessos de autorização, bem como comportamento indevido de usuários (Park e Chai, 2018). Assim pode-se melhor garantir a segurança de sistemas e esta pode ocorrer através de uma adequada governança corporativa de TI monitorada por frameworks ou padrões como o COBIT (Debreceny e Gray, 2013; Alkhaldi, Hammami e Uddin, 2017).
COBIT se refere a um framework u guia de boas práticas que avalia sistemas em um contexto de Governança de TI (ITGI, 2015; ISACA, 2018; COBIT 5, 2018), em que este trabalho analisou impactos junto a seus 37 processos e 4 domínios: 1) Planejamento e Organização (PO), 2) Aquisição e Implementação (AI), 3) Entrega e Suporte (DS) e 4) Monitoramento (MO). Assim, metodologicamente com a análise quantitativa de dados envolvendo correlação e regressão linear múltipla se avaliou a segurança de sistemas (processo DS5 – Garantir segurança de sistemas do COBIT), que se considerou níveis de maturidade em uma escala de 0 a 5 em 275 empresas da região Sul do Brasil.
Foram efetuadas três análises de regressão múltipla, uma para cada domínio, em que Y foi DS5 e X foram todos os processos do domínio em análise e finalmente se escolheu a variável X mais relevante de cada um dos três domínios e análises conjuntas foram realizadas em uma análise de regressão múltipla. Em todas as análises, o nível de significância escolhido foi 0,05, isto é, foi considerado estatisticamente significativo qualquer valor-P inferior a 0,05. Com isso, resultados foram sendo alcançados iniciando pelos coeficientes de correlação de Pearson e não paramétrico de Spearman, entre os escores obtidos para o DS5 e cada um dos processos de três domínios do COBIT.
Se avaliou o efeito geral de domínios sobre o valor de DS5 e sendo ajustados os demais domínios e assim os processos MO (domínio que trata da avaliação regular dos processos para assegurar a qualidade e a aderência aos requisitos de controle) são os que mais impactam no DS5. Esse domínio corresponde a processos relacionados a monitorar o desempenho da TI, monitorar e avaliar o controle interno, assegurar a conformidade regulatória e promover propriamente a governança de TI.
Palabras clave
Ponencia Online
Documentación de apoyo a la presentación ONLINE de la ponencia
Francisco Casimiro Lubalo
Comentó el 11/12/2020 a las 02:25:01
Bom dias, prezados colegas congresistas.
Felicitações e queiram aceitar meu humilde reconhecimento pela brilhante prelecção.
Gostaria de conhecer o Vosso ponto de vista sobre: como lograr uma estratégia empresarial que logre e mantenha os níveis de competitividade considerando as atuais limitações impostas pela pandemia por COVID-19?
Responder
Adolfo Alberto Vanti
Comentó el 11/12/2020 a las 13:54:56
Estimado Francisco, gracias por las felicitaciones y por la pregunta. Lo mismo deseamos a ti muchas felicitaciones en este reconocido Evento Nodos. Su pregunta es de altísima complejidad y un poco adyacente al tema por nosotros defendido. Sin embargo, podríamos direccionar alguna reflexión referente a cómo lograr una estrategia empresarial que alcance y/o mantenga los niveles de competitividad de la empresa, considerando todo lo que nos impone esta pandemia sanitaria.
En nuestro artículo posicionamos diferentes enfoques estratégicos pero básicamente apuntamos para 2 principales, uno que Posiciona (Porter) la empresa perante el mercado y otro considera que tan importante que posicionar la empresa perante el mercado, es hacer un "olhar interno" en competencias esenciales (Chá) (Prahalad y Hamel), redescobrindo los valores del Emprendedor que ha potencializado y rentabilizado la empresa. De esta manera es posible cambiar/adaptar la empresa a los nuevos desafíos del mercado, retomando los Valores Esenciales exitosos, el comportamiento de quien ha creado la empresa, mismo que esto haya ocurrido a decenas de años. Pero complementamos que esta búsqueda estratégica y nueva potencialización necesitará que estas competencias se relacionan directamente a los Objetivos Corporativos (como ejemplo estructurados en BSC en 4 perspectivas) de lo contrario Competencias por Competencias puede perder su sentido en alcanzar o mantener niveles altos de competitividad. Se podría también añadir una reflexión en que estas competencias basadas en valores esenciales considere de manera aún más efectiva un comportamiento Ético y mayor protección de Datos de clientes debido a la creciente exposición de datos decorrentes actualmente de trabajos home-office. Pero esta reflexión no la hemos estudiado efectivamente para generar nuevos trabajos. Gracias y Saludos de nuestra parte, estamos a su disposición para atenderte de la mejor manera posible a sus preguntas.
Responder
Sara Trigueros-Preciado
Comentó el 10/12/2020 a las 19:02:35
Estimados autores, en primer lugar felicitarles por su interesante trabajo sobre COBIT y la seguridad de los sistemas. En relación a su trabajo me gustaría formularles la siguiente pregunta o valoración:
¿Según su experiencia, los resultados que han obtenido se podrían extrapolar a otros estándares relacionados con la seguridad de la información ISO27000, etc?
Un saludo y gracias por su ponencia
Responder
Pedro Solana-González
Comentó el 10/12/2020 a las 20:47:18
Estimada profesora Trigueros-Preciado
Le agradecemos mucho la cuestión que nos plantea.
Desde nuestro punto de vista, la implantación y certificación a nivel empresarial de los estándares de seguridad de la información ISO 27000 tiene una relación directa con la estrategia empresarial y el alineamiento entre TI y negocio.
En concreto pensamos que la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) contribuye a promover la gobernanza de TI (MO4) y a definir un plano estratégico de TI (PO1), y en este sentido, una hipótesis plausible es que realmente los resultados de nuestro trabajo se puedan extrapolar a contextos que desarrollen la ISO 27000. Esta cuestión sin duda es muy interesante y nos anima a replicar el trabajo para tratar de demostrarlo, estableciendo vínculos entre diferentes marcos y estándares que promuevan su aplicación (incluso simultanea) y ofrezcan un mayor conocimiento de los puntos que comparten y los diferencian.
Un cordial saludo!
Responder
Daniel Pérez González
Comentó el 10/12/2020 a las 16:11:07
Estimados profesores Vanti y Solana,
En primer lugar deseo felicitarles por su interesante ponencia. Pues el tema de la seguridad de la información y de los sistemas de información es un tema cada vez más estratégico. En este sentido, a la vista de los resultados que presentan, me gustaría preguntarles por ¿Cuáles piensan ustedes que serán las próximas líneas de investigación en este ámbito de los estándares COBIT y similares?.
Muchas gracias por su atención y un saludo
Responder
Pedro Solana-González
Comentó el 10/12/2020 a las 20:09:37
Estimado profesor Pérez-González
El agradecemos la interesante cuestión que nos plantea.
En futuras investigaciones creemos que podría ser interesante actualizar el trabajo aplicándolo en el contexto de los frameworks COBIT 2019 y COSO Enterprice Risk Management, así como en empresas que estén implementando las normas recogidas en la familia ISO/IEC 27000.
En concreto el marco COBIT 2019 profundiza en el alineamiento de TI y negocio prestando especial atención a los riesgos empresariales asociados a la información y la tecnología, y su impacto en el negocio, y en este sentido, será interesante estudiar la relación entre la estrategia empresarial y el perfil de riesgo de la empresa relacionado con I&T donde se vinculan factores como la toma de decisiones sobre inversiones de TI, la gestión del ciclo de vida de programas y proyectos, la innovación tecnológica, la gestión de la información y datos, las responsabilidades, habilidades y comportamiento de TI, los incidentes de proveedores externos, ataques lógicos (hacking, malware) y otros.
Un cordial saludo!
Responder