Diseño de un modelo de gestión de ciberseguridad para el Parlamento Andino de acuerdo con lo establecido en la norma ISO27032 de 2012

Abstract

Durante los últimos años, especialmente a partir de la crisis por COVID-19, el uso de las Tecnologías de la Información y la Comunicación (TIC) ha incrementado notablemente, y con ello, se ha presentado un aumento en el número de delitos y ataques que ocurren en el ciberespacio. Teniendo en cuenta que la Oficina Central de Parlamento Andino implementó la modalidad teletrabajo a partir de la crisis sanitaria, y que además maneja información y datos públicos y de uso interno (nivel más bajo de confidencialidad) de acuerdo a su función misional, el presente proyecto tiene como objetivo proponer un modelo de gestión de ciberseguridad para el Parlamento Andino de acuerdo con lo establecido en la Norma ISO27032 de 2012. Para dar cumplimiento al propósito de la investigación, se realizó un diagnóstico de la situación actual del Parlamento Andino en materia de ciberseguridad mediante la aplicación de una entrevista a funcionarios y la revisión de documentos y registros vigentes sobre ciberseguridad e industria 4.0. Además, se analizó lo establecido por la norma ISO27032 en contraste con el Marco Normativo de Ciberseguridad de Parlamento Andino, culminando con la propuesta de un modelo para la gestión de ciberseguridad de acuerdo a las necesidades encontradas durante la fase de recolección de datos. Se concluye que dentro del Parlamento Andino se debe fortalecer los mecanismos y buenas prácticas en materia de ciberseguridad, ya que la mayoría de los controles implementados no cuenta con la madurez aceptable y su vez funcionarios no cuentan con el conocimiento de ello y por ende existen factores y malas prácticas que pueden colocar en riesgo la seguridad de la información de los activos del Parlamento Andino que se encuentran en el ciberespacio. Asimismo, de acuerdo con las estadísticas de los países andinos y por las condiciones geográficas, se espera que en los próximos años la inversión en investigación y desarrollo (I+D) incremente, y se potencia de forma eficaz la digitalización y las estrategias de ciberseguridad.

During recent years, especially since the COVID-19 crisis, the use of Information and Communication Technologies (ICT) has increased notably, and with it, there has been an increase in the number of crimes and attacks that occur in cyberspace. Taking into account that the Central Office of the Andean Parliament implemented the teleworking modality as of the health crisis, and that it also manages information and public data and for internal use (lowest level of confidentiality) according to its missionary function, the present project Its objective is to propose a cybersecurity management model for the Andean Parliament in accordance with the provisions of the ISO27032 Standard of 2012. To fulfill the purpose of the investigation, a diagnosis of the current situation of the Andean Parliament in terms of cybersecurity was carried out through the application of an interview with officials and the review of current documents and records on cybersecurity and industry 4.0. In addition, the provisions of the ISO27032 standard were analyzed in contrast to the Cybersecurity Regulatory Framework of the Andean Parliament, culminating in the proposal of a model for cybersecurity management according to the needs found during the data collection phase. It is concluded that within the Andean Parliament, the mechanisms and good practices in cybersecurity should be strengthened, since most of the controls implemented do not have the acceptable maturity and, in turn, officials do not have the knowledge of it and therefore there are factors and bad practices that can put at risk the security of the information of the assets of the Andean Parliament that are in cyberspace. Likewise, according to the statistics of the Andean countries and due to geographical conditions, investment in research and development (R&D) is expected to increase in the coming years, and digitization and cybersecurity strategies will be effectively promoted.