Participacin de los usuarios en sistemas de informacin GESTIN DE RIESGOS DE SEGURIDAD

Abstracto En este trabajo se examina la participacin del usuario en la informacinla gestin de riesgos de seguridad de sistemas y su influencia en elcontexto del cumplimiento de las normas a travs de un estudio multi-mtodo enel nivel de organizacin. En primer lugar, once informantes a travs de cincoorganizaciones fueron entrevistados para obtener una comprensin delos tipos de actividades y controles de seguridad en el que los usuariosparticipado como parte del cumplimiento de la ley Sarbanes-Oxley, juntocon resultados asociados. Un modelo de investigacin se ha desarrolladosobre la base de los resultados del estudio cualitativo y usuarios existenteslas teoras de la participacin en la literatura sobre el desarrollo de sistemas.

El anlisis de los datos recogidos en una encuesta de 228miembros de ISACA, una asociacin profesional especializados en tecnologa de la informacin degobierno, la auditora y la seguridad,apoyado el modelo de investigacin. Los resultados de los dos estudiosconvergieron e indic que la participacin del usuario contribuya mejorar el rendimiento de control de seguridad a travs de una mayorconciencia, una mayor alineacin entre el riesgo de seguridadla gestin y el entorno empresarial y la mejora decontrolan el desarrollo. Mientras que la seguridad es la literatura a menudoretrata a los usuarios como el eslabn ms dbil en la seguridad, el estudio actualsugiere que los usuarios pueden ser un recurso importante para ESseguridad al proporcionar el conocimiento necesario de negocio quecontribuye a las medidas de seguridad ms efectivas. Usuariola participacin es tambin un medio para atraer a los usuarios en la proteccin deinformacin confidencial en sus procesos de negocio.

Palabras clave: Seguridad de la informacin, la participacin del usuario, la seguridad gestin de riesgos, la Ley Sarbanes-Oxley

Introduccin

Se estima que al menos la mitad de las infracciones a la informacinsistemas de seguridad son realizadas por personal interno, que se atribuyeprincipalmente para el acceso no autorizado al sistema (Gordon et al. 2005). La ocurrencia de violaciones de seguridad ES por personal internose puede reducir si se hiciera hincapi en la internalas amenazas a la seguridad IS que puede ocurrir cuando se manejan los empleadosinformacin en sus puestos de trabajo da a da. En cambio, es ampliamentecree que los esfuerzos de la organizacin para la gestin es la seguridad sonnormalmente centrado en las vulnerabilidades en los activos tecnolgicostales como hardware, software, y la creacin de redes, a expensas de losla gestin de otras fuentes de vulnerabilidad, como las personas,las polticas, los procesos y la cultura (vase Halliday et al 1996;.Huet al. 2006; Jahner y Krcmar 2005, Spears 2005, Straub y Welke 1998, von Solms y Solms von 2004). Por otra parte,centrada en la tecnologa es la seguridad es tpicamente centrado enamenazas externas, tales como hackers y virus (vase, Doherty yFulford 2005; Whitman 2004), dejando a las organizaciones abiertas alinfracciones desde el interior. La literatura de seguridad es tpicamente retrata los usuarios como a los dbileseslabn de la seguridad, tanto de los errores o delitos informticos (por ejemplo,Dhillon y Moores 2001; Siponen 2000b; Wade 2004).

Mientras que algunos autores han observado que los usuarios pueden ser a la vez laproblema y la solucin (por ejemplo, Stanton y Stam, 2006; Whitman2008) y que los usuarios pueden tener un papel importante en la seguridaddiseo (Siponen 2005), la literatura carece de empricaLos estudios que examinan ms de cerca cmo los usuarios pueden hacer unaimpacto positivo en la seguridad ES. Basado en la premisa de que,en lugar de ser el eslabn ms dbil, los usuarios pueden ser una valiosarecursos en gestin ES riesgos de seguridad, el presente trabajo depregunta de investigacin se pregunta cmo los usuarios participar en SE seguridadgestin de riesgos en los procesos de negocio, y cmo suparticipacin se percibe el impacto es la seguridad.

Hay al menos dos razones por las que la participacin del usuario en ESla gestin de riesgos de seguridad puede ser valiosa. En primer lugar, sensibilizacin de losusuarios de los riesgos para la seguridad ES La opinin generalizada es quefundamental es la seguridad efectiva (Aytes y Connolly2004; Furnell 2008; Goodhue y Straub 1991, Hu et al2006; Siponen 2000a, 2000b; Straub y Welke 1998; Whitman 2004). Es decir, los controles de seguridad de la organizacin (es decir,las polticas, los procedimientos, las salvaguardias y contramedidas queprevenir, detectar o minimizar un SI brecha de seguridad) slo puedeser eficaz en la medida en que las personas que manejan la informacinen su trabajo del da a da (por ejemplo, los usuarios de negocio funcionales) sonconscientes de que estas medidas y se adhieren a ellos. En efecto, Goodhue y Straub (1991. P 13) sugirieron que "desde protectoramedidas a menudo requieren una vigilancia administrativa significativa, unadecuado nivel de conciencia y preocupacin puede ser un requisito previo para la proteccin deseguridad adecuada. "participacin de los usuarioses probable que sea til en el logro de esta toma de conciencia.

En segundo lugar, los controles de seguridad tienen que estar alineados con el negocioobjetivos sean eficaces (Alberts y Dorofee 2003; Hallidayet al. 1996; ITGI 2005; McAdams 2004, Suh y Han 2003). Dicha alineacin requiere una comprensin de la relacinvalor de la informacin, cmo la informacin se utiliza dentro de yen los procesos de negocio, y en lo que los nodos dentro de un procesoinformacin sensible es ms vulnerable. Participacin de los usuariosen es el anlisis de riesgos de seguridad y diseo de control puede proporcionares necesario el conocimiento del negocio, lo que contribuye a las medidas de seguridad mseficaces. Participacin de los usuarios en el desarrollo de sistemas de informacin (DSI)y su influencia en el xito final de los sistemas implementados ha sido un importante tema deinvestigacin por lo menos desde el1970 (por ejemplo, Baroudi et al, 1986;.Hartwick y Barki 1994;Ives y Olson, 1984; Swanson 1974). En contextos ISD, el usuarioparticipacin en gran medida los resultados se han atribuido aresultados afectivos, como la satisfaccin y psicolgicaarchivo adjunto. Sin embargo, algunos estudiosos del comportamiento organizacionalhan argumentado que el mayor efecto de la participacin puede ser, tales como el intercambio de informacin cognitiva y el conocimientotransferencia (Latham et al 1994;.. Locke et al 1997). Mientras ISDlos investigadores han reconocido cognitiva de participacin de los usuariosefectos (Ives y Olson 1984), la literatura emprica careceLos estudios que examinan estos efectos. Por lo tanto, el presente documentoexamina los efectos cognitivos de la participacin de los usuarios en el IScontextos de seguridad. El objetivo del presente trabajo esexaminar lo que la participacin del usuario se encuentra en contextos de seguridad ycmo influye en el rendimiento de IS controles de seguridadorganizaciones. De este modo, las respuestas de papel llamadas para IS

la investigacin de seguridad que aplica la teora de la literatura ES (Dhillon y Backhouse 2000), y pide que se investigue el usuariola participacin en los contextos actuales (Markus y Mao 2004). El resto del trabajo se organiza de la siguiente manera. En primer lugar, laconcepto de participacin de los usuarios se caracteriza por extantteoras en ISD, seguidos por su conceptualizacin en IScontextos de seguridad. A continuacin, la investigacin multi-mtodo del estudiodiseo se describe, seguido de un estudio exploratorio cualitativoque la participacin de los usuarios examinado ES gestin de riesgos de seguridad para el cumplimiento regulatorio. Un modelo terico informado por las teoras existentes de participacin de usuarios y el estudio cualitativo se prueba en un estudio cuantitativo de confirmacin. Finalmente, el documento concluye con una discusin de las implicaciones del estudio, las limitaciones y sugerencias de futuroinvestigacin.

Teora

La participacin del usuario en el ISD

El desarrollo de sistemas de informacin de la literatura (ISD) tiene participacin de los usuarios examinado predominantemente en el contexto de los usuarios de negocios que participan con los profesionales de la IS planificacin, diseo e implementacin de un sistema de informacin sistema (Baroudi et al, 1986;. para revisiones informativas, ver Ives y Olson 1984; Markus y Mao 2004). En contextos ISD,Barki y Hartwick (1994; Hartwick y Barki 2001) definenparticipacin de los usuarios como el grado en que los usuarios o susrepresentantes llevar a cabo las tareas y llevar a cabo diversasactividades y comportamientos durante ISD y conceptualizadoa lo largo de cuatro dimensiones: los usuarios de 'manos a la realizacin deactividades, la responsabilidad, las relaciones con IS, y la comunicacin es con el personal y ladireccin.

Una sntesis reciente de la literatura participacin de los usuarios identific tres teoras subyacentes, etiquetado como buy-in, el sistemacalidad, y emergentes interacciones, que explican cmo la participacin influye en el xito del sistema (Markus y Mao 2004). De acuerdo con el buy-in de la teora de la participacin, el esfuerzolos usuarios invierten durante su participacin y la influencia quehan de ISD les hace percibir el sistema como mspersonalmente relevante e importante. A su vez, esta psicolgicaestado de mayor participacin se piensa positivamenteinfluir en sus actitudes (es decir, aquellos que participan tienden acomo el sistema ms), as como su uso del sistema (Barki y Hartwick 1989, 1994; Hartwick y Barki 1994, 2001).

De acuerdo con la teora de la calidad del sistema, cuando los usuarios participan en ISD, los desarrolladores de sistemas estn mejor informadosacerca de las necesidades del negocio, que a su vez resulta en una mayor calidad yLos sistemas ms exitosos (Markus y Mao 2004). La participacin del usuario se cree que es particularmente til cuando un ISDproyecto es grande, conceptualmente nueva o la tarea es compleja (Por ejemplo, Markus y Mao 2004). Implcita en la calidad del sistemaLa teora es la importancia de los efectos cognitivos de la participacin como un mecanismo para mejorar la calidad del sistema. Por ltimo, de acuerdo con la teora de las interacciones emergente, cuandolos usuarios participan en ISD, desarrollan una relacin con elES profesionales, y la naturaleza el xito no slo en trminos de los sistemas de mayor calidad (porque de esta relacin influyeel xito del sistema. Es probable que conduzca a una "buena" relacinlos profesionales de la IS se vuelven ms propensos a considerar empresarialnecesidades de sus modelos), pero tambin en trminos de relacional yresultados afectivos (por ejemplo, niveles ms altos de usuario y diseador satisfaccin), en cambio, las relaciones de los "malos" que son

frecuentemente plagado de conflictos y disputas es probable que conduzcana resultados menos positivos (Markus y Mao 2004). Con base en su sntesis de la participacin de los usuarios es la literaturay su reconocimiento de la evolucin de IS contextos, Markusy Mao (2004, pp 523-524) sugiere que los investigadores" Reconceptualizar IS conceptos fundamentales de la teora de la participacin y lalas relaciones entre ellos ", a fin de determinar cmoagentes de cambio pueden emplear las prcticas de participacin para aumentarlas posibilidades de xito en el variado contextos de desarrollo. ComoEn consecuencia, el presente trabajo reconceptualiza el xitoresultados, actores, actividades y enlaces hipotticos entreactividades y resultados de la participacin de los usuarios mediante la aplicacin de labuy-in, sistema de calidad, y las teoras emergentes de interaccin departicipacin de los usuarios en ES contextos de gestin de riesgos de seguridad. EnAl hacerlo, el documento analiza cmo puede ser la participacinempleado para mejorar es la seguridadGestin de riesgos de seguridad

La gestin de riesgos de seguridad (SRM) es un proceso continuo deidentificacin y priorizacin de un riesgo de seguridad, y la aplicacin dey controles de monitoreo (es decir, las medidas de lucha, salvaguardias)que abordan los riesgos (por ejemplo, Alberts y Dorofee 2003;ISO / IEC 2000; ITGI 2005; NIST 2004). En el presente trabajodistingue entre el proceso de gestin de riesgos de seguridady los controles (tecnolgico o manual) que son la salidade ese proceso. SRM incluye las estrategias, polticas, actividades, funciones, procedimientos, y las personas utilizan para administrar la seguridadriesgo, mientras que los controles resultantes tienen por objeto reducir laprobabilidad o el impacto de un incumplimiento. En otras palabras, eficazSe espera que SRM para dar lugar a un sistema de controles que protegen colectivamente es laseguridad, que se define como la preservacin de unconfidencialidad del sistema de informacin, integridad y disponibilidad (ISO / IEC 2000). Por lotanto, es la seguridad, tal como se utiliza en elel presente trabajo, abarca tanto SRM como la resultantecontroles de seguridad. Transposicin Barki y Hartwick (1994) conceptualizacinde participacin de los usuarios en el ISD ES contextos de seguridad, el usuarioparticipacin en SRM se define como el conjunto de comportamientos,actividades y tareas realizadas por los usuarios de negociodurante la evaluacin de riesgos y el diseo e implementacin deSon los controles de seguridad. Se espera la participacin del usuario para agregarvalor a SRM, que a su vez contribuye a la eficacia de los controlesque en ltima instancia, mejorar la seguridad, es decir, la posibilidad ogravedad de un fallo de seguridad se reduce.

Un diseo de investigacin multi-mtodo

Una combinacin de los mtodos de recoleccin y anlisis de datos fueronutilizado en muestras separadas para examinar la participacin del usuario enSRM. Se entrevist a una muestra, seguidosmediante un estudio de encuesta con una muestra diferente de los profesionales quehaba trabajado en cumplimiento de la Ley Sarbanes-Oxley desus respectivas organizaciones. Este multi-method2 (Tambinconoce como mtodo de mezclado y plural) enfoque seelegidos en base a la premisa de que los datos separados y diferentesconjuntos dibujados en los mismos fenmenos podran proporcionar una ms ricaimagen (Sawyer, 2001, p. 180) del concepto de y los resultadosasociado a la participacin del usuario que lo hara un mtodo de monoenfoque. Un diseo secuencial (Hanson et al 2005;. Mingers2001) que se utiliz en el estudio exploratorio cualitativoinform un estudio confirmatorio posterior. Los mtodos cualitativos son apropiados dado el alto gradode la incertidumbre que rodea al fenmeno en estudio (Trauth 2001), es decir, no se saba lo suficiente a priori acercaparticipacin de los usuarios en el contexto de SRM para cuantitativamentemedirlo o pre-especificar sus resultados. Por lo tanto, cualitativamtodos proporcionan una rica comprensin de las actividades,conductas y tareas que definen la participacin de los usuarios enel contexto de SRM para el cumplimiento regulatorio. En segundo lugar,mtodos cualitativos permite un modelo de proceso a ser construido mediante la aplicacin de las tres teoras participacin de los usuariosdescrito por Markus y Mao (2004) como marco paraanlisis. Un modelo de proceso se basa en una explicacin narrativade una secuencia de eventos que contribuyen a un resultado especfico (Tsohou et al. 2008, p. 275). Mientras que la participacin del usuario existenteteoras fueron utilizados como un marco de anlisis, la recopilacin de datospara el estudio cualitativo no se basaba en ninguna teora a priori, conceptos o resultados, y por lo tanto era exploratoria.

Los mtodos cuantitativos se emplean entonces para probar lamodelo terico derivado de la investigacin cualitativa y con baseen la comprensin de los investigadores (Lee 1991). Hiptesisque se construyeron a partir del estudio cualitativo form unmodelo de varianza que examin el grado en que el usuarioparticipacin explica la variacin en los resultados preespecificadovariables (Tsohou et al. 2008). As, la combinacin cualitativay los mtodos cuantitativos proporcionan tanto un contexto rico ycapacidad de prueba para el estudio (Kaplan y Duchon 1988). Adems, este diseo de mtodos mltiples fortaleci los resultadostravs de la triangulacin, es decir, la validacin cruzada de ambos tiposy se encontraron fuentes de datos congruentes (Kaplan yDuchon 1988). Detalles sobre la forma cualitativa y cuantitativamtodos fueron empleados se resumen en el Apndice A.

La Ley Sarbanes-Oxley como contexto

Participacin de los usuarios en el IS de seguridad se examin en el contextode cumplimiento de la organizacin con la Ley Sarbanes-Oxley de2002 (en lo sucesivo, SOX), debido a la relevancia de la regulacin de ambos es los procesos de seguridad y de negocios.SOX trata de asegurar la integridad de los reportados pblicamenteestados financieros de exigir a las empresas que demuestrencontrol interno sobre la informacin financiera (ICOFR), definido comoproceso de la organizacin para proporcionar una seguridad razonablerespecto a la confiabilidad de su informacin financiera (PCAOB2004, p. 153). En otras palabras, la SOX se centra en el objetivo de la integridad es la seguridad al exigir a las organizacionesimplementar controles internos que efectivamente protegen financierainformacin de los delitos informticos, errores de empleados yotras amenazas a la seguridad y vulnerabilidades que podran llevar aestados financieros confiables. SOX intenta lograrICOFR manteniendo ejecutivos de la compaa con responsabilidad personal(Rendicin de cuentas) y la exigencia de una auditora externa anual de unlos controles internos de la compaa. SOX fue elegido para el contexto de estudio como un medio para localizar unamuestra de tamao adecuado de las empresas que emplean a la participacin del usuario en el SRM. SOX probablemente fomenta la participacin empresarial en SRM por al menos dos razones. En primer lugar, es ICOFRcentrado en los procesos de negocio que impactan significativamenteinformacin financiera en los estados reportados pblicamente. Enhaciendo ejecutivos de la compaa, por lo general el CEO y el CFO,responsables de ICOFR, SOX fomenta la participacin del usuarioen es la seguridad. Los gerentes de negocios deben "sign-off" en eladecuacin de sus controles como evidencia documentada de SOXcumplimiento. Los altos directivos tienden a delegar algunas deesta responsabilidad a su personal y, como tal, los usuarios de negocioson propensos a participar en el proceso. En segundo lugar, mientras que ESla seguridad se ha centrado tradicionalmente en las amenazas externas, comohackers y virus, la gestin del riesgo de fraude requiere de uncentrarse en las amenazas internas, como los delitos informticos empleados. En otras palabras, los controles tcnicos orientados a la proteccin deel permetro de la red de amenazas externas no son suficientes paragestin de amenazas y vulnerabilidades internas integradas dentrolos procesos de negocio. Cuando se los turnos de seguridad de una redpermetro para un negocio enfoque de procesos, la gente de negocios sonpropensos a participar ya que realizan los procesos de negocio comoparte de su trabajo diario. Como resultado, centrndose en internoamenazas a la IS es probable que atraiga la participacin empresarial ms amplia en SRM seguridad.

Un estudio exploratorio del usuario La participacin en ES Seguridad

Un estudio exploratorio se llev a cabo para entender mejor laactividades especficas, conductas y tareas que constituyenparticipacin de los usuarios en el SRM y para investigar sus resultados. Una narrativa contextual de la participacin del usuario establece una basepara un examen posterior de los efectos de la participacinestudiado desde la perspectiva de tres participacin de los usuarios existentesteoras.

Recopilacin de Datos

Para realizar el estudio exploratorio, los informantes con SOXexperiencia se identific por primera vez en un simposio de un da sobreseguridad de la informacin y el cumplimiento de SOX que fue patrocinado por el departamentode contabilidad de una universidad ubicada enel medio oeste de Estados Unidos. Se seleccionaron informantesporque han trabajado en los esfuerzos de cumplimiento SOX en surespectivas compaas. Nueve entrevistas semi-estructuradas se realizaron con onceinformantes de cinco empresas en tres sectores: dosentrevistas incluyeron dos informantes. Esta convenienciamuestra incluy a tres informantes (director de riesgo alto, riesgodirector y subdirector de seguridad de informacin) a unabanco nacional grande, dos informantes (auditora interna e ISgerentes) en una empresa de fabricacin, tres informantes (Contralor de Finanzas, director de auditora interna, y es director)a una segunda empresa de fabricacin, un informante (auditora internamanager) a una tercera empresa de fabricacin, dos informantes (Gerentes de contabilidad y auditora interna) en una empresa de servicios pblicos.

Cada entrevista dur unos 90 minutos y fueregistrada. Los informantes dijeron que el propsito del estudio erapara obtener una mejor comprensin del proceso y los resultadosasociada con la participacin de los usuarios de negocios es la seguridad enproyectos, y que el cumplimiento SOX fue considerado como talun proyecto (Spears y Cole 2006). Se les pidi a contarlas funciones y actividades empleadas por sus respectivas empresas, como parte de los esfuerzos de cumplimiento de SOX, junto conasociada resultados. El Apndice B proporciona un resumen de lagua de entrevista (la versin completa se puede encontrar en Spears2007).

Anlisis

En el anlisis, clasificacin y conexin de formulario de datos cualitativosla base de la teora del desarrollo (Urquhart 2001). Como tal,los datos cualitativos fueron analizados mediante la clasificacin de trozos de texto transcrito en cdigos significativos (es decir, palabras clave), el cualluego fueron causalmente conectado (Miles y Huberman, 1994, pp56-71). Un proceso de tres tcnicas de codificacin iterativa fueaplicado al texto transcrito (Urquhart 2001). En primer lugar, selectiva (O teora impulsada) codificacin se utiliz para desarrollar un cdigo iniciallista que figura la participacin del usuario, la conciencia y la seguridadcontroles. Siguiente codificacin y abiertas se utilizan para identificar nuevoscdigos, ya que surgieron de transcripciones de entrevistas. Por ltimo,codificacin axial se utilizan para identificar las relaciones existentes entrecategoras de cdigo.

Como informantes describen el proceso de sus empresas fueronhasta convertirse SOX cumplen, papeles participaron en diversas actividades. En muchos casos,se les pregunt qufunciones de gobierno (por ejemplo, los auditores internos y externos) yconsultores fueron los actores principales que participan en unactividad. En los casos en que los usuarios de negocios participaron en unactividad en particular, los informantes se les pidi si haba algnresultados notables de esa participacin. Estas entrevistas semiestructuradas habilitadas informantes para describir las actividades dey los resultados que fueron ms notables en sus organizaciones. Una vez que se obtengan los datos, los segmentos de la entrevistatranscripciones fueron codificados como participacin de los usuarios cuando los informantesinform los usuarios que realizan una tarea en particular. Estos codificadosegmentos fueron posteriormente agrupados y asignados nuevos cdigosque se clasifican las actividades en las que participaron los usuarios. A continuacin, se analizaron las relaciones entre los cdigos.

Los resultados del estudio exploratorio

Se sealan las funciones y actividades para el cumplimiento de SOXcomo un proceso de SRM. Se sealan la participacin del usuarioen trminos de quines participaron, las actividades que los usuariosrealiza dentro del proceso de SRM, los tipos de controles queusuarios trabajando, y las funciones y responsabilidades que eranasignado en un esfuerzo por establecer la responsabilidad formal. Cadade estos aspectos se describe a continuacin, proporcionando contextualdetalle de la participacin de los usuarios en el SRM para el cumplimiento regulatorio.

Gestin de riesgos de seguridad en la empresaLos procesos y cmo los usuarios Particip

Los usuarios se hace referencia en el estudio eran miembros de la organizacinde las reas funcionales de la empresa, de los no directivosa travs de las filas de la alta direccin. Los informantes reportan consistentemente que losusuarios fueron designados por sus superioresa participar debido a los procesos de negocio relevantes fueron SOX-parte de su trabajo del da a da. Los esfuerzos de cumplimiento SOXcentrado en los procesos de negocio cuya produccin tena un material (Significativo) efecto sobre las cifras reportadas en los estados financieros. Despus de losprocesos de negocio relacionados con SOX haban sidoidentificadas por los auditores internos, gestores de riesgos, o externosconsultores, usuarios de los informes, participaron en el SRMactividades enumeradas en la Tabla 1 y se describen a continuacin. Los informantes a travs de las empresas indican consistentemente que los usuariosparticipado en la documentacin de los procesos de negocio para determinaruso de la informacin a lo largo de un proceso de negocio. Esta informacin se utiliza para determinar que los riesgos para la integridadde la informacin financiera puede existir dentro de un negocioproceso. Los informantes de las cinco empresas describen una matriz de riesgos control que fue creado para que coincida con los controles existentes paracada uno identificado riesgos con el fin de garantizar que los controles necesariosexistir. Si bien los auditores internos, los gestores de riesgos y externosconsultores liderado los esfuerzos para evaluar el riesgo y los controles, los usuariosnormalmente aportes basados en el conocimiento a fondo deun proceso de negocio determinado.

Nuevos controles fueron creados en los casos en que no exista el control para un riesgo en particular, o cuando un control existente se considera que es demasiado dbil para mitigar un riesgo en particular. Los usuarios fueron inform haber proporcionado criterios de decisin o una

verificacin de la realidad como entrada en los diseos de control. Tambin participaron activamente en la ejecucin de los controles, ya que los controles internos son normalmente integrados en los procesos de negocio. A continuacin, controla se pusieron a prueba para asegurarse de que funcionan como diseados. En los casos cuando el control no la prueba, un plan de remediacin fue se ha documentado que especifique cmo sera el control fallido corregido.

Controles no fueron reevaluados de acuerdo con la plan de remediacin. En varias empresas, se reportaron los usuarios siendo responsable del desarrollo de planes de remediacin para fallado controles, es decir, determinar cmo y cuando un control se corregira. Pruebas de control tambin desencadenar nueva actividad de diseo si se determin que el control era ineficaz. Si bien los auditores realizaron auditoras formales de controles, se inform a los usuarios revisar y probar los controles, en algunos casos para garantizar la preparacin para una auditora. Por ltimo, los usuarios polticas comunicadas empresa y los procedimientos a compaeros y el personal.

Como parte del proceso de SRM, los usuarios participaron en la identificacin, diseo, implementacin, prueba y reparacin de controles de seguridad pertinentes dentro de su negocio procesos. Como tal, es til tener en cuenta los tipos de seguridad controles en los que la participacin del usuario es especialmente pertinente.

Al otro lado de las empresas, los controles de seguridad ms a menudo asociados con la participacin de los usuarios son la separacin de funciones (es decir, controles diseados para evitar un conflicto de intereses en los derechos asignado a los usuarios del sistema que podran conducir a un fallo de seguridad) y control de acceso. Tal como se recoge en la Tabla 1, los usuarios tambin fueron informado para participar en otros controles, tales como la definicin de riesgo la tolerancia como parte de una poltica de seguridad de la organizacin, la promulgacin de informes de excepciones y alertas para poder marcar los posibles problemas en ERP sistemas, validacin de los clculos y el establecimiento de la proteccin de contrasea en las hojas de clculo financiera (es decir, la computacin de usuario final); y capacitacin en actividades SRM necesarios.

Por ltimo, la participacin del usuario se describe en trminos de recin creado y revisado los papeles que tienen objetivos especficos de seguridad, una clara tendencia observada en las cinco empresas. En otras palabras, participacin de los usuarios result ser formalizado y pareca centrarse en la responsabilidad de la proteccin financiera informacin. Los informantes utilizaron el trmino rendicin de cuentas en dos formas relacionadas: (1) la responsabilidad asignada formalmente y (2) la expectativa de la organizacin que una persona en un papel particular se le informe y seguimiento de las polticas. Por ejemplo, informantes en las cinco empresas sealaron nuevos roles de usuario para la gestin de control de acceso, o en trminos ms generales, la gestin de identidades. Nuevos roles fueron creados, como custodio de los datos, los datos administrador, especialista en control de acceso, titular de los datos, y control propietario. Las

cinco empresas haban creado el papel del proceso de propietario, se describe como un negocio (o es) responsable controles dentro de su negocio asignada (o es) proceso. A medida que estos ttulos sugieren, los nuevos roles que los informantes contado se asociaron consistentemente con la rendicin de cuentas de usuario para las tareas encaminadas a proteger la informacin financiera. Dependiendo de la empresa, papeles fueron asignados a diversos niveles de personal y de gestin. En algunos casos, la participacin del usuario en SRM era funcional (por ejemplo, la que se aprueba el acceso rutinario el control), mientras que en otros casos, la participacin del usuario era ms estratgica en la naturaleza (por ejemplo, comits de direccin).

La coherencia de las actividades de participacin de los usuarios y las asignaciones a travs de cinco empresas

Este anlisis cualitativo se extendi a travs de cinco empresas. enun esfuerzo para examinar la consistencia de nuestros resultados (Miles y Huberman 1994) a travs de las empresas y para limitar elimpacto de los peligros comunes de la entrevista (Myers y Newman2007) que podran ocurrir dentro de una misma empresa, contamosel nmero de empresas en las que un informante mencion usuariosparticipar en las actividades y controles SRM, y que se celebracuentas en un contexto de seguridad IS. Los resultados se presentan en la Tabla 1 y transmiten los aspectos de la participacin de los usuarios quefueron ms comunes en las empresas. Es decir, aunque los informantes en las cinco empresas describen los siete SRMactividades enumeradas en la Tabla 1, las cuentas varan en la queactividades incluyen la participacin del usuario. Por lo tanto, el cuadro 1 sese centr en las actividades, controles y rendicin de cuentas en el queusuarios que habran participado. Participacin de los usuarios erams comnmente encontrado en la documentacin de los procesos de negociodurante la evaluacin de los riesgos, y aportan al diseo de controly ejecucin, trabajando en el control de acceso y segregacin de funciones, asumiendo los roles formales, y sirviendo encomits

Resultados de la participacin del usuario en el SRM

Con una mejor comprensin de cmo los usuarios han participado enSRM dentro de los procesos de negocio para el cumplimiento de SOX, esteseccin examina los efectos de esa participacin mediante la aplicacin decada una de las tres teoras de la participacin sugerido porMarkus y Mao (2004). Hiptesis de investigacin se formulana partir de este anlisis, que conduce a la modelo de investigacin probado en elestudio de confirmacin

El Buy-In Theory

El buy-in teora de la participacin de los usuarios en contextos ISDaceptacin de los usuarios asociados con afectacin psicolgica de los usuarios que se desarrolla durante su participacin (Markus yMao 2004). En otras palabras, ya que los usuarios participar en ISDactividades, comienzan a ver el sistema de enfoque que personalmenteimportante y relevante, y por lo tanto tienden a ser msaceptacin del sistema de lo que de otro modo seran tenanque no participaron.

Se encontr apoyo para la compra en la teora de SRM contextosdentro de un entorno de cumplimiento normativo. Es decir, como los usuariosparticip en SRM para el cumplimiento regulatorio, es la seguridadse hizo ms relevante para sus respectivos procesos de negocio.Sin embargo, a nivel de organizacin de los anlisis, los informanteslos resultados cognitivos enfatizados asociados con la participacin del usuario, en contraste con los resultados afectivos tpicamente hicieron hincapi en los estudios de ISD. Slo un informante, una contabilidadgerente, discuti un sentido de orgullo que su personal de los contadores se haba desarrollado a travs de su participacin. Por el contrario, hubo un amplio consenso dentro ya travs de las organizacionesque a medida que los usuarios participaron en SRM para el cumplimiento regulatorio,conciencia organizacional de los riesgos y controles de seguridadaumentaron, y los controles de seguridad fueron alineadas con lacontexto empresarial. Estos resultados se describen a continuacin.

Conciencia Organizacional de SRM. Los informantes constantementeindican que a medida que los usuarios participaron en las actividades de SRM ycontroles de seguridad, o se hace responsable de algn aspecto de laSRM, conciencia organizacional de SRM en la informacin financieraaumentado. Por ejemplo, Nelson, 3 una persona mayor es el gerente de unaempresa de fabricacin, relat que los usuarios participaron enSRM mediante la realizacin de una revisin de control de acceso y llegar aconsenso con los profesionales de la IS sobre la definida por el usuario de accesoreglas de control. En consecuencia, los usuarios y se obtiene una mayorconocimiento de los riesgos de seguridad IS y controles necesarios en el sistema deacceder.

As que yo dira que hace dos usuarios y [ES] msconsciente de lo que la gente tiene acceso a por ah .... Icreo que sin duda nos hizo ms conscientes de algunos delos riesgos a los que estn ah fuera y lo que tenemos que hacer pararemediarlas.

Dado el tema que se repite a travs de las empresas de mayorla conciencia como resultado de la participacin de los usuarios, los informantesSe pregunt cmo se demostr la conciencia. Marcos, undirector de auditora interna en una empresa de fabricacin, que se describela conciencia como una mayor conciencia de la organizacinexpectativas para llevar a cabo controles de seguridad designadas. Usuariosdemostrado la conciencia por medio de preguntas y proactivael desempeo de sus responsabilidades de seguridad.

Creo que hay ms de una conciencia de ello ....pedimos ms preguntas de ellos y que podemos decir,en base a eso, ellos estn pensando en estas cosas.Ellos participan activamente. [Por ejemplo,] larevisiones de acceso trimestrales o peridicos, el negociolos usuarios estn directamente involucrados en el proceso y seson cada vez ms las listas de cualquiera que tenga acceso a cualquiersistemas que son responsables de, y sonrevisar que. As que es realmente una parte de ... es lo que esespera, sin duda es una expectativa. Ellos sonse supone que es en la parte superior de estas cosas. Debensaber quin tiene acceso a sus sistemas. Debenestar revisando crticamente estos es usuario solicita verdebemos ser realmente la concesin de acceso a esta persona. Y les puedo decir sobre la base de que supongo algunas de las peticionesHe visto: "Normalmente alguien en esa posicin sera tpicamente conceder acceso a alguien en esta posicin, [pero] es lo que realmente lo necesitan?" As que usted puededicen que estn poniendo un poco de pensamiento en l.

Del mismo modo, Kelly, el director de Auditora Interna en otroempresa de fabricacin, sugiere que a medida que participaron los usuarios, queadquirido mayor conciencia de las vulnerabilidades de seguridad asociadascon la disponibilidad de la informacin. Conciencia se reflejde usuarios que demuestran una mayor vigilancia hacia sensiblesinformacin.

Las personas tienen una mayor conciencia de la disponibilidad de informacin, en realidad internamente, y supongoexternamente tambin. [La informacin confidencial es] msdisponible de lo que hubieran esperado. Vemos, pues,la gente a volver y traer las cosas quetal vez no lo hubieran hecho antes.

Los informantes de las cinco organizaciones informaron de forma consistenteque la participacin de los usuarios condujo a una mayor conciencia de la SIriesgo para la seguridad y los controles de la organizacin para la gestin de losriesgos. En otras palabras, ya que los usuarios realizado actividades SRM,trabajado en controles especficos, y fueron asignados variosresponsabilidades, se volvieron ms conscientes de los riesgos de seguridad ISen sus respectivos procesos de negocio

y la organizacincontroles para mitigar esos riesgos. Este resultado es an msexaminados en el estudio de confirmacin por probar la hiptesis

H1: La participacin del usuario en el SRM plantea la organizacin conocimiento de ES riesgos y controles de seguridad.

Negocios Alineados es la gestin de riesgos de seguridad. Cuentas de los informantes sugirieron que los usuarios proporcionan importante informacin contextual que SRM permitido basarse en negociosobjetivos, valores o necesidades en lugar de ser principalmentebasado en la tecnologa o supuestos desinformados de la SIdepartamento. Para los propsitos de este estudio, SRM que se basaen los objetivos empresariales, los valores o necesidades se caracteriza por sersiendo negocio-alineado, en lugar de ser activo tecnologacentrado. Intuitivamente, los controles de seguridad en los procesos de negocio que tienen por objeto la proteccin de la informacin financiera seser ms eficaces si se orientan hacia el contexto de negocios local. En consecuencia, los gestores de riesgos y los auditores internos buscaban el conocimiento del negocio de los usuarios al evaluarriesgo y los controles integrados en el diseo de procesos de negocio.

En un ejemplo, un jefe de seguridad de la informacin adjunto (CISO) en un banco nacional describe la participacin del usuario comomedios para alinear mejor SRM con el contexto empresarial local.

Es decir, la participacin del usuario proporciona una perspectiva de negocio del flujo de informacin y el uso dentro de los procesos de negocio para que los riesgos de seguridad que pueden ser manejados con mayor eficacia

Uno de los valores ms grandes que los usuarios finales proporcionan comoentrada en mi programa [de seguridad] es que no entiendo el negocio como lo hacen, por lo que no entiendola informacin. No entiendo la relacinimportancia de la informacin. No lo entiendoel contexto de la informacin en la forma de hacersus actividades diarias, as que no s cules son las formaslas personas necesitan la informacin, cmo de fcil acceso que tiene que ser, la forma en que fluye a travs de los procesos de negocio, y por lo tanto en que el crticocoyunturas son que deben ser controlados. Los informantes en todas las organizaciones informaron sistemticamente que unarea clave donde los usuarios siempre es necesario el conocimiento del negociofue en la documentacin de los flujos de trabajo de procesos de negocio. Esteactividad es esencialmente la documentacin del entorno de riesgos de seguridad, y es el primer paso en la evaluacin del riesgo a los servicios

financierosinformacin y detectar dnde se necesitan controlesPara gestionar estos riesgos. En algunas organizaciones, los usuariosescribi los relatos que describen detalles del proceso de flujo de trabajo, mientras que en otros, trabajaron en colaboracin con la internaauditores, gestores de riesgos, o consultores para completar ladocumentacin. Por ejemplo, Betsy, un gestor de riesgos en un banco,record su interaccin con los usuarios de negocios documentoprocesos como parte de una evaluacin de riesgos: [Betsy hablar con usuarios]: "Esto es lo que quiero queque decirme. Esto es lo que considero son sus riesgos.

Qu piensa usted? Sobre la base de lo que hacestodos los das, es que una evaluacin precisa? "As que hayfue un aprendizaje en ese aspecto, cuando tenas que irabajo y realmente empezar a documentar todos los procesos con la persona que est realizando lafuncin que ni siquiera creo que es la gestin de riesgospara comprender y ayudar a documentar lo que estpasando y lo que el riesgo es o cules son sus riesgos sonLa cuenta de Betsy implica que la participacin del usuario proporcionanecesaria contextual detalle de un proceso de negocio, dado queella est habilitado, como un gestor de riesgos, para comprender mejor la seguridadriesgo dentro de ese proceso de negocio para que esos riesgos podran seradecuadamente gestionado. En otras palabras, la participacin de los usuariosalineacin facilitado la gestin de riesgos de seguridad con elentorno empresarial, lo que sugiere la hiptesis

H2: La participacin del usuario contribuye a una alineacinentre SRM y el contexto empresarial.

Los efectos de la participacin del usuario en la conciencia parecan ser,en parte, canalizada a travs de una mayor alineacin de SRM con elcontexto empresarial. En otras palabras, las polticas y los procedimientos de SRM ganado alineacin con el entorno empresarial, conciencia organizacional aumento de los riesgos de seguridad y los controles de los sistemas de informacin financiera. Los informantes indicaron que al hacer SRM parte de los procesos de negocio,conciencia organizacional aument en lo que pone en riesgo la seguridaderan, si o por qu esos riesgos deben ser manejados, y cmo losriesgos pueden ser manejados. Por ejemplo, Dean, una es el director,se le pregunt cul era el mayor beneficio para que los usuariosparticipar en SRM. Sugiri que el conocimiento organizacional aumenta cuando SRM se integra en (es decir,alineado con los procesos de negocio) porque SRM tiene mayorvisibilidad dentro de la organizacin y los usuarios estn ms alerta. Auto policial. Una vez ms, una sociedad establece la poltica. Nosotrosaplicar la poltica. Se pone la tecnologa al respecto, perola visibilidad de la seguridad en toda la organizacin es unmucho mejor que tener un departamento de seguridad enIT. Se convierte en parte de la empresa, creo que sera elmanera de decirlo. Tienes que hacer la parte de seguridad denegocio.

Polticas y procedimientos de SRM que se integraron conobjetivos de negocio solicitados mayor atencin es la seguridadriesgos, polticas y procedimientos en los procesos de negocio parainformacin financiera, como un auditor interno se describe: Yo dira que la principal ventaja es que tiene el procesopropietarios, y las personas que trabajan para ellos,tienen mucha ms atencin y la comprensin desus controles internos, por qu son importantes, ycmo afectan a los estados financieros al final delel da. Por lo tanto, estos hallazgos sugieren la hiptesis

H3: de negocios alineados SRM contribuye a una mayorconciencia organizacional de la IS de seguridad.

En resumen, el buy-in de la teora de la participacin de los usuarios, se muestra en laFigura 1, con el apoyo de un cumplimiento normativo SRMcontexto. En contraste con la literatura ISD a nivel individual deEl anlisis que se ha centrado en gran medida en la aceptacin del usuario comoresultado, este estudio encontr que la participacin de los usuariosefecto fue principalmente cognitiva; participacin de los usuarios aumentconciencia organizacional de la IS riesgos de seguridad y controles enlos procesos de negocio, sobre todo cuando se aline con SRMobjetivos de negocio.

La Teora de la Calidad del Sistema

La teora de la calidad del sistema de participacin de los usuarios asociadosmejoras en el desarrollo del sistema con la informacin necesaria que se obtiene de la participacin del usuario. Se apoy ound para la teora de la calidad del sistema de SRM en un reguladorentorno de cumplimiento. Por otra parte, el sistema de calidadSe encontr la teora a ser una extensin de la teora de buy-inse discuti anteriormente. Es decir, la participacin de los usuarios alent la alineacin del negocio en SRM y cre conciencia organizacional;el resultado parece ser mejoras en el desarrollo de control (es decir, el diseo y la implementacin de es la seguridadcontroles) y el rendimiento de control (es decir, una mayor eficiencia ydeficiencias menores en el sistema de controles de seguridad IS), comose discute a continuacin.

Desarrollo de control. El conocimiento derivado de usuariola participacin en el uso empresarial de la informacin fue tomadaen cuenta por los diseadores de controles de seguridad. Dependiendo de laempresa, los diseadores de controles incluidos los auditores internos, el riesgogerentes y consultores externos. Desde un gestor de riesgos ola perspectiva del auditor, los informantes describen dos componentes de un control: su diseo y rendimiento. El diseode un

control se evala para determinar si es apropiadomitigar los riesgos de seguridad particular. El rendimiento de unel control es evaluado para determinar si est funcionando comodiseada. Participacin de los usuarios en SRM contribuy a controlarel desarrollo de dos maneras. En primer lugar, la participacin del usuario contribuy a mejorarcontrolar el desarrollo, proporcionando la informacin necesaria paradiseadores de controles. Por ejemplo, un informante describi lavaliosa informacin que los usuarios proporcionan sobre si es o no elcontroles diseados por los auditores internos "tena sentido" y podranfactibles de realizar en el entorno de negocios del da a da. Basado en esta informacin, los controles fueron modificados comosea necesario. Dorothy, un contralor, explic,Como hemos documentado los procesos y se identificaroncontroles, y tal vez se encuentra un rea en la que necesitbamospara agregar un control, tuvimos que volver a la [empresa]dueo del proceso. Tuvimos que entender ms de lo queque estaban haciendo. Y hemos tenido que trabajar con ellos paraidentificar los controles apropiados para poner en su lugar. Nosotrosno slo tiene que ir y golpear un nuevo control en sinellos tienen algo que decir. Tenamos que asegurarnos de queera algo que podan vivir, quepodra realizar sobre una base regular, y que se hizosentido que el proceso nos agregamos a. As que s,eran responsables de ese punto de vista. En otro ejemplo, Bob, un gerente de contabilidad en una utilidadempresa, se le pregunt si los controles manuales se haban aplicado que la reduccin de riesgos de seguridad. Se refiri a la proteccin dela integridad de la informacin financiera mediante la simplificacinel flujo de informacin. Pasos innecesarios en el proceso de negociofueron eliminados.

Es ms la integridad de datos ....en algunos casos realmentemediante la eliminacin de las medidas contribuyeron a mejorar el controlporque hay zonas en las que vimos, especialmenteen el papel que ayuda a ver el flujo de cartas, esta unidad de negocio es proporcionar estos datos a este negociounidad que se est haciendo este paso con ella y luegoproporcionando a nosotros. Eso parece una innecesariatraspaso. Entonces, qu es que la adicin? No es la adicin de cualquiervalor. Como Bob sugiri, simplificando el flujo de informacin aumenta lael control de la informacin, y por lo tanto su seguridad. paraejemplo, el menor nmero de nodos en un flujo de datos, el menor nmero de puntos deinterseccin que debe ser asegurado con el fin de proteger a los queinformacin. Participacin de los usuarios con la ayuda de desarrollo de control pordocumentar y simplificar el intercambio de informacin enlos procesos de negocio. La

participacin del usuario proporciona informacin necesaria que permiti mejoras en el diseo del control yaplicacin. Este hallazgo sugiere

H4: La participacin del usuario contribuye a la percepcin demejoras en el desarrollo de control.

En segundo lugar, se encontr tambin la contribucin de la participacin del usuario a la conciencia organizacional que afecta el desarrollo de control. Por ejemplo, Tim, un vicepresidente senior de RiesgoGestin de un banco nacional, cont la participacin del usuarioen la documentacin de los criterios de decisin utilizados para proporcionar el sistema deacceder. Su relato implica que los usuarios adquirieron mayor conciencia (es decir, la conciencia) de por qu alguien debe recibir todo el sistemaacceder. A su vez, esta toma de conciencia activado diseadores de control aimplementar el control de la base ms consistente en criterios documentados. Por lo tanto, el desarrollo de control mejorado.

Una de las cosas ms grandes que hemos visto no slo enSOX, sino tambin en el control de acceso de la aplicacin, hemosnecesaria para disear un proceso que nos permiti definircriterios de decisin en cuanto a si lo haramos o harano conceder acceso a una determinada aplicacin. ...Las personas que tienen la responsabilidad deaprobar el acceso a nivel de aplicacin que ...que el conocimiento, porque han estado haciendo enuna base del da a da. Ellos han estado en el bancodurante 25 aos. "Slo s que requieren que el acceso"."Cmo lo sabes?" "Porque he estado aqu por25 aos. "" No, cmo lo sabes? Qu es esoproceso, es criterio de decisin, lo que est pasando enla cabeza para que usted pueda llegar a esa conclusinporque si usted es golpeado por un autobs que necesitamos a alguienms que intervenir y llevar a cabo este control no es diferentede lo que tienes. "Ahora necesitamos que la documentacinen su lugar. Del mismo modo, un IS gerente de una empresa de fabricacin que implicaque las pruebas de control como parte de SRM para el cumplimiento de SOX planteconciencia organizacional, que a su vez, dio lugar a msaplicacin coherente de control de acceso. Es decir, una mayorla conciencia de un control para validar el acceso del sistema result enaplicacin ms consistente del control.

[Antes de SOX,] la empresa tuvo que es fcilpeticin. Tuvimos que conseguir su aprobacin adecuada paraque tienen acceso, y la aprobacin proviene de lanegocio, no lo es, todo lo que hacemos es aadir el usuario. Por lo tanto,estaban haciendo algo de eso ya. Supongo que la mayorcosa [con SOX] es que tuvimos que volver y hacerotra revisin de dos a cuatro veces al ao para asegurarque la gente tena la cantidad justa de acceso. Lohecho [los usuarios] ms conscientes de quin tiene acceso a susistemas y que es vlida, que no estbamos haciendoantes.

De hecho, la seguridad es la literatura sugiere que el propsito deconcienciacin sobre la seguridad (y formacin) es "modificar empleadocomportamiento para que el individuo lleva a cabo de acuerdo con normas de la organizacin "(Whitman 2008, p. 141). Esta observacinsugiere que la aplicacin de control mejora cuando existeuna mayor conciencia de ES controles de seguridad.

H5: la conciencia organizacional de SRM en unproceso de negocio contribuye a la percepcin demejoras en el desarrollo de control de los controles dentro de ese proceso de negocio.