capitulo i el problema 1. planteamiento del problema
TRANSCRIPT
CAPITULO I
EL PROBLEMA 1. Planteamiento del Problema
La utilización de la tecnología es una de las decisiones estratégicas
más comunes ejecutadas por la gerencia alrededor del mundo, por lo que se
ha incrementado la dependencia al uso de las tecnologías de la información
(TI) y la administración de la información electrónica dentro de las
organizaciones. En este sentido, la tecnología es un elemento importante
para la operación de los negocios que paso de ser un proceso de soporte
pasivo a un proceso transversal relevante.
La decisión de incorporar tecnología en las estrategias del negocio, trae
consigo la acción de administrar el riesgo tecnológico y articular los sistemas
de gestión de la calidad a partir de la mejora continua. La innovación impulsa
la adopción de la tecnología mucho más allá del mundo de las TI; por lo cual,
para los ejecutivos de la innovación que buscan construir una estrategia de ir
al mercado que va más allá de las tecnologías requieren definir realmente su
relevancia específica para su negocio. Por lo tanto, las capacidades
organizativas de las empresas, dentro de los entornos de Tecnología de la
Información (TI), pueden reforzarse mediante un enfoque de Gestión de
Riesgos (GR), centralizado e integrado basado en las normas ISO.
3
4
Este estudio analizó las actividades de gestión de riesgos a lo largo de
varias normas de la Organización Internacional de normalización (ISO)
seleccionadas para proporcionar la base para mejorar, coordinar e
interoperar las actividades de gestión de riesgos en los entornos TI, para
diversos fines relacionados con la gestión de calidad.
La Norma internacional ISO 31000:2009 para la gestión de riesgos, es
referente para realizar una comparación, con el fin de identificar las
actividades relacionadas con la gestión del riesgo en la estructura de los
sistemas de gestión de la calidad basados en ISO 9001:2015. La pertinencia
de esta norma se fundamenta en la referenciación que hacen los cambios de
los sistemas de gestión para el año 2015, donde las citan como instrumento
de gestión.
Las normas, son de gran interés para los profesionales que administran
procesos, no obstante no tanto para los profesionales de las TI en Colombia,
debido al bajo índice de certificación en estas; para los investigadores, son
un reto de validación y constancia en el contenido metodológico que
proponen a las empresas, las cuales pretenden beneficiarse a partir de la
integración de actividades basadas en procesos, implementando
mecanismos para vincular a las entidades en procesos TI de su organización
con desafíos de gestión de riesgos.
Los vectores de políticas de Riesgo, la gestión de la Calidad, la
comprensión de la organización con su contexto, el pensamiento basado en
el riesgo, el liderazgo más el compromiso de los colaboradores, el enfoque
de proceso junto a la estructura del Planear, Hacer, Verificar y Actuar (PHVA)
son los elementos validados en este estudio. De este modo, el proceso de
globalización viene impactando de forma amplia, considerablemente a las
empresas, entidades gubernamentales, instituciones de cualquier orden,
proyectos de inversión, ideas de negocio que surgen de nuevas modalidades
de descubrimiento de negocios serán objeto de muestra de estudio.
5
Algunas cifras; Blue Coat System Inc (2013), señala, el 78% de las
intrusiones toman semanas, meses y hasta años en ser detectadas. Así
mismo, Enter.co (2015) señala: el 25% de los profesionales de TI que
pueden combatir las amenazas proactivamente, solo el 16% lo hace, ya que
están ocupados en los deberes del día a día. Eso vuelve el tema un riesgo y
lo señala el autor como de falta de recursos. Intel (2012), en su reporte
Needle in a Datastack Report, indica la incapacidad de la mayoría de
Organizaciones para identificar las brechas de seguridad y los riesgos de
seguridad a medida que ocurren es equivalente a un 33%.
En el estudio de Vanson Bourne, (2012) citado por Intel (2012), indica
que el 35% de los responsables de la toma de decisiones de TI, declararon
que podían detectar una brecha de datos en cuestión de minutos después de
su aparición. El estudio también reveló que el 22%, señalo que a menudo
toma un día completo para identificar un incumplimiento, y el 5% precisa
tomar hasta una semana. Esto significa que, en promedio, se emplean10
horas para que una organización reconozca una violación de seguridad.
Estos resultados muestran los riesgos a los que están expuestos las
organizaciones alrededor del mundo que aplican tecnologías en sus
procesos.
Según CONPES 3701 (2011), en Colombia se ha incrementado
considerablemente el uso de tecnologías de la información y las
comunicaciones elevando su nivel de exposición a amenazas cibernéticas. El
número de usuarios de internet aumentó en 354% entre el 2005 y el 2009. El
número de suscriptores a internet se incrementó́ en 101% entre el 2008 y el
2010, alcanzando un total de 4.384.181 suscriptores de internet fijo y móvil.
De estos, el 39% corresponde a suscriptores de Internet fijo y el 61% a
suscriptores internet móvil.
Según Ministerio de Tecnologías de la Información y las
Comunicaciones (MINTIC) (2016), al finalizar el primer trimestre de 2016, el
número total de conexiones a Internet de Banda Ancha alcanzó los
6
13.233.368 accesos en el país, mientras las demás conexiones a Internet
(conexiones con velocidad efectiva de bajada – Downstream <1.024 Kbps +
Móvil 2G) suman 473.783, para un agregado nacional de 13.707.151
conexiones a Internet.
Por otra parte, al término del primer trimestre del año 2016, el índice de
penetración para las conexiones a Internet de Banda Ancha en Colombia
aumentó 4,1 puntos porcentuales con relación al primer trimestre del año
2015, alcanzando un índice de 27,1%; al cierre del primer trimestre del año
2016, el número total de suscriptores a Internet en el país alcanzó los
13.707.151, cifra compuesta por suscriptores a Internet fijo y móvil, lo que
representa un índice de penetración del 28,1%, un aumento de 1,5 puntos
porcentuales con relación al índice de penetración del cuarto trimestre de
2015. Fuente MINTIC (2016). Esto indica que el ecosistema de Internet está
creciendo en Colombia exponencialmente, la presencia de riesgos
tecnológicos está vigente.
Así mismo, Hernández (2016), citando la herramienta para la
prevención criminal “Guía de Seguridad para los actores de la Cadena de
Suministro V edición”, son 10 los departamentos que concentran el 82% de
casos de acceso abusivos a un sistema informático ver gráfico 1, entre ellos
Santander con 78 casos y Norte de Santander con 48 casos, ubicándose en
la quinta y séptima posición en el año 2015.
Gráfico 1: Casos de acceso abusivo en TI.
Fuente: SIEDCO (2015). Citado por PONAL (2015).
7
Para el año 2015, se incrementó en un 169% los casos de acceso
abusivo a un sistema informático en Colombia con respecto al 2014 fuente
SIEDCO Policía Nacional. El 15% (171 casos), fueron perpetrados bajo la
modalidad de ADWARE, seguido de SPOOFING y SPYWARE con el 4% (43
y 42 casos respetivamente), es de anotar que en 62% (720 hechos) no
registran la modalidad. Los meses de agosto y octubre con el 10% (119
casos cada uno) son los de mayor registro, seguido de febrero y abril con el
9% (109 y 103 hechos respectivamente).
Las mujeres con el 59% (788 casos), son las más afectadas por este
delito, mientras que en un 41% (548 casos), fueron hombres. Los días
martes con un 19% (198 hechos), son los de mayor registro, seguido de los
jueves, lunes y miércoles con el 15% (177, 176 y 174 hechos,
respectivamente). Los adultos con el 97% (1.128 casos), son los más
afectados, seguido de los adolescentes con el 2% (76) y los menores con el
1% (13).
En primer lugar para la variable de gestión de riesgo tecnológico en el
ámbito mundial, es necesario resaltar la comisión Económica de las
Naciones Unidas UNECE (United Nations Economic Commission for
Europe) por sus siglas en inglés; (2012), estableció Risk Management in
Regulatory Frameworks: Towards a Better Management of Risks; Gestión de
riesgos en los marcos regulatorios: la gestión de riesgos, es una disciplina
firmemente arraigada en la gestión organizativa y, en particular, en la gestión
empresarial. Los reglamentos se dirigen a menudo a los operadores
empresariales, que deben aplicarlos a través de sus estructuras de gestión.
Es aquí, cuando, la gestión gerencial debe considerar la gestión de
riesgos, como parte de su proceso estratégico. Siguiendo con UNECE
(2012), la gestión de riesgos proporciona herramientas para un pensamiento
estructurado sobre el futuro y para hacer frente a la incertidumbre asociada a
los procesos organizacionales. La implementación de la gestión de riesgos
8
en una organización o en una entidad gubernamental proporciona a los
dueños de procesos herramientas para tomar decisiones racionales basadas
en la información disponible, independientemente de su limitación.
El trabajo de la UNECE, en el área de Gestión de Riesgos, es la
elaboración de orientaciones y mejores prácticas sobre la forma en que las
autoridades reguladoras pueden establecer marcos normativos que
gestionen eficazmente los riesgos que enfrentan los consumidores, los
ciudadanos y las comunidades.
En otras palabras la UNECE, determina lineamientos para gerenciar la
incertidumbre en el sector privado y público; desarrolla elementos
metodológicos que se complementan específicamente, en las siguientes
prioridades: a). Gestión de riesgos en el desarrollo de reglamentos técnicos.
b). Estándares como herramientas de gestión de riesgos. c). Gestión del
riesgo en la evaluación de la conformidad. d). Gestión de riesgos en la
vigilancia del mercado. Es aquí cuando, la gestión integral de riesgo
tecnológico pasa a desempeñar un papel gerencial estratégico para
considerar transversalmente en todas las actividades de la organización.
Ramírez (2012), agrega en la versión de COBIT, toma la gestión de
riesgos como un objetivo de gobernanza para la creación de valor, buscando
la optimización de riesgos, haciendo el mapeo de estos junto a la
optimización de recurso, el realce de beneficios que impacten las metas
organizacionales de información más las de tecnología. La finalidad, es
cumplir con procesos, capacidad en servicios, habilidades, competencias,
principios, políticas, información, estructura organizacional, además del
ambiente ético, cultural requerido.
Esta versión de COBIT dentro del dominio APO (alineación, planeación
y organización), contiene un proceso de riesgos APO12 (gestión del riesgo),
en el cual se integra la gestión de riesgos empresariales relacionados con
tecnología, con la evaluación, dirección y monitoreo (EDM) de la
organización. Además tiene un enfoque en los riesgos de los terceros.
9
A nivel mundial se encuentra en los Estados Unidos ISACA (Information
Systems Audit and Contol Association, Asociación de Control y Auditoria en
Sistemas de Información) (2016), teniendo en cuenta que el gobierno de TI
requería un marco de referencia para lograr los fines expuestos, lanzó
COBIT (Control Objetives for Information and Related Technologies, Control
de Objetivos para Información y Tecnologías Relacionadas, por sus siglas en
inglés) que ofrecía principios para gestionar la tecnología dentro del gobierno
de TI, lo que deja COBIT es desarrollar procesos para gerenciar el riesgo
tecnológico.
El marco de trabajo de COBIT, brinda buenas prácticas a través del
manejo de dominios y procesos, con el cual se plantean los objetivos de
control para la información y tecnología relacionada que permita a las
organizaciones mantener vigilancia respecto a los requerimientos del negocio
y gestionar los recursos de tecnología. De esta forma, se busca alinear las
metas organizacionales con las metas de TI.
Así, dentro del dominio, planeación, organización, el proceso que
referencia esta herramienta indicado PO9 hace referencia a la evaluación
junto a la administración de los riesgos de TI, donde se busca documentar en
un nivel común y acordado, estrategias de mitigación, control de riesgos
residuales de acuerdo a los límites definidos por las directivas.
La idea es identificar, analizar, evaluar impactos potenciales sobre las
metas de la organización. Al aplicar esto, se logra garantizar que la
administración de riesgos se incluye dentro de todos los procesos
administrativos, se establecen planes de acción para la mitigación, teniendo
en cuenta las recomendaciones de todos los niveles organizacionales, junto
la divulgación sobre los mismos.
A nivel Latinoamericano, la gestión de riesgos tecnológico, Alfonzo
(2015), precisó: el análisis de riesgo se debe realizar desde el principio en la
fase de identificación de oportunidades y actualizarse durante las otras
etapas. Cada proyecto tecnológico debe contar con un análisis o evaluación
10
económica, realizada con sensibilidades derivadas de simulación de Monte
Carlo, así como de un plan de implantación para definir el riesgo tecnológico.
El Riesgo Tecnológico está directamente asociado a la madurez y el dominio
de la tecnología, es decir, mientras mayor sea su madurez, más información
se tenga de la misma, menos riesgosa será su implantación. El riesgo está
asociado a la probabilidad que se tiene de destruir valor o de crear valor.
En resumen de este autor se precisa, la metodología a seguir para
medir Riesgo Tecnológico consiste en la identificación de las variables que
conformaran e impactan al proceso, como segundo paso se crea el modelo
para medir el riesgo a través de simulación de Monte Carlo, tomando en
consideración que a medida que se compre información se debe
retroalimentar el modelo de simulación y recalcular la función objetivo, una
vez que se ha comparado la información suficiente se determinan las
acciones a tomar para la administración y mitigación del riesgo.
Por su parte Sánchez, M (2015), el análisis y gestión de riesgos en el
ámbito de la tecnología tiene las dificultades para disponer de series de
datos históricas hacen que el uso de modelos estadísticos predictivos, con
larga tradición en otros dominios de riesgo, sea en gran medida inviable y
tengan que ser suplidos por la experiencia, como el juicio de los
profesionales.
La metodología que se utiliza trata de un inventario de riesgos en el que
los analistas hacen una atribución del riesgo de cada uno de ellos, calculado
como combinación de la estimación de la frecuencia de ocurrencia del evento
y el impacto para el negocio. En primer lugar se estima el riesgo inherente
del escenario; en esta fase los participantes en el análisis deben tratar de
calcular el nivel de riesgo sin tener en cuenta el efecto mitigatorio de
controles que puedan estar implementados. Una vez estimado el riesgo
inherente, para cada riesgo con un nivel significativo, se identifican por parte
de los participantes en el análisis los controles que están implementados y/o
aquellos que aunque no implementados, se recomienda que lo sean.
11
Tras esta identificación de los controles, los analistas vuelven a estimar
el riesgo residual tras considerar el grado en que los controles mitigan el
escenario de riesgo. De esta forma, el modelo tiene limitaciones, dado que
normalmente no se dispone de series históricas de datos, la estimación de la
frecuencia y/o el impacto de cada escenario es meramente subjetiva. No
existen normalmente datos objetivos que permitan avalar el efecto mitigador
del riesgo que normalmente se atribuye a los controles implantados.
En relación con riesgos como el tecnológico, en la estimación del riesgo
inherente, es prácticamente imposible para un analista figurarse en la
mayoría de los casos cuál puede ser el nivel de riesgo en una ausencia total
de controles. La única razón por la que en este tipo de análisis se emplea
tiempo en estimar el riesgo inherente es para poder justificar de alguna
manera que la inversión en controles tiene un efecto reductor del riesgo.
Sánchez, M (2015), Al tratarse de un inventario lineal de riesgos, no
queda bien reflejado el efecto multiplicador o reductor de varios escenarios
de riesgo combinados. Este tipo de modelos no permiten capturar las
relaciones causa-efecto entre determinadas circunstancias y el nivel de
riesgo final. Es fácil caer en la suposición de que los controles tienen un
efecto perfecto y constante en la mitigación de los riesgos, cuando en
realidad los controles pierden efectividad con el paso del tiempo. La
experiencia demuestra que es fácil caer en un comportamiento estereotipado
que lleve a los analistas a ajustar los niveles de riesgo estimado, de modo
que haya riesgos inherentes altos o críticos y riesgos residuales bajos o
medios.
En Colombia, para Ramírez, A., Ortiz, Z. (2011), en su artículo Gestión
de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la
continuidad de negocios; la gestión de los riesgos tecnológicos es importante
dado que las organizaciones al usar tecnología en su actividad diaria, como
parte de sus procesos de negocio se encuentran expuestas a este tipo de
12
riesgos; por ello pueden afectar la actividad propia de las mismas, como
también ser fuentes de pérdidas, al igual que daños considerables.
Por lo que se destaca en este autor, los planes de seguridad deben
enfatizar en crear conciencia en seguridad para prevenir riesgos y buscar
estrategias para obtener el apoyo de la alta dirección con el fin de cumplir
con los objetivos, asegurar la información crítica, adicional la gestión
adecuada de los riesgos permite evitar en gran medida la ocurrencia de
incidentes y con ello evitar la activación de planes de continuidad.
En términos generales, las organizaciones deben robustecer su
protección a nivel físico (lo correspondiente a infraestructura, incluyendo la
tecnológica), nivel lógico (sistemas de información y software) y factor
humano (toma de medidas organizacionales); en estos tres aspectos está
presente el uso de tecnología y por ello la exposición a este tipo específico
de riesgo crece constantemente.
Bravo y Sánchez (2012), la gestión de riesgo cobra mayor importancia,
la necesidad de gestionar los crecientes riesgos a los que está expuesta una
organización como un todo, en los últimos años se ha empezado a hablar del
concepto de manejo integral de riesgos (Enterprise Wide Risk Managment o
Business Risk Managment), con el cual se busca incluir la administración del
riesgo no solamente el punto de vista financiero, sino que paulatinamente se
avancen e involucren todos los procesos de la empresa teniendo en cuenta
otros riesgos que afectan la continuidad del negocio.
Entre los que se destacan los riesgos operacionales, los de ejecución
de proyectos, los riesgos reputacionales de marca e intención, los riesgos de
toma de decisión, del entorno, la relación armónica entre los diferentes
grupos de interés como son los Stakeholders, los riesgos de definición
estratégica, con lo que se busca el control de las múltiples situaciones
adversas que se pueden presentar, lo que implican el cumplimiento de
regulaciones en el corto plazo; la supervivencia en el hoy y el
aprovechamiento de las oportunidades en el mediano plazo, los riesgos del
13
mercado, los concernientes a los requisitos legales e involucramiento en
actividades ilícitas.
La intención de los estudios descritos en gestión de riesgos tecnológico,
como punto de partida para dar lineamientos sobre cómo gestionar este tipo
de riesgos los cuales son fuente de estudio para integrarla a los Sistemas de
Gestión de la Calidad (SGC) que hoy las empresas consideran en los
procesos TI son los que inspiran los aspectos mencionados y buscando un
marco de protección integral.
Actualmente, la gestión integral de los riesgos en las empresas que
implementan estándares internacionales de calidad basados en normas ISO
9001 en Colombia, no había sido considerada en la estrategia que se
contextualizó en el Siglo XX; la cual era basada en conseguir índices de
mayor productividad a partir de una demanda, en presencia de una
competencia débil o enfocada a satisfacer los requisitos del cliente.
En este nuevo siglo, se ha presentado una gran evolución en razón de
la necesidad de conocer y manejar los niveles de incertidumbre a los que
está expuesta la ejecución de la estrategia del modelo de negocio que
proponga cualquier organización; por tanto, con esta situación ha cambiado
también el cumplimiento de objetivos y metas.
De allí que, los cambios fuertes en las necesidades de los clientes, el
cambio en la demanda, y la presencia de organizaciones de cualquier orden
compitiendo desde cualquier lugar del mundo obligan a buscar
permanentemente nuevas estrategias que se adapten flexiblemente a la
evolución del mercado.
De este modo, las organizaciones se ven expuestas a situaciones con
incertidumbres impensables o inexistentes, así vienen cambiando las cosas
en el entorno competitivo llevando a las empresas a pensar cómo garantizar
su permanencia en un horizonte de tiempo a corto plazo, conservando sus
índices de productividad, indicadores de crecimiento en relación a las
14
exigencias del mercado, a gestionar el riesgo, a gerenciar la calidad de lo
que requieren sus clientes o usuarios.
De tal forma, que las organizaciones modernas en los mercados
globalizados deben de responder a prácticas y estándares de calidad
actualizados, perfilándose a gestionar la calidad como factor de
permanencia, lo que era en el siglo pasado un factor de competitividad se
perfila como un factor de necesidad a corto plazo para cumplir.
En septiembre del 2015, la ISO (the International Organization for
Standardization) por sus siglas en inglés Organización Internacional de
Normalización público los nuevos estándares de calidad que regirán el
mundo en cuanto gestión de calidad refiere; en esta nueva versión la norma
trae el Higth Level Structure – HLS estructura de alto nivel esta busca
aumentar el alineamiento de las normas de los sistemas de gestión de ISO a
través de factores comunes como son su estructura, el texto, los términos,
las definiciones; facilitando en las organizaciones la integración de los
diferentes sistemas de gestión con base a las normas ISO que tengan
implementados.
Con ello precisa para las organizaciones modernas la gestión la calidad
deberá considerar a través de la mentalidad de riesgos (risk based thinking)
la gestión integral del riesgo como un requisito transversal en la
implementación de la norma, en plantear modelos de negocio que satisfagan
el cliente, esto se fijó en modelo de mejora continua, buscando fortalecer sus
competencias y administrar sus riesgos en un contexto interno y un contexto
externo en el cual se encuentre la organización.
Siguiendo con el panorama internacional, es necesario citar que para
Moreno-Luzón, Peris y González (2002), la Gestión de la Calidad Total se
caracteriza por una constante evolución de un enfoque que es consecuencia
de los retos a los que tienen que enfrentarse las empresas en los mercados
actuales; estos retos se sintetizan en los siguientes puntos: Globalización de
los mercados, que ha supuesto un aumento de la competencia al añadir a
15
ésta la dimensión internacional, con amplitud no conocida anteriormente.
Clientes exigentes, con expectativas, necesidades cambiantes y cada vez
más elevadas. Aceleración del cambio tecnológico, que implica ciclos de vida
del producto cada vez más cortos.
Así mismo, el Éxito de las formas pioneras más globales y participativas
de Gestión de la Calidad; en este punto entran los negocios digitales. Para
poder hacer frente a estas exigencias emergentes, como perentorias no es
suficiente con los enfoques de calidad precedentes. Es necesario un Sistema
de gestión de la calidad orientado en su totalidad al mercado; una orientación
que, además ha de tener carácter multidimensional y ha de ser dinámica
(Oackland, 1989).
Otros autores como Ponsati y Canela (2010), afirman que la gestión de
la calidad parte del enfoque sistémico de la organización “se lleva a cabo
mediante un sistema, que es un conjunto de elementos mutuamente
relacionados que interactúan entre sí para obtener un resultado”, en otras
palabras surge el concepto de proceso que es el eje fundamental de esta
metodología. Es en este contexto, donde la Gestión del Riesgo debe de
considerarse para desempeñar un papel de mejora continua al cambio que
experimentan las organizaciones modernas, y por organizaciones modernas
están las empresas de base tecnológica que surgen como innovación en el
descubrimiento de negocios.
Salazar, (2015), las clasificaciones de los enfoques para la Gestión de
la Calidad son mayoritariamente de naturaleza discreta, y pretenden
distinguir perspectivas netamente diferenciadas. El concepto de calidad
subyacente a la inspección es la calidad de conformidad con unas
especificaciones. El desarrollo del Control Estadístico de Calidad CEC
enriquece el concepto de calidad, despejando la idea de que la conformidad
debe mantenerse en el tiempo (uniformidad) antes de poderse mejorar. La
Gestión de Calidad (GC) amplía dicho concepto, uniendo la calidad de
16
diseño y la calidad de conformidad, a fin de garantizar la aptitud para el uso y
la minimización de la variabilidad.
Es necesario citar que para Font (2015), actualmente, implantar un
Sistema de Gestión de Calidad en una organización, tanto pública como
privada, supone otorgar a sus productos y/o servicios, de una elevada
cualificación, distinción que los diferencia respecto de su entorno y que
implícitamente les reporta un valor añadido, máxima en la economía de libre
mercado.
Siguiendo con este autor, implantar un Sistema de Gestión de Calidad
supone dotar a una organización de las herramientas de gestión necesarias
que aseguren que los productos manufacturados (o los servicios prestados)
son conformes a la norma establecida. Obvia e implícitamente este hecho se
relaciona con la calidad del producto y/o servicio generado: las
organizaciones que se esmeran por la calidad de los servicios que prestan,
se enfocan por la calidad de los productos que ofrecen por ello, gustan
ofrecer productos de alta calidad.
Para la organización The British Standards Institution (2015): las
ventajas de la implementación de los Sistemas de Gestión basados en ISO
9001, le permite a las organizaciones del mundo convertirse en un
competidor más consistente en el mercado; mejorar la Gestión de la Calidad
que ayuda a satisfacer las necesidades de sus clientes.
De igual forma, implementa métodos más eficaces de trabajo que
ahorran tiempo, dinero, recursos, mejor desempeño operativo que reducirá
errores y aumentará los beneficios, motiva, aumenta el nivel de compromiso
del personal a través de procesos internos más eficientes, aumenta el
número de clientes de valor a través de un mejor servicio de atención al
cliente, amplía las oportunidades de negocio demostrando conformidad con
las normas.
Por lo tanto, es viable para cualquier organización sea cual fuera el
tamaño de su empresa con una norma reconocida en todo el mundo que
17
puede lograr en estas instituciones ahorrar dinero, aumentar beneficios,
conseguir más oportunidades de negocio, satisfacer las necesidades de más
clientes.
En el modelo de Gestión Integral de la Calidad se establecen las bases
del sistema de calidad, los principios y procesos de la gestión de calidad, un
procedimiento para el diseño del sistema de calidad, una metodología de
evaluación del sistema y una metodología para la implementación del
sistema (Delgado,1998).
Los principios representan el fundamento y las regularidades más
importantes de la gestión de calidad, siendo éstos para la Investigación y el
desarrollo (I+D), (Delgado,1998-2): Principio 1. La gestión de calidad se
extiende a todos los niveles de dirección, y la alta dirección es la máxima
responsable por la calidad. Principio 2. La gestión de calidad se analiza en
todos los procesos que intervienen en el desarrollo del producto y se orienta
a los clientes internos y externos. Principio 3. Todas las actividades del
desarrollo de nuevos productos deben estar estandarizadas, lo que incluye
los requerimientos regulatorios de la industria y de la ISO 9001:2015.
Continuando con el Principio 4. La Investigación y Desarrollo (I+D) debe
ser integrada en un proyecto que se ha de gerenciar y trabajar en equipo.
Principio 5. La gestión de la calidad en el desarrollo de nuevos productos de
la organización requiere de la participación activa de todos los integrantes del
equipo. Principio 6. La calidad debe ser evaluada en todas las etapas del
desarrollo del producto y los resultados deben servir de retroalimentación al
sistema de calidad, que también debe ser evaluado para su mejoramiento
continuo.
La norma de calidad introdujo en su cambio reciente a la Gestión de
Riesgos, un fin de este cambio es, el refuerzo en el uso del sistema de
gestión como una herramienta de gobernanza y ayudará a identificar las
oportunidades de negocio que contribuyen a mejorar los resultados. El
concepto de la gestión del riesgo es ampliamente conocido, su significado
18
difiere altamente entre las diferentes profesiones. Por ejemplo, Halman
(1994) y Olsson (2006) revela que el significado de la gestión del riesgo varía
cuando se utiliza por el economista, el sociólogo, el geólogo, el estadístico, el
médico o el ingeniero.
Según Olsson, incluso dentro de la disciplina de ingeniería el significado
de la gestión de riesgos difiere ampliamente. Esta situación plantea
dificultades que podrían causar confusión y errores. Entre las muchas
definiciones, Clayton (2001) define directa la gestión de riesgos como la
aplicación general de las políticas, los procesos y las prácticas de trato con el
riesgo.
Por lo tanto, la gestión de riesgos debe ser bien definida y comprendida
la responsabilidad dentro de la totalidad de la organización le corresponda a
cada dueño de proceso; esto no sucede en las organizaciones modernas. De
acuerdo con la definición en la Guía ISO 73 la ISO (2007), precisa la gestión
del riesgo consiste en la coordinación de actividades para dirigir y controlar
una organización con respecto a los riesgos.
La noción de actividades coordinadas indica el carácter explícito de la
gestión de riesgo. Estas simples definiciones acerca de gestión del riesgo
han demostrado su valor práctico en ingeniería y construcción. Dada la
incertidumbre inherente del riesgo, así como la imposibilidad de verificación
directamente la eficacia de la gestión de riesgos y la eficiencia, Van Staveren
(2006) considera la gestión del riesgo como una especie de gestión de las
expectativas aplicadas en las empresas de construcción.
Para López, S (2015), Un Sistema de Gestión de la Calidad es un
método de trabajo que recoge documentalmente la totalidad de las
actividades de una empresa. La gestión de la calidad es una herramienta
más a tener en cuenta para realizar el cambio, como adaptarse a nuevas
circunstancias. Está en constante revisión y evolución. Una de sus grandes
ventajas radica en que el disponer de un sistema implantado permite unificar
19
los criterios, sirviendo de interface con otras empresas que también disponen
de similares sistemas.
Mora (2004), la gerencia moderna, especialmente la que concierne las
Pymes, no puede pasar por alto las características que los actuales
escenarios empresariales presentan, en donde se manifiesta una dinámica
competitividad entorno a la calidad y productividad son requisitos
fundamentales para permanecer en los mercados.
Por su parte Martínez (2011) aporta, “Quizás el factor más importante
en las iniciativas de calidad exitosas en Pymes es el reconocimiento por
parte de la directiva de que un enfoque en la calidad ofrece beneficios, lleva
al logro de los objetivos de la organización, evitando sus fracasos y
ayudando a superar los obstáculos que las aleja de ser altamente exitosas.
Algunos académicos han llegado a establecer la relación de la calidad y la
innovación como dos conceptos centrales de nuevas teorías económicas de
la empresa, o como modelos de comportamiento empresarial en el ámbito
normativo (Perdomo, 2010).
Por otra parte, el papel de la innovación junto al desarrollo tecnológico
sobre la productividad, la competitividad de las empresas, el bienestar de la
sociedad, el progreso de los países, han despertado el interés de los
investigadores de diferentes ámbitos que han realizado estudios sobre los
factores que afectan la innovación. Para articular la variable de Calidad con
el tema de Innovación empresarial, lo más cercano es Arraut (2010), los
sistemas de calidad y su relación con la innovación organizacional en las
empresas, permiten mostrar un sistema de calidad como innovación
organizacional que impacta positivamente en la calidad; por tanto, en la
productividad de las empresas.
Los sistemas de dirección de las empresas son medios esenciales que
permiten mejorar la capacidad de innovación; a su vez, son innovaciones
organizacionales. En este estudio se puede apreciar cómo la planeación
estratégica, el sistema de gestión de la calidad y su mantenimiento se
20
convierten en un campo adecuado para implementar la cultura de la
innovación.
A nivel Latinoamericano se encuentra a Atehortua, Bustamante y
Valencia (2008), expresan que existen deficiencia las cuales se ven
reflejadas en la falta de implementación de sistemas tecnológicos de
información dentro de las empresas y organizaciones, de este modo se
presenta un nivel de satisfacción bajo en los clientes con los servicios o
productos que ofrecen los proveedores, lo que deja por desarrollar el proceso
de mejora continua por la necesidad de formación constante en los
trabajadores.
En materia de articular las variables de estudio calidad y gestión de
riesgos a nivel de estudios de tesis doctorales hay oportunidades por
profundizar y aportar a los antecedentes en un contexto latinoamericano, sin
embargo en este tema existen varios autores que articulan el tema de riesgo
al factor climático, riesgo a la variable financiera y mercados de capitales.
Para Romero y compañía (2007), la gestión de riesgos implica la toma
de decisiones en la práctica, el mismo que debe estar alineado al objetivo de
la empresa. Muchas veces los riesgos aparentemente no importan, pero a
mediano plazo sí que importan. Finalmente; en la práctica los riesgos que se
pueden materializar en cualquier tipo de proyecto de ingeniería o
administración se toman con mucha presión, cuando en la política de la
empresa se debe implementar un plan de gestión de riesgos, algo que no se
hace en la práctica por motivos económicos.
La Comunidad de Estados Latinoamericanos y Caribeños (CELAC), la
gestión de la calidad se refleja algunos aportes. Noguez (2015), El concepto
de pensamiento basado en el riesgo siempre ha estado implícito en la norma
ISO-9001, aunque en esta nueva versión se fortalece y se incorpora a todo el
Sistema de Gestión de la Calidad. En la versión 2015 de ISO 9001, este
concepto reforzado se incorpora en los requisitos de establecimiento,
21
implementación, mantenimiento y mejora del Sistema de Gestión de la
Calidad.
Así mismo, eliminar por completo el riesgo de una organización no es
posible, es necesario encontrar el equilibrio entre los esfuerzos invertidos en
su gestión y el riesgo residual que queda. Las organizaciones deben
comenzar en esta actividad, la gestión de riesgos no es una labor difícil, debe
de considerarse todas las formas posibles de atender el riesgo.
Para ISO 9001 (2015), es imprescindible identificar e implementar
controles efectivos sobre los procesos de gestión de calidad empleando el
enfoque basado en riesgos. Este cambio viene incorporado en el Anexo SL
de la norma, por tanto va a afectar a todas las normas que desde su
publicación en adelante se revisen o se creen. El enfoque basado en riesgos
viene incluido en varias cláusulas de la norma ISO 9001 versión 2015,
especialmente es destacable en el enfoque a procesos, el liderazgo y la
planificación. Esto hace imprescindible para todas las organizaciones el uso
de herramientas de gestión de riesgos. El enfoque basado en riesgos
significará un fortalecimiento del Sistema de Gestión de la Calidad de todas
las organizaciones.
A nivel Latinoamericano, Martínez-Mediano, C y Arribas, J (2016), La
norma ISO 9001 establece unos criterios para definir e implementar un
Sistema de Gestión de la Calidad que proporcione confianza en la
conformidad de un bien o servicio con los requisitos (legales, de los clientes
o de la propia organización) previamente establecidos.
La determinación de las necesidades y expectativas de los
beneficiarios, el desarrollo de procesos para cumplir con esas y otras
necesidades, proporcionando un bien o servicio previamente diseñado, el
análisis de la satisfacción de los beneficiarios y la adopción de medidas de
acuerdo con los resultados de la evaluación, para mejorar esta satisfacción,
son el centro de los SGC ISO. Estos SGC ISO se basan en los principios de
22
gestión de la calidad (ISO 9000:2015,) que, a su vez, son aplicables a las
organizaciones.
En Colombia en materia de gestión de la calidad y gestión de riesgo se
encuentran en el sector público, la presencia de leyes, directrices con el
propósito de desarrollar un sistema eficiente para la gestión de riesgos, el
Departamento Administrativo de la Función Pública – DAFP, establece una
metodología y se contextualiza para estas instituciones un marco normativo.
De esta forma, se identifica: Ley 87 (Modificada parcialmente por la Ley
1474 de 2011), Decreto 1537 - Artículo 4, Decreto 1599, Manual de
implementación MECI, Resolución 9862 Interna del Ministerio de Educación
Nacional, NTC GP:1000, Decreto 4485, por el que se adopta la actualización
de la NTCGP 1000 a su versión 2009, Guía de Administración de riesgos del
Departamento Administrativo de la Función Pública, Ley 1474 – Artículo 73,
Decreto 2641, la más reciente la resolución del ministerio de trabajo 1072 del
2015.
Así mismo, se referencian Estándares y normas enmarcadas dentro de
las mejores prácticas para la Gestión Integral de Riesgos: ISO-31000: 2009
NTC-OHSAS 18001:2007 Sistemas de Gestión en Seguridad y Salud
Ocupacional. Norma ISO14001: 2015 Sistema de Gestión Ambiental.
AS/NZS 4360:2004 Estándar Australiano„ Administración de Riesgos‟. NTC-
ISO-26000: 2010 Responsabilidad Social. COSO – ERM: 2004; Framework
for Enterprise Risk Management.
En Colombia, en el sector privado según Muñiz (2009), las empresas
carecen de gestión de calidad, así se evidencia la integridad de las mismas
en el mercado globalizado competitivo, la fuente de este fenómeno es la
resistencia al cambio; con este panorama esto es un riesgo que hay que
gestionar desde el proceso de talento humano y considerar en un proceso
estratégico. Es decir, los integrantes de una organización no consideran,
captan, integran y le dan tratamiento a la información que se requiere para la
excelencia organizacional con un enfoque de prevención.
23
Cabe señalar, que existe una Guía de Diagnóstico utilizada para
implementar el Sistema de Gestión de la Calidad bajo la Norma Técnica de
Calidad en la Gestión Pública NTC GP 1000:2009, se registra la importancia
a la capacitación en materia de calidad, buscando como fin el conocimiento
del personal involucrado en los procesos de implementación, mantenimiento
y mejora de los sistemas de gestión de la calidad.
Este factor, junto a la transición de la actualización de la norma ISO
9001:2015, surge la necesidad que los gerentes consideren preparar al
personal en materia de gestión de riesgos, con fin de lograr la mejora
continua, la identificación de factores competitivos y la satisfacción del
cliente. Por su parte, Alderete y Gutiérrez (2012), señalan que las empresas
colombianas tienen diferencias en lo que se refiere a la adaptación de
variables como implementación tecnológica con la gestión de la calidad como
una de las herramientas para satisfacer el cliente.
Es notable señalar, la importancia que cobra una buena administración
de Gestión de Riesgo, que integrada a la implementación, mantenimiento de
los sistemas de gestión de la calidad, junto con ellos la correcta integración
de los principios de la Calidad: enfoque al cliente, liderazgo, compromiso y
competencias de las personas, enfoque basado en procesos, mejora
continua, toma de decisiones informadas, gestión de las relaciones. A estos
principios rectores de calidad, se señalan los principios para la aplicación de
la gestión de riesgos han sido proporcionados por varias instituciones, como
expertos en la práctica profesional.
La gestión del riesgo, por ejemplo, la norma ISO 31000 (2009),
presenta los principios más genéricos once para la gestión eficaz de los
riesgos dentro de una organización. De acuerdo con esta directriz, la gestión
de riesgos debe: 1. Crear valor al contribuir al logro demostrable a los
objetivos; 2. Sea una parte integral de los procesos organizativos normales,
sin ser un independiente la actividad; 3. Ser parte de la toma de decisiones,
dando prioridad a las acciones y la distinción entre cursos alternativos de
24
acción; 4. abordar explícitamente la incertidumbre al tratar con aquellos
aspectos de la toma de decisiones que son inciertos.
De la misma manera, se encuentra, 5. Ser sistemático y estructurado
mediante el uso de enfoques posibles que producen resultados consistentes,
comparables y fiables. 6. Basarse en la mejor información disponible,
incluyendo fuentes como experiencia, opiniones de expertos, la
retroalimentación, la observación, las previsiones, mientras que
reconociendo las limitaciones de los datos y el modelado, así como las
divergencias entre las opiniones de expertos; 7. Estar alineado con el
contexto externo e interno de la organización, ya que es perfil del riesgo.
Siguiendi con los principios se encuentra: 8. Tomar en cuenta los
factores humanos, mediante el reconocimiento de las capacidades,
percepciones y las intenciones de las personas externas e internas que
puede apoyar o obstaculizar el cumplimiento de los objetivos de la
organización. 9. Ser transparente e inclusivo, involucrando a tiempo a todos
los interesados con su percepciones y tolerancia al riesgo, así como a todos
los niveles de la organización.
Para concluir: 10. Ser dinámico, iterativo y ser continuamente detectar y
responder al cambio, mediante la supervisión y la revisión; 11. Ser capaz de
mejora continua y la mejora, mediante el desarrollo de estrategias para
mejorar la madurez riesgo de la organización junto con todos los demás
aspectos de la organización.
En lo que corresponde al departamento de Santander y Norte de
Santander – Colombia, las organizaciones presentan una implementación de
gestión de riesgos en sistemas de gestión en control y seguridad BASC; la
cual consideró la seguridad en los sistemas de información. Según
observaciones no sistematizadas provenientes de ejercicio de auditoria, las
empresas presentan deficiencia en la integración de la Gestión del Riesgo a
los sistemas de Gestión; tanto los gerentes como los trabajadores dueños de
procesos junto a los operativos no le asignan la importancia a los principios
25
de sistemas de gestión de calidad y menos a los principios de gestión de
riesgos.
Es decir que no es completa la satisfacción de los clientes y las partes
interesadas (Stakeholders), en lo que se refiere a los servicios, productos y
actividades que ofrecen las organizaciones de la cadena de suministro. Los
nuevos negocios, junto a las nuevas oportunidades de mercado no tienen
implementado sistemas de gestión de la calidad basados en un pensamiento
de riesgos y menos consideran un sistema de gestión de riesgo.
Tomando en consideración lo anterior, al existir diferencias en el
principio de satisfacción del cliente, al no existir una clara forma de abordar la
gestión de riesgos considerándola en la implementación de sistemas de
gestión de la calidad que agreguen valor a la continuidad del negocio y la
transición de las empresas certificadas por las versiones ISO 9001:2008 y
BASC.
Se hace presente la ausencia de mejora continua de los procesos de
calidad, esto podría deberse a la necesidad de una formación continua de los
procesos de calidad, junto a una formación continua de gestión de riesgos en
todos los procesos de la organización, también esto pudiera deberse a la
formación, la reflexión de los procesos de cambio como herramientas de
innovación y adaptación a la comprensión de los avances en tecnología, que
con ellos las empresas deben de adaptarse a las nuevas exigencias del
mercado.
Además, persiste la deficiencia con los elementos de integración de la
gestión de la calidad a la estrategia del negocio, con ello la necesidad de
integrar la gestión de riesgos en todos los niveles de la organización a la
estrategia de la organización, tal como lo indica Alderete y Gutiérrez (2012),
cuando precisa que los elementos de la gestión de la calidad es una de las
partes importantes en toda organización, específicamente en los procesos
gerenciales, misionales, las prioridades y métodos utilizados para mantener
el producto dentro de un estándar de calidad en un mercado competitivo.
26
Así mismo. Noguez (2015), complementa evaluar la vulnerabilidad de la
organización para cada uno de los riesgos identificados, la vulnerabilidad
depende de la probabilidad que el riesgo se materialice y del coste en el cual
implicaría que esto ocurriese. De este modo, una organización debe
cuantificar los riesgos identificados, es decir establecer cuáles son
conveniente tratar y cuáles no, según corresponda. Si la materialización de
un riesgo supone un coste económico menor que la gestión del mismo es
necesario plantearse un análisis más profundo del mismo, esto es perentorio
considerarse.
Aunado en lo anterior, dentro de las empresas que forman parte de la
cadena de suministro del mercado internacional en el Oriente Colombiano,
es necesario tomar en cuenta los lineamientos de gestión de la calidad, con
ellos la gestión de riesgos, ya que complementa en la metodología de
continuidad, como el descubrimiento de nuevos negocios a través de la
validación los requisitos del cliente, pero no considera en ellos el modelo de
calidad y menos la gestión del riesgo. Mientras más se robustezca el modelo
de negocios orientado a la satisfacción del cliente se puede obtener mejores
resultados, una mayor calidad en los productos diseñados con la inclusión de
una visión por procesos.
Basado en todo lo anterior se puede señalar que de continuar la
ausencia de la gestión del riesgo en la gestión de calidad en las empresas
del Oriente Colombiano en los departamentos del gran Santander –
Colombia, podría muchas organizaciones potenciales no generar lo que sus
gerentes esperan y se alejan de la satisfacción del cliente, lo cual hoy se
encuentra basado en un modelo de negocio con normas ISO 9001 y BASC
que agreguen valor.
Con esta situación, se vería afectado el proceso productivo y de
prestación de servicios, específicamente los sistemas de gestión de calidad
en ausencia de una gestión de riesgo que se requiere; situación que coloca
ya en riesgo la continuidad del negocio, el riesgo de permanencia en el
27
mercado. En otras palabras, la gestión de la calidad junto a una gestión de
riesgos requiere de una consideración inmediata en la estructura de los
nuevos modelos de negocios de las empresas del Oriente Colombiano, es
decir los aspectos concernientes a la estrategia, la cultura corporativa, los
atributos de las organizaciones deben de cuidar estos aspectos
concernientes a considerar la satisfacción del cliente y gerenciar la
incertidumbre.
En vista de lo planteado, es necesario desarrollar una investigación
donde se pueda validar, analizar la gestión integral de riesgos tecnológicos
en la gestión de la calidad en las empresas del Oriente Colombiano más
específicamente los departamentos de Santander, Norte de Santander. Este
análisis se puede desarrollar a través de la identificación de los principios de
la calidad y los principios de la gestión de riesgos, definir los elementos de
gestión de calidad y la gestión de riesgos además de caracterizar una posible
nueva metodología que permita agregar valor a los negocios de las
empresas.
Por otro lado, las empresas del Oriente Colombiano certificados por
ICONTEC y BASC bajo las normas ISO 9001:2008 y BASC V4 2012, deben
considerarse en una metodología ampliada los datos de los requisitos del
cliente en un contexto de gestión de riesgos interno y externo para una
identificación adecuada de las variables de continuidad del negocio y las
herramientas TIC que el mercado requiere.
1.1 Formulación del Problema ¿Cómo es la Gestión Integral de Riesgos Tecnológico en los sistemas
integrados de gestión de la calidad de las empresas del Oriente Colombiano?
1.2 Sistematización del Problema
28
¿Cuáles son los principios de la gestión integral de riesgos en
tecnología y los principios de gestión de calidad que requieren las empresas
del Oriente Colombiano?
¿Cuáles son los elementos de la gestión integral de riesgos y gestión
de calidad han implementado las empresas del Oriente Colombiano?
¿Cuáles son las funciones de la gestión integral de riesgos y la gestión
de la calidad en la Gerencia de las empresas del Oriente Colombiano?
¿Cuáles son las ventajas del Sistema de gestión integral de Riesgos y
gestión de la calidad en las empresas del Oriente Colombiano?
¿Qué elementos deben de considerar las empresas del Oriente
Colombiano que permita integrar la gestión integral de riesgos en la la
gestión de la calidad al modelo de Gerencia de Gestión?
2. Objetivos de la Investigación 2.1 Objetivo General
Analizar la gestión integral del riesgo tecnológico en la gestión de la
calidad en las empresas del Oriente Colombiano (Santander y Norte de
Santander)
2.1 Objetivos Específicos
Identificar los principios de la gestión integral de riesgo tecnológico en
las empresas del Oriente Colombiano.
Establecer las fases de implementación de la gestión integral de riesgo
tecnológico basado en la norma ISO 31000:2009.
29
Caracterizar el proceso de la gestión integral de riesgo tecnológico en
las empresas del Oriente Colombiano.
Describir las ventajas en los Sistemas de Gestión de la calidad en las
empresas del Oriente Colombiano.
Determinar las herramientas de Gestión de la Calidad en las empresas
del Oriente Colombiano
Identificar las técnicas de control en la Gestión de la Calidad en las
empresas del Oriente Colombiano
Generar lineamientos teóricos-prácticos para la gestión integral de
riesgos tecnológicos en la gestión de la calidad de las empresas del Oriente
Colombiano.
3. Justificación de la investigación
La investigación se justificó en 4 ámbitos; desde la perspectiva teórica,
se planteó revisar, documentar y analizar de forma sistematica la literatura,
aportes teóricos a las variables de estudio con el fin de comprender la
situación actual de las organizaciones existentes en los departamentos de
Santander, Norte de Santander con respecto a la gestión integral de reisgos
en la gestión de la calidad. Así mismo, aporta nuevos conocimientos, reune
los conceptos existentes de las variables estudiadas.
En el segundo ámbito, esta investigación será práctica porque los
resultados obtenidos podrán servir de referencia para corroborar el estado en
que se encuentran las organizaciones para gestionar integralmente los
riesgos tecnológicos, y poder describir las ventajas logradas en la integración
con la gestión de la calidad. Se propone que esta investigación sirva como
fuente de caracterización, tipificación, conformación y determinación de la
gestión del riesgo en la gestión de la calidad. De modo que aporte a la
identificación de las deficiencias en el proceso de gestión de riesgos
30
tecnológicos en las empresas de los departamentos de Santander, Norte de
Santander.
En tercer ámbito metodológico, será referente para otros estudios. Se
sustenta en generar lineamientos estratégicos que pueden permitir la
implementación de la gestión integral del riesgo en la gestión de la calidad
como apoyo a la prevención de riesgos tecnológicos u otros riesgos por
procesos. Puede contribuir significativamente a la base de conocimientos
científicos muy limitada acerca de la implementación de metodologías de
gestión de riesgos existentes en las organizaciones en general, y en la
industria Colombianas en particular.
En el cuarto ámbito Social, los beneficios para el gran Santander como
región que emprende registrará sus avances en la generación de estrategias
para la toma de decisiones gestionando el riesgo tecnológico en los
sistemas de gestión de calidad, para los docentes y estudiantes será
referente de estudio y consulta; para las empresas, comunidades, fue un
aporte socio-económico para complementar y asesorar las organizaciones
que persisiten en metodología en gestión de la calidad total buscando
obtener ventajas competitivas.
Finalmente desde el punto de vista juridico, esta investigación aporta a
la gestión de los mandatarios locales en el documento CONPES 3701 y
CONPES 3854 del Consejo Nacional de Política Económica y Social
Republica de Colombia - Departamento Nacional de Planeación, elementos
teóricos investigativos para estudiar e identificar en el Oriente Colombiano
como se encuentra la capacidad de las organizaciones en la gestión integral
de riesgos tecnológicos para enfrentar las amenazas, tecnológicas,
cibernéticas y la política nacional de seguridad digital.
4. Delimitación de Investigación
31
La investigación se realizará en República de Colombia, enmarcado
específicamente en los Departamentos de Santander, ampliado a los
departamentos de Norte de Santander, situados en el oriente del país. En
espacio de tiempo se extenderá desde Septiembre 2015 hasta julio de 2017.
Por otra parte, este trabajo está ubicado en el área de investigación de
Gerencia del desarrollo científico y tecnológico – eje gerencia de las
Tecnologías. Doctorado en Ciencias, mención Gerencia.
Teóricamente se basó para la variable de Gestión del Riesgo
Tecnológico en Winandy (2016), Padró (2015) Espino (2014), Brocal (2014),
Ramírez (2012), Valencia, Marulanda y López (2016), Vilardy (2013),
Ramírez (2012), Ramírez y Ortiz (2011); a su vez para la variable de Gestión
de la calidad en: Martínez-Madiano (2016), Torres (2015), Font (2015),
Porras (2013), Gutiérrez (2013), Martínez (2011), Arribas (2015), López
(2015), Salazar (2015), Solar (2014), Ponsati y Canela (2010), Arnaut (2010),
Martínez (2011), Moreno-Luzon (2002), Noguez (2015) y Perdomo (2004),
para la variable de Gestión de riesgos Romero, Lovera y Flores (2007), Van
Staveren (2006) entre otros.