Papers by Ernesto Karlo Celi Arevalo
This study had as main purpose to develop a model for evaluating IT processes and associated meth... more This study had as main purpose to develop a model for evaluating IT processes and associated methodology for implementation. Evaluation factors of IT processes were their ability and maturity. For that, the framework COBIT PAM was applied; which provides a procedure based on the identification of attributes and indicators; and the assessment of the percentage of compliance with them, taking these characteristics of the reference model COBIT 5.0 processes. The case study were IT processes of Cooperativa de Ahorro y Crédito León XIII of Trujil-lo. First it had to identify the COBIT processes that the cooperative has implemented, through the analysis of the IT services provided by your IT department to other users area. This allowed contextualize the application of COBIT PAM, to businesses of our environment. Under the proposed methodology, it was determined that the cooperative have 12 COBIT processes implemented, which were evaluated under the procedure COBIT PAM, concluding that only 6 of them exceed the capacity level 1; It means; fail to meet the particular attributes required by the reference model COBIT 5.0. These 6 processes were subsequently evaluated at capacity levels 2, 3, 4 and 5; It means that compliance with the generic attributes that COBIT PAM established for these processes were evaluated; coming to determine their levels of capacity; and gaps with the capacity of the cooperative wants to achieve. The study hypothesis was verified through the relational method applying the test of hierarchical linear regression, which were measured dimensions: (1) design effectiveness model, (2) effectiveness of the operation model and (3) experience user in the use of the model, reaching the conclusion that is good model for predicting the dependent variable (process of evaluating iT processes), accepting the hypothesis. However, the same analysis also concluded that the dimensions evaluated (1) and (2) may be excluded from the model, establishing that the variance of the dependent variable can be explained only indicators of user experience dimensión.
En el Perú y específicamente en Lambayeque, las instituciones financiera que cuentan con la autor... more En el Perú y específicamente en Lambayeque, las instituciones financiera que cuentan con la autorización de la Superintendencia de Banca y Seguros (SBS), y que gozan de autonomía económica, financiera y administrativa, brindan servicios de Ahorros, que es la captación de los fondos del público a través de las diferentes modalidades y, de Créditos, que es la colocación de los fondos captados.
Todas las instituciones supervisadas por la SBS, se encuentra inmersa en el cumplimiento de las normativas emitidas por este ente regulador, y entre los riesgos que son evaluados como parte del desarrollo de sus actividades se encuentra el riesgo operacional. El riesgo operativo es otro componente de la gestión de riesgo según BASILEA II, desplazando al tradicional interés por los riesgos de crédito y mercado, centrando los esfuerzos a los riesgos asociados a las operaciones de las entidades financieras como: personas, procesos, tecnología información y aspectos externos.
Es importante entonces, que las instituciones financieras deben incorporar procedimientos, métodos y herramientas que les permita aplicar un conjunto importante de mejores prácticas para gestionar este tipo de riesgo, tomando en consideración lo establecido en la normativa peruana y los criterios difundidos por el ente regulador.
Sin embargo, su carácter cualitativo dificulta el desarrollo de herramientas de identificación, medición y control, y las exigencias reguladoras definen los nuevos retos planteados para el sistema financiero. La gestión de los riesgos operativos plantea la adopción de estándares que generalmente desarrollan un procedimiento cuantitativo. Existe la necesidad de llegar a modelos cuanti y cualitativos.
Este trabajo de investigación propone un modelo para la gestión de riesgos operativos relacionados con las tecnologías de información como parte de un sistema de gestión de la seguridad de la información, desde una perspectiva que integra técnicas cuantitativas y cualitativas.
The process of education of students and professional training in themes such as IT Risk Manageme... more The process of education of students and professional training in themes such as IT Risk Management entails use frameworks such as Magerit or Octave. The understanding of these frame-works becomes difficult when learning sessions are short, even if we use specific software, due to the large number of elements to identify, understand, relate and apply. Using dashboards and scorecards prepared in tools like Excel helps enhance this learning. The purpose of this study was to measure the usability and effectiveness in achieving the expected outcomes, evaluating the experience of users through questionnaires type System Usability Usability Scale (SUS); and to examine the needs and expectations of users. The results show that participants learn faster the practical application of the frameworks studied, because the dashboards and scorecards allows them easier to identify its ele-ments and its practical application.
Conference Presentations by Ernesto Karlo Celi Arevalo
Resumen. La protección de la información en las organizaciones se ha convertido en uno de sus obj... more Resumen. La protección de la información en las organizaciones se ha convertido en uno de sus objetivos estratégicos, porque su adecuada gestión les genera ventaja competitiva. Sin embargo, en organizaciones como las entidades financieras esto es, además, una obligación, que proviene de las normativas emitidas por las entidades que supervisan su funcionamiento. Para ello, las empresas de este sector implementan Sistemas de Gestión de la Seguridad de la Información, siendo uno de sus componentes la Gestión de los Riesgos Operativos de TI como un mecanismo preventivo que les permite actualizar y mejorar sus políticas y controles de seguridad. Las metodologías y marcos de referencia que utilizan para identificar y evaluar amenazas; así como, determinar los niveles de exposición a los riesgos, normalmente están focalizados a evaluar riesgos que pueden afectar a sus activos de TI críticos, no considerando a la fuente que, según las estadísticas, genera más escenarios de riesgo, como es el comportamiento de sus propios colaboradores o empleados que utilizan las TI como parte de su trabajo. Este estudio propone el análisis de los comportamientos de los usuarios de TI como parte de un Sistema de Gestión de Riesgos en entidades financieras, tomando como referencias teorías del comportamiento como la Teoría de la Conducta Planificada, Teoría de la Elección Racional y la Teoría de la Disuasión, con la finalidad de identificar y evaluar los principales factores que influyen en el cumplimiento de las políticas de seguridad de la información. Sobre la base de estas teorías se elaboró un modelo conceptual que evaluó tres factores relacionados con comportamientos intencionales y cinco factores relacionados con comportamientos no intencionales de los usuarios de TI, logrando demostrar mediante un análisis de regresión lineal, que los factores seleccionados explican el 65.9% del cumplimiento de las políticas de seguridad de la información. Palabras clave: usuario de TI, políticas de seguridad de la información, comportamiento intencional, comportamiento no intencional, teorías del comportamiento.
Uploads
Papers by Ernesto Karlo Celi Arevalo
Todas las instituciones supervisadas por la SBS, se encuentra inmersa en el cumplimiento de las normativas emitidas por este ente regulador, y entre los riesgos que son evaluados como parte del desarrollo de sus actividades se encuentra el riesgo operacional. El riesgo operativo es otro componente de la gestión de riesgo según BASILEA II, desplazando al tradicional interés por los riesgos de crédito y mercado, centrando los esfuerzos a los riesgos asociados a las operaciones de las entidades financieras como: personas, procesos, tecnología información y aspectos externos.
Es importante entonces, que las instituciones financieras deben incorporar procedimientos, métodos y herramientas que les permita aplicar un conjunto importante de mejores prácticas para gestionar este tipo de riesgo, tomando en consideración lo establecido en la normativa peruana y los criterios difundidos por el ente regulador.
Sin embargo, su carácter cualitativo dificulta el desarrollo de herramientas de identificación, medición y control, y las exigencias reguladoras definen los nuevos retos planteados para el sistema financiero. La gestión de los riesgos operativos plantea la adopción de estándares que generalmente desarrollan un procedimiento cuantitativo. Existe la necesidad de llegar a modelos cuanti y cualitativos.
Este trabajo de investigación propone un modelo para la gestión de riesgos operativos relacionados con las tecnologías de información como parte de un sistema de gestión de la seguridad de la información, desde una perspectiva que integra técnicas cuantitativas y cualitativas.
Conference Presentations by Ernesto Karlo Celi Arevalo
Todas las instituciones supervisadas por la SBS, se encuentra inmersa en el cumplimiento de las normativas emitidas por este ente regulador, y entre los riesgos que son evaluados como parte del desarrollo de sus actividades se encuentra el riesgo operacional. El riesgo operativo es otro componente de la gestión de riesgo según BASILEA II, desplazando al tradicional interés por los riesgos de crédito y mercado, centrando los esfuerzos a los riesgos asociados a las operaciones de las entidades financieras como: personas, procesos, tecnología información y aspectos externos.
Es importante entonces, que las instituciones financieras deben incorporar procedimientos, métodos y herramientas que les permita aplicar un conjunto importante de mejores prácticas para gestionar este tipo de riesgo, tomando en consideración lo establecido en la normativa peruana y los criterios difundidos por el ente regulador.
Sin embargo, su carácter cualitativo dificulta el desarrollo de herramientas de identificación, medición y control, y las exigencias reguladoras definen los nuevos retos planteados para el sistema financiero. La gestión de los riesgos operativos plantea la adopción de estándares que generalmente desarrollan un procedimiento cuantitativo. Existe la necesidad de llegar a modelos cuanti y cualitativos.
Este trabajo de investigación propone un modelo para la gestión de riesgos operativos relacionados con las tecnologías de información como parte de un sistema de gestión de la seguridad de la información, desde una perspectiva que integra técnicas cuantitativas y cualitativas.