Modelo de Auditoría en Ciberseguridad para el Proceso de Operaciones Aéreas de la Fuerza Aérea Colombiana

Abstract

Con este trabajo se buscó proponer un modelo de auditoría en ciberseguridad, basado en modelos existentes, para el proceso de operaciones aéreas en la Fuerza Aérea Colombiana. Para esto, se procedió a la identificación de estos en fuentes bibliográficas; a la caracterización del proceso desde la perspectiva de la ciberseguridad; y a la definición de variables y elementos de control, que de acuerdo a, la dinámica y características propias del proceso y de la institución, alimentarán la propuesta. Para la obtención de los datos, se utilizaron instrumentos de recolección tales como la entrevista, la encuesta, y la búsqueda de información digital y física, que junto a la experiencia del investigador de este trabajo, permitieron dar solución a la problemática planteada. Como resultado del trabajo, se propuso un modelo de auditoría en ciberseguridad que pueda ser aplicado en la inspección del proceso de operaciones aéreas y espaciales. Finalmente se concluyó que actualmente no se audita al proceso de operaciones aéreas desde la perspectiva de la ciberseguridad, y que se requiere que esta se centralice en la Fuerza y sea liderada desde el nivel estratégico. Se debe crear una doctrina escrita sobre esta temática que permita la auditabilidad al interior del proceso, haciéndose necesario aplicar herramientas para que la seguridad de la información se audite automáticamente; en este sentido, la Fuerza Aérea puede aplicar la matriz RACI para aclarar la responsabilidad de los dos procesos involucrados en ciberseguridad al interior de la organización. También es clave nombrar personal al interior de los Grupos y Escuadrones de Combate dedicados a la administración de la ciberseguridad.

This work sought to propose a cybersecurity audit model, based on existing models, for the process of air operations in the Colombian Air Force. For this, we proceeded to identify these in the bibliographic sources; to the characterization of the process from the perspective of cybersecurity, and to the definition of variables and control elements, which, according to the dynamics and characteristics of the process and the institution, will feed the proposal. To obtain the data, collection instruments such as the interview, the survey, and the search for digital and physical information were used, which, together with the experience of the researcher of this work, allowed us to solve the problem posed. As a result of the work, a cybersecurity audit model was proposed that can be applied in the inspection of the air and space operations process. Finally, it was concluded that currently the air operations process is not audited from the perspective of cybersecurity, and that it is required that it be centralized in the Force and be led from the strategic level. A written doctrine must be created on this subject that allows auditability within the process, making it necessary to apply tools so that information security is automatically audited; In this sense, the Air Force can apply the RACI matrix to clarify the responsibility of the two processes involved in cybersecurity within the organization. It is also key to appoint personnel within the Combat Groups and Squads dedicated to the administration of cybersecurity.