la gestión en seguridad de la información y el impacto …portal.uasb.edu.ec/userfiles/385/file/la...
TRANSCRIPT
1
La Gestión en Seguridad de la Información y el Impacto en el Desempeño de los
Controles: un estudio empírico en las Pymes Colombianas.
Omar Javier Solano Rodríguez1
Universidad del Valle (Colombia)
Domingo García Pérez de Lema2
Universidad Politécnica de Cartagena (España)
Juan Jesús Bernal García3
Universidad Politécnica de Cartagena (España)
Resumen
1 Profesor de la Universidad del Valle. MBA., Especialista en Sistemas Gerenciales, Contador Público.
Miembro del Grupo de Investigación en Gestión y Evaluación de Programas y Proyectos – GYEPRO de la
FCA. 2 Doctor en Ciencias Económicas y Empresariales por la Universidad de Murcia en 1988, Catedrático de
Universidad. 3 Doctor en CC. Económicas y Empresariales por la Universidad de Murcia en 1981, Catedrático de
Universidad de Métodos cuantitativos para la economía y Director del departamento de Métodos
Cuantitativos e Informáticos de la UPCT.
2
El estudio de la Gestión de Seguridad de la Información (GSI) es un aspecto
relevante en la literatura de los Sistemas de Información (SI) al estudiar como reducir las
vulnerabilidades, limitar las amenazas en el entorno informático y potencializar las
capacidades de la empresa. El objetivo de este trabajo es analizar las relaciones de los
usuarios en el desarrollo de controles, las dimensiones de calidad, y el impacto en los
resultados o desempeño. Contrastando las dimensiones de calidad y de información
planteadas por DeLone y McLean (1992, 2003), con el desempeño de los controles,
propuestos por Spears (2007, 2010). Para ello se llevó a cabo un estudio empírico a partir
de la información de 107 Pymes Colombianas. Para comprobar estadísticamente las
hipótesis planteadas se utilizó un análisis factorial exploratorio y confirmatorio para la
observación de los datos. Además, para poner a prueba la hipótesis y para ajustar el
modelo teórico se utilizó la técnica de modelo de ecuaciones estruturales con el software
PLS. Los resultados obtenidos permiten inferir que la participación del usuario en el diseño
y desarrollo de controles tienen un impacto positivo en los resultados en la implementación
de controles en el SI de las Pymes. También, se analizan las implicaciones prácticas de los
resultados obtenidos. Este trabajo contribuye al desarrollo de estudios sobre la participación
del usuario en la gestión de la seguridad de los SI, su influencia en la implementación y
diseño de controles para la GSI en la Pyme. Además, permite identificar procesos de
cambio en la manera de medir la eficiencia de la gestión del SI, en términos del desarrollo
de controles y la calidad del sistema de información.
Palabra claves: Gestión de Seguridad de la Información, Sistemas de información,
Usuario, Pymes.
Abstract
The study of Management Information Security (GSI) is a relevant literature in Information
Systems (IS) to study how to reduce vulnerabilities, threats limit the computing
environment and empower the capabilities of the firm appearance. The aim of this paper is
to analyze the relationships of users in developing controls, quality dimensions and the
3
impact on the results or performance. Contrasting quality dimensions and information
submitted by DeLone and McLean (1992, 2003), with the performance of the controls
proposed by Spears (2007, 2010). It was carried out an empirical study based on
information from 107 Colombian SMEs. To test the hypotheses statistically exploratory
and confirmatory factor analysis to the observation data is used. In addition, to test the
hypothesis and to adjust the theoretical model technique structural model equations with the
PLS software was used. The results allow us to infer that user participation in the design
and development controls have a positive impact on results in the implementation of
controls in the SI SMEs. The practical implications of the results are also analyzed. This
work contributes to the development of studies on user participation in managing the
security of SI, its influence on the implementation and design of controls for GSI in SMEs.
It also allows to identify processes of change in the way of measuring the efficiency of the
management of SI in terms of development and quality control information system.
Keywords: Management of Information Security, Information Systems, User, SMEs.
1. Introducción
La Gestión en Seguridad de la Información (GSI) pasó de asegurar el carácter
secreto de la información a establecer políticas rigurosas de accesibilidad y mecanismos de
control de acceso al SI (Sindhuja, 2014), buscando una relación con el desempeño de los
controles. Los eventos de riesgos en los SI, probabilidades y posibles consecuencias en las
organizaciones contribuyen a tener estructuras robustas de gestión de riesgos (Kumar,
2010). La GSI será eficaz si está alineada con los objetivos organizacionales, la
cuantificación del negocio y los requerimientos de los usuarios (Suh y Han 2003; Spears,
2005). Para la GSI, el Desempeño del control parece ser una decisión eficiente con el fin
de apoyar un comportamiento ideal de las Pyme (Spears, 2010). De hecho, algunos autores
sostienen que el desempeño del control tiene un efecto positivo con la GSI. Es decir, a una
mayor seguridad en el SI mejora la gestión de seguridad de la información (Spears, 2010).
Otros, relacionan la participación del usuarios con la GSI y el desempeño del control, por
4
ejemplo, Baroudi et al., (1986) consideran que la participación del usuario tiene un papel
preponderante en el análisis, diseño e implementación de los controles del SI. Y en la
revelación de informes sobre el tratamiento informático de la información (Markus y Mao,
2004). DeLone y MClean, (2003) ven la intervención del usuario en mejoras a la calidad
del sistema y de la información. Por tanto, consideramos que el usuario tiene una
participación importante, tanto en el diseño de controles, como en las diversas actividades
de apoyo y desarrollo de proyectos informáticos (Hartwick y Barki, 2001). Así, dicha
participación, ha de contribuir a mejorar el desarrollo de dichos controles al proporcionar la
información necesaria para su diseño (Spears, 2010).
En consecuencia, las hipótesis se basan en las siguientes preguntas de investigación:
¿Hay una relación de causalidad entre la las dimensiones de calidad y el desempeño de los
controles? En la Pyme, se llegará a conclusiones diferentes cuando se distingue entre las
dimensiones de calidad de la información y de la GSI? ¿El desempeño del control está
asociado a la participación del usuario y al desarrollo de los controles en un ambiente
tecnológico? Para responder a las preguntas de investigación, hemos desarrollado un
estudio empírico recogida de datos a través de una encuesta a 107 directivos de las Pymes,
con la proposición de un conjunto de hipótesis que serán testadas mediante PLS,
permitiendo estadísticamente inferir algunos aspectos entre la GSI y las dimensiones de
calidad; ambos constructos relacionados con la participación de los usuarios en las Pymes.
Este trabajo contribuye a la literatura de la Gestión en Seguridad de la Información.
En primer lugar, el constructo desempeño del control se estudia de una práctica, teniendo
en cuenta la participación de los usuario (diseño y desarrollo). Es importante porque la GSI
sigue siendo un tema clave en las empresas, dado que la información personal y financiera
puede ser interceptada y utilizada con fines fraudulentos (Roca et al., 2009). En segundo
lugar, el concepto de "Gestión en la seguridad de la información" como incidencia de los
procesos de gestión, productividad y calidad de la información en la Pyme Colombiana
puede ser una guía metodológica para identificar en las empresas sus limitaciones en la
implementación de políticas de seguridad, y determinar lo que es relevante a la hora de
tomar decisiones en materia de seguridad en los SI/TI (Werlinger et al., 2009). En
consecuencia, nuestros principales resultados pueden ayudar a entender correctamente la
5
influencia de la GSI en el comportamiento de las dimensiones de calidad del sistema, de la
información, y su dinámica en un contexto de la Pyme. La estructura del trabajo se divide
en cuatro partes: la primera comprende el marco teórico, con una revisión de la literatura
sobre la influencia de los factores GSI y se plantean las hipótesis de investigación; la
segunda corresponde a la descripción de la metodología utilizada, donde se describe la
muestra y se justifican las variables; la tercera se ha destinado al análisis de los resultados,
y la última, contiene las principales conclusiones obtenidas, describiendo las limitaciones y
las futuras líneas de investigación.
2. Marco teórico y estudios empíricos previos.
2.1. La Gestión en seguridad de la información y el usuario.
La GSI constituye una decisión estratégica de la organización y está influenciada por los
objetivos de la entidad (Mirela y Maria, 2008). En ese sentido, el objetivo de la Pyme será
proteger sus activos, los procesos y la capacidad para cumplir su misión (Guerrero y
Gómez, 2013). Además, proteger la información, vista como un activo estratégico,
compone, una tarea importante y desafiante (Nazareth y Choi, 2015). Para ello, Kotulic y
Clark (2004), proponen un modelo conceptual basado en el estudio de los GSI a nivel
empresarial, y coadyuvar a que la información sea el activo más importante de la empresa
(Iuga y Kifor, 2014). Aunque las soluciones tecnológicas para la GSI parecen ser
complejas y exigentes, los seres humanos en calidad de usuarios, son el primer nivel de
protección para proteger los activos de información (Chen et al., 2008). La GSI no debe ser
tratada solamente como una función técnica realizada por los expertos de tecnologías de
información que manejan los SI, sino como una labor organizacional que requiere una
perspectiva mucho más compleja, rigurosa y coherente (Adams, 2005). Son los usuarios
llamados a participar en la identificación, diseño, implementación, prueba y mejora de los
controles de seguridad del SI (Spears, 2010). Ésta participación estará definida por el
conjunto de comportamientos, actividades y tareas realizadas por ellos durante la
evaluación de riesgos, el diseño e implementación de los controles de seguridad en SI
(Barki y Hartwick, 1994; Hartwick y Barki, 2001). Las organizaciones dependen de los SI
6
para adelantar sus operaciones comerciales, en tanto, que las preocupaciones sobre el
control y la seguridad de la información se han convertido en un aspecto primordial
(Sindhuja, 2014). La GSI debe ser un proceso que contribuya a identificar las
vulnerabilidades y amenazas en el marco de una organización, así como la generación de
algunas medidas para minimizar el impacto sobre los recursos informáticos (Mirela y
Maria, 2008).
Además, la GSI debe propender por una mejor alineación entre el negocio y las
tecnologías de la información, implementando procesos de gobernanza (Van Grembergen
et al., 2004), a través de estructuras y mecanismos relacionales entre la organización y las
tecnologías. En este proceso, los usuarios pueden proporcionar a la GSI medidas y el
conocimiento en la protección de la información y de los procesos sensibles del negocio
(Spears, 2010), auque para (Ray et al., 2011), el control de la seguridad sea una cualidad
altamente técnica Por otro lado, la satisfacción del usuario es una de las medidas más
importantes del éxito de SI (Urbach y Müller, 2012). Y, sin embargo, sigue siendo un
concepto incierto (Livari, 2005). Entre tanto, los usuarios esperan que el sistema sea de alta
calidad, para tener información de calidad y para proporcionar beneficios sustanciales (Wu
y Wang, 2006). Los principales determinantes de la satisfacción del usuario con el SI son
relevantes: el contenido, la exactitud y la puntualidad (Seddon y Yip, 1992).
La participación de los usuarios ha sido examinada ampliamente como un factor
determinante de la satisfacción de los usuarios y el impacto individual (Petter et al., 2013).
Por todo ello, se plantean las siguientes hipótesis:
H1. La participación del usuario está asociada positivamente con el desarrollo de los controles.
H2. La participación del usuario está asociado positivamente con el nivel de calidad del sistema.
H3. El desarrollo de controles está asociados positivamente con la calidad de la información.
2.2. Las Dimensiones de Calidad y el Sistema de Información.
DeLone y McLean (1992) basado en los trabajos de Shannon y Weaver (1949) y Mason
(1978), propusieron un modelo para evaluar el éxito de la implementación del SI.
7
Proporcionando una taxonomía clara para conceptualizar y operacionalizar la evaluación
del éxito del SI (Zheng et al., 2012). El modelo incluye seis (6) dimensiones para medir el
éxito de los SI: calidad del sistema, calidad de la información, uso, satisfacción del uso,
impacto individual e impacto organizacional. En la versión actualizada del modelo Delone
y McLean (2003) mostraron a través de sus resultados, que la calidad del sistema y de la
información motivan su utilización y la satisfacción de los usuarios, lo que tendrá un efecto
positivo en el rendimiento individual, y a la vez este provocará un efecto positivo en el
rendimiento de la organización que luego sintetizaron en una sola variable denominada
Beneficios netos (Delone y MClean, 2003).
Para Spears (2010), los estudios sobre la relación entre el control y el éxito de los SI son
pocos. No obstante, plantea que el diseño de controles si son apropiados permite mitigar el
riesgo frente a la seguridad del SI. Un sistema de control en GSI prescribe formas de la
organización para poner en práctica sus estrategias, y en gran medida determinar su
rendimiento (Anthony y Govindarajan, 1998; Gu et al., 2010). Para (Ba y Pavlou, 2002;
Pavlou et al, 2007) ha ganado la atención de los investigadores en los SI, la teoría de la
agencia y la gestión de proyectos en SI (Basu y Lederer, 2004; Choudhury y Sabherwal,
2003), facilitando el control gerencial y permitiendo un nivel mayor de transparencia de
control, toda vez, que proporciona información de alta calidad para la toma de decisiones.
Además, en el ámbito de los SI/TI podría enriquecer el significado de las variables y
ampliar el poder explicativo de la teoría (Gu et al., 2010). Mientras que la calidad es
definida como una característica de “aptitud para el uso” cumpliendo con las necesidades
del cliente y la satisfacción del producto (Juran, 1988). DeLone y McLean (2003) la
definen como una característica deseada como propósito del SI, que procesa los datos y
genera la información. (Schusell 1997; Firth y Wang 1996; Orr 1998; Lin et al 2007)
califican la calidad de la Información como un desafío importante del SI y un impacto en el
desempeño organizacional (Slone 2006; Redman 1998; Fisher y Kingma 2001). Con
respecto a la calidad del software (Pressman, 1993), señala que debe existir concordancia
con los requisitos funcionales y de rendimiento, estándares de desarrollo y las
especificaciones técnicas del software. En cuanto, al desempeño del control (DSEMP) está
asociado con una mayor seguridad en el SI, permitiendo administrar el riesgo de la
8
seguridad, y en particular el sistemas de información financiera (Spears, 2010). La calidad
de la información (CINF) es considera por DeLone y McLean (2003) como la evaluación
de la calidad de la información que el SI produce en términos de exactitud, oportunidad,
relevancia, consistencia y de una información completa.
H4. La Calidad del Sisema está asociado positivamente con la calidad de la información.
H5. La calidad del sistema está asociado positivamente con el desempeño de los controles del SI.
H6. La calidad de la información está asociado positivamente con el desarrollo de Controles del
SI.
3. Metodología
3.1. La muestra
La población estuvo representada por 7921 empresas (Pymes) de diferentes sectores
de la economía colombiana registradas en la Cámara de Comercio de Cali (tabla 1). La
técnica de recogida de información empleada fue la encuesta personal, utilizándose como
soporte un cuestionario auto-administrado dirigido al responsable del área de sistemas y
usuarios de los SI. Estos encuestados, frente a otras opciones como gerentes o directores
generales, fueron elegidos por su mayor conocimiento sobre SI y el éxito alcanzado
(Burton-Jones y Straub, 2006; Gable et al, 2003). La tabla 1 presenta la descripción de las
principales características de la muestra.
Tabla 1. Características de la investigación.
Característica Descripción Población Pequeñas y medianas empresas
Área Geográfica Cali (Colombia)
Sector económico Primario (6%), secundario (26%) y terciario (68%)
Método de recolección de la información Entrevista
Método de muestreo Muestreo aleatorio estratificado.
Tamaño de la muestra 107 Pymes
Error de la muestra +-9,55% error, nivel de confiabilidad del 95% (p=q=0,5)
Trabajo de campo Julio a septiembre de 2012.
Fuente: elaboración propia
3.2. Medidas y análisis de datos.
9
Las escalas de medida aplicadas han sido ampliamente testadas en investigaciones
previas. En concreto, las escalas propuestas por Spears (2010) fueron adaptadas para medir
los constructos relacionados con la GSI. La escala usada para medir la calidad del sistema y
de la información provienen en gran parte de DeLone y MClean (1992, 2003). Varios
artículos fueron de nuevo desarrollos basado en la literatura pertinente. Los ítems de la
encuesta se midieron a través de una escala tipo Likert de 5 puntos, donde 1: poco
importante a 5: muy importante.
Las mediciones utilizadas por cada factor, junto con su fuente, son: participación del
usuario (Spears, 2007, 2010), Bowman et al. 1983; King y Zmud, 1981); desarrollo de
controles, (Spears 2010). (Bowman et al., (1983); King y Zmud, (1981)) (Bowman et al.,
1983); King y Zmud, (1981); Fornell (1982), DeLone & Mclean (1992) y referenciadas por
Petter et al. (2013); calidad del Sistema, DeLone y McLean (2003); Delone & Mclean
(1992), Sedera y Gable et al. (2003) y Petter et al. (2008), (Swanson, 2000; Davenport,
2000). Calidad de la Información, (Pérez-mendez & Machado; Cabezas, 2014).
Krumwiede (1998) y Byrd et al. (2006 (Dlone & Mclean 1992;DeLone & McLean 2003;
Petter et al. 2008, Petter et al., 2013); Desempeño del control, Spears (2010) Whitman y
Mattord (2012), la planificación de la seguridad, la gestión de riesgos, la selección de la
tecnología de seguridad, el monitoreo del desempeño y mantenimiento de los controles,
entre otros, estará a cargo de los directivos de seguridad.
En relación con el análisis de los datos, se utilizó, el enfoque de Ecuaciones
Estructurales (SEM: Structural Equation Model) mediante la metodología PLS (Partial
Least Square), denominada PLS-PM (Partial Least Squares-Path Modeling), utilizada para
abordar la cuestión de investigación (Chin et al., 2003), realizando análisis multigrupo
(Peral et al. 2012) y adecuada por su capacidad para trabajar con tamaños muestrales
reducidos. Para validar las hipótesis planteadas en este trabajo de investigación y verificar
la relación entre la participación del usuario, el desarrollo de los controles, las dimensiones
de calidad (calidad del sistema y de la información) con el desempeño o rendimiento de los
10
controles en las Pymes; se hizo uso del software SMART PLS Professional en su versión
3.1.5. Permitiendo examinar una serie de relaciones de dependecia (Bollen, 1989),
representadas gráficamente en la figura 2. Esta técnica utiliza el método de mínimos
cuadrados parciales, y fue diseñada para reflejar las condiciones teóricas y empíricas de las
ciencias sociales y del comportamiento (Wold, 1979). Su uso es muy apropiado en
investigación exploratoria y confirmatoria (Petter et al., 2007; Chin, 2010). La utilización
de su metodología implica seguir un enfoque dividido en dos fases (Barclay et al., 1995): el
modelo de medida y el modelo estructural. Para testar las 6 hipótesis planteadas se ha
considerado, en principio: analizar la fiabilidad y validez de las escalas de medidas y
posteriormente abodar el estudio del modelo estructural. Las mediciones realizadas se
basan en un análisis factorial confirmatorio (AFC), la fiabilidad de las escalas de medida
utilizando el alfa de Cronbach, el índice de fiabilidad compuesta (IFC) y el promedio de la
varianza extraída (AVE).
Figura No. 2 Modelo teórico con medidas
Fuente: elaboración propia.
11
4. Resultados y discusión
El análisis estadístico del comportamiento de los constructos empleados se realizó
mediante el desarrollo del modelo PLS-PM con el software SmartPLS 3.1.5 Profesional.
Esta es una técnica conocida y muy usada en investigación exploratoria y confirmatoria
(Petter et al., 2007, Chin, 2010). Según, Chin (2010) el estudio estadístico funciona mejor
que la SEM basada en la covarianza con muestras pequeñas. Como es el caso del presente
trabajo que cuenta con una muestra de 107 Pymes.
4.1 Modelo de Medida
En el estudio se han utilizado variables reflectivas por cada constructo, lo que implica
que la construcción no observada da origen a los indicadores observados (Pérez-Méndez,
Ángel Machado-Cabezas, 2014). La validez del modelo de medida refleja el siguiente
análisis: fiabilidad, validez convergente y validez discriminante, siguiendo el criteio de
Fornell & Larker (Hair et al. 2013b).
4.1.1. Fiabilidad y validez convergente
En la tabla 2, se presenta el coeficiente α de Cronbach, utilizado como índice de
fiabilidad del constructo (se considera α > 0,7 como punto de corte). Éste índice puede
considerarse como una correlación promedio intervariable entre indicadores de un
constructo reflectivo (Sánchez, 2013). Los resultados muestran coeficientes α> a 0.7
(Fornell & Larcker, 1981; Nunnally & Bernstein, 1994; Chin, 1998). La fiabilidad
compuesta a diferencia del coeficiente α de Cronbach tiene en cuenta que los indicadores
que definen el constructo tienen diferentes cargas y por tanto aportan en distinta magnitud a
la definición de la confiabilidad del constructo (Henseler et al., 2009). Éstos, están por
encima del límite mínimo 0,70 (Hair et al., 1998) mostrando una alta consistencia interna
del bloque de indicadores (Hair et al., 2013; Werts et al. 1974). En cuanto a las cargas
12
factoriales, muestran una estrecha relación con cargas superiores o cercanas a 0,7.
Carmines y Zeller (1979) consideran un indicador reflectivo ha de poseer una carga
superior a 0,7 indicando que la varianza compartida entre el constructo y sus indicadores es
mayor que la varianza del error. No obstante, cargas entre 0,5 o 0,6 pueden ser aceptadas
cuando las escalas se aplican en diferentes contextos (Barclay et al., 1995). La validez
convergente de las variables latentes se evalúo mediante el examen de la varianza extraída
(AVE). Según Fornell & Larcker (1981) se aceptan valores AVE > 0,5. El AVE (tabla 2)
es satisfactorio para las dimensiones analizadas, es decir, que el AVE es capaz de explicar
más de la mitad de la varianza de sus indicadores sobre el promedio (Gootz et al., 2009).
Tabla 2: Fiabilidad y validez de las escalas de medidas.
Constructo Alfa de
Cronbach
Fiabilidad
Compuesta
AVE Cargas Factoriales
Participación del usuario (PUSU) 0,696 0,814 0,524 0,832*** – 0,879*** Desarrollo de controles (DCON) 0,751 0,853 0,660 0,741***, 0,821*** Calidad del sistema (CSIS) 0,795 0,867 0,619 0,642*** – 0,816***
Calidad de la información (CINF) 0,752 0,856 0,665 0,754*** – 0,867***
Desempeño de controles (DSEMP) 0,885 0,921 0,744 0,743*** – 0,853***
Fuente: elaboración propia
4.1.2. Validez discriminante
La validez discriminante busca examinar que cada variable latente comparta más
varianza con su propio bloque de indicadores que con otra variable latente representada por
un bloque diferente de indicadores (Henseler et al. 2009) . En este sentido, se hizo uso del
critero de Fornell & Larker (1981) donde se comparó la raíz cuadrada del AVE (tabla 3:
diagonal principal) contra las correlaciones entre los diferentes constructos, observando que
los elementos de la diagonal principal son superiores a las correlaciones entre constructos.
Es decir, cada uno de los constructos comparte más varianza con sus indicadores que con
los otros constructos del modelo (Fornell & Larcker, 1981). En general, los resultados
obtenidos señalan la idoneidad de las escalas de medida empleadas.
Tabla 3: Validez discriminante
CSIS CINF DCON DSEMP PUSU
Calidad sistemas (CSIS) 0,724
13
Calidad de la información ( CINF) 0,432 0,812
Desarrollo control (DCON) 0,393 0,430 0,787 Desempeño control (DSEMP) 0,485 0,492 0,732 0,816
Participación usuario (PUSU) 0,331 0,369 0,770 0,742 0,863
Fuente: elaboración propia
4.2 Modelo Estructural
En la valoración del modelo estructural (figura 2) se evalúan diferentes aspectos como:
la cantidad de varianza explicada, exactitud de los coeficientes estimados y el poder
predictivo del modelo; esto con el fin de medir la relación entre los constructos y contrastar
las hipótesis definidas a priori. La varianza explicada se midió a través del coeficiente de
determinación (R2), que indica la cantidad de variación en las variables endógenas
explicada por sus variables independientes (Sánchez, 2013). Según, Chin (2010), R2 con
valores superiores a (0,2) indican buena capacidad explicativa de las variables
independientes del modelo. De acuerdo con Sánchez (2013), al categorízar la cantidad de
variación explicada se tiene que, el constructo Desarrollo del Control (R2
= 0,593) es la
variable latente mejor explicada por el constructo Participación del Usuario. Mientras, los
constructos Calidad de la Información (R2
= 0,267) y Desempeño del control (R2
= 0,333)
presentan un nivel moderado de variación explicada. Finalmente, el constructo Calidad del
Sistema (R2
= 0,109) es el de menor cantidad de variabilidad explicada dentro del modelo.
Por tanto, el modelo propuesto tiene un fuerte poder explicativo y revela una cantidad
sustancial de variación en relación al Desempeño del Control en las Pymes. Por otro lado,
con el fin de evaluar la importancia de los coeficientes path extandarizados (β), se realizó
un procedimiento Bootstrap con 5000 muestras para comprobar la significancia estadística
de cada uno de los coeficientes β (tabla 4).
Tabla 4: Significancia estadística de los coeficientes path β
β Media
Bootstrap
Error
Estándar
T
Statistics
P valor f2
PUSU -> DCON
(H1)
0,770*** 0,769 0,063 12,29 0 1,458 PUSU -> CSIS
(H2)
0,331*** 0,354 0,074 4,447 0 0,123
DCON -> CINF
(H3)
0,307*** 0,324 0,102 3,018 0,001 0,109
CSIS -> CINF
(H4)
0,312*** 0,319 0,103 3,039 0,001 0,112
CSIS -> DSEMP
(H5)
0,335*** 0,347 0,064 5,211 0 0,137
CINF -> DESEM
(H6)
0,347*** 0,352 0,082 4,253 0 0,147
14
†p < 0.10,
*p < 0.05,
**p < 0.01,
***p < 0.001
Fuente: elaboración propia
De acuerdo con los resultados obtenidos, las hipótesis planteadas en el modelo de
investigación muestran que sus coeficientes asociados son estadísticamente significativos
a un nivel de significancia de α = 0,05. El constructo Participación del Usuario incide
positivamente y es estadísticamente significativo en la explicación del constructo
Desarrollo del Control (0,770***). También, se aprecia una relación positiva con el
constructo Calidad del Sistema (0,331***). Por tanto, se aceptan las hipótesis H1 y H2.
Esto indica que las Pymes que se preocupan en mayor medida por la participación de los
usuarios en las actividades de la GSI, se espera que resulte una mejor alineación del
negocio, un aporte significativo al desarrollo de los controles y mejora del desempeño del
control (Spears, 2010).
En las relaciones DCON -> CINF (0,307***) y CSIS -> CINF (0,312***) se aprecia un
coeficiente positivo y significancia estadística entre los constructos. Por consiguiente, se
aceptan las hipótesis H3 y H4. Finalmente, en las relaciones CSIS -> DSEMP y CINF ->
DESEM se aprecian coeficientes positivos con significancia estadística entre los
constructos: Calidad del Sistema (0,335***), Calidad de la Información (0,347***) con el
constructo Desempeño del Control. Por lo tanto, se aceptan las hipótesis H5 y H6. Es decir,
las Pyme que gestionan la seguridad de la información se preocupan más por la calidad del
sistema y la calidad de la información de los SI, teniendo, un impacto positivo mayor en el
desempeño del control. Estos factores resultan clave para el éxito del SI e implican
beneficios para la organización (Delone y Mclean, 2003, Petter et al. 2008). Estos
hallazgos apoyan el trabajo de Spears (2010) que indican que al mejorar el desempeño del
control hay una reducción en el número de errores de control y un aumento de la eficiencia
en todo el sistema de controles para proteger la información financiera de los riesgos de
seguridad. Por otra parte, en un estudio de (Solano et al., 2012) de las Pymes Colombianas
de Cali, el “apoyo y control a los procesos del SI” fueron uno de los ítems de mayor
valoración
15
Por último, el poder predictivo del modelo a partir de la (f2)
que mide el tamaño del
efecto -relación introducida en dicho modelo. Para Chin (1998) los valores de 0.02, 0.15 y
0.35 indican un efecto pequeño, mediano o grande. Los resultados muestran un efecto
mediano a diferencia del peso que tiene la relación PUSU – DCON (1.458), lo que indica
que dicha relación tiene el mayor aporte en el modelo estructural. Además, el modelo ha
sido evaluado mediante el test estadístico Q2 (Cross-validated redundancy index), un valor
superior a (0) implica que el modelo tiene dicha relevancia (predictiva del modelo
estructural) mientras que un valor menor a (0) sugiere que el modelo tiene escasez de la
misma (Hair et al., 2013b). Los resultados mostrados en la tabla 5 confirman que el modelo
estructural tiene una relevancia predicativa satisfactoria para las constructos (Calidad de la
Información (0.151), Desempeño del Control (0,198) y Desarrollo del Control (0,343),
mientras el valor calculado f2 de (0,048) sugiere un tamaño pequeño del efecto moderador
de la variable calidad del sistema.
Tabla 5 Varianza explicada (R2) y Test de Stone – Geisser (Q
2)
Variables endógenas R2 Q
2
Calidad del sistema 0,109 0,048 Calidad de la información 0,267 0,151 Desarrollo del control 0,593 0,343
Desempeño del control 0,333 0,198
Fuente: Elaboración propia
5. Conclusiones
En esta investigación se confirma que la participación del usuario ejerce un impacto
positivo en el diseño y desarrollo de controles en el SI de las Pymes Colombianas. Además,
que el desempeño de éstos, tienen una alta relación con procesos de calidad sistema y de la
información. Es decir, la capacidad de los usuarios en el diseño y desarrollo de controles en
la organización influye principalmente en unos mejores resultados de los controles (Spears,
2010) y en la capacidad del SI en mejorar la calidad de la información y del sistema.
16
Investigaciones recientes han reconocido que los factores tecnológicos no son la única
clave para la efectividad de los controles de seguridad de la información. Hay una
necesidad de comprender el impacto de los factores humanos y organizacionales
(Werlinger et al., 2009). YDebido a la enorme cantidad de datos disponibles, la capacidad
de información a procesar y la complejidad de los sistemas, para los usuarios, la calidad de
la información supone un riesgo cada vez más en todas las organizaciones (Spears 2007).
Un requisito previo de la gestión de riesgos de la información efectiva es la evaluación de
estos riesgos (Borek et al. 2014). Y, la participación del usuario crea conciencia
organizativa de los riesgos de seguridad y controles dentro de los procesos de negocio, que
a su vez contribuye al desarrollo de control de seguridad más eficaz y rendimiento (Spears,
2010). Los resultados soportan la hipótesis planteada, lo que proporciona soporte a los
argumentos presentados por Spears, 2010; Tsohou et al 2008; Jarvis et al. 2003,
confirmándo el impacto positivo que puede tener la calidad del sistema y de la información
en las Pymes (DeLone y McLeand 2003).
Esta investigación pretende contribuir al desarrollo de estudios de la gestión del riesgo
informático y su impacto de los SI en la Pyme Colombiana. Los resultados muestran que
aun hoy existen limitaciones para determinar el éxito en la GSI y determinar las variables
que causan el mayor impacto en su implementación. Aspectos que según Spears (2010) y
Petter et al. (2013) aún siguen inconclusos y que pueden contribuir por un lado a controles
informáticos confiables y al diseño de modelos de éxito de los Sistemas de Información en
las organizaciones. La principal contribución de este trabajo es el desarrollo de una
metodología para determinar la validez de las relaciones entre las variables GSI y las
dimesiones de calidad e información específicas para las Pymes, que ayuda a determinar la
conducta de los usuarios respecto al desempeño de los controles (SI) según su percepción e
intenciones y como puede ser el impacto para la productividad del usuario y la
organización. Además, de apoyar la planificación en la formulación estratégica de
proyectos de sistemas acompañados de una buena gestión y seguridad de la información.
17
Por otro lado, este estudio no está exento de limitaciones que deben ser tenidas en cuenta
para futuros trabajos. Por una parte, son las derivadas de la información geográfica
específica de cada país y el tipo de empresa porque existe un evidente sesgo en el manejo
de los datos y la información. Otra limitante, es el tamaño de la muestra, el resultado no es
necesariamente generalizable a todas las Pymes y tipos de SI que se usen. No obstante los
resultados podrían ser aplicables a la demografía de la Pyme representada por la muestra y
en cierta medida a otras tecnologías de la información entre organizaciones que son
similares (Khazanchi, 2005). Además, se observa que las diferentes metodologías para
realizar estudios empíricos que permiten analizar las características del SI y sus efectos en
los controles informáticos, eligen modelos de ecuaciones estructurales con indicadores
formativos a fin de valorar de forma empírica diferentes apartados de una realidad y los
efectos entre los diferentes constructos creados. También, estudios futuros deberían
considerar la diversidad de Pyme como una oportunidad para estudiar la definición de un
instrumento de medición del GSI adaptado a los requerimientos de las necesidad de la
organización, dependiendo de su actividad comercial, tamaño y antigüedad de la
organización, el cual puede ser usado en posteriores ocasiones para definir modelos
empíricos que aporten un nuevo enfoque para medir la eficiencia y desempeño del control
informático, en término de costos y rendimiento.
Finalmente, éste no es un estudio concluido, si bien la evaluación de este tipo de
mediciones se ha venido estudiando de manera sistemática como un tema clave (Thatcher y
Oliver, 2001), hay poco consenso entre investigadores sobre la mejor manera de medir el
impacto de SI en las organizaciones, menos en la Pymes, por tanto, ésta investigación es un
proceso que se orientará a identificar, cómo los factores que influyene en el desempeño de
los controles informáticos, pueden afectar al desarrollo de éxito de los SI en las
organizaciones. Se ha hablado de cómo los diferentes retos interaccionan, y han sugerido
diversas oportunidades de investigación para hacer frente a estos retos a través de mejoras
en los procesos y tecnologías de seguridad, teniendo en cuenta sus factores humanos y
organizativos (Werlinger et al. 2009).
18
6. Agradecimientos.
Los autores agradecen en apoyo institucional a la Universidad del Valle y la Universidad
Politécnica de Cartagena en España. Especialmente a Univalle por la financiación del
proyecto de Investigación No. CI8095.
7. Referencias
Adams, J. (2005). Risk management, it’s not rocket science: it’s more complicated. Journal
The Social Affair Unit. Risk Management Magazine-Social Affairs Unit. Disponible
en: http://www.socialaffairsunit.org.uk/blog/archives/000318.php.
Anthony, R. N., & Govindarajan, V. (1998). Management control systems (9th ed.).
Boston: Irwin/ McGraw-Hill.
Barki, H., & Hartwick, J. (2001). Interpersonal conflict and its management in information
system development. Mis Quarterly, 195-228.
Ba, S., & Pavlou, P. A. (2002). Evidence of the effect of trust building technology in
electronic markets: Price premiums and buyer behaviour. Management Information
Systems Quarterly, 26(3), 243-268. doi:10.2307/4132332
Basu, V., & Lederer, A. L. (2004). An agency theory model of ERP implementation. Paper
presented at the SIGMIS04, Tucson, AZ.
Barclay, D., Higgins, C., & Thompson, R. (1995). The partial least squares (PLS) approach
to causal modeling: Personal computer adoption and use as an
illustration. Technology studies, 2(2), 285-309.
Byrd, T.A.; Lewis, B.R.; and Bradley, R.V. (2006). IS infrastructure: The influence of
senior IT leadership and strategic information systems planning. Journal of
Computer Information Systems 47(1), (pp. 101–113).
Bowman, B.; Davis, G.; and Wetherbe, J. (1983). Three stages model of MIS planning
Information Management 6(1), (pp.11-25).
Bollen, K. A. 1989. Structural Equation Models with Latent Variables. Wiley, New York.
19
Burton-Jones, A. and Straub D.W. (2006). Reconceptualizing System Usage: An Approach
and Empirical Test. Information Systems Research 17(3), (pp. 228-246).
Chin, W. W. (1998). The partial least squares approach to structural equation
modeling. Modern methods for business research, 295(2), 295-336.
Chin, W. W., Marcolin, B. L. y Newsted, P. R. (2003). A partial least squares latent
variable modeling approach for measuring interaction effects: Results from a Monte
Carlo simulation study and an electronic-mail emotion/adoption study. Information
Systems Research, 14(2), 189-217.
Chin, W. W. (2010). How to write up and report PLS analyses. In Handbook of partial
least squares (pp. 655-690). Springer Berlin Heidelberg.
Chen, C.C. , Medlin, B.D. and Shaw, R.S. (2008), “A cross-cultural investigation of
situational information security awareness programs”, Information Management and
Computer Security, Vol. 16 No. 4, pp. 360-376.
Choudhury, V., & Sabherwal, R. (2003). Portfolios of control in outsourced software
development projects. Information Systems Research, 14(3), 291-314.
doi:10.1287/isre.14.3.291.16563
Choe, J.M. (1996). The relationships among performance of accounting information
systems, influence factors, and evolution level of information systems. Journal of
Management Information Systems 12(4), (pp. 215–239).
Davis, G. and Olson, M. (1987). Sistemas de Información Gerencial. Bogotá, Colombia:
McGraw Hill.
DeLone, W. and McLean, E. (1992). Information systems success: The quest for the
dependent variable. Information Systems Research 3(1), (pp. 60–95).
DeLone, W. and McLean, E. (2003). The DeLone and McLean model of information
systems success: A ten-year update. Journal of Management Information Systems
19(4), (pp. 9–30).
Fisher, C. W., & Kingma, B. R. (2001). Criticality of data quality as exemplified in two
disasters. Information & Management, 39(2), 109-116.
20
Fornell, C. (1982). A Second Generation of Multivariate Analysis: An Overview. Fornell C.,
Editor, a Second Generation of Multivariate Analysis, New York, Praeger
Publishers, U.S.A. (1), (pp. 1-21).
Gable, G., Sedera, D. and Chan, T. (2003). Enterprise systems success: a measurement
model. In March, Salvatore T. and Massey, Anne and DeGross, Janice I., Eds.
Proceedings Twenty-Fourth International Conference on Information Systems,
Seattle, USA (pp. 576-591).
Gable, G. (2008). Re-conceptualizing Information System Success: The IS-Impact
Measurement Model. Journal of the Association for Information Systems 9(7),
(pp.1-32).
Guerrero Julio, M., & Gómez Flórez, L. (2013). Gestión de riesgos y controles en sistemas
de información: del aprendizaje a la transformación organizacional. Estudios
Gerenciales, 28(125), 87-95.
Gu, J., Ma, J., Tian, W., & Vogel, D. (2010, October-December). IS-supported managerial
control for China's Research Community: an agency theory perspective. Journal of
Global Information Management, 18(4), 53.
Hair Jr, J. F., Hult, G. T. M., Ringle, C., & Sarstedt, M. (2013). A primer on partial least
squares structural equation modeling (PLS-SEM). Sage Publications.
Hartwick, J., & Barki, H. (2001). Communication as a dimension of user
participation. Professional Communication, IEEE Transactions on, 44(1), 21-36.
Henseler, J., Ringle, C. M., & Sinkovics, R. R. (2009). The use of partial least squares path
modeling in international marketing.
Iuga, v., & kifor, c. V. (2014). Information and knowledge management and their
interrelationship within lean organizations. Revista academiei fortelor
terestre, 19(2).
Irani, Z., & Love, P. (2000). The propagation of technology management taxanomies for
evaluating information systems. Journal of management systems, 17 (3), 161-177.
Juran, J.M. (1988), Juran on Planning for Quality, The Free Press, New York, NY.
King, W. and Zmud, R. (1981). Managing information systems: policy planning, strategic
planning and operational planning. Proceedings of the Second International
21
Conference on Information Systems, Cambridge, MA, (pp. 299-308) O´Donnel, &
Weihrich. (1990). Elementos de administración (3 ed.). Bogotá: McGraw-Hill.
King, W. and Zmud, R. (1981). Managing information systems: policy planning, strategic
planning and operational planning. Proceedings of the Second International
Conference on Information Systems, Cambridge, MA, (pp. 299-308).
Kotulic, A. G., & Clark, J. G. (2004). Why there aren’t more information security research
studies. Information & Management, 41(5), 597-607.
Kumar, M. 2010. Risk Management Practices In Global Manufacturing Investment.
Doctoral Thesis, Cambridge, UK: University of Cambridge, June.
Livari, J. (2005). An empirical test of the DeLone–McLean model of information system
success. Data Base for Advances in Information Systems, 36(2), 8–21.
Mirela, G., & Maria, B. (2008). Information Security Management System. Annals Of The
University Of Oradea, Economic Science Series, 17(4), 1358-1363.
Mason, R. O. (1978). Measuring Information Output: a Communication Systems Approach.
Information & Management 1(5), (pp. 219-234)
Markus, M. L., & Mao, J. Y. (2004). Participation in development and implementation-
updating an old, tired concept for today's IS contexts. Journal of the Association for
Information Systems, 5(11), 14.
Nazareth, D. L., & Choi, J. (2015, January). A system dynamics model for information
security management. Information & Management, 52(1), 123.
Pavlou, P. A., Liang, H., & Xue, Y. (2007). Understanding and mitigating uncertainty in
online exchange relationships: A principal-agent perspective. MIS Quarterly:
Management Information Systems, 31(1), 105-135
Pérez-Méndez, J. A., & Machado-Cabezas, Á. Relationship between management
information systems and corporate performance. Revista de Contabilidad – Spanish
Accounting Review (2014). http://dx.doi.org/10.1016/j.rcsar.2014.02.001
Petter, S., DeLone, W. and Mclean E. (2008). Measuring information systems success:
models, dimensions, measures, and interrelationships. European Journal of
Information Systems 17(3), (pp. 236-263).
22
Petter, S., DeLone, W., and McLean, E. (2013). Information Systems Success: The Quest
for the Independent Variables. Journal of Management Information Systems 29(4),
(pp. 7-62).
Ray, S., Ow, T. and Kim, S. (2011), “Security assurance: how online service providers can
influence security control perceptions and gain trust”, Decision Sciences Journal,
Vol. 42 No. 2, pp. 391-412.
Roca, J.C., García, J.J. and de la Vega, J.J. (2009), “The importance of perceived trust,
security and privacy in online trading systems”, Information Management and
Computer Security, Vol. 17 No. 2, pp. 96-113.
Shannon, C. and Weaver, W. (1949). The Mathematical Theory of Communication,
University of Illinois Press, Urbana, IL.
Sedera, D. and Gable, G. (2004). A factor and structural equations analysis of the
enterprise systems success measurement model. Center for Information Technology
Innovation Queensland University of Technology. (pp. 449-463).
Seddon, P., & Yip, S-K. (1992). An empirical evaluation of user information satisfac-tion
(UIS) measures for use with general ledger accounting software. Journal
ofInternational Systems, 6(1), 75–98.Serafeimidis, V., & Smithson, S. (2000).
Sindhuja P.N. , (2014) "Impact of information security initiatives on supply chain
performance: An empirical investigation", Information Management & Computer
Security, Vol. 22 Iss: 5, pp.450 – 473.
Slone, J. P. 2006. Information quality strategy: An empirical investigation of the
relationship between information quality improvements and organizational outcomes.
Doctoral Thesis, Minneapolis, MN, USA: Capella University, October. Suh, B., and
Han, I. 2003. “The IS Risk Analysis Based on a Business Model,” Information &
Management (41:2), pp.149-158.
Suh, B., & Han, I. (2003). The impact of customer trust and perception of security
control on the acceptance of electronic commerce. International Journal of electronic
commerce, 7(3), 135-161.
Spears, J. L. 2005. “A Holistic Risk Analysis Method for Identifying Information
Security Risks,” in Security Management, Integrity, and Internal Control in
23
Information Systems, P. Dowland, S. Furnell, B. Thuraisingham, and X. S. Wang
(eds.), New York: Springer, pp. 185-202.
Spears, J. L. (2006). A holistic risk analysis method for identifying information security
risks. In Security Management, Integrity, and Internal Control in Information
Systems (pp. 185-202). Springer US.
Spears, J. L. (2007). End Users’ Contribution to Information Security Policy
Effectiveness. In Proceedings of the 6th Annual Security Conference (pp. 11-12).
Spears, J. L., & Barki, H. (2010). User participation in information systems security risk
management. MIS quarterly, 34(3), 503-522.
Spears, J. L., Barki, H., & Barton, R. R. (2013). Theorizing the concept and role of
assurance in information systems security. Information & Management,50(7), 598-
605.
Thatcher, M. E. and J. R. Oliver (2001). The impact of technology investments on a firm's
production efficiency, product quality, and productivity. Journal of Management
Information Systems 18(2), (pp. 17-45).
Urbach, N., & Müller, B. (2012). The updated DeLonne and McLean model of
informationsystems success. http://dx.doi.org/10.1007/978-1-4419-6108-2 1
Van Grembergen, W., De Haes, S., & Guldentops, E. (2004). Structures, processes and
relational mechanisms for IT governance. Strategies for information technology
governance, 2(4), 1-36.
Werts, C. E., Linn, R. L., & Jöreskog, K. G. (1974). Intraclass reliability estimates: Testing
structural assumptions. Educational and Psychological measurement, 34(1), 25-33.
Werlinger, R., Hawkey, K., & Beznosov, K. (2009). An integrated view of human,
organizational, and technological challenges of IT security
management. Information Management & Computer Security, 17(1), 4-19.
Wold, H. (1979): Model Construction and Evaluation when Theoretical Knowledge Is
Scarce: An Example of the Use of Partial Least Squares. Cahiers du Département
D´Économétrie. Genève: Faculté des Sciences Économiques et Sociales, Université
de Genève.
24
Wu, J.-H., & Wang, Y.-M. (2006). Measuring KMS success: A respecification of
theDeLone and McLean’s model. Information and Management, 43, 728–739.
Zheng, Y., Zhao, K., & Stylianou, A. (2013). The impacts of information quality and
system quality on users' continuance intention in information-exchange virtual
communities: An empirical investigation. Decision Support Systems, 56, 513-524.