i Diseño de un modelo de Gestión en Seguridad Digital para la aplicación en entidades peruanas del Sector Público Trabajo de investigación presentada en satisfacción parcial de los requerimientos para obtener el grado de Magíster en Dirección de Tecnologías de Información por: Marlon Renato Avalos Mendoza Jorge Luis Castilla Tasaico Catherine Pamela Gordillo López Programa de Maestría en Dirección de Tecnologías de Información Surco, 27 de enero del 2023 ii Este trabajo de investigación Diseño de un modelo de Gestión en Seguridad Digital para la aplicación en entidades peruanas del Sector Público ha sido aprobada. ................................................................... Germán Adolfo Velásquez Salazar (Jurado) ................................................................... Ramón Batalla Font (Jurado) ................................................................... Raúl Gonzalez Punzano (Jurado) ................................................................... Richard Moarri Nohra (Asesor) ................................................................... Gianncarlo Gustavo Gomez Morales(Asesor) Universidad ESAN 2023 iii Diseño de un modelo de Gestión en Seguridad Digital para la aplicación en entidades peruanas del Sector Público iv DEDICATORIA A mis padres por las enseñanzas su amor y apoyo incondicional, mi compañero de vida por toda la paciencia y el tiempo que me regalas. Catherine Pamela Gordillo López En primer lugar, agradezco a Dios sin cuyo favor no hubiese podido ser parte de esta vivencia, la misma que me ha dejado buenas experiencias y mejores amigos. Asimismo, un agradecimiento especial a mi madre sin cuyo apoyo, sacrificio y esfuerzo no hubiese podido estar donde estoy ahora. De igual forma, a mi esposa y mis hijos, quienes me han brindado ánimos, apoyo y motivación en este reto personal y profesional. Mil Gracias! Finalmente, a los profesores, asesores, compañeros y en especial a los miembros del Grupo 1 + 1, quienes hicieron de esta experiencia tan gratificante como enriquecedora. Jorge Luis Castilla Tasaico Dedicado a mi madre quien me dio no solo la vida sino todo de si para que sea quien soy ahora como persona y profesional, a mi padre que desde el cielo me guía en cada paso que doy. Marlon Renato Avalos Mendoza v INDICE GENERAL 1. CAPÍTULO I: INTRODUCCIÓN ...................................................................... 1 1.1 PROBLEMÁTICA .......................................................................................................................... 1 1.2 OBJETIVOS DEL TRABAJO DE INVESTIGACIÓN ................................................................. 3 1.2.1 Objetivo General ........................................................................................ 3 1.2.2 Objetivos Específicos ................................................................................ 3 1.2.3 Alcance ...................................................................................................... 4 1.2.4 Justificación ............................................................................................... 5 1.2.5 Contribución .............................................................................................. 7 2. CAPÍTULO II: MARCO CONCEPTUAL ......................................................... 8 2.1 CONCEPTOS BÁSICOS ................................................................................................................ 8 2.1.1 Información................................................................................................ 8 2.1.2 Seguridad de la Información ...................................................................... 8 2.1.3 Ciberseguridad ........................................................................................... 9 2.1.4 Amenaza .................................................................................................... 9 2.1.5 Vulnerabilidad ........................................................................................... 9 2.1.6 Riesgo ........................................................................................................ 9 2.1.7 Evento de seguridad de la información ...................................................... 9 2.1.8 Incidente de seguridad de la información ................................................ 10 2.2 GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ............................................................. 10 2.2.1 Implementación ....................................................................................... 10 2.2.2 Dominios y mecanismos de control ......................................................... 11 2.3 GESTIÓN DE RIESGOS ............................................................................................................. 14 2.3.1 ISO/IEC 31000:2018 ............................................................................... 14 2.3.2 ISO/IEC 31000:2018 ............................................................................... 15 2.4 FAMILIA DE ISO/IEC 27000 ............................................................................ 16 2.4.1 ISO/IEC 27001:2013 ............................................................................... 17 2.4.2 ISO/IEC 27002 ........................................................................................ 17 2.4.3 ISO/IEC 27003:2017 ............................................................................... 18 2.4.4 ISO/IEC 27005:2018 ............................................................................... 19 2.4.5 ISO/IEC 27032:2012 ............................................................................... 19 vi 2.5 INSTITUTO NACIONAL DE NORMAS Y TECNOLOGÍA (NIST) ............................ 20 2.6 OBJETIVOS DE CONTROL PARA TECNOLOGÍAS DE LA INFORMACIÓN Y RELACIONADOS - COBIT 2019 .................................................................................. 22 3. CAPÍTULO III: MARCO CONTEXTUAL ..................................................... 24 3.1 CONTEXTO LOCAL .................................................................................................................. 24 3.2 CONTEXTO REGIONAL ........................................................................................................... 29 3.2.1 Colombia.................................................................................................. 30 3.2.2 Chile ......................................................................................................... 32 3.2.3 Brasil ........................................................................................................ 35 3.3 CONTEXTO GLOBAL ............................................................................................................... 38 3.3.1 España ...................................................................................................... 38 3.3.2 Reino Unido ............................................................................................. 39 3.3.3 Estados Unidos ........................................................................................ 40 4. CAPÍTULO IV: METODOLOGIA .................................................................. 41 4.1 TIPO DE INVESTIGACIÓN ....................................................................................................... 41 4.2 DISEÑO DE LA INVESTIGACIÓN ........................................................................................... 41 4.2.1 Población Objetivo .................................................................................. 42 4.2.2 Unidad de Análisis ................................................................................... 45 4.2.3 Marco de Muestra .................................................................................... 46 4.3 INSTRUMENTO DE MEDICIÓN ............................................................................................... 46 4.4 VALIDEZ Y CONFIABILIDAD DEL INSTRUMENTO ........................................................... 46 5. CAPÍTULO V: ANÁLISIS DE DATOS Y DISCUSIÓN ................................ 47 5.1 FUENTE PRIMARIA................................................................................................................... 47 5.1.1 Recolección de datos de la investigación ................................................ 48 5.1.2 Análisis de los resultados ......................................................................... 66 5.2 FUENTES SECUNDARIAS ........................................................................................................ 68 5.3 CONCLUSIONES ........................................................................................................................ 74 6. CAPÍTULO VI: PROPUESTA DEL MODELO PARA LA GESTIÓN DE SEGURIDAD DIGITAL ........................................................................................... 74 6.1 INTRODUCCIÓN ........................................................................................................................ 74 6.2 ALCANCE ................................................................................................................................... 75 vii 6.3 PRINCIPIOS ................................................................................................................................ 75 6.4 DEFINICIONES Y ABREVIATURAS....................................................................................... 75 6.5 ESQUEMA DEL MODELO PROPUESTO ............................................................................... 79 6.5.1 Alineación del modelo con los estándares propuestos............................. 82 6.5.2 Definición de las Categorías de Seguridad Digital del modelo ............... 83 6.5.3 Matriz de controles por Categorías del modelo ....................................... 85 6.6 DESCRIPTIVA DEL MODELO DE GESTIÓN DE SEGURIDAD DIGITAL ........................ 99 6.6.1 Entradas del Modelo de Gestión de Seguridad Digital ............................ 99 6.6.2 Salidas del Modelo de Gestión de Seguridad Digital ............................ 106 6.6.3 Implementación, operación y mejora continua del modelo ................... 113 6.7 PROCESOS RELEVANTES DEL MODELO PROPUESTO ................................................. 132 6.7.1 Gestión de Riesgos de Seguridad Digital .............................................. 132 6.7.2 Proceso General para la Gestión del Riesgo .......................................... 133 6.7.3 Gestión de Incidentes de Seguridad Digital ........................................... 150 7. CAPÍTULO VII: VALIDACIÓN DEL DISEÑO DE UN MODELO DE GESTIÓN EN SEGURIDAD DIGITAL PARA LA APLICACIÓN EN ENTIDADES PERUANAS DE SECTOR PÚBLICO .......................................... 153 8. CAPÍTULO VIII: CONCLUSIONES Y RECOMENDACIONES .............. 156 8.1 CONCLUSIONES ...................................................................................................................... 156 8.2 RECOMENDACIONES............................................................................................................. 158 9. CAPÍTULO IX: ANEXOS ............................................................................... 158 9.1 ANEXO 01: CUESTIONARIO INICIAL PARA IDENTIFICAR LA SITUACIÓN ACTUAL DE LAS ENTIDADES DEL ESTADO CON RESPECTO A LOS ESTÁNDARES O MARCOS IMPLEMENTADOS PARA LA SEGURIDAD DIGITAL ................................................................................................................ 158 9.2 ANEXO 02: EVALUACIÓN DE LA VALIDEZ DEL CUESTIONARIO POR EXPERTOS UTILIZANDO CUATRO INDICADORES ..................................... 160 9.2.1 Alberto Mendoza ................................................................................... 160 9.2.2 Henry Ochoa .......................................................................................... 165 9.2.3 Daniel Santos ......................................................................................... 168 9.3 ANEXO 03: CUESTIONARIO FINAL PARA IDENTIFICAR LA SITUACIÓN ACTUAL DE LAS ENTIDADES DEL ESTADO CON RESPECTO A viii LOS ESTÁNDARES O MARCOS IMPLEMENTADOS PARA LA SEGURIDAD DIGITAL ................................................................................................................ 170 9.4 ANEXO 04: FICHA DE EVALUACIÓN PARA DAR VALIDEZ AL DISEÑO PROPUESTO DEL MODELO DE GESTIÓN EN SEGURIDAD DIGITAL PARA LA APLICACIÓN EN ENTIDADES PERUANAS DEL SECTOR PÚBLICO ............................................................................................................... 185 9.5 ANEXO 05: JUICIO DE EXPERTOS DEL LLENADO DE FICHA DE EVALUACIÓN PARA DAR VALIDEZ AL DISEÑO PROPUESTO DEL MODELO DE GESTIÓN EN SEGURIDAD DIGITAL PARA LA APLICACIÓN EN ENTIDADES PERUANAS DEL SECTOR PÚBLICO ................................... 188 9.5.1 Daniel Santos ......................................................................................... 188 9.5.2 Rafael Bocanegra ................................................................................... 191 9.5.3 Jaime Arroyo ......................................................................................... 194 9.5.4 Rómulo Fernando Lomparte Alvarado .................................................. 200 9.5.5 Henry Ochoa .......................................................................................... 204 9.6 ANEXO 06: MATRIZ DE APLICABILIDAD ALINEADO AL ESTÁNDAR ISO/IEC 27001:2013 .............................................................................................. 207 9.7 ANEXO 07: CATÁLOGO DE AMENAZAS .............................................. 235 9.8 ANEXO 08: CATÁLOGO DE VULNERABILIDADES ............................ 237 10. CAPÍTULO IX: BIBLIOGRAFÍA .................................................................. 241 ix INDICE DE TABLAS Tabla 1: Encuesta de Trabajo Remoto para Servidores públicos 2021. .......................... 6 Tabla 2: Resumen Marco Legal en el ámbito de la Seguridad de la información o confianza digital en entidades públicas ......................................... 25 Tabla 3: Entidades del estado que han obtenido la certificación ISO/IEC 27001:2013 ............................................................................... 28 Tabla 4: Año de aprobación de la Estrategia de Ciberseguridad .................................... 29 Tabla 5: Plataformas Digitales utilizadas en el Sector Público Peruano ........................ 69 Tabla 6: Datos de Seguridad y confianza digital en el Perú por nivel de gobierno ........ 71 Tabla 7: Datos de Seguridad y confianza digital en el Perú a nivel global ..................... 72 Tabla 8: Definiciones y Abreviaturas .......................................................................... 76 Tabla 9: Categorías de Seguridad Digital del modelo propuesto .............................. 83 Tabla 10: Matriz de controles por Categorías del modelo ......................................... 86 Tabla 11: Métricas .................................................................................................... 112 Tabla 12: Descripción del Modelo PDCA propuesto… ......................................... 114 Tabla 13: Nivel de Madurez propuesto..................................................................... 117 Tabla 14: Instrumento para determinar el Nivel de Madurez del modelo. ................ 118 Tabla 15: Definición de Roles y Responsabilidades ................................................. 126 Tabla 16: Identificación y priorización de activos de información ........................... 136 Tabla 17: Tipos de activos de información .................................................................136 Tabla 18: Valorización del Impacto de la disponibilidad .......................................... 136 Tabla 19: Valorización del Impacto de Integridad .................................................... 137 Tabla 20: Valorización del Impacto en la Confidencialidad ..................................... 137 Tabla 21: Valorización del activo .............................................................................. 138 Tabla 22: Matriz de valorización de activos .............................................................. 138 Tabla 23: Tipos de control ......................................................................................... 139 Tabla 24: Matriz de identificación de riesgos .............................................................140 Tabla 25: Determinación del Impacto ....................................................................... 141 Tabla 27: Criterio cualitativo ..................................................................................... 142 Tabla 28: Criterio cuantitativo ................................................................................... 142 Tabla 28: Niveles de Riesgo ...................................................................................... 143 Tabla 29: Matriz de Riesgos ...................................................................................... 143 x Tabla 30: Mapa de calor propuesto para el riesgo ..................................................... 144 Tabla 31: Matriz de riesgos priorizados .................................................................... 145 Tabla 32: Tipos de Tratamiento del Riesgo .............................................................. 146 Tabla 33: Estrategia de Tratamiento del Riesgo ........................................................ 146 Tabla 34: Matriz de Tratamiento de Riesgos ............................................................. 147 Tabla 35: Plan de Acción de Tratamiento de Riesgos ............................................... 147 Tabla 36: A.16 Gestión de incidentes de seguridad del estándar ISO/IEC 27001:2013 ................................................................................... 151 Tabla 37: Resumen de la Validez del Diseño propuesto ........................................... 155 xi INDICE DE FIGURAS Figura 1: Proceso para la gestión del riesgo .................................................................. 15 Figura 2: Fases para la implementación de un SGSI… .................................................. 17 Figura 3: Marco de Ciberseguridad del NIST .............................................................. 21 Figura 4: Marco Básico del Marco de Ciberseguridad del NIST .................................. 21 Figura 5: Modelo Core de COBIT ................................................................................ 23 Figura 6: Resultados para Colombia .............................................................................30 Figura 7: Resultados para Chile .................................................................................... 33 Figura 8: Resultados para Brasil ................................................................................... 36 Figura 9: Pregunta 1 de Cuestionario… ...................................................................... 49 Figura 10: Pregunta 2 de Cuestionario… .................................................................... 50 Figura 11: Pregunta 3 de Cuestionario ........................................................................ 50 Figura 12: Pregunta 4 de Cuestionario ........................................................................ 51 Figura 13: Pregunta 5 de Cuestionario ........................................................................ 52 Figura 14: Pregunta 6 de Cuestionario ....................................................................... 52 Figura 15: Pregunta 7 de Cuestionario ......................................................................... 53 Figura 16: Pregunta 8 de Cuestionario… .................................................................... 53 Figura 17: Pregunta 9 de Cuestionario ........................................................................ 54 Figura 18: Pregunta 10 de Cuestionario ...................................................................... 55 Figura 19: Pregunta 11 de Cuestionario… .................................................................. 55 Figura 20: Pregunta 12 de Cuestionario… .................................................................. 56 Figura 21: Pregunta 13 de Cuestionario… .................................................................. 56 Figura 22: Pregunta 14 de Cuestionario… ................................................................... 57 Figura 23: Pregunta 15 de Cuestionario… .................................................................. 57 Figura 24: Pregunta 16 de Cuestionario… .................................................................. 58 Figura 25: Pregunta 17 de Cuestionario… .................................................................. 59 Figura 26: Pregunta 18 de Cuestionario… .................................................................. 59 Figura 27: Pregunta 19 de Cuestionario… .................................................................. 60 Figura 28: Pregunta 20 de Cuestionario… .................................................................. 60 Figura 29: Pregunta 21 de Cuestionario… .................................................................. 61 Figura 30: Pregunta 22 de Cuestionario… .................................................................. 61 Figura 31: Pregunta 23 de Cuestionario… .................................................................. 62 xii Figura 32: Pregunta 24 de Cuestionario… .................................................................. 63 Figura 33: Pregunta 25 de Cuestionario… .................................................................. 63 Figura 34: Pregunta 26 de Cuestionario… ................................................................... 64 Figura 35: Pregunta 27 de Cuestionario… .................................................................. 64 Figura 36: Pregunta 28 de Cuestionario… ................................................................... 65 Figura 37: Pregunta 29 de Cuestionario… .................................................................. 65 Figura 38: Pregunta 30 de Cuestionario… .................................................................. 66 Figura 39: Pregunta 31 de Cuestionario… .................................................................. 66 Figura 40: Modelo para la Gestión de Seguridad Digital en entidades públicas peruanas ......................................................................................... 81 Figura 41: Publicación de alertas integradas de seguridad digital del CNSD.........................................................................................................103 Figura 42: Ejemplo de Alerta integrada de seguridad digital del CNSD.........................................................................................................104 Figura 43: Plan Director de Seguridad Digital ........................................................... 107 Figura 44: Modelo PDCA propuesto ......................................................................... 113 Figura 45: Definición de Roles y Responsabilidades.................................................. 125 Figura 46: Alineación de la Estrategia Nacional y la Estrategia de la Entidad en materia de Seguridad Digital ................................................................................. 128 Figura 47: Descripción de la Estrategia para la Gestión de Riesgo….......................... 129 Figura 48: Descripción de la Estrategia para la Gestión de Incidentes ...................... 130 Figura 49: Descripción de la Estrategia para el desarrollo de Capacidades en materia de Seguridad Digital de los Recursos Humanos ................. 131 Figura 50: Gestión de Riesgos de Seguridad Digital ................................................. 132 Figura 51: Cálculo para la Valorización del activo .................................................... 138 Figura 52: Valorización del Nivel de Riesgo ............................................................. 143 Figura 53: Proceso de Resolución de Incidentes ........................................................ 151 Figura 54: Respuesta a incidentes ............................................................................... 153 xiii JORGE LUIS CASTILLA TASAICO Ingeniero Electrónico con 17 años de experiencia en el área de Tecnologías de la Información y Comunicaciones tanto en entidades públicas como privadas. Experiencia especifica liderando proyectos de envergadura, gestionando riesgos, ciberseguridad e Infraestructura tecnológica. Capacidad de liderazgo, gestión de equipos de trabajo, orientación a resultados, trabajo bajo presión, negociación, análisis y solución de problemas. EXPERIENCIA PROFESIONAL DIRECCIÓN NACIONAL DE INTELIGENCIA – DINI Coordinador de Infraestructura Tecnológica Abril 2020-actualidad Principales funciones: • Gestionar al equipo de trabajo de Infraestructura Tecnológica • Definir, controlar y reportar los indicadores del área • Supervisar y apoyar al NOC. • Gestionar a los proveedores. • Definir y sustentar los presupuestos del área. • Supervisar y apoyar en las actividades de administración de la Infraestructura Tecnológica de la entidad. • Definir y aplicar controles de seguridad sobre la Infraestructura Tecnológica. • Proponer y liderar los proyectos tecnológicos. • Participar en la implementación y operación del SGSI de la entidad. • Elaborar documentación técnica especializada para el requerimiento de necesidades tecnológicas. Coordinador de Seguridad Informática Enero 2019-Marzo 2020 Principales funciones: • Gestionar al equipo de trabajo de Seguridad Informática • Definir, controlar y reportar los indicadores del área • Definición de lineamientos y controles de seguridad xiv • Definir y sustentar los presupuestos del área. • Gestionar a los proveedores. • Gestión de riesgos y análisis de seguridad informática. • Supervisar la respuesta de incidentes de Ciberseguridad • Supervisar y apoyar al SOC. • Proponer y liderar proyectos de Seguridad Informática. • Participar en la implementación y operación del SGSI de la entidad. Coordinador de Gestión de Servicios Diciembre 2015-Diciembre 2018 Principales funciones: • Gestionar al equipo de trabajo de Gestión de Servicios • Definir, controlar y reportar los indicadores del área • Supervisar las actividades de la Mesa de Ayuda. • Definir y sustentar los presupuestos del área. • Gestionar a los proveedores. EXTERRAN PERÚ S.R.L. Supervisor de Business Technology Perú y Ecuador Agosto 2013-Diciembre 2019 Principales funciones: • Gestionar la infraestructura de red y servidores en Perú y Ecuador • Formular y gestionar el presupuesto de TI para Perú y Ecuador • Liderar los Proyectos de TI. • Gestionar a los proveedores. • Definir, controlar y reportar los indicadores de Perú y Ecuador. AST GROUP Responsable de TI para Perú Marzo 2009-Enero 2013 Principales funciones: • Gestionar los equipos de trabajo de Base de Datos, Desarrollo, Redes y Soporte. • Liderar los Proyectos de TI. xv • Gestionar a los proveedores. • Gestionar y formular el presupuesto de TI. • Definir, controlar y reportar ante la Alta Dirección los indicadores del área. • Formular y gestionar el presupuesto de TI. • Formar parte de la Alta Dirección. TELEATENTO DEL PERÚ (GRUPO TELEFÓNICA) Analista de Seguridad TI, Redes y Comunicaciones Enero 2009-Marzo 2009 Principales funciones: • Gestionar redes y comunicaciones a nivel corporativo (Perú). • Adminsitrar la seguridad de la información. • Asegurar la seguridad perimetral. • Monitorear las redes de comunicaciones. • Coordinar con proveedores. IMPULSE TELECOM DEL PERÚ Operador de Red Enero 2008-Noviembre 2008 Principales funciones: • Gestionar los servidores y redes de comunicación • Elaborar reportes técnicos y operativos. • Coordinar con proveedores. • Monitorear las redes de comunicación. AJEPER S.A. Analista TI Noviembre 2005-Diciembre 2007 Principales funciones: • Gestionar e implementar los servidores y redes de comunicación • Monitorear las redes de comunicación y enlaces (MAN y WAN) con los demás países. • Coordinar con proveedores. • Reportar actividades de red y AD. • Administrar los servicios de comunicación y redes VPN. xvi FORMACIÓN PROFESIONAL Universidad ESAN y ESAN graduate school of Business Maestría en Dirección de Tecnologías de la Información 2019-2023 Universidad ESAN y ESAN graduate school of Business Certificado de Especialización en Tecnologías de la Información 2017-2018 Universidad ESAN y ESAN graduate school of Business Diploma Internacional en Gerencia de Proyectos 2016 Universidad Nacional Mayor de San Marcos Ingeniero Electrónico titulado 2000-2005 Inictel UNI 2016-2017 Especialización en Sistemas de Seguridad Electrónica para Centros de Cómputo Certificaciones: ITIL, SCRUM Master, ISO/IEC 22301 xvii CATHERINE PAMELA GORDILLO LÓPEZ Ingeniero de Sistemas e Informática con 11 años de experiencia mejorando el funcionamiento de las organizaciones con soluciones de sistemas de información que permiten la transformación de objetivos empresariales específicos relacionados con el crecimiento y la mejora de la eficiencia en nuevos diseños y módulos de sistemas. Con capacidad de análisis y síntesis, pensamiento crítico, capacidad rápida de aprendizaje, manejo de datos, conocimiento de diferentes lenguajes de programación, en constante capacitación. EXPERIENCIA PROFESIONAL RIMAC SEGUROS Y REASEGUROS Legacy Developer Julio 2022 – Actualidad Desarrollo y mantenimiento en el Sistema Acsel/X para la línea de Riesgos Generales. Atención de Requerimientos asociados con Seguros Empresas, Finanzas e interfaces Bizagi, Claims y Rimac Salud. Responsable de la automatización, atención de incidencias y mejoras en el Frente de Primas en el cierre contable. ZOLUXIONES BPO S.A.C - Ingeniero de Software Senior Noviembre 2021 – Junio 2022 Participando en el Proyecto para el lanzamiento del Producto de Pago por kilómetro Post Pago Dinámico del cliente Rimac Seguros y Reaseguros en el análisis, desarrollo e implementación de los procesos de creación, refinanciamiento, anulación y reserva riesgo en curso. MANPOWER PROFESSIONAL SERVICES Analista Programador Oracle Agosto 2021 – Noviembre 2021 Participando en el Área de Integración de Sistemas para el cliente INRETAIL PHARMA S.A. (INKAFARMA, MIFARMA) en automatizaciones en el proceso de fraccionamiento. xviii CAJA DE PENSIONES MILITAR POLICIAL Jefe del Departamento de Liquidaciones Enero 2020 – Mayo 2021 Formular el Plan Operativo y presupuesto relacionado al departamento de liquidaciones Gestión para la integración de los procesos core de la empresa referentes a la generación de planilla de pensiones y compensaciones del personal en retiro de las fuerzas armadas y policiales. Gestionar al equipo de trabajo del Departamento de Liquidaciones. Organizar conducir y controlar la liquidación de pensiones nuevas, reingresos y compensaciones en el tiempo estimado. Conducir y controlar las actividades relacionadas al cese de las pensiones perentorias. Coordinación con el Departamento de Tesorería en la carga de la información de pago de pensiones y compensaciones en los sistemas de banca por internet. Consolidad la información de la reserva técnica para su uso en la Gerencia de Riesgos y Desarrollo. MINISTERIO DE EDUCACIÓN Especialista Informático para la UE Octubre 2019 – Diciembre 2019 Desarrollo y mantenimiento en el Sistema Web ESCALE. Elaboración de documentación técnica. CAJA DE PENSIONES MILITAR POLICIAL Analista programador Mayo 2016 – Octubre 2019 Desarrollo y mantenimiento en los Sistemas de Trámite Documentario, Sistema Integrado de Pensiones, Plan Operativo Institucional, Documentos de Gestión, Archivo Central, Balanced Score Card. SOTIINSA SAC Analista programador Julio 2015 – Abril 2016 Desarrollo y mantenimiento del Sistema de Control de Pesado del cliente San Fernando S.A. Desarrollo y mantenimiento del Sistema MODCOCO del cliente Cámara de Comercio de Lima. xix Migración del Sistema de Trámite Documentario del cliente Caja de Pensiones Militar Policial. UNIVERSIDAD SAN IGNACIO DE LOYOLA Analista de Sistemas Noviembre 2014 – Mayo 2015 Desarrollo y mantenimiento del Site de Matrícula, Sistema Académico e INFOSIL. ASOCIACIÓN DE EXPORTADORES - ADEX Analista de Inteligencia Comercial Julio 2013 – Octubre 2014 Desarrollo y mantenimiento del Sistema Adex Data Trade. Procesamiento y carga de data de SUNAT. TECHERA Analista Programador Enero 2013 – Mayo 2013 Desarrollo y mantenimiento de los Sistemas Académicos y Admisión del cliente Universidad San Ignacio de Loyola. CONSULTING OUTSOURCING MANANGMENT Analista Programador Enero 2012 – Diciembre 2012 Desarrollo y mantenimiento en el Sistema Integrado para los clientes Perú Carnes, Imprenta Gráfica Real, Agromen Group SAC, Grupo Canevaro, Agro Naqui. FORMACIÓN ACADÉMICA ESAN graduate school of Business Maestría en Dirección de Tecnologías de la Información 2019-2023 Universidad Nacional del Santa Ingeniero de Sistemas e Informática titulado 2006-2011 OTROS ESTUDIOS Scrum Master, Big Data y Cloud Computing, ITIL, Oracle Weblogic, Java web developer, Bussiness Inteligence con SQL Server, DBA Oracle 11g xx RESUMEN: Como resultado de los esfuerzos del gobierno peruano para asegurar que las instituciones públicas experimenten una transformación digital, más instituciones están aumentando el número de servicios digitales que ofrecen al ciudadano. Debido a la creación del Sistema Nacional de Transformación Digital (Decretos de Urgencia 006 y 007, 2020) y esfuerzos como el establecimiento de un Marco de Interoperabilidad del Estado Peruano, los ciudadanos tienen acceso a una amplia gama de servicios digitales. Todos estos servicios son accesibles a través de la página web oficial del Estado (https://www.gob.pe/). Con el fin de proporcionar un espacio digital seguro en el cual se pueda ejercer la ciudadanía digital, están canalizando esfuerzos para garantizar un ecosistema digital confiable. La rápida introducción de nuevos servicios a través de canales digitales en tan corto tiempo contrae riesgos a la seguridad digital, ya que expone los datos de las organizaciones y personas al ciberespacio sin antes considerar los riesgos y controles que deben existir para la prestación de estos servicios. Considerando los ataques presentados el presente año contra Instituciones Públicas como la Dirección de Inteligencia del Ministerio del Interior (DIGIMIN), RENIEC, la Contraloría General de la República, entre otros, evidencia una problemática en la Gestión de la Seguridad Digital. Los riesgos a la seguridad digital en el escenario actual son asumidos por las entidades públicas y si bien existe un conjunto de normas obligatorias y se realizan esfuerzos a nivel gubernamental para enmarcar la Seguridad Digital en las instituciones no se han dado avances significativos en la implementación y cumplimiento de normas, ni el nivel de madurez de la gestión de seguridad digital en las instituciones. El modelo propuesto busca alinear la política Nacional de Transformación Digital con los Planes estratégicos y operativos de las entidades públicas, para que con ello se puedan determinar acciones concretas que permitan fortalecer la seguridad digital en las mismas. http://www.gob.pe/) xxi El objetivo del presente trabajo de investigación es diseñar un modelo de Gestión de Seguridad Digital que sea aplicable a las entidades del sector público peruano, para fortalecer sus capacidades de prevención y respuesta en materia de seguridad digital en las instituciones públicas peruanas, basado en estándares, normativas, mejores prácticas y marcos relacionados con la Seguridad Digital y alineado con la normativa vigente. El modelo propone la integración de tres de los principales marcos de referencia y buenas prácticas extensamente utilizados en la gestión de Seguridad de la Información y la Ciberseguridad a nivel mundial, los mismos que son: • El marco de referencia COBIT 2019 de ISACA, vista como un marco de gobierno de la información y tecnologías a nivel organizacional. • La ISO/IEC 27001:2013, sobre la cual se basa la Norma Técnica Peruana de uso obligatorio en las entidades públicas • El Framework for Improving Critical Infrastructure Cybersecurity versión 1.1 del National Institute of Standards and Technology - NIST CSF. El modelo como parte del desarrollo propone la elaboración de un Plan director de seguridad digital en el cual consideramos como mínimo los siguientes planes: • Plan de recuperación de desastres • Plan de gestión de incidentes • Plan de concienciación y formación • Plan de mejora continua • Plan de comunicaciones • Plan de auditorías internas, entre otros Se recomienda que las entidades públicas puedan añadir como métricas en su Plan Operativo Institucional (POI) el porcentaje de avance de los citados Planes. En el presente trabajo de investigación se propone el modelo PDCA para la Implementación operación y proceso de mejora continua para la Gestión de la Seguridad Digital; además de presentar un catálogo de métricas, instrumentos de medición del nivel en seguridad digital, modelos para los procesos de gestión de riesgos, xxii incidentes y capacidades de los recursos humanos dentro de las Entidades Públicas. Finalmente, el modelo propuesto pasó por la evaluación de expertos profesionales con años de experiencia en ciberseguridad quienes validaron la aplicabilidad del mismo, pudiendo concluir lo siguiente: • Se ha identificado la situación actual de las entidades del estado con respeto a los estándares o marcos implementados para la Seguridad Digital demostrando, entre otras cosas, que aún existen entidades públicas que no cuentan con estándares o una metodología de gestión de riesgos de la seguridad digital, además de no contar con políticas de seguridad y/o procedimientos claros para respuestas ante incidentes, y en caso de contar con ellos éstas no son en totalidad difundidas y comunicadas a los colaboradores. • Nuestro estudio ha identificado que unos de los principales factores que dificultan la implementación o la gestión de un Sistema de Seguridad Digital en las instituciones públicas es la falta de presupuesto, además de falta de compromiso de la alta dirección, puntos bastante importantes para llevar a cabo una adecuada gestión en temas de Seguridad Digital. • De acuerdo a Resolución Ministerial N° 004-2016-PCM donde dispone el uso obligatorio de la Norma Técnica Peruana NTP ISO/IEC 27001:2014 en las entidades integrantes del Sistema Nacional de Informática, como mecanismo para mejorar la seguridad de la información y contar con una estrategia Nacional de Ciberseguridad, es necesario complementarse con otros estándares o marcos relacionados a Seguridad Digital con el objetivo fortalecer las capacidades de prevención y respuesta en materia de seguridad digital en las instituciones públicas peruanas, siempre alineadas con la normativa vigente. • Se ha planteado el diseño de un modelo de Gestión en Seguridad Digital para la aplicación en entidades peruanas del sector Público teniendo como marco los estándares y buenas prácticas reconocidas tales como ISO/IEC 27001:2013, COBIT 2019 y el marco de Ciberseguridad del NIST, que permite fortalecer las xxiii capacidades de prevención y respuesta en materia de seguridad digital en las instituciones públicas peruanas, además de permitir alinearse a la normativa vigente. • Expertos en Seguridad Digital dieron por válido el diseño del modelo propuesto de Gestión en Seguridad Digital además de aplicable en entidades públicas peruanas lo que permitirá fortalecer las capacidades de prevención y respuesta en materia de seguridad digital en las instituciones públicas peruanas, además de permitir alinearse a la normativa vigente. Resumen elaborado por los autores 1 1. CAPÍTULO I: INTRODUCCIÓN 1.1 Problemática Actualmente las empresas y organizaciones gubernamentales de todo el mundo, incluido el Perú, están implementando rápidamente modalidades de trabajo a distancia y nuevas tecnologías como la nube (o cloud), el Internet de las Cosas (IoT), blockchain, entre otros; lo que implica que los procesos e información de las empresas e instituciones estén más expuestas en el ciberespacio. La implementación y desarrollo de soluciones digitales, automatización de procesos y soluciones en la nube, así como la provisión de facilidades para que sus colaboradores realicen trabajo remoto (a través de VPNs) con el fin de proteger su integridad y datos, fueron realizados debido al COVID–19, que fue un acelerador de la transformación digital en Perú, según el sitio web de Deloitte. Las organizaciones públicas en Perú tienen como objetivo ofrecer servicios a los ciudadanos y dirigir diversos recursos y esfuerzos a su mejora. Como resultado de los esfuerzos del gobierno peruano para asegurar que las instituciones públicas experimenten una transformación digital, más instituciones están aumentando el número de servicios digitales que ofrecen al ciudadano. Debido a la creación del Sistema Nacional de Transformación Digital (Decretos de Urgencia 006 y 007, 2020) y esfuerzos como el establecimiento de un Marco de Interoperabilidad del Estado Peruano, los ciudadanos tienen acceso a una amplia gama de servicios digitales. Todos estos servicios son accesibles a través de la página web oficial del Estado (https://www.gob.pe/). Con el fin de proporcionar a los peruanos acceso a un espacio digital seguro en el cual se pueda ejercer la ciudadanía digital, están canalizando esfuerzos para garantizar un ecosistema digital confiable. La rápida introducción de nuevos servicios a través de canales digitales en tan corto tiempo contrae riesgos a la seguridad digital, ya que expone los datos de las organizaciones y personas al ciberespacio sin antes considerar los riesgos y controles que deben existir para la prestación de estos servicios. Por ejemplo, el informe “FortiGuard Labs 2021 en América Latina y el Caribe” del fabricante de sistemas de ciberseguridad FORTINET encontró que Perú experimentó más de http://www.gob.pe/) 2 11,500 millones de intentos de ciberataques en el 2021 (Produce ayuda a empresas a protegerse de ciberataques, 2022). El informe X-Force threat Intelligence Index 2021 de IBM encontró que el phishing y el ransomware fueron los ciberataques más frecuentes en Perú. Los riesgos a la seguridad digital en el escenario actual son asumidos por las entidades públicas y si bien existe un conjunto de normas obligatorias (adopción de la NTP ISO/IEC 27001:2014) y se realizan esfuerzos a nivel gubernamental para enmarcar la Seguridad Digital en las instituciones, no se han dado avances significativos en la implementación y cumplimiento de normas, ni el nivel de madurez de la gestión de seguridad digital en las instituciones; tampoco se ha desarrollado una metodología a nivel país para la implementación y mejora continua de la Gestión de Seguridad Digital, como si lo tiene otros países de la región tales como Colombia, Chile, Brasil. Sólo 82 de las 2,374 entidades han cumplido con la disposición de implementar el Sistema de Seguridad de la Información a agosto de 2022, de acuerdo con la información brindada por las entidades públicas que iniciaron el proceso a la secretaria de Gobierno y Transformación Digital. Sumado a lo ya expuesto solo en el presente año se han tenido las siguientes incidencias relevantes en materia de seguridad digital en Instituciones Públicas peruanas: • El sitio web de RPP afirma que el grupo ruso de piratas informáticos Conti Group explotó vulnerabilidades del sistema de correos electrónicos y filtró información en poder de la Dirección de Inteligencia del Ministerio del Interior (DIGIMIN), exponiendo información sensible secuestrada además de solicitar un rescate para detener el filtrado de información de la entidad (RPP, 2022). • El Diario Gestión ha publicado un comunicado en el que afirma que las bases de datos de la Plataforma RENIEC que contienen información personal fueron vulneradas. ASBANC, la agrupación gremial del sector bancario informó al máximo responsable de la PCM de este hecho particular (Gestión, 2022). 3 • El sitio web del Diario Expreso informó que el sistema de la Contraloría de la República fue uno de los comprometidos por delincuentes informáticos, quienes utilizaron un ransomware para cifrar sus datos y exigir un rescate a cambio de su liberación (Rojas,2022). Para mejorar la gestión de la seguridad digital en las instituciones públicas en el Perú, este trabajo de investigación como objetivo diseñar un Modelo de Sistema de Gestión de Seguridad Digital para su aplicación en entidades del sector público. Este modelo permitirá alinear la política Nacional de Transformación Digital con los Planes estratégicos y operativos de las entidades públicas, para que con ello se puedan determinar acciones concretas que permitan fortalecer la seguridad digital en las mismas. Asimismo, el modelo busca integrar metodologías, normas y estándares que den un sentido holístico y adaptativo a la gestión de seguridad digital, así como brindar un instrumento para realizar un análisis de brechas y evaluar la situación actual de la entidad. 1.2 Objetivos del Trabajo de Investigación 1.2.1 Objetivo General Diseñar un modelo de Gestión de Seguridad Digital para fortalecer las capacidades de prevención y respuesta en materia de seguridad digital en las instituciones públicas peruanas, la misma que estará basado en estándares, normativas, mejores prácticas y marcos relacionados con la Seguridad Digital y alineado con la normativa vigente. 1.2.2 Objetivos Específicos ● Identificar la situación actual de las entidades del estado con respecto a los estándares o marcos implementados para la Seguridad Digital. 4 ● Identificar los principales factores que dificultan la implementación o la gestión de un Sistema de Seguridad Digital en las instituciones públicas. ● Validar la necesidad de complementar la Norma Técnica Peruana ISO/IEC 27001:2014 con otras metodologías o estándares de Seguridad Digital. ● Plantear el diseño de un Sistema de Seguridad Digital que pueda alinearse a la normativa vigente y que establezca un método de adopción claro y ágil. ● Presentar el modelo propuesto a expertos en Seguridad Digital y validar el nivel de aporte que este podría tener en una institución pública respecto a las capacidades de mitigación y respuesta de estas ante la probabilidad de un ciberataque. 1.2.3 Alcance El alcance de este trabajo de investigación es desarrollar el diseño de un modelo de Gestión de Seguridad Digital aplicable a organismos públicos descentralizados que forman parte del Sistema Nacional de Informática adscritos a la Presidencia de Consejo de Ministros del Gobierno de la República del Perú, las cuales se detalla en el apartado de oblación objetivo 4.2.1 Población Objetivo de este presente trabajo de investigación. De igual manera, el modelo de Sistema de Gestión de Seguridad Digital propuesto se basará en estándares, marcos de trabajo y mejores prácticas reconocidos tales como ISO/IEC 27001:2013, COBIT 2019 y NIST, y será adaptado para su aplicación en instituciones públicas peruanas, obteniendo beneficios tangibles e intangibles tales como minimizar el impacto de ciberataques, reduciendo y eliminando vulnerabilidades y estableciendo recursos necesarios para ello. Por lo tanto, el uso de otros estándares o marcos para la gestión de la seguridad digital están fuera del alcance del presente trabajo de investigación. 5 1.2.4 Justificación La Norma Técnica Peruana “NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos 2da. Edición” es dispuesta para su uso obligatorio por la Resolución Ministerial Nro. 004-2016-PCM, aplicable a todas las organizaciones constituyentes del Sistema Nacional de Informática (ahora llamada Sistema Nacional de Transformaciòn Digtial). Según un informe publicado en la página web de la Secretaría de Gobierno y Transformación Digital, el grado de cumplimiento de la resolución correspondiente es relativamente bajo, menos del 4%. La gestión de la Seguridad Digital de las instituciones públicas es de máxima relevancia en el actual entorno de crecimiento exponencial del uso de la tecnología y de la migración a la nube, que se ha visto agravado por la pandemia de COVID-19. El cambio de esquema de trabajo a home office o trabajo a distancia permite a los empleados utilizar equipos informáticos proporcionados por la empresa o el uso de equipos personales y acceder a los servicios de la institución a través de canales no seguros en la mayoría de los casos, dejando la infraestructura tecnológica vulnerable a los ciberataques. En el caso de las instituciones, por ejemplo, el estudio "El trabajo a distancia en el sector público en el marco del Estado de Emergencia Nacional" del año 2021 realizado por la Autoridad Nacional del Servicio Civil - SERVIR, en el que participaron 10,563 servidores públicos y 703 jefes de órganos de línea y de administración interna de entidades de los tres niveles de gobierno, revela que el 48% de los servidores entrevistados trabaja a distancia. Sin embargo, existe una disparidad en la aceptación o uso del trabajo a distancia en los distintos niveles de gobierno, ya que sólo el 17,1% de los encuestados a nivel local realiza trabajo a distancia, frente al 51,7% a nivel nacional (ver cuadro). 6 Tabla 1: Encuesta de Trabajo Remoto para Servidores públicos 2021 Fuente: Elaborado por SERVIR Existe una brecha entre la adopción del trabajo a distancia por parte de los tres niveles de gobierno y la viabilidad técnica de dicha adopción, tal como lo evidencia el estudio “Trabajo Remoto en el sector público en el marco del estado de Emergencia Nacional” de 2021, previamente citado, en el cual el 25% de los encuestados mencionó que a nivel de ministerios existía dicha factibilidad, mientras que, en los programas sociales disminuía a un 18% y en los organismos públicos el 9%. Por el contrario, el 49% y el 52% de las administraciones regionales y locales afirman que es relativamente accesible, mientras que el 20% y el 28% declaran que no está disponible. Esto también puede indicar una deficiencia en la implementación de los controles de seguridad digital que acompañan la introducción de nuevas tecnologías o, más ampliamente, la adopción de la transformación digital en las agencias gubernamentales peruanas. De igual manera, las instituciones públicas en el Perú están adoptando una acelerada transformación digital con el fin de brindar a los ciudadanos servicios de valor, tal como lo ordena la Ley de Gobierno Digital, que fue aprobada mediante el Decreto Legislativo N° 1412 el 13 de septiembre de 2018. A través de la Plataforma Nacional de Interoperabilidad del Estado, que es controlada por la Secretaría de Gobierno y Transformación Digital SGTD, se han desarrollado y publicado en los últimos años una serie de aplicaciones en línea o móviles para la atención al ciudadano. Estos esfuerzos han generado un gran volumen de información de los ciudadanos y de las propias entidades, que es vulnerable a las acciones de actores externos que 7 pueden comprometer su confidencialidad, integridad y accesibilidad. Según el informe "FortiGuard Labs 2021 en América Latina y el Caribe", elaborado por el fabricante de sistemas de ciberseguridad FORTINET, el número de ciberataques en Perú va en aumento debido a la aceleración de la transformación digital, la adopción de la modalidad de trabajo remoto y la existencia de brechas de infraestructura tecnológica en las instituciones públicas de los tres niveles de gobierno. Perú ha sufrido más de 11,500 millones de dólares en pérdidas como consecuencia de los ciberataques, durante el 2021 (Produce ayuda a empresas a protegerse de ciberataques, 2022) y en 2022 se vienen registrando una serie de ataques a instituciones públicas tales como DIGIMIN, MINSA, RENIEC, entre otros. Debido a la tendencia del uso de la tecnología para brindar soluciones a los ciudadanos, la situación en el Perú en cuanto a las prácticas de gestión de la seguridad y la poca capacidad de las instituciones públicas para aplicar la norma técnica peruana, se propone el diseño de un Sistema de Gestión de la Seguridad Digital para su aplicación en las entidades del sector público, tomando en cuenta normas, estándares y marcos de trabajo reconocidos como ISO/IEC 27001:2014, COBIT 2019 y el marco internacional NIST. 1.2.5 Contribución El objetivo de este proyecto es diseñar un modelo de Sistema de Gestión de Seguridad Digital para su aplicación en las entidades del sector público peruano, donde se determinarán las acciones tangibles e intangibles para fortalecer la Seguridad Digital y alcanzar un nivel óptimo apropiado para dichas instituciones, alineado con sus objetivos estratégicos y el apetito de riesgo identificado. Hay que tener en cuenta que el modelo propuesto supone un esfuerzo a largo plazo, sirviendo de eje la continuidad de la hoja de ruta 8 propuesta con independencia de quien esté en el cargo, para lo que hay que contar con el apoyo del Titular de la entidad, la alta Dirección, el Oficial de Seguridad y Confianza Digital, los miembros del Comité de Gobierno y Transformación Digital y otros interesados relevantes. 2. CAPÍTULO II: MARCO CONCEPTUAL 2.1 Conceptos básicos 2.1.1 Información La norma técnica peruana NTP-ISO/IEC 17799 (2007) señala que la información de una empresa es un activo valioso que puede adoptar diferentes formas, entre otras, la impresión, la escritura, el almacenamiento electrónico y la transmisión. Es un recurso crucial para el negocio, por lo que debe ser salvaguardado y mantenido en buen estado. 2.1.2 Seguridad de la Información Según la norma técnica peruana NTP-ISO/IEC 17799 (2007), “La seguridad de la información protege a ésta de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocios.” Y, además, indica: “La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones de software y hardware. Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan los objetivos específicos de seguridad y negocios de la organización.” 9 La seguridad de la información, según la definición de la norma ISO/IEC 27001:2013 (2013), es una iniciativa de toda la empresa para evitar el acceso no autorizado y la divulgación de datos sensibles. 2.1.3 Ciberseguridad Según CISCO (n.d.), la ciberseguridad se esfuerza por defender los sistemas, programas y redes contra los ataques digitales que a menudo acceden, modifican o eliminan la información secreta de una organización. 2.1.4 Amenaza Según ISO/IEC 13335-1:2004 (2004) define una amenaza como "una fuente de un evento indeseable con el potencial de causar daños al sistema o a la organización". 2.1.5 Vulnerabilidad La norma ISO/IEC 13335-1:2004 (2004) define una vulnerabilidad como "una debilidad en un activo o grupo de activos que puede ser explotada por una o más amenazas". 2.1.6 Riesgo En concreto, la norma ISO/IEC 27005:2008 (2008) define el riesgo como la posibilidad de que una amenaza explote una vulnerabilidad y cause daños a una organización (2008). 2.1.7 Evento de seguridad de la información La norma ISO/IEC 18044-1:2004 (2004) define un incidente de seguridad como "cualquier incidente observable relacionado con un sistema, servicio o red que indique una probable violación de la política de seguridad de la información o un fallo de las salvaguardias". 10 2.1.8 Incidente de seguridad de la información Como se describe en la norma ISO/IEC 18044-1:2004 (2004), uno o más acontecimientos imprevistos y no deseados que se producen rápidamente y que pueden afectar gravemente a la continuidad de la actividad y a la seguridad de los datos. 2.2 Gestión de Seguridad de la información La gestión de la seguridad de la información, según la definición de la norma ISO/IEC 27001:2013 (2013), es el proceso mediante el cual una organización puede poner en marcha las salvaguardias necesarias para mantener sus datos seguros y frustrar la aparición de amenazas al secreto, la integridad y la accesibilidad de sus datos. 2.2.1 Implementación La Organización Internacional de Normalización (ISO) ha publicado una norma para los sistemas de gestión de la seguridad de la información, ISO/IEC 27001:2013 (2013). Una acreditación según esta norma demuestra a sus proveedores, personal y clientes que está equipado para hacer frente a cualquier amenaza. Su metodología tiene en cuenta leyes de numerosos países. Así, establece ocho procedimientos diferentes para poner en práctica el SGSI, como verá en la sección siguiente. - Fase 1: Definir la Política Establezca unos objetivos, una estructura jurídica y unos criterios para evaluar los riesgos. El apoyo de la alta dirección es esencial. También hay que decidir la metodología para llevarla a cabo. - Fase 2: Definir el Alcance del SGSI La política de seguridad de la información es una hoja de ruta para promulgar procedimientos de seguridad y debe redactarse con este fin. 11 - Fase 3: Análisis de Riesgos Definir las amenazas a las que se enfrenta la empresa, determinar cuáles son las más adecuadas para conjurarlas y, a continuación, hacer algo al respecto. Por lo tanto, la norma ISO 27001 permite a cada organización elegir su propio enfoque para la evaluación de riesgo. - Fase 4: Gestión del Riesgo Para evaluar su gravedad, probabilidad de ocurrencia, impacto potencial en los controles y confirmar si puede mitigarse o no, es necesario disponer de esta información. Para más información sobre los controles, véase la sección 4.2.2 Dominios y mecanismos de control. - Fase 5: Selección de Controles Para Implementar Lleve un registro de los niveles objetivo en su plan de tratamiento de riesgos. - Fase 6: Informar sobre su Aplicabilidad Separe los controles que se utilizarán y sus finalidades. - Fase 7: Revisión del sistema Defina funciones y responsabilidades, establezca métricas y fomente una cultura de alfabetización en SGSI para formular y aplicar un plan eficaz de tratamiento de riesgos. - Fase 8: Auditoría Interna Para garantizar el cumplimiento y realizar las mejoras o ajustes necesarios, es importante llevar a cabo revisiones periódicas. 2.2.2 Dominios y mecanismos de control Los controles deben ser implementados siguiendo las directrices del estándar ISO/IEC 27002:2013 que ayudan a mitigar el impacto y la 12 probabilidad de ocurrencia de los cuales podría estar expuesta la entidad. Existen versiones específicas de la norma que atienden a los diferentes tipos de entidades como: manufactureras, sector salud, financiero entre otras. Los últimos cambios en la norma aplican controles relacionados a los dispositivos móviles y teletrabajo que se encuentran dentro de la sección de “Aspectos Organizativos de la Seguridad de la Información” A continuación, se detalla un resumen de los capítulos de la norma ISO/IEC 27002:2013 que detallan los mecanismos de control: - MC 1. Políticas de Seguridad Las políticas de seguridad deben definirse, aprobarse, publicarse y comunicarse a toda la organización, así como estructurar las formas de control. Por mencionar algunos ejemplos se puede establecer políticas de control de acceso, políticas de escritorio y pantalla, políticas de transferencia de información, políticas de teletrabajo entre otras. - MC 2. Organización de la Seguridad de la Información Para asegurar la información, debe diseñarse un marco de aplicación de controles en el que se delimiten las responsabilidades. - MC 3. Seguridad Ligada a los Recursos Humanos: Describe los aspectos de la Contratación, el Antes, el Durante y el Cese y/o el cambio de puesto con el fin de mitigar los riesgos asociados al robo, el fraude o la malversación de recursos. - MC 4. Gestión de Activos. Como resultado de la evaluación de riesgos, el objetivo es identificar y clasificar los activos y la responsabilidad de los mismos para proporcionar una protección adecuada. - MC 5. Control de Accesos. 13 Esto incluye los procesos, la gestión de contraseñas, el uso de herramientas y el control de acceso, así como la responsabilidad de los usuarios sobre el uso de la información y las restricciones que puedan imponerse a dicho uso. - MC 6. Cifrado. Comprende los controles criptográficos como la política y gestión de claves. - MC 7. Seguridad Física y Ambiental. Describe las regiones físicas seguras y la seguridad de los equipos. - MC 8. Seguridad en la Operativa. Protecciones como el software antimalware, las copias de seguridad seguras de los datos, la supervisión de la actividad de los usuarios, el control de las versiones de software y la gestión de vulnerabilidades forman parte del panorama. - MC 9. Seguridad en Telecomunicaciones. Proporciona detalles sobre las políticas de intercambio de datos y los procedimientos de seguridad de la red de la empresa. - MC 10. Adquisición, desarrollo y mantenimiento de los sistemas de Información. Proporciona detalles sobre lo que debe hacerse para mantener a salvo los datos durante las fases de creación y mantenimiento del sistema informático. - MC 11. Relaciones con Suministradores. La protección de los datos de los proveedores es uno de los puntos principales (política, tratamiento y cadena de suministro). También detalla cómo se gestionan los servicios prestados por los proveedores. 14 - MC 12. Gestión de Incidentes en la Seguridad de la Información. Se abordan la asignación de responsabilidades, los procedimientos de respuesta a incidentes y la futura aplicación de las lecciones aprendidas. - MC 13. Aspectos de Seguridad de la Información en la Gestión de la Continuidad del Negocio. La seguridad de los datos y las redundancias de procesamiento se debaten en profundidad. - MC 14. Cumplimiento. Consiste en revisiones de políticas y auditorías de cumplimiento, así como en el cumplimiento de las estipulaciones contractuales y legales. 2.3 Gestión de Riesgos Las organizaciones pueden hacer uso de estándares tales como: 2.3.1 ISO/IEC 31000:2018 Organizaciones de todos los tamaños y ámbitos pueden utilizar esta norma como punto de partida para realizar análisis y evaluaciones de riesgos exhaustivos, además de desarrollar normas para una administración eficaz de los riesgos. En este contexto, el término "gestión de riesgos" se define como la "creación y preservación eficiente, eficaz y coherente de valor", y se proponen ocho principios fundamentales de gestión de riesgos. • Integración con todos los procesos de la empresa. • Organizada, que debe proporcionar resultados coherentes, verificables y cuantificables. • Adaptable a cualquier entorno organizativo. 15 • Inclusivo de manera que involucre a cada parte interesada, considerando sus diferentes puntos de vista. • Dinámica, que tenga la capacidad de ajustarse a los cambios teniendo en cuenta que los riesgos no son permanentes. Incluyente, en el sentido de que involucra a todas las partes interesadas y tiene en cuenta sus diversos puntos de vista. • Debe ser accesible una información actual y comprensible. • Tener en cuenta las variables humanas y culturales. • Mejora continua basada en la experiencia y el conocimiento. A continuación, se describen las etapas del proceso iterativo de gestión de riesgos: Figura 1: Proceso para la gestión del riesgo Fuente: ISO/IEC 31000:2018 2.3.2 ISO/IEC 31000:2018 Esta especificación presta especial atención al problema de la gestión de riesgos de seguridad de la información para lograr este objetivo. 16 La norma ISO/IEC 27005:2018 (2018) describe los procedimientos necesarios para crear la gestión de riesgos de seguridad de la información de la siguiente manera: 1. Establecimiento del contexto Determinar las necesidades y requisitos de seguridad de la información de la organización. 2. Valoración del Riesgo en la Seguridad de la Información Se identifican y caracterizan cuantitativa y cualitativamente de acuerdo con los criterios de evaluación de riesgos y los objetivos de la empresa. 3. Tratamiento del Riesgo en la Seguridad de la Información Existen directrices para seleccionar los controles para mitigar, mantener, evitar o transferir los riesgos. 4. Aceptación del Riesgo en la Seguridad de la Información Se dan los lineamientos para aceptar los riesgos de seguridad de información y las responsabilidades de tomar esta decisión. 5. Comunicación del Riesgo de la Seguridad de la Información Existen lineamientos para transmitir los riesgos a las partes interesadas, en particular a la alta dirección. 6. Monitoreo y revisión del riesgo en la seguridad de la información Existen lineamientos para supervisar y analizar los riesgos abordados por los controles seleccionados con el fin de validar que el riesgo residual ha disminuido. 2.4 Familia de ISO/IEC 27000 La familia de normas y mejores prácticas ISO 27000 para la implantación, el mantenimiento, la auditoría, la certificación, la gestión, la mejora continua y la mitigación de riesgos de los sistemas de gestión de la seguridad de la información está gestionada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI). 17 2.4.1 ISO/IEC 27001:2013 La norma ISO/IEC 27001:2013 (2013) obliga a las empresas a garantizar la seguridad, confidencialidad y disponibilidad de sus datos e información para evitar interrupciones en sus operaciones. La preparación de una empresa para hacer frente a las amenazas a la seguridad de los datos aumentará si se adopta esta norma. A continuación, se presenta una versión resumida de las fases de las normas ISO (s.f.) en el que se describen los pasos necesarios para implantar un sistema de gestión de la seguridad de la información: Figura 2: Fases para la implementación de un SGSI Fuente: Normas ISO (s. f.) 2.4.2 ISO/IEC 27002 ISO/IEC 27002:2022 (2022) es una referencia para implementar controles para el tratamiento de los riesgos de seguridad de la información dentro de un SGSI basado en ISO/IEC 27001 Esta norma señala que las organizaciones de todo tipo y tamaño (sector público o privado, comercial o sin ánimo de lucro) crean, 18 recopilan, procesan, transmiten y eliminan información en una variedad de formatos (electrónicos, físicos y verbales), por lo que la protección de la información y otros activos asociados puede lograrse mediante la implantación de sistemas de control incluye políticas, normas, procesos, procedimientos, estructuras organizativas, software y características de hardware. La ISO/IEC 27002:2022 (2022) define a un control como una medida que modifica o mantiene el riesgo, esta norma proporciona una combinación genérica de controles de seguridad de la información organizacionales, de personas, físicos y tecnológicos derivados de las mejores prácticas reconocidas internacionalmente. Asimismo, la norma indica que la manera de determinar los controles en una organización dependerá de las decisiones de la organización luego de una evaluación de riesgos, con un alcance claramente definido, también dependerá de las leyes y reglamentos nacionales e internacionales pertinentes. 2.4.3 ISO/IEC 27003:2017 El propósito de ISO/IEC 27003:2017 (2017) es ofrecer sugerencias, opciones y permisos para implementar un SGSI de acuerdo con los requisitos de un SGSI descritos en ISO/IEC 27001. Aunque la mayor parte de la información aquí contenida es aplicable a empresas de cualquier tamaño, las que tienen diez empleados o menos pueden encontrar algunas de las sugerencias innecesarias o incluso inapropiada. Como contenido de esta norma se podrá ver lo siguiente: • Alcance. • Referencias Normativas. • Términos y Definiciones. • Estructura de esta Norma. 19 • Obtención de la aprobación de la alta dirección para iniciar un SGSI. • Definición del alcance del SGSI, límites y políticas. • Evaluación de requerimientos de seguridad de la información. • Evaluación de Riesgos y Plan de tratamiento de riesgos. • Diseño del SGSI. 2.4.4 ISO/IEC 27005:2018 La gestión de riesgos de seguridad de la información se aborda en ISO/IEC 27005:2018 (2018), pero la norma no especifica ninguna práctica específica para hacerlo dentro de una organización. La estrategia de gestión de riesgos de la organización debe basarse en el alcance del SGSI, el contexto en el que se gestionan los riesgos y la naturaleza del negocio. Cualquier organización, ya sea pública o privada, con o sin ánimo de lucro, que necesite gestionar los riesgos para la seguridad de su información puede utilizar la norma ISO/IEC 27005:2018 (2018). 2.4.5 ISO/IEC 27032:2012 La norma ISO/IEC 27032:2012 (2012) define el ciberespacio como un "entorno de tecnologías de la información y la comunicación (TIC) conformado por las interacciones de personas, programas informáticos y servicios de Internet”. La falta de coordinación e intercambio de información entre empresas y proveedores de servicios en línea significa que ni siquiera las mejores prácticas de seguridad de la información, seguridad de Internet, seguridad de las redes y seguridad de las TIC pueden solucionar los problemas de seguridad que han surgido. Como resultado, la comunidad internacional se reunió para redactar la norma de orientación sobre ciberseguridad ISO/IEC 27032:2012 (2012). Los retos para lograr una seguridad integral en línea, también conocida como ciberseguridad, son el objetivo principal 20 de esta directriz. La ingeniería social, la piratería informática y la proliferación de malware, spyware y otros tipos de software potencialmente no deseado son amenazas. Los controles para evitar estos peligros se detallan en las directrices técnicas tenemos: • Preparar los ataques, por ejemplo, de programas maliciosos, de individuos o de organizaciones criminales en Internet. • Detección y seguimiento de los ataques. • Responder a los ataques. La colaboración es la segunda área de interés de esta norma, que indica la necesidad de compartir información, coordinar y gestionar incidentes de manera eficiente y eficaz entre las partes interesadas del ciberespacio. 2.5 Instituto Nacional de Normas y Tecnología (NIST) Las empresas pueden utilizar un marco creado por el Instituto Nacional de Normas y Tecnología para gestionar mejor y reducir los riesgos de ciberseguridad. El marco del NIST se basa en una recopilación de buenas prácticas de varias organizaciones, como ISO, CIS, ITU y otras. El núcleo, los niveles de aplicación y los perfiles constituyen sus tres secciones principales. Cada sección cubre las operaciones, resultados y leyes de ciberseguridad para un sector concreto de la infraestructura, y pueden desarrollarse perfiles individuales para alinear mejor las necesidades empresariales con las actividades de ciberseguridad. La siguiente imagen muestra cómo los diferentes niveles de aplicación del marco (tiers) proporcionar recursos para comprender el plan de gestión de riesgos de ciberseguridad. 21 Figura 3: Marco de Ciberseguridad del NIST Fuente: Esade/Marco de Ciberseguridad NIST • Marco básico Los cuatro componentes del marco trabajan juntamente con cinco funciones básicas que describen las actividades que conducen a resultados útiles para la gestión de riesgo cibernético. Figura 4: Marco Básico del Marco de Ciberseguridad del NIST Fuente: Esade/Categoría de Función y de Identificadores únicos 22 • Marco de niveles de implementación (Framework Implementation Tiers) Los procesos de una empresa pueden clasificarse en cualquiera de estas escalas, que pueden ser parciales, basadas en el riesgo, repetibles o flexibles. • Marco de Perfiles (Framework Profiles) Se pueden encontrar oportunidades para mejorar la ciberseguridad comparando el estado actual de los perfiles con el Objetivo (estado a ser). Cada vez que se crea un nuevo perfil, es importante volver a examinar las categorías y subcategorías del marco básico para asegurarse de que siguen teniendo sentido 2.6 Objetivos de Control para Tecnologías de la Información y relacionados - COBIT 2019 Modelo de Gobierno Empresarial para Información y Tecnología (COBIT), este marco es ahora más ágil, siendo ahora más completo, con lo cual aterriza el framework acorde a las necesidades de la organización, de tal forma que se adapta al gobierno empresarial. A diferencia del COBIT 5, esta nueva versión tiene 6 principios del sistema de gobierno y tres principios del marco de gobierno. COBIT se enfoca en las siguientes áreas: • Organizaciones de pymes • Seguridad de la información • DevOps • Calidad 23 Figura 5: Modelo Core de COBIT Fuente: Isaca isaca.org COBIT (2019) refiere que los objetivos de gobierno o de gestión están relacionados a un proceso de la organización. Asimismo, indica que un objetivo de gobierno se relaciona directamente con un proceso de gobierno donde los responsables de ellos es la dirección ejecutiva; mientras que un objetivo de gestión se relaciona a un proceso de gestión el cual se encuentran a cargo de la alta y media gerencia. Asimismo, menciona que los objetivos de gobierno y gestión se agrupan en 05 dominios: • Objetivos de Gobierno: Estos objetivos forman parte del dominio Evaluar, Dirigir y Supervisar (EDM), en el que la alta dirección dirige y supervisa las alternativas estratégicas. • Los objetivos de la dirección se dividen en cuatro categorías: 24 - Alinear, Planificar y Organizar (APO) tiene en cuenta la estructura de TI, la estrategia y las actividades de apoyo. - Construir, Adquirir e Implementar (BAI) define, obtiene e implementa los sistemas de TI. - Entregar, Servir y Apoyar (DSS) se refiere a la seguridad y el apoyo de los servicios de TI. - Monitorizar, Evaluar y Valorar (MEA) se centra en la supervisión y el cumplimiento de la TI con los objetivos de desempeño, los controles internos y los requisitos externos. 3. CAPÍTULO III: MARCO CONTEXTUAL 3.1 Contexto Local La Secretaría de Gobierno y Transformación Digital es el ente rector del Sistema Nacional de Transformación Digital responsable de la gobernanza, la confianza y la transformación digital a nivel nacional. Las instituciones públicas en Perú se están alineando gradualmente con el marco legislativo que regula, entre otras cosas, la adopción de normas técnicas derivadas del extranjero como la ISO/IEC 27001:2014 y la gestión basada en procesos. A continuación, se presenta un cuadro que resume lo más importante del marco legal en el ámbito de la seguridad de la información o confianza digital a nivel de las instituciones públicas: 25 Tabla 2: Resumen Marco Legal en el ámbito de la Seguridad de la información o confianza digital en entidades públicas Nº Marco / Ley / Reglamento Descripción 1 Ley Nº 29733 (2011), disposiciones complementarias (Decreto Legislativo Nº 1353 - 2017) y su Reglamento (Decreto Supremo Nº 003-2013-JUS) La Ley de Protección de Datos Personales, la cual define los lineamientos para garantizar el derecho fundamental a la protección de datos personales y un tratamiento adecuado de los mismos, en conformidad a lo establecido en la Constitución Política del Perú. 2 Ley Nº 30096 (2013) La Ley de Delitos Informáticos, la define los delitos que implican el uso de tecnologías de la Información o comunicación, con el fin de combatir la ciberdelincuencia y establecer penas. 3 Resolución Ministerial Nº 004-2016-PCM (2016) Establece el uso obligatorio de la Norma Técnica Peruana “NTP ISO/IEC 27001:2014 Tecnología de la Información. requisitos 2a Edición” en todas las entidades integrantes del Sistema Nacional de Informática. El plazo para ello es de dos años. Se establece un comité de Gestión de Seguridad de la Información. Establece el rol de Oficial de Seguridad dentro del referido comité. 4 Resolución Ministerial N° 360-2009-PCM (2009) Crea el Grupo de Trabajo permanente Coordinadora de respuestas a emergencias en redes Teleinformáticas de la Administración Pública del Perú (Pe-CERT). 5 Decreto Supremo 050-2018-PCM (2018) Define la Seguridad Digital en el ámbito nacional como el estado de confianza en el entorno digital, resultante de la gestión y aplicación de un conjunto de medidas proactivas y reactivas frente a riesgos que afectan la seguridad de las personas, la prosperidad económica y social, la seguridad nacional y los objetivos nacionales en dicho entorno. 6 Resolución Ministerial Nº 119-2018-PCM (2018) Norma la conformación del Comité de Gobierno Digital, el cual debe ser conformado por el titular de la entidad, el líder de gobierno digital, el responsable de recursos humanos, responsable de atención al ciudadano y el oficial de seguridad digital. 6 Ley Nº 30999 (2019) Conocida como la Ley de Ciberdefensa, esta ley se promulgó para establecer directrices para la ciberdefensa del gobierno peruano mediante el control de las operaciones militares en y a través del ciberespacio. 26 7 Decreto de Urgencia N° 007-2020 (2020) Como parte del marco de confianza Digital aprobado, se ja esbozado lo siguiente: - Definición de términos como “Confianza Digital”, “Incidente de Seguridad digital”, “Gestión de incidentes de Seguridad Digital”, “Riesgo de Seguridad Digital”, “Ciberseguridad”, entre otros. - El Marco de Confianza Digital como un conjunto de principios, modelos, políticas, normas, procesos, funciones, personas, organizaciones, entidades públicas, tecnologías y normas mínimos en 3 ámbitos fundamentales: Protección de datos personales y transparencia, Protección del Consumidor y Seguridad Digital. - El Centro Nacional de Seguridad Digital, plataforma digital que gestiona, dirige, articula y supervisa la operación, educación, promoción, colaboración y cooperación de la Seguridad Digital a nivel nacional; así como gestionar incidentes de seguridad digital en el ámbito nacional. Incorpora al Equipo de Respuesta a Incidentes de Seguridad Digital Nacional. - Establece que las Entidades de administración pública deben: - Notificar al Centro Nacional de Seguridad Digital todo incidente de seguridad digital. - Gestionar los riesgos de seguridad digital - Reportar y colaborar con la autoridad de la protección de datos personales - Las entidades de la administración pública deben implementar un Sistema de Gestión de Seguridad de la Información (SGSI) y un equipo de respuesta a incidentes de Seguridad Digital, entre otros. - Se definen los datos como activos estratégicos y se crea el Centro Nacional de Datos como plataforma que gestiona, dirige, articula y supervisa la operación, educación, promoción y cooperación de datos a nivel nacional, a fin de fortalecer la confianza de las personas en el entorno digital. - Se implementa el Registro Nacional de incidentes de Seguridad Digital. 8 Decreto Legislativo Nº 1412, su reglamento (Decreto Supremo Nº 029-2021-PCM) Aprueba la Ley de Gobierno Digital y su reglamento. Establece disposiciones, requisitos y uso de las tecnologías y medios electrónicos en los procedimientos administrativos desarrollados por las entidades públicas. Fuente: El Peruano (https://elperuano.pe) - Elaboración propia 27 Cabe mencionar dentro del marco normativo el tratado internacional Convenio de Budapest (2001), a la cual el Perú está suscrito. Dicho tratado busca hacer frente a los delitos informático y los delitos en internet mediante la alineación de leyes, y mejora del aspecto técnico. Los indicadores para el Gobierno Digital pueden consultarse en el sitio web del PCM (https://gob.pe/PCM) ● El 89% de los ministerios, el 60% de los Gobiernos Regionales y el 15% de los Gobiernos locales han designado a un Oficial de Seguridad y Confianza Digital. ● Solo 72 de 2360 (o el 3%) entidades públicas han comenzado siquiera a implementar un Sistema de Gestión de Seguridad de la Información. ● El 7.5%, es decir, sólo 177 de 2360 organizaciones del sector público, han establecido su equipo de respuestas a incidentes de seguridad digital. Varias agencias gubernamentales han optado por obtener la certificación ISO/IEC 27001:2013 de procesos específicos, como se muestra en el siguiente cuadro: 28 Tabla 3: Entidades del estado que han obtenido la certificación ISO/IEC 27001:2013 Nº Entidad Proceso(s) Año Fuente 1 Instituto Nacional de Salud (INS) Autorización de ensayos Clínicos y Servicios de Análisis Especial 2021 Nota de prensa publicado en la Web del INS: https://web.ins.gob.pe/es/prensa/notic ia/ins-es-la-primera-institucion-del- sector-salud-que-recibe-la- certificacion-isoiec 2 Autoridad Portuaria Nacional (APN) Gestión de Sistemas de Información, Gestión de recepción y despacho de naves y Gestión de Licencias 2019 Nota de Prensa publicada en la Web Gob.pe: https://www.gob.pe/institucion/apn/n oticias/128076-la-autoridad- portuaria-nacional-recibio- certificacion-iso-iec-27001-2013 3 Superintendencia Nacional de Migraciones Emisión de Pasaporte Electrónico 2018 Nota de Prensa publicada en la Web Gob.pe: https://www.gob.pe/institucion/migra ciones/noticias/295368-migraciones- logro-ratificacion-de-certificacion- iso-27001-por-emision-de-pasaporte- electronico 4 Registro Nacional de Identificación y Estado Civil - RENIEC Sistemas de información que dan soporte a los servicios de solicitud, generación, entrega, servicios y cancelación del certificado digital, desde la recepción de las solicitudes hasta la entrega de los certificados digitales, según declaración de aplicabilidad vigente Sistemas de Información que dan soporte al registro electoral. 2015 2016 Memoria Institucional RENIEC http://www.reniec.gob.pe/Transparen cia/intranet/imagenes/noticias/comuni cado/MEMORIA-2016R.pdf Fuente: Diversas - Elaboración propia http://www.gob.pe/institucion/apn/n http://www.gob.pe/institucion/migra http://www.reniec.gob.pe/Transparen 29 3.2 Contexto Regional Los gobiernos vienen brindando lineamientos y adoptando medidas para salvaguardar sus activos críticos nacionales, asegurando su crecimiento económico y social. A nivel Latinoamérica y el Caribe de acuerdo al reporte de Ciberseguridad 2020 del IDB (Banco Interamericano de Desarrollo) y la Organización de Estados Americanos (OEA), se presenta el estado situacional de los países respecto al nivel de madurez de Ciberseguridad de acuerdo al modelo de madurez de Capacidad en Ciberseguridad (CMM) y su comparativa entre 2016 y 2020, en dicho reporte se menciona que para inicios de 2020 eran 12 los países que habían aprobado estrategias nacionales de ciberseguridad: Tabla 4: Año de aprobación de la Estrategia de Ciberseguridad País Año Colombia 2011 Panamá 2013 Trinidad y Tobago 2013 Jamaica 2015 Paraguay 2017 Chile 2017 Costa Rica 2017 México 2017 Guatemala 2018 República Dominicana 2018 Argentina 2019 Brasil 2020 Fuente: Foro Económico Mundial 30 3.2.1 Colombia Dado que Colombia fue el primer país en adoptar una política de este tipo y es líder regional en este ámbito, es importante observar la situación actual y Planes de Seguridad de la Información de Colombia. Al comparar el desempeño de Colombia en 2016 con el de 2020, se destacan las siguientes mejoras, según el Foro Económico Mundial (FEM): ● Estrategias Nacionales en el ámbito de Ciberseguridad ● Ciberseguridad y Sociedad ● Marcos Legales y regulatorios ● Estándar, Organizaciones y Tecnologías. Figura 6: Resultados para Colombia 31 Fuente: Reporte de Ciberseguridad 2020 del IDB & OEA. Se puede acceder al Modelo de Gestión de Seguridad de la Información creado por el Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia (MINTIC) en el siguiente enlace: https://www.mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de- Seguridad/ http://www.mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de- 32 Este modelo de seguridad de la información y privacidad, cuya aplicación depende de las necesidades, requisitos de seguridad, procedimientos, tamaño y estructura organizativa de la organización, mejora la capacidad de la nación para responder y adaptarse a una variedad de ciberamenazas. 3.2.2 Chile Chile mediante la Subsecretaría de Prevención del Delito del Ministerio del Interior y Seguridad Pública establece una Política General de Seguridad de la información el cual se publica en el siguiente enlace: https://www.seguridadpublica.cl/wp- content/uploads/2020/12/politicaseguridadinformacion.pdf Este documento contiene directrices generales sobre el acceso, manipulación, procesamiento, transmisión, protección, almacenamiento o cualquier otro tratamiento que se realice sobre los activos de información de la entidad. Según la Política General de Seguridad de la Información toma como base la norma estándar ISO/IEC 27001:2013 e ISO/IEC 27002:2013 u otras normas relacionadas con las antes mencionadas. Además, lanzó con una estrategia nacional de seguridad cibernética a través de la unidad de coordinación de Ciberseguridad. En el reporte del Foro Económico Mundial (2020) se puede ver un avance significativo respecto a los resultados de 2016 en los siguientes dominios: ● Estrategias Nacionales en el ámbito de Ciberseguridad ● Respuesta a incidentes http://www.seguridadpublica.cl/wp- 33 ● Comprensión del usuario de la protección de la información en línea ● Cumplimiento de los Estándares ● Controles técnicos de Seguridad ● Marcos legales Figura 7: Resultados para Chile 34 Fuente: Reporte de Ciberseguridad 2020 del IDB & OEA. 35 3.2.3 Brasil Según un informe del Fast Facts de la empresa de ciberseguridad Trend Micro, Brasil recibe el 10.5% de las amenazas producidas a nivel mundial en temas de ciberataques. En el 2020, se publicó un Decreto Federal en cual se aprueba la Estrategia Nacional de Ciberseguridad donde incluye acciones para aumentar la resistencia frente a amenazas cibernéticas en la cual se centra en 10 acciones para guiar a la administración pública hacia la ciberseguridad. Además, el gobierno federal cuenta con un marco de divulgación de vulnerabilidades, donde el CERT nacional recibe información de las diferentes entidades para finalmente proporcionar informes completos acerca de cómo abordar los incidentes. Los resultados en las siguientes áreas han aumentado significativamente desde 2016 según el informe 2020 del Foro Económico Mundial (FEM): ● Respuesta a incidentes ● Comprensión del Usuario de la protección de la información en Línea ● Marcos legales ● Controles Técnicos de Seguridad 36 Figura 8: Resultados para Brasil 37 Fuente: Reporte de Ciberseguridad 2020 del IDB & OEA. 38 3.3 Contexto Global 3.3.1 España España es uno de los países con mayor compromiso con la ciberseguridad. Cuenta con un Esquema Nacional de Seguridad (ENS) de aplicación al sector público proporcionando un planteamiento de seguridad para la protección de la información, facilitando la cooperación y proporcionando una serie de requisitos que finalmente son referentes de buenas prácticas. El ENS se detalla en el siguiente enlace: https://www.ccn-cert.cni.es/publico/ens/ens/index.html#!1001 El ENS no sólo contribuye a mejorar la seguridad de los organismos públicos proporcionando un método basado en principios fundamentales, normas mínimas y medidas de seguridad, sino que también llega al sector privado. El ENS impone las siguientes medidas para proteger los datos sensibles: ● Organizar e implementar el proceso de seguridad. ● Gestionar los riesgos (proceso de identificación, análisis, evaluación y tratamiento). ● Gestión del personal. ● Profesionalidad. ● Autorización y control de accesos. ● Protección de las instalaciones. ● Adquisición de productos de seguridad y contratación de servicios de seguridad. ● Integridad y actualización del sistema. ● Protección de la información almacenada y en tránsito. ● Detección de código dañino. ● Incidentes de seguridad. ● Continuidad de la actividad. http://www.ccn-cert.cni.es/publico/ens/ens/index.html#!1001 39 ● Mejora continua del proceso de seguridad. Cabe mencionar que España cuenta un CCN-Cert que tiene como objetivo responder ante incidentes de seguridad de la información y está dirigido por el Centro Nacional de Inteligencia (CNI). El CCN- Cert tiene responsabilidad en ciberataques sobre sistemas clasificados y sistemas de la administración pública que son de interés estratégico para el país por ende es el centro de alerta y respuesta nacional, todo ello con la finalidad de conseguir un ciberespacio más seguro y confiable. Por otro lado, el Instituto Nacional de Ciberseguridad (INCIBE) realiza investigaciones, presta servicios y se coordina con actores relacionados a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, para mejorar la ciberseguridad a escala mundial. 3.3.2 Reino Unido Reino Unido es el tercer país en el mundo que recibe más ciberataques. El gobierno británico ha desarrollado una Estrategia de Ciberseguridad nacional que invertirá aproximadamente 1.900 millones de libras para salvaguardar las infraestructuras y los sistemas vitales, y mejorar las capacidades de seguridad de la información de las personas. Con dos pilares principales y cinco objetivos globales, este plan pretende defender toda la economía de las ciberamenazas. Pilares: ● Construir una base sólida y organizacional de seguridad para asegurar que los organismos gubernamentales cuenten con los mecanismos y herramientas adecuadas para manejar los riesgos, encargado por el Centro Nacional de Ciberseguridad (NCSC) 40 que en un año ha registrado 777 incidentes, donde el 40% de ellos tenían por objetivo acceder a los sistemas del sector público británico. ● Defenderse y responder ante los ciberataques como un conjunto, para lo que se creará el Centro de Coordinación para la Ciberseguridad Gubernamental (GCCC) encargado de identificar, investigar y coordinar la respuesta del gobierno británico ante los posibles ciberataques. Objetivos: ● Gestión del riesgo, las entidades podrán identificar los posibles riesgos de ataques mediante un sistema de información intergubernamental. ● Protección contra los ciberataques, se establecerán medidas de ciberseguridad. ● Detección de incidencias en los sistemas de ciberseguridad. ● Minimización del impacto de los ataques, en caso de ocurrencia del ataque, las entidades estarán preparadas para responder rápidamente y así minimizar el daño. ● Implantación de una cultura de ciberseguridad. 3.3.3 Estados Unidos La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos se encuentra bajo la supervisión del Departamento de Seguridad Nacional, es una entidad encargada de comprender, administrar y reducir el riesgo de la infraestructura física y cibernética federal, además de compartir la información entre los socios federales y no federales. Fue creada a raíz de que el presidente Trump firmó en noviembre del 2018 la Ley de Ciberseguridad e Infraestructura. Recientemente fue aprobada la Ley de Fortalecimiento de la Ciberseguridad Estadounidense que, entre otras cosas, estipula que las 41 entidades deberán comunicar dentro de las 72 horas a la CISA de experimentar un incidente cibernético. La Ley de Fortalecimiento de la Ciberseguridad Estadounidense de 2022 combina tres proyectos de ley diferentes: la Ley de Informes de Incidentes Cibernéticos (CIRA), la Ley Federal de Gestión de la Seguridad de la Información (FISMA) y la Ley Federal de Mejora y Empleos Seguros de la Nube (FSCIJA). La Ley Federal de Gestión de la Seguridad de la Información establece que el NIST es responsable del desarrollo de una seguridad de la información adecuada para todas las agencias gubernamentales, por lo que NIST cuenta con estándares y pautas para la seguridad de la información que deben ser seguidas por todas las agencias gubernamentales. 4. CAPÍTULO IV: METODOLOGIA 4.1 Tipo de Investigación Para lograr nuestro objetivo de diseñar un modelo de Gestión de Seguridad Digital para su aplicación en las entidades del Sector Público Peruano, este trabajo se clasifica como una investigación cualitativa debido a que se requiere examinar el estado actual de las entidades estatales con respecto a los estándares y marcos de seguridad digital existentes. 4.2 Diseño de la Investigación Se trata de un estudio transversal no experimental que utiliza fuentes primarias y secundarias según refiere Hernández, Fernández y Baptista (2010): ● No experimental, ya que examinaremos el entorno en el que se establece la Seguridad Digital en las organizaciones del Sector Público peruano para estudiarlo y recoger los datos. 42 ● Transversal, la recogida de datos tendrá lugar en un momento concreto. ● Para el análisis se utilizarán datos primarios; se administrará una encuesta a los trabajadores del gobierno y a los consultores en Perú para determinar en qué aspectos falta seguridad digital. El diseño del modelo propuesto se complementará con fuentes secundarias, tales como estudios previos relativos a la Seguridad Digital en entidades del sector público. 4.2.1 Población Objetivo La población objetivo para el presente trabajo abarca a los consultores o colaboradores que actualmente trabajan o laboraron en un periodo no mayor 2 años en Organismos Públicos Descentralizados que forman parte del Sistema Nacional de Informática adscritos a la Presidencia del Consejo de Ministros (PCM) del Gobierno de la República del Perú relacionados a temas de Seguridad Digital. La PCM (s.f.) se define como una institución responsable de coordinar y desarrollar las políticas nacionales multisectoriales de su competencia. Además, son responsables de la descentralización y actualización de las operaciones del gobierno. También supervisan las actividades de los organismos gubernamentales, entes reguladores, oficinas adscritas, consejos, comisiones y otras organizaciones cuyo mandato es proteger los derechos de todos los peruanos y avanzar en el progreso del país en numerosos campos. Las organizaciones gubernamentales conectadas en el sector público trabajan juntas para ejecutar operaciones informáticas oficiales como parte del Sistema Nacional de Informática. Varios tipos de organismos públicos descentralizados en Perú están vinculados al Consejo de ministros a través del sistema nacional de información del país, tenemos: ● Congreso de la República ● Poder Judicial (PJ) 43 ● Asamblea Nacional de Rectores (ANR) ● Banco Central de Reserva del Perú (BCRP) ● Consejo Nacional de la Magistratura (CNM) ● Defensoría del Pueblo (DP) ● Jurado Nacional de Elecciones (JNE) ● Contraloría General de la República (CGR) ● Ministerio Público-Fiscalía de la Nación (MPFN) ● Oficina Nacional de Procesos Electorales (ONPE) ● Registro Nacional de Identificación y Estado Civil (RENIEC) ● Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS) ● Tribunal Constitucional (TC) ● Comisión de Promoción del Perú para la Exportación y el Turismo (PROMPERU) ● Ministerio de Comercio Exterior y Turismo (MINCETUR) ● Instituto Geográfico Nacional (IGN) ● Ministerio de Defensa (MINDEF) ● Agencia de Promoción de la Inversión Privada (PROINVERSION) ● Comisión Nacional Supervisora de Empresas y Valores (CONASEV) ● Ministerio de Economía y Finanzas (MEF) ● Oficina