Upload
nguyennhan
View
224
Download
0
Embed Size (px)
Citation preview
Medición de madurez de
CiberSeguridad en MiPymes
colombianas
Benjamín José Ramírez Montealegre
Universidad Nacional de Colombia
Facultad de Ingeniería, Área Curricular de Ingeniería de Sistemas
e Industrial
Bogotá, Colombia
2016
Medición de madurez de
CiberSeguridad en MiPymes
colombianas
Benjamín José Ramírez Montealegre
Tesis presentada como requisito parcial para optar al título de:
Magíster en Ingeniería - Telecomunicaciones
Director:
PhD José Ismael Peña Reyes
Línea de Investigación:
Seguridad de la información
Grupo de Investigación:
Grupo de Investigación en Sistemas y Tecnologías de Información y
Comunicaciones en las Organizaciones (GISTIC)
Universidad Nacional de Colombia
Facultad de Ingeniería, Área Curricular de Ingeniería de Sistemas
e Industrial
Bogotá, Colombia
2016
4 Medición de madurez de CiberSeguridad en MiPymes
colombianas
Resumen
Las MiPymes representan más del 95% de las empresas en Colombia,
sin embargo, su tamaño y reducido presupuesto las hace especialmente
vulnerables. Esta influencia y peso en la economía del país es una
razón para realizar investigaciones que puedan servir de apoyo a
este tipo de empresas. La presente tesis tiene como objetivo
analizar la situación actual de las MiPymes en Colombia en relación
con la ciberseguridad y sus prácticas. La información recopilada
muestra las falencias que tienen este tipo de empresas. Finalmente
se entregan recomendaciones y lineamientos para próximas
investigaciones o programas que puedan ser desarrollados en el país,
con el fin de fortalecer y asegurar este tipo de empresas.
Palabras clave: Ciberseguridad, seguridad de la información,
MiPymes, modelos de madurez.
Abstract
SMEs are more than 95% of companies in Colombia, nevertheless their
size and budgeting make them especially vulnerable. This influence
and importance in Colombian economy is a motivation to perform
research that can support this type of companies. The objective of
this thesis is to analyze current cybersecurity situation in
Colombian SMEs. The information gathered shows the weaknesses of
this companies. Finally, some recommendations are given for upcoming
research or programs that can be develop in Colombia, which
objective would be to build more secure companies.
Keyword: cybersecurity, information security, SME, maturity models
Contenido 5
Contenido Pág.
Resumen ................................................................................................................................................................. 4
Contenido ............................................................................................................................................................... 5
Lista de figuras ...................................................................................................................................................... 6
Introducción .......................................................................................................................................................... 7
1. La Ciberseguridad En Las Mipymes: Un Urgente Tema De Investigación ................................10 1.1 Identificación del problema ............................ 10 1.2 Diseño de la investigación ............................. 11 1.3 Método de estudio de similitud entre modelos y estándares
(MSSS) ...................................................... 13 1.4 La construcción de un instrumento de medición de madurez 14
2. Estado Del Arte ..........................................................................................................................................16 2.1 Seguridad de la Información y Ciberseguridad ........... 16 2.2 Sistema de Gestión de Seguridad de la Información ...... 18 2.3 Ciberseguridad en MiPymes .............................. 19 2.4 Modelos de Madurez ..................................... 20 2.5 Estándares de Ciberseguridad Enfocados a MiPymes ....... 22
2.5.1 IASME ............................................. 22 2.5.2 ISSA-UK 5173 ...................................... 24
3. Análisis y Elección del Modelo de Madurez.......................................................................................26 3.1 Organización de las áreas del modelo escogido .......... 33 3.2 Creación del instrumento de medición de madurez ........ 36
3.2.1 Población y muestra del estudio. .................. 36 3.3 Realización de la encuesta ............................. 40
3.3.1 Validación de la encuesta ......................... 40 3.3.2 Prueba piloto ..................................... 40
3.4 Aplicación del instrumento ............................. 41 3.5 Resultados generales ................................... 44 3.6 Resultados por tamaño de la empresa .................... 50 3.7 Resultados por sector .................................. 54
4. Conclusiones, Hallazgos Y Recomendaciones ...................................................................................59 4.1 Conclusiones generales ................................. 59 4.2 Conclusiones para la academia .......................... 61 4.3 Conclusiones para las microempresas .................... 62 4.4 Pequeña empresa ........................................ 62 4.5 Mediana empresa ........................................ 63 4.6 Recomendaciones ........................................ 63 4.7 Próximos pasos ......................................... 64
5. Bibliografía .................................................................................................................................................68
6 Medición de madurez de CiberSeguridad en MiPymes
colombianas
Lista de figuras Pág.
Figura 1-1: Diseño de la investigación .................................................................................................................11
Figura 1-2: Etapas de la medición de madurez ...............................................................................................12
Figura 1-3: Método de Estudio de Similitud entre Modelos y Estándares (Calvo-Manzano,
Cuevas, Muñoz, & Feliu, 2008), adaptación utilizada para el estudio. .................................................13
Figura 1-4: Guía metodológica para la construcción del instrumento de medición. Tomado de
Zapata & Canet (2008) ................................................................................................................................................14
Figura 2-1: Ciclo PHVA y su relación con los capítulos de la norma NTC-ISO-IEC 27001:2013
.................................................................................................................................................................................................18
Figura 2-2: Dominios de la norma NTC-ISO-IEC 27001:2013 ..................................................................19
Figura 3-1: Áreas prioritarias en ciberseguridad, según el tamaño de la empresa .......................34
Figura 3-2: Muestra del gráfico de madurez diseñado ................................................................................41
Figura 3-3: Porcentaje de empresas por sectores económicos ...............................................................42
Figura 3-4: Número de empleados de las empresas .....................................................................................42
Figura 3-5: Infraestructura tecnológica de las empresas encuestadas ................................................43
Figura 3-6: Cargos de las personas encuestadas ............................................................................................43
Figura 3-7: Porcentaje de MiPymes con un SGSI implementado ............................................................44
Figura 3-8: Personal dedicado a la ciberseguridad .......................................................................................45
Figura 3-9: Postura de las empresas en ciberseguridad .............................................................................45
Figura 3-10: Nivel de madurez en ciberseguridad para Microempresas ............................................50
Figura 3-11: Nivel de madurez de la Pequeña empresa ..............................................................................52
Figura 3-12: Nivel de madurez mediana empresa .........................................................................................53
Figura 3-13: Porcentaje de empresas encuestadas de un total de 61 pertenecientes al sector
de servicios........................................................................................................................................................................54
Figura 3-14: Madurez sector servicios ................................................................................................................55
Figura 3-15: Porcentaje de empresas encuestadas de un total de 18 pertenecientes al sector
industrial ............................................................................................................................................................................56
Figura 3-16: Nivel de madurez en ciberseguridad para el sector industrial .....................................56
Figura 3-17: Porcentaje de empresas encuestadas de un total de 9 pertenecientes al sector
comercio .............................................................................................................................................................................57
Figura 3-18: Nivel de madurez en ciberseguridad para el sector comercio ......................................58
Figura 4-1: Acciones a seguir para la ciberseguridad en MiPymes........................................................65
Tabla 4-2: Acciones a implementar .......................................................................................................................65
Introducción
Según la legislación colombiana, una MiPyme (Micro, pequeña y
mediana empresa) está definida tal y como se muestra en la tabla 1-
1.
Tabla 1-1: Definición de empresas en Colombia (Ley 905, 2004)
TIPO DE EMPRESA NÚMERO DE
EMPLEADOS
ACTIVOS TOTALES
EN SALARIOS MINIMOS
MENSUALES VIGENTES
Mediana 51-200 5000-15000
Pequeña 11-50 501-5000
Microempresa Hasta 10 Inferior a 500
La participación de las MiPymes en la economía nacional, según datos
del DANE (Departamento Administrativo Nacional de Estadística) en
su censo económico es de alrededor del 96%. Este porcentaje se
distribuye de la siguiente manera: 92,6% Micro, 3,2% Pequeñas y 0,5
Medianas1.En cuanto al empleo generado, las MiPymes ocupan el 80,8%
del personal en el territorio nacional. Este porcentaje se reparte
en un 50,3% en las Microempresas, el 17,6% en las Pequeñas y el
12,9% en las Medianas.
Estos números muestran el papel fundamental que juegan este tipo de
empresas en la economía nacional. El desconocimiento de algunos
aspectos de las MiPymes se puede ver reflejado, por ejemplo, en la
incapacidad de determinar el número total de MiPymes en el país. El
último dato que se conoce del número de establecimientos es de
1´389.698 (Departamento Administrativo Nacional de Estadística,
1 Departamento Administrativo Nacional de Estadística – DANE – Censo económico 2005
8 Medición de madurez de CiberSeguridad en MiPymes
colombianas
2005). Dicha cifra, como todas las presentadas con anterioridad,
datan del 2005.
Para el año 2014 Confecámaras tiene registrados 716.578 sociedades
categorizadas como MiPymes. Sin embargo, existen muchos negocios
que no están registrados, es decir ejercen sin formalizar. En la
Figura 1 se evidencia el dinamismo en cuanto al establecimiento de
MiPymes en el país. Allí se puede apreciar el porcentaje de
crecimiento de MiPymes formalizadas en un periodo de 5 años. Según
datos del Banco Mundial, la tasa de informalidad para Colombia es
del 38,7%, lo cual hace que el dato disponible a través de
Confecámaras no sea suficiente para determinar el número total de
MiPymes en Colombia(Confecámaras, 2011).
Figura 1: Crecimiento de MiPymes registradas en Bogotá. Tomado de
(Mora-Riapira, Vera-Colina, & Melgarejo-Molina, 2015)
El panorama expuesto anteriormente es un reflejo de la poca
información que se tiene relacionada con las MiPymes, tema
preocupante dada la alta participación en la economía colombiana.
La ciberseguridad no es ajena a esta situación. Actualmente no
existen datos ni estadísticas de cómo este tipo de empresas están
adoptando prácticas para proteger su información en el país.
Para nadie es un secreto que en nuestros días la información es
utilizada en toda una gama de medios digitales, que hacen que las
amenazas se trasladen al mundo digital. Las precisiones e
impresiones que se tiene de las MiPymes y sus dificultades para
adoptar estrategias de ciberseguridad son producto de estudios
2005 2006 2007 2008 2009 2010
PORCENTAJE DECRECIMIENTO DE MIPYMES
9% 83% 11% -3% 15% 0,40%
-10%
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
PORCENTAJE DE CRECIMIENTO DE MIPYMES REGISTRADAS EN BOGOTÁ
Introducción 9
realizados en otros países. De aquí radica la importancia de esta
investigación, la cual permitirá tomar una base y conocer en qué
situación se encuentran las MiPymes actualmente para así dar origen
a estrategias y herramientas que permitan apoyar a estas empresas
en ciberseguridad.
El presente estudio pretende recopilar información que ayude a
entender la situación de las MiPymes colombianas y así generar toda
una gama de soluciones que permitan convertir las debilidades
comunes en fortalezas. Se ha encontrado que las MiPymes pueden ser
poco formales, y esto podría utilizarse a favor para generar marcos
más flexibles y eficientes aprovechando el dinamismo estructural
con el que cuentan este tipo de compañías.
De esta manera se pretende identificar el estado actual en
ciberseguridad en Pymes colombianas y sus problemáticas. Los
objetivos específicos planteados son:
- Analizar entre los diversos modelos de madurez en seguridad de
la información existentes para Pymes y elegir el que se va a
utilizar.
- Establecer el nivel de madurez en ciberseguridad para Pymes
colombianas.
- Determinar, dentro de las empresas encuestadas, qué porcentaje
han adoptado un SGSI.
- Identificar qué tendencias existen dentro de la muestra
seleccionada.
- Dar lineamientos que puedan ayudar a solucionar las
problemáticas encontradas.
1. La Ciberseguridad En Las Mipymes: Un Urgente Tema De Investigación
En el país se han realizado algunos trabajos relacionados con
seguridad informática, seguridad de la información y ciberseguridad,
pero ninguno de estos esfuerzos ha sido enfocado hacia las MiPymes.
Anualmente la revista de sistemas de la ACIS (Asociación Colombiana
de Ingenieros de Sistemas) publica los resultados de su Encuesta
Nacional de Seguridad Informática(Almanza, 2015). En esta encuesta
participan todo tipo de empresas y se entregan unos resultados
generales.
A nivel académico no se encuentran investigaciones sobre el tema
enfocadas al contexto colombiano, por lo que la presente
investigación toma importancia, puesto que se realizará una medición
de madurez en ciberseguridad sobre MiPymes colombianas.
1.1 Identificación del problema
Debido a su reducido tamaño, las MiPymes enfrentan dificultades para
desenvolverse en diversas áreas(Rodríguez, 2013). Su limitado
presupuesto hace que solo se atiendan las prioridades directamente
relacionadas con su misión, descuidando otras áreas que son
importantes y afectando su competitividad. Dentro de esos aspectos
rezagados se encuentra la ciberseguridad.
Algunas empresas y en especial las MiPymes, consideran que la
ciberseguridad representa un gasto que no entrega beneficios
palpables(Yeboah-Boateng, 2013). Esta percepción permite a los
delincuentes informáticos sacar provecho de la situación. Las
MiPymes se han convertido en la entrada a empresas más grandes dado
que son la parte más débil de la cadena de suministro(Boyson, 2014).
Dentro de las empresas que tienen iniciativas de ciberseguridad, se
ha encontrado que estos sistemas implementados no las protege
realmente y son producto de la presión de proveedores y clientes
por asegurar la información de la empresa(Yeboah-Boateng, 2013).
Igualmente el número de Pymes o MiPymes que poseen algún tipo de
sistema de ciberseguridad certificado es reducido, probablemente
La Ciberseguridad En Las MiPymes: Un Urgente Tema De
Investigación
11
debido a la complejidad de implementarlo y a sus costos
asociados(Mangin, Barafort, Heymans, & Dubois, 2012).
Justificado en su falta de presupuesto, no se contrata personal
especializado en temas de ciberseguridad (Kimwele, Mwangi, & Kimani,
2010). Al no tener personal calificado, la implementación de
estándares y prácticas se vuelve demasiado compleja y costosa. Se
ha encontrado que hay carencia de modelos y guías prácticas que
ayuden a las MiPymes a implementar iniciativas de seguridad.
1.2 Diseño de la investigación
Como la meta es poder recopilar datos dada la escaza información
existente en el país, se ha diseñado una investigación cuantitativa
no experimental, transversal de carácter exploratoria(Sampieri,
2010)tal como se muestra en la figura 1-1.
Figura 1-1: Diseño de la investigación
Se ha propuesto como objetivo recopilar información sobre cómo las
empresas han adoptado prácticas y estrategias de ciberseguridad,
así como sus actitudes hacia esta, sin interferir o manipular las
variables definidas, es decir no experimental. Por otra parte, el
estudio se realizó de manera transversal, pues temporalmente se
evaluaron las empresas una única vez y se define un estudio de tipo
exploratorio. Esto último se considera lo más adecuado teniendo en
No experimental
Transversal Exploratorio
12 Medición de madurez de CiberSeguridad en MiPymes
colombianas
cuenta que actualmente no existe mucha información sobre el tema
elegido.
Dentro de la ciberseguridad se han identificado diversos factores
que pueden influir en cómo las MiPymes están haciendo frente a los
desafíos encontrados. Dentro de las aproximaciones que se dan al
problema se encuentran problemas técnicos, humanos,
organizacionales, solo por mencionar algunos. El presente estudio
pretender entregar una visión holística de la ciberseguridad en
MiPymes colombianas, en donde estos resultados sirvan como base para
realizar estudios futuros y para entregar lineamientos y estrategias
encaminadas a fortalecer y mejorar las prácticas en ciberseguridad
de este sector empresarial.
La recopilación de la información se hizo por medio de encuestas.
La población objetivo son las MiPymes colombianas, según la
definición entregada por la Ley 905 de 2004. Sin embargo, como se
mencionó anteriormente no es posible determinar el número total de
MiPymes en el país con exactitud. Por esta razón se realiza un
muestreo por conveniencia.
La investigación se ha desarrollado en las etapas que se muestran
en la figura 1-2.
Figura 1-2: Etapas de la medición de madurez
•Ciberseguridad en MiPymes
•Modelos de Madurez
Revisión del estado del arte
•Revisión de modelos
•Definición del modelo a utilizar
Elección del modelo de madurez
•Diseño del instrumento
•Validación
Creación del instrumento de medición de madurez
•Aplicación de cuestionariosRecopilación de la
información
•Identificación de problemáticasAnálisis de resultados
•Pasos a SeguirConclusiones y
recomendaciones
La Ciberseguridad En Las MiPymes: Un Urgente Tema De
Investigación
13
1.3 Método de estudio de similitud entre modelos y estándares (MSSS)
Para la selección del modelo de madurez, bajo el cual se realizó la
medición de las MiPymes colombianas, se utilizó el Método de Estudio
de Similitud entre Modelos y Estándares (MSSS)(Calvo-Manzano,
Cuevas, Muñoz, & Feliu, 2008). Este método ha sido diseñado para
facilitar la comparación entre diversos modelos y estándares de la
industria.
El método fue propuesto por La Cátedra de Mejora de Procesos Software
en el Espacio Iberoamericano (MPSEI) de la Universidad Politécnica
de Madrid (UPM) y ha sido validado por varios autores en diversos
campos(Calvo-Manzano, Cuevas, Muñoz, & Feliú, 2008; G. Hurtado,
2010; G. G. Hurtado, 2010). Este método surge de la recopilación y
análisis de varios estudios en donde se realiza la evaluación de
modelos y estándares.
El MSSS establece siete fases de análisis:
1. Identificación potencial de modelos y estándares a analizar 2. Selección o definición del modelo referencia 3. Selección del proceso (o procesos) que serán analizados 4. Establecimiento del nivel de detalle 5. Creación de la plantilla de comparación 6. Identificación de las similitudes entre modelos 7. Presentación de los resultados
En la figura 1-3 se muestra la adaptación del modelo utilizado para
esta tesis.
Figura 1-3: Método de Estudio de Similitud entre Modelos y
Estándares (Calvo-Manzano, Cuevas, Muñoz, & Feliu, 2008), adaptación
utilizada para el estudio.
1. Definir los criterios de selección de los modelos. Realizar selección preliminar.
2. Seleccionar los modelos a comparar. Establecer enfoque.
3. Definir aspectos a analizar de cada uno de los modelos. Definir alcance.
4. Definir nivel de detalle. Analizar la información.
5. Crear plantilla de comparación.
6. Identificar similitud y diferencias entre los modelos.
7. Presentar informaciòn y resultado del análisis
14 Medición de madurez de CiberSeguridad en MiPymes
colombianas
1.4 La construcción de un instrumento de medición de madurez
La elaboración del instrumento de medición se realiza siguiendo la
guía metodológica propuesta por Zapata y Canet (Zapata & Canet,
2008), basada en el paradigma de Churchill(Churchill Jr., 1979).
Esta guía se compone de 11 pasos que permiten construir un
instrumento que cumpla con las necesidades del estudio.
Figura 1-4: Guía metodológica para la construcción del instrumento
de medición. Tomado de Zapata & Canet (2008)
Inicialmente debe identificarse el dominio de los constructos o
variables, las cuales deben tener un respaldo bibliográfico producto
de la revisión de la literatura existente. A partir de estos
constructos se definen los ítems y la escala de medida, los cuales
pueden ser tomados de la literatura revisada o pueden originarse de
la experiencia y criterio propio del investigador.
Una vez finalizados los pasos anteriores se genera una versión
preliminar del cuestionario, el cual es aplicado en una prueba
piloto. Dentro de esta prueba piloto se analiza la validez de
contenido que permite depurar el instrumento para el objetivo
propuesto. En este pilotaje pueden usarse técnicas como la
evaluación individual por especialistas, la técnica Delphi entre
otras. Para el presente estudio se realizará una evaluación de
especialistas.
1.Especificación del Constructo
2.Definición de las dimensiones
3.Selección de los ítems
4.Validez de contenido
5.Aplicación del cuestionario
6.Ajuste a la escala
7.Prueba Piloto8.Diseño de la
Población y Muestra
9.Diseño del Diagrama de
Path
10.Fiabilidad y Validez de Constructo
11.Ajuste final de la Escala
La Ciberseguridad En Las MiPymes: Un Urgente Tema De
Investigación
15
Realizando la prueba de validez de contenido, se procede a
seleccionar la población y muestra a utilizar. Posteriormente se
realiza una prueba piloto con un grupo reducido de integrantes de
la muestra seleccionada, con el fin de depurar el contenido y
estructuración del cuestionario.
Después de realizar los ajustes necesarios, se aplica el instrumento
y se recolectan los datos. Estos datos se utilizarán para evaluar
el instrumento por medio de herramientas estadísticas. Con base en
estos resultados se realizan las depuraciones finales.
2. Estado Del Arte
En este capítulo se presentan los resultados de las investigaciones
en seguridad de la información y ciberseguridad. Adicionalmente se
complementa esta búsqueda con la ciberseguridad en las MiPymes.
2.1 Seguridad de la Información y Ciberseguridad
Los términos ciberseguridad y seguridad de la información han sido
utilizados como sinónimos. Se muestran algunas definiciones
encontradas en la literatura académica.
Para Lin & Goodman (2007)la ciberseguridad se refiere a todos los
asuntos relacionados con diversos ciberataques y al diseño de
estrategias para preservar la confidencialidad, integridad y
disponibilidad de la tecnología y de la información digital.
La UIT (Unión Internacional de Telecomunicaciones) define en su
recomendación UIT–T X.1205(Unión Internacional de
Telecomunicaciones, 2008) a la ciberseguridad como:
Ciberseguridad: el conjunto de herramientas, políticas,
conceptos de seguridad, salvaguardas de seguridad,
directrices, métodos de gestión de riesgos, acciones,
formación, prácticas idóneas, seguros y tecnologías que pueden
utilizarse para proteger los activos de la organización y los
usuarios en el ciberentorno. Los activos de la organización y
los usuarios son los dispositivos informáticos conectados, los
usuarios, los servicios/aplicaciones, los sistemas de
comunicaciones, las comunicaciones multimedios, y la totalidad
de la información transmitida y/o almacenada en el
ciberentorno. La ciberseguridad garantiza que se alcancen y
mantengan las propiedades de seguridad de los activos de la
organización y los usuarios contra los riesgos de seguridad
correspondientes en el ciberentorno. Las propiedades de
seguridad incluyen una o más de las siguientes:
• Disponibilidad;
• Integridad, que puede incluir la autenticidad y el no
repudio;
• Confidencialidad. (P.3)
Estado Del Arte 17
En Colombia el documento Conpes 3701 define la ciberseguridad como
la “capacidad del Estado para minimizar el nivel de riesgo
al que están expuestos sus ciudadanos, ante amenazas o
incidentes de naturaleza cibernética”(Consejo Nacional de Política
Económica y Social, 2011). Este Conpes define la estrategia nacional
de ciberseguridad para proteger al Estado colombiano ante amenazas
cibernéticas. Aunque el documento tiene una definición totalmente
diferente de ciberseguridad, a lo largo de este se tratan los
términos seguridad de la información y ciberseguridad como
sinónimos.
Por otra parte la norma ISO/IEC 27000:2014 define a la seguridad de
la información como la preservación de la confidencialidad,
integridad y disponibilidad de la información (International
Organization for Standardization, 2014).
Algunos autores consideran un error tratar los términos
ciberseguridad y seguridad de la información como sinónimos(Fojón &
Sanz Villalba, 2010). Sin embargo las diferencias entre los dos son
mínimas(R. von Solms & van Niekerk, 2013). Esta delgada línea que
los separa se debe a que las prácticas definidas para asegurar la
información son aplicables como elementos de las estrategias de
ciberseguridad. Así estas prácticas se hayan originado para proteger
a la información, su aplicación va más allá y permite proteger los
activos del ciberentorno.
Para ayudar a una mejor comprensión del cuestionario, se utiliza el
término seguridad de la información, dado que es un término con el
que se encuentran más familiarizados los empresarios y encargados
de temas de ciberseguridad en las empresas en Colombia.
Finalmente se tratarán los términos como sinónimos debido a su
similitud latente, evidenciada en las definiciones expuestas. Se
observa en diversos contextos, la definición de controles de
ciberseguridad que utilizan controles de seguridad de la
información, como el programa Cyber Essentials2 o los 20 controles
críticos del SANS 3 . Las practicas Ciber Esenciales (Cyber
Essentials) se diseñaron para proporcionar una guía práctica para
los negocios del Reino Unido y tiene su origen en la norma ISO/IEC
27001:2013, norma pilar de la seguridad de la información. Los
controles críticos del SANS definen, como su nombre lo indica,
controles esenciales de ciberseguridad cuyo objetivo es proteger la
seguridad de la información. El listado de ejemplos en donde se
solapan los dos términos es extenso y no se mencionarán todos puesto
que no es objetivo del presente trabajo profundizar en esta
discusión.
2 http://www.cyberessentials.org/ 3 https://www.sans.org/critical-security-controls/
18 Medición de madurez de CiberSeguridad en MiPymes
colombianas
2.2 Sistema de Gestión de Seguridad de la Información
Un sistema de gestión es un grupo de elementos que interactúan en
una organización con el fin de establecer políticas, objetivos y
procesos que permitan alcanzar dichos objetivos(International
Organization for Standardization, 2014). Un Sistema de Gestión de
Seguridad de la Información (SGSI) permite a las empresas abordar
de manera organizada los objetivos que dan origen a iniciativas en
seguridad de la información. La implementación de un SGSI permite a
las empresas realizar una gestión apropiada de la seguridad.
Los requerimientos para la implementación de un SGSI están definidos
por la norma ISO/IEC 27001:2013. Esta norma comparte con la mayoría
de estándares de la ISO, una estructura basada en el ciclo PHVA
(Planear, Hacer, Verificar, Actuar)(Johnson, 2002).
La norma es aceptada y utilizada a nivel mundial como base de la
gestión de seguridad de la información en empresas. Se compone
principalmente de dos partes: los requerimientos para el
establecimiento de un SGSI y los controles a aplicar.
En la figura 2-1, puede verse cómo la primera parte de la norma se
relaciona con el ciclo PHVA.
Figura 2-1: Ciclo PHVA y su relación con los capítulos de la norma
NTC-ISO-IEC 27001:2013
La norma define 114 controles agrupados en 14 dominios de seguridad.
Cada dominio define un área que debe contemplarse a la hora de
establecer un SGSI.
Cada uno de los controles definidos en el anexo A de la norma hace
referencia a un objetivo relacionado con los dominios presentados
en la Figura 2-2.
PLANEAR -4.Contexto, 5.Liderazgo,
6.Planificación, 7.Soporte
HACER -8.Operación
VERIFICAR -9.Evaluación de
desempeño
ACTUAR -10.Mejora
Estado Del Arte 19
Figura 2-2: Dominios de la norma NTC-ISO-IEC 27001:2013
La norma NTC-ISO-IEC 27001:2013 es certificable por una entidad
externa que valida que la organización haya establecido un SGSI
conforme a los requerimientos de la misma. Esta norma estandariza
la seguridad de la información. Sin embargo, esta no constituye una
guía paso a paso para la implementación de un SGSI ni de los
controles allí definidos.
2.3 Ciberseguridad en MiPymes
Los temas de ciberseguridad para MiPymes no han sido explorados en
el volumen que se esperaría para un área de tal relevancia. Existen
varias aproximaciones que se han enfocado en identificar las
problemáticas en MiPymes(Cholez & Girard, 2014; Kett, Kasper,
Falkner, & Weisbecker, 2012; Laleh, Masoudi, Fathy, & Ghorbani,
2013; San-José, Borge, Alonso, Pérez, & Rodríguez, 2012; Yeniman
Yildirim, Akalp, Aytac, & Bayram, 2011). Dentro de estas
problemáticas se destacan la falsa sensación de seguridad, la baja
inversión y la falta de personal especializado en el tema.
Con el fin de apoyar a las empresas en la identificación de los
problemas que puedan presentarse en ciberseguridad existe la gestión
de riesgos. Se conoce como riesgo a nivel de Ciberseguridad como la
posibilidad de sufrir pérdida o daño(Richard a Caralli, Allen,
Curtis, White, & Young, 2010). También se define como la
probabilidad de que una amenaza explote una
vulnerabilidad(International Organization for Standardization,
A.5 Políticas de la seguridad de la
información
A.6 Organización de la seguridad de la
información
A.7 Seguridad de los recursos humanos
A.8 Gestión de activos
A.9 Control de acceso A. 10 CriptografíaA.11 Seguridad física y
del entornoA.12 Seguridad de las
operaciones
A.13 Seguridad de las comunicaciones
A.14 Adquisición, desarrollo y
mantenimiento de sistemas
A.15 Relaciones con los proveedores
A.16 Gestión de incidentes de seguridad
de la información
A.17 Aspectos de seguridad de la
información de la gestión de continuidad
de negocio
A.18 Cumplimiento
20 Medición de madurez de CiberSeguridad en MiPymes
colombianas
2008b). La gestión de riesgos tiene como objetivo identificar,
analizar y mitigar los riesgos que puedan afectar a los activos de
información de la empresa(Richard a Caralli et al., 2010).
La gestión de riesgos puede resultar compleja para las empresas de
pequeño tamaño, por lo que han surgido algunas metodologías de apoyo
que simplifican esta gestión (Beachboard et al., 2008; RA Caralli,
Stevens, Young, & Wilson, 2007; European Network and Information
Security Agency, 2006; Hutchinson, Armitt, & Edwards-lear, 2014; a
Santos-Olmo & Sánchez, 2012). Cada una de estas metodologías tiene
sus fortalezas y debilidades, pero no es objetivo del estudio actual
detallar, analizar o comparar dichas metodologías.
Algunas soluciones se han propuesto a manera de modelos o marcos de
referencia enfocados a la Pymes. Estos marcos han sido generados
por organizaciones (Information Systems Security Association,
2011), grupos de investigación con apoyo gubernamental(Henson,
Dresner, & Booth, 2011)o grupos de investigación o investigadores
de manera independiente (Sánchez, 2009; Tawileh, Hilton, & McIntosh,
2007).
Finalmente existen dos tendencias que han tomado fuerza en la última
década. La primera es la protección de la información en la nube.
Se sabe que las soluciones en la nube han permitido que las Pymes
puedan tener acceso y aprovechar la tecnología de una mejor
manera(Sultan, 2011). En esta línea se tienen algunos artículos que
han abordado el tema de la seguridad en la nube y proponen algunas
soluciones(Kourik, 2011; Sangani & Vithani, 2012). La segunda
tendencia se relaciona con la cultura en seguridad de la
información. La cultura en ciberseguridad se conoce como las
percepciones, actitudes y suposiciones que son aceptadas y
estimuladas en una organización(Martins & Elofe, 2002).En esta área
se han realizado algunos estudios que muestran algunas de las
falencias de las Pymes en este aspecto(Dojkovski, Lichtenstein, &
Warren, 2007; Isomäki & Bilozerov, 2011, 2012; Lopes & Oliveira,
2014).
2.4 Modelos de Madurez
Actualmente existen diversos modelos de madurez relacionados con la
ciberseguridad. Los modelos de madurez permiten establecer qué
medidas ha implementado una empresa y con qué rigurosidad se ha
realizado dicha implementación. Woodhouse (2008) muestra un resumen
de dichos modelos hasta ese momento. En la tabla 2-1 se muestra un
resumen de dichos modelos y se incluyen algunos que no fueron
contemplados por Woodhouse en su artículo como lo son los modelos
MGSM-PYME, IASME, CRP, dado que a la fecha no existían.
Estado Del Arte 21
Tabla 2-1: Modelos de madurez consultados. Adaptado de
Woodhouse(2008)
MODELO DESCRIPCIÓN
NIST CSEAT IT Security
Maturity Model
Modelo enfocado a la documentación como
base principal de un esquema de
ciberseguridad. Se enfoca en la definición
y posterior implementación y medición de
lo definido en documentos(Lessing, 2008).
Citigroup´s
Information Security
Evaluation
Este estándar se realizó con base en la
documentación de los estándares y
publicaciones especiales de procesamiento
de información federal del gobierno de los
Estados Unidos(Lessing, 2008).
COBIT Maturity Model El modelo se basa en 17 objetivos de
control relacionado con cada uno de los
dominios definidos por CobiT para el
gobierno TI, dentro de los cuales se
encuentra la seguridad de la
información(Tanuwijaya & Sarno, 2010).
ISO/IEC 21827 /SSE-CMM En esta norma ISO se define un modelo de
madurez y capacidad para la seguridad de
sistemas(International Organization for
Standardization, 2008a).
CERT/CSO Define niveles de madurez relacionados con
la documentación(Woodhouse, 2008).
O-ISM3 Modelo diseñado con el fin de establecer
capacidad y madurez en tres grandes áreas:
gestión de riesgos, controles y gestión de
la seguridad(The Open Group, 2014).
Information Security
Capability Model
(ISPMG)
Este modelo mide el nivel de conciencia en
ciberseguridad de una empresa(Woodhouse,
2008).
Security Capability
Model (SMM)
Modelo que tiene una visión holística en
donde no solo se tiene en cuenta los
aspectos tecnológicos sino los
relacionados con la organización, gestión
y cultura de la empresa(Woodhouse, 2008).
MGSM-PYME Modelo de madurez diseñado
específicamente para Pymes y en donde se
mide la madurez de la implementación de un
SGSI(Sánchez, 2009).
IASME Modelo generado para medir el nivel de
implementación del estándar IASME del
Reino Unido(Henson et al., 2011).
CRP -HENRI TUDOR Modelo de madurez generado para medir los
avances relacionados con la investigación
realizada por el instituto Henri Tudor en
Luxemburgo, cuyo objetivo es apoyar a las
MiPymes en temas de ciberseguridad(Cholez
& Girard, 2014).
22 Medición de madurez de CiberSeguridad en MiPymes
colombianas
2.5 Estándares de Ciberseguridad Enfocados a MiPymes
Se conoce como estándar los documentos que proporcionan
especificaciones o características que aseguren que los procesos o
servicios se desarrollaron de manera adecuada para cumplir con su
finalidad4. En la sección 2.2 se presentó el estándar más utilizado
en seguridad de la información. Sin embargo, existen un par de
estándares desarrollados específicamente para MiPymes: IASME e ISSA-
UK 5173.
2.5.1 IASME
IASME (Information Assurance for Small and Medium Sized Enterprises)
es un estándar creado por el IASME Consortium. Este consorcio está
constituido por un ente académico (Universidad de Worcester),
consultores privados en ciberseguridad y una asociación de
profesionales de TI (National Computing Centre). Fue creado para
apoyar a las Pymes del condado de West Midlands en Inglaterra. Su
finalidad es apoyar el desarrollo de iniciativas de seguridad de la
información al alcance de dichas empresas(Henson et al., 2011).
El estándar se originó inicialmente como una investigación realizada
sobre las prácticas que poseen las Pymes de Midlands en cuanto a
seguridad de la información(Henson & Booth, 2010). Después de
analizar dicha información, se propuso el primer borrador del
estándar IASME y este se puso a prueba, con varias interacciones
con diversas Pymes. Actualmente el uso del IASME se ha extendido al
Reino Unido. Adicionalmente este estándar es certificable y dicha
certificación se ha convertido en requisito para participar en
negocios con empresas estatales en este país.
En la tabla 2-2 se muestran las áreas que define IASME, las cuales
se conocen como los factores de seguridad del negocio (Business
Security Factors)(The IASME Consortium, 2015).
Tabla 2-2: Factores de Seguridad del Negocio – IASME Standard v.
3.0-2015
Factor Definición
Organización
Gestionar los recursos de información
dentro de la organización y las relaciones
de la organización con aliados.
4 Esta definición es la utilizada por la ISO (International Standard
Organization), reconocida entidad de estandarización a nivel mundial.
Estado Del Arte 23
Factor Definición
Riesgo
Entender y gestionar el riesgo al que está
expuesta la información del negocio.
Políticas y
cumplimiento
Establecer los requerimientos regulatorios
y legales, dirección de la gerencia y las
comunicaciones. Conocer qué se requiere y
monitorear su cumplimiento.
Activos Conocer el valor de los activos de
información. Adquirir y disponer de manera
segura dichos activos.
Planeación Construir seguridad y privacidad desde el
inicio, asegurándose que se tienen los
sistemas de información adecuados.
Acceso Controlar quiénes y a qué pueden acceder
de la información del negocio.
Personas Conocer a los empleados y educarlos en
seguridad del negocio.
Física y ambiental Proteger los activos de información de
daños físicos y ambientales.
Disrupción Defender la información de la empresa de
ataques hostiles y preparar a la empresa
para recuperarse de los efectos de dichos
ataques.
Operaciones Gestionar y monitorear los sistemas de
información efectivamente.
Gestión de incidentes Asegurar que las violaciones de
confidencialidad, integridad y
disponibilidad de los sistemas de la
empresa sean detectados y gestionados,
aprendiendo las lecciones en cada caso.
Continuidad Asegurarse de que la empresa puede
recuperarse rápidamente de la pérdida
total o parcial de activos clave de
información
Cada una de las áreas de éste estándar tiene unos objetivos y
prácticas específicas. Los objetivos pueden ser revisados por
autoevaluaciones o por un consultor externo, quien define si la
empresa cumple con los requisitos para certificarse en el estándar.
Dentro de la evaluación, IASME define unos niveles de madurez, los
cuales se presentan en la tabla 2-3.
Tabla 2-3: Niveles de madurez del estándar IASME
Nivel Nombre Descripción
0 Inicial Muy poca o ninguna evidencia disponible del
control de seguridad.
1 Mínimo Alguna evidencia del control, pero muy poca o
ninguna documentación disponible.
24 Medición de madurez de CiberSeguridad en MiPymes
colombianas
2 En uso El control está en uso, parcialmente
documentado y con alguna evidencia de uso
disponible.
3 Gestionado El control está en uso, completamente
documentado y algunas métricas se recolectan,
pero no son totalmente explotadas.
4 Controlado El control es gestionado, completamente
monitoreado y las métricas son utilizadas
para mejorar la seguridad.
5 Optimizado El control es gestionado y lleva a una gestión
optimizada de la seguridad y ayuda en los
pronósticos del negocio.
2.5.2 ISSA-UK 5173
El estándar ISSA-UK 5173 fue realizado por un grupo de trabajo de
la ISSA (Information Systems Security Association) en su capítulo
del Reino Unido. La ISSA (Asociación de Seguridad en Sistemas de
Información) es una entidad internacional sin ánimo de lucro
dedicada a conectar a los diversos profesionales en ciberseguridad
a nivel mundial5. El objetivo de este estándar es establecer los
lineamientos de apoyo, para que así las empresas enmarcadas como
Pymes puedan implementar controles. También tiene como objetivo
servir como referencia para el aseguramiento de la información de
la empresa(Information Systems Security Association, 2011).
Este estándar define unas áreas prioritarias dependiendo del número
de empleados de la empresa. Aunque existen varias definiciones de
Pyme a nivel mundial, en el ISSA-UK 5173 se indica que el dato más
relevante, desde la perspectiva de seguridad, es la cantidad de
empleados(Information Systems Security Association, 2011).
El ISSA-UK 5173 agrupa los controles de la siguiente manera:
Medidas básicas de seguridad: Estos son los controles base que
todas las empresas (micro, pequeña y mediana) deben tener en
cuenta. Se compone de 4 grupos de controles:
o Compromiso del Propietario o Gerente
o Entendimiento de las obligaciones
o Entendimiento de los riesgos de seguridad
o Contramedidas esenciales de seguridad
Régimen de seguridad definido: Son medidas adicionales para
las empresas pequeñas y medianas con el fin de asegurar la
5 Para mayor información acerca de la ISSA visitar la página
http://www.issa.org/.
Estado Del Arte 25
efectividad de las medidas de seguridad adoptadas. Se compone
de los siguientes grupos de controles:
o Reglas de seguridad
o Responsabilidades de seguridad
o Plan de supervivencia a desastres
o Vigilancia en seguridad
Sistema de seguridad gestionado: Los controles bajo esta
categoría agregan medidas adicionales para las empresas
medianas con el fin de realizar mediciones de seguimiento y
monitoreo y gestión efectivas. Se compone de los siguientes
grupos de controles:
o Políticas y procedimientos
o Sistema de gestión
o Tecnologías de seguridad
o Educación en seguridad
3. Análisis y Elección del Modelo de Madurez
El propósito de utilizar un modelo de madurez es el de poder, no
solo establecer qué capacidades tiene una empresa en cuanto a
ciberseguridad, sino además identificar qué desarrollo tiene ésta
en las áreas evaluadas, debido a que esto puede influir finalmente
en la efectividad de las medidas adoptadas6.
Para la evaluación de los modelos de madurez se utilizará el Método
de Estudio de Similitud entre Modelos y Estándares MSSS (Calvo-
Manzano, Cuevas, Muñoz, & Feliu, 2008). En la tabla 3-1 se muestra
cada una de las etapas definidas en el método y su respectivo
desarrollo.
Tabla 3-1: Desarrollo de cada una de las etapas del MSSS
ETAPA DESCRIPCIÓN
1. Definir los criterios de
selección de los modelos.
Realizar selección
preliminar.
Se establecen los criterios
deseables en el modelo de
madurez necesario para la
investigación:
a. El modelo debe ser diseñado para evaluar seguridad de
la información.
b. Debe tener una visión
holística de seguridad de
la información (personas,
tecnologías, procesos,
gobierno).
2. Seleccionar los modelos a
comparar. Establecer
enfoque.
En la tabla 3-2 se muestra el
comparativo de los modelos
analizados para esta
investigación
6 Para este estudio se toman las definiciones de madurez y capacidad
establecidos en el Modelo eSCM (Hefley & Loesche, 2010)
Análisis y Elección del Modelo de Madurez 27
ETAPA DESCRIPCIÓN
3. Definir aspectos a
analizar de cada uno de
los modelos. Definir
alcance.
Se han evaluado los siguientes
aspectos, basado en lo
encontrado en la literatura,
como características deseables
en un modelo dirigido a MiPymes:
a. Numero de niveles: Se ha
dado prioridad a los que
posean menos niveles. Esto
puede hacer que su
entendimiento y evaluación
sea más fácil para las
MiPymes(Enrique, Crespo, &
Politécnica, 2007).
b. Complejidad para su
medición: Que el paso de un
nivel a otro sea lo
suficientemente claro y
permita evaluar
intenciones e iniciativas
consideradas como
preliminares en otros
modelos más robustos
dirigidos a grandes
empresas.(Cholez & Girard,
2014).
c. Definición de niveles
primarios: Que los niveles
primarios midan algunas
intenciones y
posturas(Cholez & Girard,
2014).
d. Orientación hacia Pymes:
Que el modelo haya sido
desarrollado especialmente
para Pymes(A. Santos-Olmo,
Sánchez, Fernández-Medina,
& Piattini, 2011).
e. Se han evaluado las
ventajas y desventajas
principales.
Se han tenido en cuenta los
modelos que cumplan con estas
características
específicamente.
4. Definir nivel de detalle.
Analizar la información.
Con base en lo expuesto en la
Tabla 3-2, se han analizado los
28 Medición de madurez de CiberSeguridad en MiPymes
colombianas
ETAPA DESCRIPCIÓN
datos y se han seleccionado los
siguientes modelos:
I. ISO/IEC 21827 /SSE-CMM
II. O-ISM3
III. MGSM-PYME
IV. IASME
V. CRP -HENRI TUDOR
5. Crear plantilla de
comparación.
Para organizar la información se
ha realizado una tabla con los
siguientes campos:
a) Modelo de madurez
b) Numero de niveles
c) Factor de evaluación de los niveles
d) Niveles primarios
e) Orientación hacia pymes f) + ventajas y – desventajas
6. Identificar similitud y
diferencias entre los
modelos.
7. Presentar información y
resultado del análisis
Se presentan los resultados en
la tabla 3-3
Tabla 3-2: Modelos de madurez consultados (Woodhouse, 2008)
MODELO NIVELES COMENTARIOS ¿CUMPLE
CON LOS
CRITERIOS
?
NIST CSEAT
IT Security
Maturity
Model
1. Política 2. Procedimiento 3. Implementación 4. Pruebas 5. Integración
Enfocado en los niveles
de documentación.
NO
Citigroup´s
Information
Security
Evaluation
1. Complacencia 2. Reconocimiento 3. Integración 4. Práctica común 5. Mejora continua
Enfocado a conciencia en
seguridad únicamente
NO
COBIT
Maturity
Model
0. No existente 1. Inicial/ad-hoc
Modelo enfocado al
Gobierno corporativo.
NO
Análisis y Elección del Modelo de Madurez 29
2. Repetible pero
intuitivo
3. Proceso definido 4. Gestionado y
medible
5. Optimizado
Auditoría de
procedimientos. Los
niveles limitan el
alcance y uso del modelo.
ISO/IEC
21827 /SSE-
CMM
0. No realizado 1. Realizado
inicialmente
2. Planeado y
monitoreado
3. Bien definido 4. Controlado
cualitativamente
5. Mejorando continuamente
22 áreas de proceso, 11
de ingeniería y 11
dedicadas a proyectos y
gestión.
Enfocado a desarrollo
seguro de software.
SI
CERT/CSO 1. Inicial 2. Evolucionando 3. Establecido 4. Gestionado
Enfocado a calidad
relacionada a los niveles
de documentación. No
abarca todas las áreas
necesarias.
NO
O-ISM3 1. Indefinido 2. Definido 3. Gestionado 4. Controlado 5. Optimizado
Gestión de seguridad de
la información, gestión
de riesgos e integración
de procesos. Es uno de
los modelos más completos
y mejor definidos.
SI
Information
Security
Capability
Model
(ISPMG)
1. Uncertainty 2. Awakening 3. Enlightenment 4. Wisdom
Enfocado en la conciencia
en seguridad
NO
Security
Capability
Model (SMM)
0. Blind trusting 1. Ad hoc tries 2. Policy 3. Evolutionary
Incluye tecnología,
organización, cultura
corporativa, activos
NO
MGSM-PYME Nivel 1
Nivel 2
Nivel 3
Modelo diseñado
específicamente para
Pymes
SI
IASME 0. Inicial 1. Mínimo 2. En uso 3. Gestionado 4. Controlado 5. Optimizado
Modelo especial para
Pymes
SI
CRP -HENRI
TUDOR
Nivel 0
Nivel 1
Nivel 2
Nivel 3
Nivel 4
Desarrollado por el
gobierno de Luxemburgo
para Pymes
SI
30 Medición de madurez de CiberSeguridad en MiPymes
colombianas
Tabla 3-3: Comparación entre modelos de madurez en ciberseguridad
MODELO
DE
MADUREZ
NÚMERO
DE
NIVELES
FACTOR DE
EVALUACIÓN DE LOS
NIVELES
NIVELES
PRIMARIOS
ORIENTACIÓN
HACIA PYMES
+ VENTAJAS Y -
DESVENTAJAS
ISO/IEC
21827
/SSE-
CMM
6 Se debe cumplir
con una práctica
base y esta debe
generar unos
productos de
trabajo definidos
para cada uno de
los niveles dentro
del área de
proceso
correspondiente.
El primer
nivel, el cero
no se define
formalmente,
pero indica un
proceso
incompleto.
Esto indica que
debe al menos
tenerse
establecido un
proceso.
Existe una
brecha muy alta
para que una
Pyme pueda
cumplir al
menos con el
primer nivel,
sobre todo para
las
organizaciones
que no cuentan
con sistemas de
calidad
formalmente
constituidos y
que no tienen
iniciativas
enfocadas a
seguridad de la
información.
No es orientado
hacia Pymes.
Puede ser
adaptado para
el propósito de
este estudio,
sin embargo,
puede ser algo
extenso y
complejo para
lo que se
quiere medir.
+Modelo
completo y muy
bien
estructurado.
-Es un estándar
muy alto para
las Pymes,
sobre todo las
más pequeñas ya
que está
supeditado al
establecimiento
de procesos
formalmente
establecidos.
O-ISM3 5 Para poder pasar
de un nivel a
otro, de acuerdo a
al proceso
definido en el
modelo, se debe
cumplir con unas
métricas
preestablecidas.
El modelo parte de
la base de que la
empresa tiene
procesos bien
definidos o está
encaminada a
hacerlo, lo que
hace que sea
dependiente de que
las compañías
cuenten con un
Sistema de Gestión
de Calidad previo.
Para alcanzar
el primer nivel
debe haberse
implementado
los procesos
establecidos y
documentados.
Es conocido por
lo explorado en
la literatura
que las MiPymes
tienen
inconvenientes
con el solo
hecho de
establecer y
documentar un
proceso. Se
quieren evaluar
otros aspectos
previos a la
implementación
de procesos con
el fin de poder
establecer qué
dificultades
pueden
encontrarse las
Pymes en este
camino.
El modelo no es
orientado a
Pymes. Sin
embargo, posee
una relación de
bajo, medio y
alto costo y su
relación con el
Retorno a la
Inversión. El
modelo de bajo
costo podría
ser utilizado
para las Pymes
ya que se
compone
únicamente de 9
procesos.
+ Modelo muy
completo y
estructurado.
-Muy compleja
su
implementación
en Pymes
Análisis y Elección del Modelo de Madurez 31
MODELO
DE
MADUREZ
NÚMERO
DE
NIVELES
FACTOR DE
EVALUACIÓN DE LOS
NIVELES
NIVELES
PRIMARIOS
ORIENTACIÓN
HACIA PYMES
+ VENTAJAS Y -
DESVENTAJAS
MGSM-
PYME
3 Se pasa de un
nivel a otro
dependiendo del
número de
controles
implementados. Los
controles están
divididos a su vez
en subcontroles
tomados de la
norma ISO/IEC
27001:2005.
Para llegar al
primer nivel se
debe hacer la
implementación
de 29 controles
y 153
subcontroles
El modelo es
orientado a
Pymes.
-Modelo
desactualizado.
-La gran
cantidad de
controles que
involucra lo
puede hacer
complejo para
las MiPymes.
IASME 6 El nivel de
madurez se define
individualmente
sobre cada
control.
Los primeros
niveles llevan
a medir
detalladamente
desde que la
organización no
posee nada,
hasta la
recolección y
documentación
de evidencias.
Se considera
adecuado ya que
esta escala
puede medir los
problemas que
puedan
presentar las
MiPymes al
iniciar a
implementar
ciberseguridad.
Modelo
utilizado para
evaluar
empresas que
quieren
certificarse en
el estándar
IASME, diseñado
específicamente
para las
MiPymes.
+Modelo
diseñado para
MiPymes
+La escala
usada permite
medir las
aproximaciones
iniciales de
las empresas.
-Demasiados
niveles.
CRP -
HENRI
TUDOR
5 Se define una
práctica por cada
área a evaluar la
cual debe
cumplirse para
poder pasar de
nivel.
El nivel 4, el
más alto, es el
equivalente al
nivel 1 del
estándar
ISO/IEC 15504.
Esto permite
que se puedan
medir con mayor
exactitud el
proceso de
adopción de
prácticas de
seguridad en la
empresa.
Modelo creado
específicamente
para Pymes.
-No se tiene la
información
específica del
modelo, aunque
se sabe que
está basado en
los controles
de la ISO/IEC
27001.
Dentro de los modelos evaluados, como se puede observar, se
encuentran varios que son basados en procesos. Si bien son conocidos
los beneficios que los procesos traen y en sí la adopción de un
Sistema de Gestión de Calidad por parte de la empresa, no se desea
que el modelo elegido tenga este enfoque exclusivamente. Existen
dificultades para las MiPymes en la adopción de procesos claramente
definidos, adecuados, útiles y alienados con la estrategia de la
compañía (Garengo & Biazzo, 2013), por lo que no se elegirá un
modelo que tenga un enfoque a procesos únicamente.
32 Medición de madurez de CiberSeguridad en MiPymes
colombianas
Por otra parte, se descarta el MGSM-PYME, pues es complejo para la
medición que se desea realizar. Adicionalmente se encuentra
desactualizado (ISO 27001:2005). Es entendible la complejidad de
este modelo, pues fue diseñado como una herramienta adicional a una
metodología de implementación de un SGSI en MiPymes.
En relación al modelo CRP, se encuentra adecuado y cumple con los
requisitos. Sin embargo, no se encontró información detallada de
este, lo que impide poder generar un instrumento que establezca un
nivel de madurez, como el que se requiere.
Finalmente, el modelo de madurez del estándar IASME cumple con los
requisitos. La limitación de este modelo es la cantidad de niveles
existentes. Se considera que son demasiados niveles. Por esta razón
se elige este modelo, pero se realizarán algunas adaptaciones. Estas
adaptaciones se consideran necesarias, lo que ha facilitado su
aplicación y medición. Cabe resaltar que no se han realizado
modificaciones de forma ni de fondo en este.
Por lo tanto, como el inconveniente encontrado fue la gran cantidad
de niveles, se agruparon los niveles 1 y 2; 4 y 5, del modelo de
madurez del IASME. La relación entre niveles se muestra en la tabla
3-4.
Tabla 3-4: Relación entre los niveles del IASME originales y los
niveles definidos para el estudio
Nivel del IASME Nivel equivalente definido en el estudio Rango
0 0 Inicial
1 1 Bajo
2 1 Bajo
3 2 Medio
4 3 Alto
5 3 Alto
La diferencia entre el nivel 1 y 2 del IASME es la documentación.
Para el IASME el nivel 1 (mínimo) tiene muy poca o ninguna
documentación, mientras que para el nivel 2 (en uso) se tiene
parcialmente documentado. Entonces en el nivel 1 que se utilizará
en el estudio se realizará una fusión de estos dos niveles. Esto
quiere decir que en el nivel 1 se tendrá en cuenta si el control no
tiene documentación o si la tiene de manera parcial.
Respecto al nivel 3 (Gestionado) se mantiene el mismo del IASME.
Finalmente se fusionan los niveles 4 (Controlado) y 5 (Optimizado)
incluyendo en un solo nivel los aspectos definidos para los dos. La
definición de los niveles que se han utilizado se muestra en la
tabla 3-5.
Análisis y Elección del Modelo de Madurez 33
Tabla 3-5: Niveles utilizados para realizar la medición de madurez
en ciberseguridad en MiPymes colombianas
Nivel Nombre Descripción
0 Inicial Muy poca o ninguna evidencia disponible del
control de seguridad.
1 Bajo El control está parcial o completamente en
uso, pero con alguna documentación, muy poca,
ninguna documentación disponible.
2 Medio El control está en uso, completamente
documentado y algunas métricas se recolectan,
pero no son totalmente explotadas.
3 Alto El control es gestionado, completamente
monitoreado y las métricas son utilizadas
para mejorar la seguridad. Puede que apoye en
los pronósticos del negocio
3.1 Organización de las áreas del modelo escogido
Aunque IASME está enfocado a MiPymes, se considera necesario
realizar un ajuste adicional antes de utilizar el estándar para
efectuar la evaluación de las empresas. Es importante comprender
que las Pymes o MiPymes, como se les denomina en Colombia, no pueden
ser observadas como una entidad homogénea, sino que deben entenderse
que son Micro, Pequeñas y Medianas empresas (King, 2013). Con el
fin de evaluar las particularidades de cada una de estas clases de
empresas se emplea el estándar ISSA-UK 5173 (Information Systems
Security Association, 2011).
El estándar ISSA define las áreas prioritarias dependiendo del
tamaño de la empresa, según los autores del estándar, el número de
empleados de la empresa es la consideración más importante a tener
en cuenta, puesto que es la más influyente en la seguridad
(Information Systems Security Association, 2011). Así, el estándar
ISSA-UK 5173, define las áreas prioritarias según el número de
empleados de la empresa, como se define en la figura 3-1.
34 Medición de madurez de CiberSeguridad en MiPymes
colombianas
Figura 3-1: Áreas prioritarias en ciberseguridad, según el tamaño
de la empresa
Estas áreas prioritarias dan origen a tres instrumentos, uno para
micro empresas, otro para pequeñas empresas y otro para la mediana
empresa. De esta forma se relacionan los factores de seguridad del
negocio con cada una de estas áreas, dando como resultado los
factores prioritarios según el tamaño de la empresa. Como los dos
estándares tienen su origen en la norma ISO/IEC 27001, se considera
adecuado presentar en la tabla 3-6 la relación de estos dos
estándares con la norma.
En la columna correspondiente a la ISO/IEC 27001 se identifican las
áreas que corresponden al ciclo PHVA colocando una letra posterior
a cada requisito (P, planear; H, hacer; V, verificar; A, actuar).
Tabla 3-6: Relación entre el estándar ISSA-UK 5173 y la norma ISO/IEC
27001
ISSA-UK 5173 NTC-ISO/IEC 27001:2013 IASME V.3
Compromiso del
Propietario/Gerente Liderazgo-P Organización
Entendimiento de
las obligaciones Cumplimiento Organización
Entendimiento de
los riesgos de
seguridad
Planificación-P
Operación-H
Riesgo
Contramedidas
esenciales de
seguridad
Seguridad De Los
Recursos Humanos
Control De Acceso
Seguridad Física Y
Del Entorno
Seguridad De Las
Operaciones
Activos
Seguridad
física y
ambiental
Acceso
Mediana Empresa
Pequeña Empresa
Microempresas
• Políticas y procedimientos
• Sistema de Gestión
• Tecnologías de seguridad
• Educación
• Reglas
• Responsabilidades
• Plan de supervivencia
• Vigilancia
• Compromiso del Propietario/Gerente
• Entendimiento de las obligaciones
• Entendimiento de los riesgos de seguridad
• Contramedidas esenciales de seguridad
Análisis y Elección del Modelo de Madurez 35
ISSA-UK 5173 NTC-ISO/IEC 27001:2013 IASME V.3
Relaciones Con Los
Proveedores
Gestión De Activos
Reglas Política De La
Seguridad De La
Información
Gestión De Activos
Políticas y
cumplimiento
Responsabilidades Organización De La
Seguridad De La
Información
Organización
Plan de
supervivencia Aspectos De La
Seguridad De La
Información De La
Gestión De
Continuidad De
Negocio
Gestión De
Incidentes
Disrupción
Gestión de
incidentes
Continuidad
Vigilancia Evaluación del
desempeño-V
Operaciones
Políticas y
procedimientos Soporte -P Organización
Sistema de Gestión Mejora-A
Contexto de la
organización-P
Organización
Tecnologías de
seguridad Criptografía.
Seguridad De Las
Comunicaciones
• Adquisición,
Desarrollo Y
Mantenimiento De
Sistemas
Inversiones
Educación Soporte-P Personas
Para complementar la estructura propuesta se agrega un dominio
adicional relacionado con la postura general o cultura de los
encuestados hacia la ciberseguridad. La cultura en ciberseguridad
se conoce como las percepciones, actitudes y suposiciones que son
aceptadas y estimuladas en una organización(Martins & Elofe, 2002).
Este factor cultural y de conciencia es realmente importante, ya
que el factor humano, es decir las personas, junto con sus actitudes
y creencias son causantes de muchos de los incidentes de seguridad
que se presentan (Albrechtsen, 2007). Esta institucionalización de
la seguridad y su importancia toma relevancia desde el 2005(S. von
Solms, 2010).
36 Medición de madurez de CiberSeguridad en MiPymes
colombianas
3.2 Creación del instrumento de medición de madurez
Para realizar la medición de madurez, se utilizó una encuesta. Se
opta por este tipo de instrumento debido a la facilidad de dar un
alcance más amplio y poder llegar a un número mayor de empresas.
El objetivo principal del instrumento es responder fundamentalmente
estas preguntas:
- ¿Qué ha implementado la empresa a nivel de ciberseguridad?
- De lo implementado ¿Qué nivel de madurez tiene?
Para medir la madurez se usó del modelo de madurez adaptado a partir
de los estándares IASME e ISSA-UK 5173. Los dominios de la encuesta
son los dominios del modelo de madurez.
Adicionalmente se evalúa si el dominio aplica y si la persona
encuestada desconoce el tema. Se considera importante incluir estos
aspectos, dado en primer lugar, que algunos controles pueden no
aplicar para la empresa; y en segundo lugar, el desconocimiento
puede dar un indicio sobre problemas de conocimiento de sí mismas
en las MiPymes, factor que por lo investigado puede ser un problema
común en este tipo de empresas.
3.2.1 Población y muestra del estudio.
Inicialmente se definió como unidad de análisis las MiPymes
colombianas de acuerdo a lo establecido por la legislación del país.
Dentro de estas empresas se aplicó el instrumento a las personas
que tuvieran conocimiento y/o responsabilidades de ciberseguridad
dentro de las compañías. Por esta razón, el instrumento fue dirigido
a propietarios, gerentes, representantes legales, directores y en
resumen a cualquier alto mando de la organización, pues estos tienen
una visión global de la empresa. También se incluyó el personal que
tiene tareas directamente relacionadas con ciberseguridad.
Finalmente, se encuestó al personal con labores relacionadas con
tecnología, como responsables de los sistemas de información de la
compañía.
Se opta por realizar un muestreo por conveniencia, en donde se
contactan MiPymes con las cuales ya se tiene una relación de
confianza y a través de estas y contactos profesionales se llega a
más empresas. También se aplica el cuestionario a empresas
participantes o expositores del evento Expo MiPyme Digital 20157.
7 El evento Expo MiPyme Digital es creado por varias compañías privadas con el fin
de convocar empresas que ofrezcan servicios de TIC y soluciones tecnológicas
enfocadas a MiPymes. También se dan charlas, seminarios y conferencias dirigidas
a fortalecer y apoyar el uso de las TICs como apoyo para las MiPymes
Análisis y Elección del Modelo de Madurez 37
Se recogió información por internet y presencialmente. Cabe recordar
que la investigación fue diseñada como no experimental, por lo que
no es posible intervenir en las variables a evaluar, en este caso
la ciberseguridad, pues el hecho de recolectar la información e
indagar sobre el tema no tendrá ningún efecto sobre las prácticas o
controles ya implementados dentro de la empresa(Sampieri, 2010)
En la tabla 3-7 se presentan las dimensiones, y los ítems del
instrumento de medición. Las dimensiones tienen su origen en los
temas prioritarios extraídos del estándar ISSA-UK 5173, recordando
que este se utilizó como una manera de organizar las áreas del IASME
(tabla 3-6).
Para medir cada una de estas dimensiones, se usa la norma ISO/IEC
27001:2013. La columna referencia, hace mención al capítulo o
control referencia para realizar la evaluación. Así por ejemplo 5.
Liderazgo indica el capítulo número de cinco de la norma ISO/IEC
27001:2013. Por otra parte, la letra A se refiere al anexo A de la
norma, el cual específica los controles recomendados.
Tabla 3-7: Dimensiones e ítems del instrumento de medición de
madurez
Tipo de
Empresa
Dimensiones Numero Ítems Referencia
Micro,
pequeña
y
mediana
Compromiso del
Propietario/Gerente
1 El Gerente o
Propietario de la
empresa lidera y apoya
las iniciativas de
seguridad de la
información
compatibles con la
estrategia y misión de
la organización
5. Liderazgo(ICONTEC,
2013)
2 El Gerente o
Propietario de la
empresa asegura que se
tengan los recursos
suficientes para el
desarrollo de las
iniciativas en
seguridad de la
información
5.Liderazgo(ICONTEC,
2013)
Entendimiento de las
obligaciones
3 Se conocen las
obligaciones
contractuales,
legislativas y
regulatorias que
exigen requerimientos
de seguridad de la
información
A.18
Cumplimiento(ICONTEC,
2013)
Entendimiento de los
riesgos de seguridad
4 Se conocen y revisan
periódicamente los
riesgos en seguridad
de la información a
los cuales se está
expuesto
6. Planificación(ICONTEC,
2013)
Contramedidas
esenciales de
seguridad
5 Se tienen procesos de
control del personal
antes de la
contratación, durante
el empleo y después de
A.7. Seguridad de los
recursos humanos(ICONTEC,
2013)
38 Medición de madurez de CiberSeguridad en MiPymes
colombianas
Tipo de
Empresa
Dimensiones Numero Ítems Referencia
la terminación del
contrato para
preservar la seguridad
de la información de
la empresa
6 El acceso a las
instalaciones y los
sistemas es
restringido
A.9.1 Requisitos del
negocio para el control de
acceso(ICONTEC, 2013)
7 Las instalaciones
están protegidas
contra desastres
naturales
A.11.1.4 Protección
contra amenazas externas
y ambientales(ICONTEC,
2013)
8 Se lleva un control de
los equipos entrantes
y salientes en las
instalaciones
A.11.2 Equipos(ICONTEC,
2013)
9 Se tiene antivirus
instalado en los
equipos de cómputo
A.12.2 Protección contra
códigos
maliciosos(ICONTEC, 2013)
10 Se tienen copias de
respaldo de la
información
importante de la
empresa
A.12.3 Copias de
respaldo(ICONTEC, 2013)
11 Se tienen acuerdos de
confidencialidad con
los proveedores
A.15 Relaciones con los
proveedores(ICONTEC,
2013)
12 Se hace seguimiento y
revisión a los
servicios de los
proveedores
A.15.2 Gestión de la
prestación de servicios
de los proveedores
(ICONTEC, 2013)
13 Existe un inventario
de activos de
información con unos
responsables
A.8.1 Responsabilidad por
los activos(ICONTEC,
2013)
14 Se tiene un esquema de
clasificación de la
información
A.8.2 Clasificación de la
información(ICONTEC,
2013)
15 Se tiene un
procedimiento de
gestión, disposición y
transferencia de
medios
A.8.3 Manejo de
medios(ICONTEC, 2013)
16 Se tienen definidas
reglas para el manejo
de dispositivos
móviles y para el
teletrabajo
A.6.2 Dispositivos
móviles y
teletrabajo(ICONTEC,
2013)
17 Se establecen reglas
para la instalación de
software
A.12.6.2 Restricciones
sobre la instalación de
software(ICONTEC, 2013)
Pequeña
y
mediana
Reglas
18 Se tienen establecidas
políticas de seguridad
de la información
A.5 Políticas de la
seguridad de la
información(ICONTEC,
2013)
Responsabilidades
19 Se tienen roles y
responsabilidades
asignadas en cuanto a
seguridad de la
información se refiere
A.6.1.1 Roles y
responsabilidades para la
seguridad de la
información(ICONTEC,
2013)
Plan de
supervivencia
20 Se tiene un plan de
continuidad del
negocio
A.17 Aspectos de
seguridad de la gestión de
la continuidad del
negocio(ICONTEC, 2013)
Análisis y Elección del Modelo de Madurez 39
Tipo de
Empresa
Dimensiones Numero Ítems Referencia
21 Se tiene un
procedimiento de
gestión de incidentes
A.16.1 Gestión de
incidentes y mejoras en la
seguridad de la
información(ICONTEC,
2013)
Vigilancia
22 Se monitorean y
evalúan eventos de
seguridad
A.16.1.2 Reporte de
eventos de seguridad de la
información(ICONTEC,
2013)
A.16.1.4 Evaluación de
eventos de seguridad de la
información y decisiones
sobre ellos(ICONTEC,
2013)
23 Existen auditorías
internas
9.2 Auditoría
interna(ICONTEC, 2013)
Mediana
Políticas y
procedimientos
24 Se tienen personas
dedicadas a la
seguridad de la
información
7.2 Competencia(ICONTEC,
2013)
25 Se tiene un sistema de
gestión documental
para todo lo
relacionado con
seguridad
7.5 Información
documentada(ICONTEC,
2013)
Sistema de Gestión
26 Se tiene un sistema de
gestión de seguridad
de la información
4. Contexto de la
organización(ICONTEC,
2013)
10. Mejora(ICONTEC, 2013)
Tecnologías de
seguridad
27 Se tienen controles
criptográficos
A.10
Criptografía(ICONTEC,
2013)
28 Se hace análisis y
gestión de
vulnerabilidades
A.12.6.1 Gestión de las
vulnerabilidades
técnicas(ICONTEC, 2013)
29 Se tiene una
arquitectura de red
segura
A.13 Seguridad de las
comunicaciones(ICONTEC,
2013)
30 Se tienen políticas de
desarrollo seguro
A.14.2 Seguridad en los
procesos de desarrollo y
soporte(ICONTEC, 2013)
Educación 31 Existe un plan de
conciencia y
capacitación en
seguridad
7.3 Toma de conciencia
(ICONTEC, 2013)
Micro,
pequeña
y
mediana
Conciencia
32 Considera importante
la seguridad de la
información para las
actividades del
negocio
(Isomäki & Bilozerov,
2011)
33 Considera útil e
importante invertir en
seguridad de la
información
(Ng, Ahmad, & Maynard,
2013)
34 Considera conveniente
tener buenas prácticas
en seguridad de la
información a la hora
de manipular
información de la
empresa
(Isomäki & Bilozerov,
2012)(Lopes & Oliveira,
2014)
40 Medición de madurez de CiberSeguridad en MiPymes
colombianas
3.3 Realización de la encuesta
Previo a aplicar el instrumento, se realizó la validación de
contenido y la prueba piloto. Esto permitió depurar el instrumento
y adecuarlo al objetivo de la investigación. Posteriormente se
aplica el instrumento y se muestran los resultados obtenidos.
3.3.1 Validación de la encuesta
El cuestionario se valida con tres expertos en seguridad de la
información, quienes evalúan el instrumento y proponen algunas
modificaciones. El primer experto, Felipe Rodríguez tiene más de 15
años de experiencia en consultoría de implementación de SGSI en
empresas colombianas, ecuatorianas y venezolanas, así como es
instructor certificado de la certificación CISSP, una de las más
reconocidas a nivel mundial. El segundo experto, solicitó no ser
mencionado, tiene 10 años de experiencia en labores de seguridad en
diversos proveedores de telecomunicaciones, definiendo y
gestionando controles de seguridad y estableciendo procesos y
programas de conciencia. Finalmente se encuentra el investigador
autor de esta tesis que posee más de 10 años de experiencia en temas
de TI y seguridad de la información, con experiencia en
capacitaciones y consultoría en seguridad de la información y
proveedor de servicios, gestor de proyectos y herramientas
informáticas de TI para MiPymes.
3.3.2 Prueba piloto
La prueba piloto se realizó sobre 10 empresas. Se realizaron ajustes
con base en la retroalimentación recibida. Se eliminaron preguntas
pasando de un total de 40 a 34 y se modificó la redacción y contenido
de algunas preguntas que no eran claras para los encuestados.
Según se indicó, se dividió el instrumento y se aplicaron 3
cuestionarios diferentes según el tipo de empresa. El instrumento a
utilizar se filtra en el formulario en línea generado de acuerdo al
tamaño de la empresa. En la tabla 3-8 se relaciona el número de
preguntas de la encuesta con el tamaño de la empresa.
Tabla 3-8: Número de Preguntas de la Encuesta por Tamaño de Empresa
Tipo Número de
preguntas
Micro 24
Pequeña 30
Mediana 34
Análisis y Elección del Modelo de Madurez 41
Para las personas a las cuales se les encuestó cara a cara, se les
entregó un diagnóstico y un gráfico que indicaba la madurez de la
empresa en las áreas evaluadas. El gráfico de retroalimentación se
puede observar en la figura 3-2.
Figura 3-2: Muestra del gráfico de madurez diseñado
A continuación, se realizó la prueba de fiabilidad de constructo
por medio del coeficiente Alfa de Cronbach. Este es uno de los
métodos más usados cuando se trata de variables por intervalos o de
razón(Sampieri, 2010). Por lo tanto, se aplica en la sección del
cuestionario que mide las actitudes y posturas relacionadas con
seguridad de la información, puesto que son las únicas variables
por intervalos dentro del instrumento. En esta sección se utilizó
una escala de Likert de 5 puntos. El alfa calculado es de 0.712,
indica una fiabilidad satisfactoria para la investigación(Zapata &
Canet, 2008).
3.4 Aplicación del instrumento
La encuesta se aplicó en dos fases. En la primera se envió la
encuesta por correo electrónico y fue respondida por cerca de 30
empresas. En la segunda fase se realizó la encuesta a participantes
del evento ExpoMipyme Digital 2015. Se aplicó el cuestionario cara
a cara. Las empresas encuestadas cumplen con los requisitos para
ser una MiPyme acorde con la legislación colombiana(Ley 905, 2004).
Se encuestaron empresas de diversos sectores dentro de los que se
destacan las empresas dedicadas a ofrecer servicios relacionados
con las TIC (Tecnología, Telecomunicaciones). Esto es previsible ya
que el evento ExpoMipyme digital congrega diversas empresas que
ofrecen servicios tecnológicos, para que presenten sus propuestas a
los asistentes, las cuales por lo general son empresas que están en
busca de tecnología que pueda apoyar sus negocios. Cabe resaltar
que se encuestaron tanto a exponentes como a asistentes al evento.
0
1
2
3ANTIVIRUS
RESPALDOS
MANEJO DEPROVEEDORES
ACTIVOS DEINFORMACIÓN
CLASIFICACIÓN DEINFORMACIÓN
MANEJO DEMEDIOS
MÓVILES
INSTALACIÓN DESOFTWARE
Nivel de Madurez
Nivel de Madurez
42 Medición de madurez de CiberSeguridad en MiPymes
colombianas
En total se encuestaron 102 empresas de las cuales se eliminaron 14
que no hacían parte de la población objetivo, ya que superaban los
200 empleados. Adicionalmente, tampoco se tuvieron en cuenta 9
respuestas que correspondían a personas que no estaban dentro de
los cargos objeto del estudio. Es decir, cumplían labores generales
u operativas. Se trataba de secretarias, asesores comerciales, etc.
En la tabla 3-9 se hace un resumen de la muestra utilizada.
Tabla 3-9: Resumen de la muestra a analizar
Unidad de Análisis MiPymes
Población MiPymes colombianas existentes y
económicamente activas entre
junio y septiembre de 2015
Tipo de Muestra Muestreo no probabilístico
Método de recolección de datos Encuestas cara a cara,
cuestionario en internet
Tamaño de la muestra 79 MiPymes
La figura 3-3 presenta los sectores económicos que hicieron parte
del estudio. El 67% corresponden al sector servicios, el 22% son
del sector industrial y el 11% son del sector comercio.
Figura 3-3: Porcentaje de empresas por sectores económicos
En lo que respecta al tamaño, la figura 3-4 refleja que el 62% de
las empresas clasifican como micro, 29% son pequeñas y el 9% son
medianas.
Figura 3-4: Número de empleados de las empresas
67%
22%
11%
Servicios Industrial Comercio
62%29%
9%
1 y 10 11 y 50 51 y 200
Análisis y Elección del Modelo de Madurez 43
Dentro de las empresas encuestadas, más de la mitad tienen entre 1
y 10 empleados. La mayoría de empresas poseen alguna infraestructura
tecnológica. Esto se evidencia en la figura 3-5. La mayoría de las
empresas tienen al menos internet y computadores. EL 80% tiene
aplicaciones o correo electrónico.
Figura 3-5: Infraestructura tecnológica de las empresas encuestadas
La figura 3-6 presenta el gráfico con los porcentajes de los cargos
de las personas encuestadas. El 59% tienen un cargo de alto mando
dentro de la empresa, es decir gerentes, presidentes, propietarios,
directores. Los mandos medios (coordinadores, jefes) fueron un 20%.
Finalmente, las personas que tenían algún cargo de responsabilidad
operativa en cuanto a TI dentro de la empresa corresponden al 21%
de los encuestados.
Figura 3-6: Cargos de las personas encuestadas
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Computadores de escritorio y/o portátiles.
Equipo de acceso inalámbrico.
Internet.
Servidores
Aplicaciones o infraestructura en la nube.
Dispositivos móviles (teléfonos inteligentes, tabletas, etc.)
Enlaces de telecomunicaciones o telefonía.
Página web, aplicaciones y/o correo electrónico corporativo.
Ninguna
59%20%
21%Altos mandos
Mando Medio
Operativo
44 Medición de madurez de CiberSeguridad en MiPymes
colombianas
3.5 Resultados generales
Como resultado se obtiene que solo el 11.4% de las empresas
encuestadas poseen un SGSI formalmente establecido, el cual es
presentado en la figura 3-7. La gran mayoría de empresas (63.3%) no
tienen nada formalmente establecido y el 25.3% toman medidas y
controles informales.
Figura 3-7: Porcentaje de MiPymes con un SGSI implementado
La figura 3-8 presenta las características del personal dedicado a
ciberseguridad en la empresa. El 57% de las empresas no tienen
personas dedicadas a la seguridad de la información. El 11% opta
por contratar una asesoría o consultoría en estos temas y solo el
2.5% tienen un área dedicada a estos temas.
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%
No se tiene.
Se tienen algunas medidas y controles de seguridad.
Se tiene establecido un sistema de gestión deseguridad de la información incorporado en la…
Se tiene certificado este sistema o se está en procesode certificación y se mejora frecuentemente.
¿Tiene la empresa un SGSI?
Análisis y Elección del Modelo de Madurez 45
Figura 3-8: Personal dedicado a la ciberseguridad
La postura en ciberseguridad de las empresas (figura 3-9) se evaluó
teniendo en cuenta cuatro ítems:
La importancia que le da la empresa a usar buenas prácticas
en ciberseguridad a la hora de realizar labores de la empresa.
Qué tan útil considera invertir en seguridad.
Qué tan importante es la seguridad de la información.
Considera la empresa que puede ser objetivo de los
delincuentes.
Figura 3-9: Postura de las empresas en ciberseguridad
0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0%
No se tienen.
Se tiene contratada una asesoría o consultoría porparte de externos.
Algunas personas cumplen estas funciones pero noestán dedicadas a esto únicamente.
Se tiene al menos un cargo exclusivo para temas deseguridad de la información.
Se tiene un área establecida de seguridad conmétricas de rendimiento definidas.
¿Se tienen personas dedicadas a la seguridad de la información?
0,0 20,0 40,0 60,0 80,0 100,0 120,0
Objetivo de Delincuentes
Importante para la Empresa
Útil Invertir
Buenas Prácticas
Totalmente en desacuerdo En desacuerdo
Ni de acuerdo ni en desacuerdo De acuerdo
Totalmente de acuerdo
46 Medición de madurez de CiberSeguridad en MiPymes
colombianas
La mayoría de las empresas están totalmente de acuerdo en la
importancia de la ciberseguridad para la empresa (62%) y de mantener
unas buenas prácticas de ciberseguridad (65,8%). Sin embargo el
porcentaje no es tan alto, a la hora de indagar sobre la utilidad
de invertir en ciberseguridad (39,2) y de considerar que la compañía
puede ser objetivo de delincuentes informáticos (40,5%).
En la tabla 3-10 se muestran los resultados de la madurez en las
empresas encuestadas con base en el modelo propuesto. Se incluyeron
dos columnas cuando el área a evaluar no aplica a la empresa o
cuando la persona no conoce la información solicitada.
Tabla 3-10: Madurez de MiPymes encuestadas
Análisis y Elección del Modelo de Madurez 47
Dimensiones Ítems Niveles de Madurez (% de empresas)
0 1 2 3 NS NA
Compromiso del
Propietario/
Gerente
El Gerente o
Propietario de la
empresa lidera y
apoya las
iniciativas de
seguridad de la
información
compatibles con
la estrategia y
misión de la
organización.
16.5 41.8 15.2 25.3 1.3 0
El Gerente o
Propietario de la
empresa asegura
que se tengan los
recursos
suficientes para
el desarrollo de
las iniciativas
en seguridad de la
información.
20.3 36.7 19 20.3 3.8 0
Entendimiento de
las obligaciones
Se conocen las
obligaciones
contractuales,
legislativas y
regulatorias que
exigen
requerimientos de
seguridad de la
información.
35.4 35.4 19 8.9 1.3 0
Entendimiento de
los riesgos de
seguridad
Se conocen y
revisan
periódicamente
los riesgos en
seguridad de la
información a los
cuales se está
expuesto
25.3 50.6 10.1 13.9 0 0
Contramedidas
esenciales de
seguridad
Se tienen
procesos de
control del
personal antes de
la contratación,
durante el empleo
y después de la
terminación del
contrato para
preservar la
seguridad de la
información de la
empresa.
31.6 34.2 17.7 16.5 0 0
El acceso a las
instalaciones y
16.5 38 38 6.3 1.3 0
48 Medición de madurez de CiberSeguridad en MiPymes
colombianas
los sistemas es
restringido
Las instalaciones
están protegidas
contra desastres
naturales
46.8 21.5 16.5 10.1 5.1 0
Se lleva un
control de los
equipos entrantes
y salientes en las
instalaciones
43 11.4 29.1 11.4 5.1 0
Se tiene
antivirus
instalado en los
equipos de
computo
3.8 19 65.8 10.1 1.3 0
Se tienen copias
de respaldo de la
información
importante de la
empresa
10.1 41.8 31.6 13.9 2.5 0
Se tienen
acuerdos de
confidencialidad
con los
proveedores
24.1 35.4 24.1 11.4 2.5 2.5
Se hace
seguimiento y
revisión a los
servicios de los
proveedores
17.7 39.2 22.8 19 1.3 0
Existe un
inventario de
activos de
información con
unos responsables
22.8 32.9 26.6 17.7 0 0
Se tiene un
esquema de
clasificación de
la información
30.4 31.6 22.8 10.1 5.1 0
Se tiene un
procedimiento de
gestión,
disposición y
transferencia de
medios
45.6 25.3 12.7 7.6 3.8 5.1
Se tienen
definidas reglas
para el manejo de
dispositivos
móviles y para el
teletrabajo
48.1 22.8 15.2 5.1
1.3 7.6
Se establecen
reglas para la
30.4 32.9 20.3 13.9 2.5 0
Análisis y Elección del Modelo de Madurez 49
instalación de
software
Reglas Se tienen
establecidas
políticas de
seguridad de la
información
48.3 24.1 17.2 10.3 0 0
Responsabilidades Se tienen roles y
responsabilidades
asignadas en
cuanto a
seguridad de la
información se
refiere
37.9 17.2 31 6.9 6.9 0
Plan de
supervivencia
Se tiene un plan
de continuidad
del negocio
24.1 27.6 17.2 13.8 10.3 6.9
Se tiene un
procedimiento de
gestión de
incidentes
58.6 10.3 17.2 6.9 6.9 0
Vigilancia Se monitorean y
evalúan eventos
de seguridad
48.3 20.7 17.2 6.9 6.9 0
Existen
auditorías
internas
51.7 20.7 17.2 6.9 0 3.4
Políticas y
procedimientos
Se tiene un
sistema de
gestión
documental para
todo lo
relacionado con
seguridad
28.6 28.6 14.3 28.6 0 0
Tecnologías de
seguridad
Se tienen
controles
criptográficos
42.9 28.6 28.6 0 0 0
Se hace análisis y
gestión de
vulnerabilidades
42.9 14.3 28.6 14.3 0 0
Se tiene una
arquitectura de
red segura
14.3 42.9 28.6 14.3 0 0
Se tienen
políticas de
desarrollo seguro
0 42.9 14.3 0 0 42.9
Educación Existe un plan de
conciencia y
capacitación en
seguridad
28.6 57.1 14.3 0 0 0
50 Medición de madurez de CiberSeguridad en MiPymes
colombianas
3.6 Resultados por tamaño de la empresa
Con el cálculo de la mediana se puede establecer un cuadro general
que permita observar los datos de una manera amplia y establecer un
nivel de madurez para las empresas encuestadas. Se utilizarán los
mismos gráficos de apoyo diseñados para las encuestas.
Para las microempresas, en la figura 3-11 se puede observar cómo se
encuentran en un nivel uno (bajo) en las cuatro áreas básicas
definidas en el modelo. Visto a nivel general, el campo en donde
las empresas tienen una mayor madurez y para las microempresas no
es la excepción, es el antivirus. La mayoría de las empresas tienen
antivirus instalado y realizan algunas tareas básicas sobre éste,
como escaneos y revisión de eventos.
Por otra parte, el área en la cual presentan mayores dificultades
es en el manejo de los medios de almacenamiento de información. El
52% de las microempresas encuestadas no cuentan con un control a la
hora de deshacerse o transferir información. A nivel general en los
campos restantes tiene un nivel de madurez uno.
Figura 3-10: Nivel de madurez en ciberseguridad para Microempresas
0
3
Compromiso delDueño/Gerente
Entendimiento de lasobligaciones
Control deContratación
Seguridad Física
Evaluación- Microempresas - Aspectos Generales
Análisis y Elección del Modelo de Madurez 51
En relación con la pequeña empresa se destaca el nivel de madurez
de la seguridad física (figura 3-12). El 100% de las empresas
pequeñas tienen un control de acceso físico y lógico establecido y
el 14,3% realizan revisiones periódicas de los datos recopilados
por los controles de acceso. Nuevamente se destaca el antivirus como
el control preferido con una madurez en nivel dos (medio).
Se observan serias falencias como la ausencia de auditorías
internas, procedimientos de monitoreo y gestión de incidentes de
seguridad de la información, así como la falta de políticas formales
y claras en ciberseguridad dentro de la empresa.
0
1
2
3ANTIVIRUS
RESPALDOS
MANEJO DEPROVEEDORES
ACTIVOS DEINFORMACIÓN
CLASIFICACIÓNDE
INFORMACIÓN
MANEJO DEMEDIOS
MÓVILES
INSTALACIÓNDE SOFTWARE
Nivel de Madurez - Microempresas Aspectos Específicos
Nivel de Madurez
52 Medición de madurez de CiberSeguridad en MiPymes
colombianas
Figura 3-11: Nivel de madurez de la Pequeña empresa
0
3
Compromiso delDueño/Gerente
Entendimiento delas obligaciones
Control deContratación
Seguridad Física
Evaluación - Pequeña Empresa General
0
1
2
3ANTIVIRUS
RESPALDOS
MANEJO DE PROVEEDORES
ACTIVOS DE INFORMACIÓN
CLASIFICACIÓN DEINFORMACIÓN
MANEJO DE MEDIOS
MÓVILES
INSTALACIÓN DESOFTWARE
POLÍTICAS
RESPONSABILIDADES
PLAN DE SUPERVIVENCIA
INCIDENTES
MONITOREO
AUDITORÍAS
Madurez - Pequeña Empresa Aspectos Específicos
Madurez
Análisis y Elección del Modelo de Madurez 53
Figura 3-12: Nivel de madurez mediana empresa
0
3
Compromiso delDueño/Gerente
Entendimiento de lasobligaciones
Control de Contratación
Seguridad Física
Evaluación - Mediana Empresa Aspectos Generales
0
1
2
3ANTIVIRUS
RESPALDOS
MANEJO DE PROVEEDORES
ACTIVOS DE INFORMACIÓN
CLASIFICACIÓN DE INFORMACIÓN
MANEJO DE MEDIOS
MÓVILES
INSTALACIÓN DE SOFTWARE
POLÍTICAS
RESPONSABILIDADES
PLAN DE SUPERVIVENCIA
INCIDENTES
MONITOREO
AUDITORÍAS
SGSI
CONTROLES CRIPTOGRÁFICOS
VULNERABILIDAD
RED
DESARROLLO
CONCIENCIA
MADUREZ - Mediana Empresa
MADUREZ
54 Medición de madurez de CiberSeguridad en MiPymes
colombianas
3.7 Resultados por sector
La figura 3-14 muestra la distribución de las empresas encuestadas
según el sector económico en el cual se desenvuelven. Este es el
porcentaje de empresas por tamaño únicamente para el sector
servicios.
Figura 3-13: Porcentaje de empresas encuestadas de un total de 61
pertenecientes al sector de servicios
Para cada sector económico también se calculó un nivel de madurez,
producto de la mediana de los resultados obtenidos. En la figura 3-
15 se observa como en los aspectos generales se tiene un nivel de
uno (bajo).
Al evaluar a las empresas del sector de servicios únicamente, se
encuentra que, si bien son pocas las que alcanzan un nivel tres de
madurez en algunos aspectos, éstas poseen iniciativas en la gran
parte de los aspectos específicos. Se identifica la misma falencia
en el establecimiento de un SGSI, las auditorías, los incidentes y
las políticas.
Análisis y Elección del Modelo de Madurez 55
Figura 3-14: Madurez sector servicios
Para las empresas del sector industrial la situación no es
diferente. Como se puede apreciar en la figura 3-16, solo se
encuestaron pequeñas y micro empresas. Se pueden observar en la
figura 3-17 las mismas falencias (incidentes, monitoreo, auditorías
y políticas).
0
3
Compromiso delDueño/Gerente
Entendimiento de lasobligaciones
Control de Contratación
Seguridad Física
Evaluación - Sector Servicios
0
1
2
3ANTIVIRUS
RESPALDOS
MANEJO DE PROVEEDORES
ACTIVOS DE INFORMACIÓN
CLASIFICACIÓN DE INFORMACIÓN
MANEJO DE MEDIOS
MÓVILES
INSTALACIÓN DE SOFTWARE
POLÍTICAS
RESPONSABILIDADES
PLAN DE SUPERVIVENCIA
INCIDENTES
MONITOREO
AUDITORÍAS
SGSI
CONTROLES CRIPTOGRÁFICOS
VULNERABILIDAD
RED
DESARROLLO
CONCIENCIA
MADUREZ - SECTOR SERVICIOS
MADUREZ
56 Medición de madurez de CiberSeguridad en MiPymes
colombianas
Figura 3-15: Porcentaje de empresas encuestadas de un total de 18
pertenecientes al sector industrial
Figura 3-16: Nivel de madurez en ciberseguridad para el sector
industrial
0
3
Compromiso delDueño/Gerente
Entendimiento de lasobligaciones
Control de Contratación
Seguridad Física
Evaluación - Sector Industrial
Análisis y Elección del Modelo de Madurez 57
Finalmente en el sector comercio, la figura 3-18 presenta que solo
se encuestaron empresas micro y medianas, ninguna pequeña. En éste
sector se evidencian falencias en casi todos los aspectos (figura
3-19). Solo el área de antivirus tiene una madurez nivel dos
(intermedio).
Figura 3-17: Porcentaje de empresas encuestadas de un total de 9
pertenecientes al sector comercio
0
1
2
3ANTIVIRUS
RESPALDOS
MANEJO DEPROVEEDORES
ACTIVOS DEINFORMACIÓN
CLASIFICACIÓN DEINFORMACIÓN
MANEJO DE MEDIOS
MÓVILES
INSTALACIÓN DESOFTWARE
POLÍTICAS
RESPONSABILIDADES
PLAN DESUPERVIVENCIA
INCIDENTES
MONITOREO
AUDITORÍAS
Madurez-Sector industrial
Madurez
58 Medición de madurez de CiberSeguridad en MiPymes
colombianas
Figura 3-18: Nivel de madurez en ciberseguridad para el sector
comercio
0
3
Compromiso delDueño/Gerente
Entendimiento delas obligaciones
Control deContratación
Seguridad Física
Genéricos - Sector Comercio
0
1
2
3ANTIVIRUS
RESPALDOS
MANEJO DE PROVEEDORES
ACTIVOS DE INFORMACIÓN
CLASIFICACIÓN DE INFORMACIÓN
MANEJO DE MEDIOS
MÓVILES
INSTALACIÓN DE SOFTWARE
POLÍTICAS
RESPONSABILIDADESPLAN DE SUPERVIVENCIA
INCIDENTES
MONITOREO
AUDITORÍAS
SGSI
CONTROLES CRIPTOGRÁFICOS
VULNERABILIDAD
RED
DESARROLLO
CONCIENCIA
MADUREZ - SECTOR COMERCIO
MADUREZ
4. Conclusiones, Hallazgos Y Recomendaciones
En este capítulo se presentan en primera medida las conclusiones
generales y posteriormente se presentan unas conclusiones
específicas, las cuales se dividen en:
Conclusiones para la academia
Conclusiones para los empresarios (micro, mediana y pequeña
empresa)
Finalmente se entregan algunas recomendaciones y pasos a seguir
dentro de los involucrados en la ciberseguridad de las MiPymes
colombianas.
4.1 Conclusiones generales
El 23% de las empresas encuestadas corresponden al sector de la
tecnología. Sorprendentemente, las empresas que ofrecen prácticas
para los aspectos evaluados no tienen un nivel de madurez destacado.
Las empresas de TI deben ser del tipo de empresas que más cuidadosas
deben ser en temas de ciberseguridad, ya que cualquier incidente
pone en riesgo la información de las empresas con las cuales tienen
relaciones comerciales.
Se evidenció que la mayor parte de las empresas no tienen en cuenta
muchos de los temas propuestos en la encuesta. Algunas de las
retroalimentaciones que se recibieron fueron que el instrumento y
los temas que abordan sirven como apoyo para que las empresas se
hagan una idea de qué deben tener en cuenta en ciberseguridad. El
instrumento permite que las empresas consideren algunos temas que
no habían contemplado. El hecho de entregar una retroalimentación
hace que las empresas se sientan interesadas en el tema y descubran
la magnitud de los riesgos que están afrontando.
La mayoría de las empresas encuestadas no tienen un SGSI establecido
ni personal dedicado a la seguridad de la información. Las empresas
optan por una aproximación informal para el tratamiento de los
riesgos, pues la mayoría no tienen una actitud organizada y definida
para hacer frente a dichos riesgos.
60 Bibliografía
Se encuentra que la mayoría de las empresas son conscientes de los
problemas que puede implicar la materialización de un incidente de
seguridad y tienen claro que esto puede afectar el negocio. Sin
embargo, no toman las medidas adecuadas para evitarlos o tratarlos
adecuadamente.
Se evidencia un bajo apoyo de los gerentes y directores o
propietarios en las iniciativas de ciberseguridad. Tal vez esto sea
producto del poco conocimiento que ellos mismos tengan sobre el
tema, evidenciado en algunas de las encuestas. Esto lleva a que las
empresas no tengan una estrategia clara y definida que permita
realizar una aproximación a los riesgos eficiente y adecuada.
El 52% de las empresas no asignan recursos o estos no son suficientes
para cubrir sus necesidades de seguridad de la información.
Uno de los controles más utilizado es el antivirus, pues el 96,2%
de las empresas encuestadas hacen uso de éste. Sin embargo, son muy
pocas (13%) las que recogen estadísticas, realizan verificaciones y
análisis de los datos que estos entregan, práctica vital para
aumentar la efectividad de estos.
El 40% de las empresas encuestadas no realizan un control de la
información que desechan, uno de los riesgos más comunes en cuanto
a seguridad de la información. Por otra parte, si bien algunas
empresas están haciendo uso de dispositivos móviles para sus
labores, el 43% de estas no realiza ningún control sobre estos ni
sobre las personas que trabajan en instalaciones diferentes a las
de la empresa (teletrabajo). La falta de controles hace que los
dispositivos móviles representen un riesgo para la información de
las empresas.
El 45% no tiene un plan de continuidad establecido, lo que las hace
vulnerables a cualquier desastre (incendio, inundación, terremoto,
etc.). Más del 50% de las empresas no tienen un procedimiento de
gestión de incidentes de seguridad. Esto quiere decir que pueden
presentarse eventos que comprometan la seguridad de la información
y la empresa puede no detectarlos y en caso de hacerlo, no estar
preparada para realizar una investigación o tomar las respectivas
acciones legales.
El 45% de las empresas medianas tiene planes de conciencia y
capacitación en seguridad de la información. Esta práctica es muy
importante a la hora de mitigar el riesgo causado por las personas.
Si bien, el 14% de las empresas encuestadas muestran un nivel 3 de
madurez en algunos aspectos, algunas de estas prácticas las realizan
de manera intuitiva y no dentro un plan estructurado.
Medición de madurez de CiberSeguridad en MiPymes
colombianas
61
4.2 Conclusiones para la academia
Si bien existe un gran número de modelos de madurez, son escasos
los modelos que se ajustan a lo que requiere un sistema de medición
de madurez y capacidad en ciberseguridad enfocado a las MiPymes.
Aunque el modelo del estándar IASME responde bien al objetivo de la
investigación, para realizar investigaciones posteriores se hace
necesario hacer algunos ajustes a este modelo y adaptarlo a las
características de la industria colombiana.
Solo el 11% de las MiPymes tiene establecido formalmente un SGSI.
Sin embargo, este bajo porcentaje no sorprende debido a lo que
implica definir un sistema de este tipo: los costos, el esfuerzo,
los recursos y el tiempo que se requiere. A futuro sería pertinente
investigar qué tanta efectividad tienen estos SGSI, qué dificultades
se presentan, por qué su baja adopción y revisar alternativas que
lleven a las empresas a tener los beneficios que otorga un SGSI.
A nivel general, se puede decir que las MiPymes encuestadas no
poseen planes claros de mejora o revisión de los controles que ya
han implementado. Es necesario identificar las causas y plantear
soluciones que permitan elevar este porcentaje.
La mayoría de las empresas consideran importante la ciberseguridad
para sus actividades, pero se muestran resistentes para invertir en
ella. Una evaluación de la educación en ciberseguridad que puedan
tener gerentes, propietarios y demás altos mandos puede ser útil
para crear conciencia en la necesidad de invertir en ciberseguridad.
La encuesta también refleja una falencia general en cuanto a los
planes de continuidad que establecen las MiPymes encuestadas. Este
aspecto es llamativo, pues un plan de continuidad del negocio para
una empresa pequeña puede valer mucho menos de lo que puede costar
para una gran empresa. Las empresas, tal vez por desconocimiento,
no revisan este aspecto vital para la supervivencia misma del
negocio. Este desconocimiento se ve reflejado en las dudas que
manifestaron las MiPymes encuestadas. Algunas de las personas
encuestadas indicaron no tener en cuenta este aspecto o no saber
cómo hacer un plan de continuidad a su medida. Esta problemática
resulta un tema interesante en el cual profundizar y proponer
soluciones.
El control predilecto a utilizar por las MiPymes es sin duda alguna
el antivirus, pues solo el 3.8% de las empresas no lo utiliza. Sin
embargo, este control refleja un comportamiento que se extiende por
varios de los aspectos evaluados. Se implementa y se expande de
manera adecuada, pero no se realizan acciones correctivas o de
mejora sobre la efectividad del control. Las empresas solamente
instalan el antivirus sin ningún plan claro o sin tener unos
62 Bibliografía
objetivos alineados con su necesidad. Es necesario fortalecer a las
MiPymes en planes de supervisión y revisión de los controles que se
tienen implementados, con el fin de realizar los ajustes necesarios
y mejorar la efectividad de sus acciones. La academia puede apoyar
en mejorar la óptima implementación de controles de ciberseguridad
al interior de las compañías.
4.3 Conclusiones para las microempresas
En las microempresas evaluadas existe poco compromiso de la gerencia
con la ciberseguridad y un entendimiento casi nulo de los riesgos y
obligaciones como empresa. Así mismo no se toma en serio la seguridad
física.
Por otra parte, se observa que las MiPymes no realizan controles
sobre las personas que contratan.
En las microempresas existe una grave falencia en cuanto al manejo
de los medios de almacenamiento de la información. Muchas empresas
durante la encuesta indicaron no poseer ningún tipo de control a la
hora de deshacerse de información y mucho menos llevar algún tipo
de control cuando esta se transfiere. Esto las hace vulnerables a
experimentar fugas de información, pues solo con el hecho de revisar
lo que deja en la basura alguna de estas empresas podría tener
acceso a información valiosa. También pueden presentar fugas de
información si alguien transfiere información de manera física, como
por ejemplo enviar un medio de almacenamiento con un mensajero. Esta
información claramente podría estar en riesgo de ser consultada o
alterada. En las demás áreas han realizado algunas tareas, pero de
manera parcial y tal vez de una manera desorganizada.
Las microempresas encuestadas tienen una falencia generalizada en
el control que hacen en la contratación de sus empleados. Falta de
controles en la información que se entrega a candidatos. Controles
deficientes mientras están en la empresa y un pobre control de la
información que deben entregar para evitar su fuga cuando el
empleado deja la empresa.
4.4 Pequeña empresa
La encuesta muestra que cuenta con algunos controles físicos. Sin
embargo, estos puede que no sean los suficientemente efectivos. En
este tipo de empresas también se observa un poco más de compromiso
por parte de los dueños o gerentes en cuanto a seguridad de la
información. Pero se perciben las mismas falencias de las MiPymes
del desconocimiento de las obligaciones de la empresa y el control
de contratación de empleados.
En cuanto a los controles, el único que se encuentra en nivel medio
(2) es el antivirus. En el resto de controles existen serias
Medición de madurez de CiberSeguridad en MiPymes
colombianas
63
falencias y únicamente se hacen acciones al azar. La parte de las
auditorías, incidentes, monitoreo y políticas es prácticamente nula.
4.5 Mediana empresa
Los resultados de la encuesta destacan levemente las prácticas en
seguridad física. Sin embargo, se evidencia que el compromiso de
los propietarios no es suficiente.
La mediana empresa a nivel general también tiene un desconocimiento
absoluto de sí misma poniéndola en riesgos legales y monetarios.
Esto se puede concluir debido a que el 69% desconocen sus
obligaciones legales, regulatorias y contractuales o conocen solo
algunas, pero no están seguros de que conozcan todas las
obligaciones aplicables. Adicionalmente el 31.8% de las empresas
desconocen a qué riesgos están expuestas y el 45,5% afirma conocer
solo algunos de estos riesgos. Este tipo de empresas tampoco
acostumbra hacer un control en la contratación de personal.
Se pueden enumerar varios controles en los que la mediana empresa
muestra un nivel medio (2). Estos controles son el antivirus, el
respaldo de la información, la clasificación en inventario de
activos de información y la instalación de software, políticas y
responsabilidades.
4.6 Recomendaciones
Se encuentra gran aceptación por parte de los encuestados a la hora
de aplicar el instrumento. Manifiestan que esto contribuyó a
aumentar su conciencia en cuanto a seguridad y a considerar ciertos
aspectos que no se habían tenido en cuenta dentro de sus operaciones.
Se considera importante fortalecer programas de conciencia en
ciberseguridad para las MiPymes, dándoles un enfoque práctico y
tangible, que los ayude a identificar situaciones de riesgo y pueda
aportar en las decisiones y acciones que puedan tomar.
Estos programas de conciencia e información deben reforzarse con
material práctico que permita a las empresas realizar sus propias
evaluaciones iniciales. Una vez la empresa tiene un conocimiento de
sus necesidades, solo en ese momento estaría lista para contratar
servicios o asesorías que puedan ayudarlas a mitigar los problemas.
Desde las cámaras de comercio y entidades de apoyo a las MiPymes se
debe prestar especial atención a las microempresas. Este grupo de
empresas pueden representar el grupo más vulnerable. Con campañas,
guías gratuitas y prácticas se debe apoyar a este tipo de empresas,
sobre todo cuando están en sus inicios. Esto con el fin de mitigar
los riesgos a los cuales están expuestas.
64 Bibliografía
Es necesario impulsar campañas que le permitan a las empresas
conocer qué es un incidente de seguridad y saber qué medidas puede
tomar. Es necesario fortalecer los CERT (Computer Emergency Response
Team) regionales y locales que apoyen a las entidades en la detección
y manejo de incidentes de seguridad.
Las empresas de pocos recursos deberían recurrir a soluciones en la
nube de bajo costo y fácil implementación que les permita establecer
un plan de continuidad del negocio.
Por otra parte, dentro de los hallazgos se considera preocupante la
actitud que ejercen las compañías hacia los riesgos. En seguridad
de la información, la gestión de riesgos juega un papel fundamental
y es el pilar sobre el cual se establecen las estrategias de
protección en una empresa. Por esta razón se considera importante
dar a conocer y capacitar a las empresas en una adecuada gestión de
riesgos. Actualmente existen algunas metodologías de gestión de
riesgos, pero estas pueden resultar complejas y confusas para las
MiPymes. Es de utilidad definir una metodología de gestión de
riesgos enfocada para estas empresas, que sea de fácil aplicación,
de bajo costo y altamente efectiva.
El gobierno y la academia deben establecer programas conjuntos que
permitan generar modelos, estándares y guías de apoyo para las
MiPymes. Aunque a nivel mundial existan soluciones planteadas, estas
pueden no ser del todo adecuadas dadas las diferencias existentes
en la definición de Pyme a nivel mundial. Las Pymes colombianas
tienen un entorno único que puede afectar la seguridad de la
información.
4.7 Próximos pasos
En próximos estudios se puede explorar de qué manera la situación
económica de las empresas o su estado e informalidad influye en unas
malas prácticas al manipular información. Si bien ya existen
soluciones de bajo costo, en este estudio se evidencia que estas no
están siendo usadas por las empresas y es necesario identificar las
razones por las cuales esto sucede con el fin de atacar este problema
de raíz.
Es necesario establecer un modelo de fácil implementación y
evaluación para las MiPymes, ya que la implementación de normas como
la ISO 27001 lleva un gran esfuerzo y costo y puede no ser adecuada
para el inicio. El estudio evidenció una baja implementación de SGSI
y la percepción en algunos casos es que esto es para grandes
empresas.
Como investigación posterior puede verse cómo la adopción y
formalización de políticas puede influir a mejorar las prácticas de
seguridad de la empresa. En algunos casos puede revisarse las
Medición de madurez de CiberSeguridad en MiPymes
colombianas
65
dificultades que tienen las empresas a la hora de establecer
políticas.
Es necesario establecer metodologías de gestión de riesgos ágiles
que permitan a las empresas conocerse. También es necesario
establecer esquemas de atención de incidentes fáciles de implementar
que permitan a las empresas reaccionar.
Campañas de divulgación y conocimiento de los aspectos de seguridad
que las empresas deben tener en cuenta, pueden resultar útiles.
Teniendo en cuenta a los involucrados, se resumen las acciones a
seguir en la figura 4-1.
Figura 4-1: Acciones a seguir para la ciberseguridad en MiPymes
La tabla 4-2 detallar acciones concretas que se sugieren para tratar
las problemáticas identificadas.
Tabla 4-2: Acciones a implementar
ACTORES INVOLUCRADOS ACCIÓN OBSERVACIÓN
Empresario /
Consultor legal
Conocimiento legal de la
empresa
Poseer un conocimiento de los
requerimientos legales,
contractuales y regulatorios
que pueda tener la empresa.
Investigadores Metodología para realizar un
análisis de impacto de
negocio
El análisis de impacto de
negocio es vital para que los
empresarios tengan un
conocimiento de su empresa y
66 Bibliografía
ACTORES INVOLUCRADOS ACCIÓN OBSERVACIÓN
de sus activos de información
valiosos. Actualmente no
existe una metodología
establecida y mucho menos
estandarizada para MiPymes.
Investigadores,
Consultores;
Empresarios
Metodología de riesgos La gestión de riesgos es un
tema en el cual deben
involucrarse los empresarios
como parte del conocimiento
de su empresa. Existen
algunas metodologías ágiles
las cuales podrían
experimentarse en el entorno
de la industria nacional y
ajustar para su uso.
Empresarios Inversiones inteligentes Un empresario bien informado
y con un conocimiento claro
de su empresa será capaz de
realizar las inversiones
necesarias a los activos
clave optimizando los gastos
en ciberseguridad.
Empresarios Gestión de proveedores
eficiente
Los empresarios deben estar
en la capacidad de elegir y
hacer seguimiento a los
proveedores que contratan con
el fin de sacar el máximo
provecho de los servicios
contratados.
Consultores Gestión de personal Capacitación y servicios de
selección de personal y
seguimiento a su desempeño,
pueden ayudar a evitar
inconvenientes con empleados
que no cumplan con los
requerimientos de la empresa
en ciberseguridad.
Consultores Servicios de respaldo y
recuperación
Se deben proveer servicios de
respaldo y configuración
sencillos de implementar y de
bajo costo para MiPymes
Gobierno,
investigadores,
consultores
Esquemas de clasificación de
la información
estandarizados
Definir un esquema de
clasificación de información
estándar que sirva de guía a
los empresarios para diseñar
los propios según sus
necesidades
Consultores,
fabricantes,
investigadores
Soluciones para control de
dispositivos móviles
Ya existe una variedad de
soluciones para dispositivos
móviles. Se debe entrar a
evaluar su adopción en las
MiPymes con el fin de
identificar su idoneidad y
eficacia en este tipo de
empresas.
Fabricantes,
proveedores de
servicios
Sistemas de control físico y
de acceso
Sistemas de controles de
entrada y salida de
elementos, alarmas y
biométricos de bajo costo y
versátiles que sirvan a los
empresarios para tener un
control sobre sus elementos.
Gobierno/Empresarios Guía para la gestión de
incidentes de seguridad de
la información
Establecer guías de apoyo
para que las empresas sean
capaces de identificar
incidentes de información y
cómo gestionarlos. El
establecimiento de un CSIRT
(Computer Security Incident
Medición de madurez de CiberSeguridad en MiPymes
colombianas
67
ACTORES INVOLUCRADOS ACCIÓN OBSERVACIÓN
Response Team) para las
MiPymes también puede apoyar
este punto, ya sea organizado
por el gobierno o por los
mismos empresarios.
Proveedores de
servicios
Auditorías Proporcionar servicios de
auditorías enfocadas a
MiPymes
Gobierno Guía para la implementación
de un SGSI
El desarrollo de una guía por
cada uno de los tipos de
empresa separadamente, es
decir guía SGSI micro, guía
SGSI pequeña, guía SGSI
mediana.
Proveedores de
servicios / Gobierno/
Investigadores
Guía de continuidad El gobierno debe realizar
campañas de conciencia
relacionadas con los planes
de continuidad y las empresas
consultoras ayudar a
establecer planes de
continuidad de negocio
enfocados para MiPymes.
Consultores Asesoría legal Ofrecer asesorías
especializadas en temas de
delitos informáticos.
Proveedores de
servicios /
Investigadores
Soluciones para el análisis
de vulnerabilidades
Soluciones específicas para
MiPymes.
Proveedores de
servicios
Asesoría y soluciones de
gestión de medios.
Soluciones de custodia y
disposición segura de medios
para MiPymes.
68 Bibliografía
5. Bibliografía
Albrechtsen, E. (2007). A qualitative study of users’ view on
information security. Computers & Security, 26(4), 276–289.
http://doi.org/10.1016/j.cose.2006.11.004
Almanza, A. (2015, April). Revista Sistemas - ACIS.
Beachboard, J., Cole, A., Mellor, M., Hernandez, S., Aytes, K., &
Massad, N. (2008). Improving information security risk
analysis practices for small- and medium-sized enterprises : A Research Agenda. Issues in Information Science and Information
Technology, 5.
Boyson, S. (2014). Cyber supply chain risk management:
Revolutionizing the strategic control of critical IT systems.
Technovation, 34(7), 342–353.
Calvo-Manzano, J., Cuevas, G., Muñoz, M., & Feliu, T. S. (2008).
Process similarity study: Case study on project planning
practices based on CMMI-DEV v1. 2. Links.
Calvo-Manzano, J., Cuevas, G., Muñoz, M., & Feliú, T. S. (2008).
Estudio entre modelos y estándares de buenas prácticas
enfocado a las prácticas de planificación de proyectos y
utilizando CMMI-DEV v1. 2 como referencia. 3a Conferencia
Ibérica de Sistemas Y Tecnologías de Información.
Caralli, R. a, Allen, J. H., Curtis, P. D., White, D. W., & Young,
L. R. (2010). CERT ® Resilience Management Model. Management,
1988(May), 259.
Caralli, R., Stevens, J., Young, L., & Wilson, W. (2007).
Introducing octave allegro: Improving the information security
risk assessment process.
Cholez, H., & Girard, F. (2014). Maturity assessment and process
improvement for information security management in small and
medium enterprises. Journal of Software: Evolution and
Process, 26(5), 496–503.
Churchill Jr., G. a. (1979). A paradigm for developing better
measures of marketing constructs. Journal of Marketing
Research, 16(1), 64–73.
Confecámaras. (2011). Impacto de la Formalización Empresarial en
Colombia.
Consejo Nacional de Política Económica y Social. Documento Conpes
3701 - Lineamientos de Política para Ciberseguridad y
Ciberdefensa (2011). República de Colombia: Departamento
Nacional de Planeación.
Departamento Administrativo Nacional de Estadística. DANE - Censo
Medición de madurez de CiberSeguridad en MiPymes
colombianas
69
Económico (2005). Colombia.
Dojkovski, S., Lichtenstein, S., & Warren, M. (2007). Fostering
Information Security Culture in Small and Medium Size
Enterprises: An Interpretive Study in Australia. ECIS.
Enrique, L., Crespo, S., & Politécnica, E. (2007). MMISS-SME
Practical Development : Maturity Model for Information Systems Security Management in SMEs ., (July 2015).
European Network and Information Security Agency. (2006). Risk
Assessment and Risk Management Methods : Information Packages for Small and Medium Sized Enterprises ( SMEs ), 1–20.
Fojón, J. E., & Sanz Villalba, Á. F. (2010, June 23).
Ciberseguridad en España: una propuesta para su gestión.
Boletín Elcano. Real Instituto Elcano.
Garengo, P., & Biazzo, S. (2013). From ISO quality standards to an
integrated management system: An implementation process in
SME. Total Quality Management & Business Excellence.
Hefley, B., & Loesche, E. A. (2010). eSourcing Capability Model
for Client Organizations – eSCM-CL. van Haren Publishing.
Henson, R., & Booth, D. (2010). Information Assurance and SMEs:
Research Findings to inform the development of the IASME
model. Retrieved from
http://staffweb.worc.ac.uk/hensonr/iasmeresearchfindingsnov10.
Henson, R., Dresner, D., & Booth, D. (2011). IASME: Information
Security Management Evolution for SMEs. In ATINER 8th Annual
International Conference on Small & Mediun Sized Enterprises:
Management - Marketing.
Hurtado, G. (2010). Estudio de similitud del proceso de gestión de
riesgos en proyectos de outsourcing de software: utilización
de un método. Revista Ingenierías Universidad de Medellín.
Hurtado, G. G. (2010). Metodología de gestión de riesgos para la
adquisición de software en pequeños entornos-MEGRIAD.
Hutchinson, D., Armitt, C., & Edwards-lear, D. (2014). The
application of an agile approach to it security risk
management for SMES THE APPLICATION OF AN AGILE APPROACH TO IT
SECURITY.
ICONTEC. NTC-ISO-IEC 27001 (2013).
Information Systems Security Association. (2011). ISSA-UK 5173 -
Information Security for SMEs.
International Organization for Standardization. ISO/IEC 21827:2008
- Information technology -- Security techniques -- Systems
Security Engineering -- Capability Maturity Model® (SSE-CMM®)
70 Bibliografía
(2008).
International Organization for Standardization. NTC-ISO/IEC 27005
(2008).
International Organization for Standardization. International
Standard ISO/IEC 27000 (2014).
Isomäki, H., & Bilozerov, O. (2011). Information Security Culture
in Russian ICT Small and Medium Size Enterprises. IRIS.
Isomäki, H., & Bilozerov, O. (2012). Managers’ Information
Security Awareness in Russian ICT Small and Medium Sized
Enterprises. IRIS.
Johnson, C. (2002). The benefits fo PDCA. Quality Progress.
Kett, H., Kasper, H., Falkner, J., & Weisbecker, A. (2012). Trust
factors for the usage of cloud computing in small and medium
sized craft enterprises. Lecture Notes in Computer Science
(Including Subseries Lecture Notes in Artificial Intelligence
and Lecture Notes in Bioinformatics), 7714 LNCS, 169–181.
Kimwele, M., Mwangi, W., & Kimani, S. (2010). Adoption of
information technology security policies: Case study of Kenyan
small and medium enterprises (SMES). Journal of Theoretical
and Applied Information Technology, 18(2), 1–11.
King, N. (2013). Small Business Cyber Security Workshop 2013
Towards Digitally Secure Business Growth.
Kourik, J. L. (2011). For Small and Medium Size Enterprises ( SME
) Deliberating Cloud Computing : A Proposed Approach 2 Cloud Computing 3 Potential Benefits and Drawbacks of Cloud
Computing. ECC’11 Proceedings of the 5th European Conference
on European Computing Conference, 216–221.
Laleh, E., Masoudi, Y., Fathy, F., & Ghorbani, S. (2013).
Influencing Factors of Information Security Management in
Small- and Medium-Sized Enterprises and Organizations. In 2013
International Conference on Communication Systems and Network
Technologies (pp. 445–449). IEEE. Retrieved from
http://ieeexplore.ieee.org/lpdocs/epic03/wrapper.htm?arnumber=
6524436
Lessing, M. (2008). Best practices show the way to Information
Security Maturity.
Ley 905. Congreso de Colombia (2004). Agosto 2 de 2004.
Lin, H., & Goodman, S. (2007). Toward a safer and more secure
cyberspace.
Lopes, I., & Oliveira, P. (2014). Understanding information
security culture: a survey in small and medium sized
enterprises. New Perspectives in Information Systems and ….
Mangin, O., Barafort, B., Heymans, P., & Dubois, E. (2012).
Medición de madurez de CiberSeguridad en MiPymes
colombianas
71
Designing a process reference model for information security
management systems. … Process Improvement and ….
Martins, A., & Elofe, J. (2002). Information security culture.
Mora-Riapira, E. H., Vera-Colina, M. A., & Melgarejo-Molina, Z. A.
(2015). Planificación estratégica y niveles de competitividad
de las Mipymes del sector comercio en Bogotá. Estudios
Gerenciales, 31(134), 79–87.
http://doi.org/10.1016/j.estger.2014.08.001
Ng, Z., Ahmad, A., & Maynard, S. (2013). Information Security
Management: Factors that Influence Security Investments in
SMES. In Australian Information Security Management
Conference. Perth, Australia: SRI Security Research Institute,
Edith Cowan University, Perth, Western Australia.
Rodríguez, E. A. B. (2013, November 13). Hacia la competitividad
sistémica de las MIPYMES: un análisis del contexto colombiano.
Ensayos. Revista de los estudiantes de Administración de
Empresas.
Sampieri, R. H. (2010). Metodología de la investigación. México:
Editorial Mc ….
Sánchez, L. (2009). MGSM-PYME: Metodología para la gestión de la
seguridad y su madurez en las PYMES. V Congreso ….
Sangani, N., & Vithani, T. (2012). Security & Privacy Architecture
as a service for Small and Medium Enterprises. Cloud Computing
….
San-José, P. P., Borge, C. G., Alonso, E. Á., Pérez, L. G., &
Rodríguez, S. de la F. Estudio sobre seguridad de la
información y continuidad de negocio en las empresas españolas
(2012). Gobierno de España, Ministerio de Industria, Energía y
Turismo.
Santos-Olmo, A., Sánchez, L. E., Fernández-Medina, E., & Piattini,
M. (2011). Desirable characteristics for an ISMS oriented to
SMEs. In Proceedings of the 8th International Workshop on
Security in Information Systems, WOSIS 2011, in Conjunction
with ICEIS 2011 (pp. 151–158).
Santos-Olmo, a, & Sánchez, L. (2012). Revisión Sistemática de
Metodologías y Modelos para el Análisis y Gestión de Riesgos
Asociativos y Jerárquicos para PYMES.
Globaltraining.Mondragon.Edu.
Solms, S. von. (2010). The 5 Waves of Information Security–From
Kristian Beckman to the Present. Security and Privacy–Silver
Linings in the Cloud.
Sultan, N. A. (2011). Reaching for the “cloud”: How SMEs can
manage. International Journal of Information Management,
72 Bibliografía
31(3), 272–278.
Tanuwijaya, H., & Sarno, R. (2010). Comparation of COBIT maturity
model and structural equation model for measuring the
alignment between university academic regulations and
information. IJCSNS.
Tawileh, A., Hilton, J., & McIntosh, S. (2007). Managing
information security in small and medium sized enterprises: a
holistic approach. ISSE/SECURE 2007 Securing Electronic ….
The IASME Consortium. Information Assurance for Small and Medium
Enterprises (IASME)-3.0-2015 (2015).
The Open Group. (2014). O-ISM3 Consortium Blog.
Unión Internacional de Telecomunicaciones. UIT-T X.1205 Serie X:
Redes de Datos, Comunicaciones de Sistemas Abiertos y
Seguridad (2008).
von Solms, R., & van Niekerk, J. (2013). From information security
to cyber security. Computers & Security, 38, 97–102.
http://doi.org/10.1016/j.cose.2013.04.004
Woodhouse, S. (2008). An isms (im)-maturity capability model. …
Workshops, 2008. CIT Workshops 2008. IEEE ….
Yeboah-Boateng, E. O. (2013). Cyber-Security Challenges with SMEs
in Developing Economies : Issues of Confidentiality , Integrity & Availability. Aalborg University.
Yeniman Yildirim, E., Akalp, G., Aytac, S., & Bayram, N. (2011).
Factors influencing information security management in small-
and medium-sized enterprises: A case study from Turkey.
International Journal of Information Management, 31(4), 360–
365.
Zapata, G., & Canet, T. (2008). Propuesta metodológica para la
construcción de escalas de medición a partir de una aplicación
empírica (Actualidades Investigativas en Educación, Latindex-
{UCR}). Actualidades Investigativas En Educación., Volumen
8(número 2), 1–26.