Modelo de madurez de ciber-resiliencia organizacional

Abstract

La ciber-resiliencia es el desarrollo de capacidades que le permiten a las organizaciones estar preparadas para afrontar ataques cibernéticos que puedan poner en riesgo la continuidad del negocio. Las capacidades clave que una organización debería desarrollar para ser ciber-resiliente son las de anticipar, resistir, recuperarse y evolucionar. Estas capacidades no se desarrollan de la noche a la mañana ; por el contrario, su desarrollo requiere de la implementación de prácticas organizacionales que se fortalecen a medida que la organización va madurando. En este trabajo se plantea el reto de identificar la forma como las capacidades organizacionales de ciber-resiliencia evolucionan de manera natural, así como las prácticas que se pueden evidenciar para determinar el nivel de madurez de ciber-resiliencia de una organización. Como resultado de este trabajo, se propone un modelo de madurez de ciber-resiliencia organizacional que tiene como fundamento técnico los principios de diseño de ciber-resiliencia definidos por la corporación MITRE (Massachusetts Institute of Technology Research & Engineering) (Deborah Bodeau & Graubart, 20 17), y como referencia de estructuración del modelo, los niveles de madurez planteados en el modelo CMMI (Capability Maturity Model Integration) para desarrollo (SEI, 201 0). Así mismo, el modelo comparativo se basó en el modelo de madurez de continuidad del negocio (BCMM, 20 12). Para validar el modelo de madurez de ciber-resiliencia organizacional propuesto, se elabora una herramienta de evaluación que es aplicada a cinco empresas del sector eléctrico. Una vez aplicada la herramienta de evaluación, se concluyó que el modelo es válido para evaluar rápidamente el estado de preparación de las organizaciones para afrontar ataques cibernéticos del tipo amenazas persistentes avanzadas.