Cuadro de indicadores de seguridad de la información para la Fuerza Aérea del Perú

Abstract

El avance de la tecnología ha evolucionado al arte de la guerra haciéndola cada vez más compleja, incluido el ciberespacio, donde los Estados deben mejorar su seguridad cibernética, implementando estrategias para la protección de sus centros de gravedad y desarrollando capacidades para defender, en primer lugar, a sus propias organizaciones y posteriormente responder contra un enemigo. Las leyes, políticas, modelos, controles entre otros son parte de la estrategia necesaria para darle el marco legal al accionar de las instituciones, mientras que la capacitación, el equipamiento y los procesos son parte de las capacidades que se deben desarrollar. La Fuerza Aérea del Perú, no ha implementado indicadores de seguridad de la información, es por lo que este trabajo de investigación es importante para ayudarla en mejorar la administración de su riesgo cibernético. Siendo necesario para ello, primero, determinar que controles emplea; segundo, describir a los indicadores de seguridad que son una herramienta útil para la medición de los controles y tercero, diseñar umbrales aceptables de esos indicadores adecuados a las necesidades propias de la Institución, que permitan medir la efectividad del modelo de Ciberseguridad Institucional.

The advancement of technology has evolved the art of war making it increasingly complex, including cyberspace, where the States must improve their cybersecurity, implementing strategies to protect their centers of gravity and developing capabilities to defend, in the first place, to their own organizations and subsequently respond against an enemy. Laws, policies, frameworks, controls, among others, are part of the necessary strategy to give the legal framework to the actions of the institutions, while training, equipment and processes are part of the capacities that must be developed. The Peruvian Air Force has not implemented information security indicators, which is why this research work is important to help it improve the management of its cyber risk. Being necessary for this, first, to determine what controls it uses; second, to describe the security indicators that are a useful tool for measuring controls and third, to design acceptable thresholds for those indicators appropriate to the Institution's own needs, which allow the effectiveness of the Institutional Cybersecurity Framework to be measured.