Medición de madurez de CiberSeguridad en MiPymes … · 4.7 Próximos pasos ... Etapas de la medición de madurez ... pero ninguno de estos esfuerzos ha sido enfocado hacia las MiPymes

Medición de madurez de

CiberSeguridad en MiPymes

colombianas

Benjamín José Ramírez Montealegre

Universidad Nacional de Colombia

Facultad de Ingeniería, Área Curricular de Ingeniería de Sistemas

e Industrial

Bogotá, Colombia

2016

Medición de madurez de

CiberSeguridad en MiPymes

colombianas

Benjamín José Ramírez Montealegre

Tesis presentada como requisito parcial para optar al título de:

Magíster en Ingeniería - Telecomunicaciones

Director:

PhD José Ismael Peña Reyes

Línea de Investigación:

Seguridad de la información

Grupo de Investigación:

Grupo de Investigación en Sistemas y Tecnologías de Información y

Comunicaciones en las Organizaciones (GISTIC)

Universidad Nacional de Colombia

Facultad de Ingeniería, Área Curricular de Ingeniería de Sistemas

e Industrial

Bogotá, Colombia

2016

4 Medición de madurez de CiberSeguridad en MiPymes

colombianas

Resumen

Las MiPymes representan más del 95% de las empresas en Colombia,

sin embargo, su tamaño y reducido presupuesto las hace especialmente

vulnerables. Esta influencia y peso en la economía del país es una

razón para realizar investigaciones que puedan servir de apoyo a

este tipo de empresas. La presente tesis tiene como objetivo

analizar la situación actual de las MiPymes en Colombia en relación

con la ciberseguridad y sus prácticas. La información recopilada

muestra las falencias que tienen este tipo de empresas. Finalmente

se entregan recomendaciones y lineamientos para próximas

investigaciones o programas que puedan ser desarrollados en el país,

con el fin de fortalecer y asegurar este tipo de empresas.

Palabras clave: Ciberseguridad, seguridad de la información,

MiPymes, modelos de madurez.

Abstract

SMEs are more than 95% of companies in Colombia, nevertheless their

size and budgeting make them especially vulnerable. This influence

and importance in Colombian economy is a motivation to perform

research that can support this type of companies. The objective of

this thesis is to analyze current cybersecurity situation in

Colombian SMEs. The information gathered shows the weaknesses of

this companies. Finally, some recommendations are given for upcoming

research or programs that can be develop in Colombia, which

objective would be to build more secure companies.

Keyword: cybersecurity, information security, SME, maturity models

Contenido 5

Contenido Pág.

Resumen ................................................................................................................................................................. 4

Contenido ............................................................................................................................................................... 5

Lista de figuras ...................................................................................................................................................... 6

Introducción .......................................................................................................................................................... 7

1. La Ciberseguridad En Las Mipymes: Un Urgente Tema De Investigación ................................10 1.1 Identificación del problema ............................ 10 1.2 Diseño de la investigación ............................. 11 1.3 Método de estudio de similitud entre modelos y estándares

(MSSS) ...................................................... 13 1.4 La construcción de un instrumento de medición de madurez 14

2. Estado Del Arte ..........................................................................................................................................16 2.1 Seguridad de la Información y Ciberseguridad ........... 16 2.2 Sistema de Gestión de Seguridad de la Información ...... 18 2.3 Ciberseguridad en MiPymes .............................. 19 2.4 Modelos de Madurez ..................................... 20 2.5 Estándares de Ciberseguridad Enfocados a MiPymes ....... 22

2.5.1 IASME ............................................. 22 2.5.2 ISSA-UK 5173 ...................................... 24

3. Análisis y Elección del Modelo de Madurez.......................................................................................26 3.1 Organización de las áreas del modelo escogido .......... 33 3.2 Creación del instrumento de medición de madurez ........ 36

3.2.1 Población y muestra del estudio. .................. 36 3.3 Realización de la encuesta ............................. 40

3.3.1 Validación de la encuesta ......................... 40 3.3.2 Prueba piloto ..................................... 40

3.4 Aplicación del instrumento ............................. 41 3.5 Resultados generales ................................... 44 3.6 Resultados por tamaño de la empresa .................... 50 3.7 Resultados por sector .................................. 54

4. Conclusiones, Hallazgos Y Recomendaciones ...................................................................................59 4.1 Conclusiones generales ................................. 59 4.2 Conclusiones para la academia .......................... 61 4.3 Conclusiones para las microempresas .................... 62 4.4 Pequeña empresa ........................................ 62 4.5 Mediana empresa ........................................ 63 4.6 Recomendaciones ........................................ 63 4.7 Próximos pasos ......................................... 64

5. Bibliografía .................................................................................................................................................68


colombianas

Lista de figuras Pág.

Figura 1-1: Diseño de la investigación .................................................................................................................11

Figura 1-2: Etapas de la medición de madurez ...............................................................................................12

Figura 1-3: Método de Estudio de Similitud entre Modelos y Estándares (Calvo-Manzano,

Cuevas, Muñoz, & Feliu, 2008), adaptación utilizada para el estudio. .................................................13

Figura 1-4: Guía metodológica para la construcción del instrumento de medición. Tomado de

Zapata & Canet (2008) ................................................................................................................................................14

Figura 2-1: Ciclo PHVA y su relación con los capítulos de la norma NTC-ISO-IEC 27001:2013

.................................................................................................................................................................................................18

Figura 2-2: Dominios de la norma NTC-ISO-IEC 27001:2013 ..................................................................19

Figura 3-1: Áreas prioritarias en ciberseguridad, según el tamaño de la empresa .......................34

Figura 3-2: Muestra del gráfico de madurez diseñado ................................................................................41

Figura 3-3: Porcentaje de empresas por sectores económicos ...............................................................42

Figura 3-4: Número de empleados de las empresas .....................................................................................42

Figura 3-5: Infraestructura tecnológica de las empresas encuestadas ................................................43

Figura 3-6: Cargos de las personas encuestadas ............................................................................................43

Figura 3-7: Porcentaje de MiPymes con un SGSI implementado ............................................................44

Figura 3-8: Personal dedicado a la ciberseguridad .......................................................................................45

Figura 3-9: Postura de las empresas en ciberseguridad .............................................................................45

Figura 3-10: Nivel de madurez en ciberseguridad para Microempresas ............................................50

Figura 3-11: Nivel de madurez de la Pequeña empresa ..............................................................................52

Figura 3-12: Nivel de madurez mediana empresa .........................................................................................53

Figura 3-13: Porcentaje de empresas encuestadas de un total de 61 pertenecientes al sector

de servicios........................................................................................................................................................................54

Figura 3-14: Madurez sector servicios ................................................................................................................55


industrial ............................................................................................................................................................................56

Figura 3-16: Nivel de madurez en ciberseguridad para el sector industrial .....................................56


comercio .............................................................................................................................................................................57

Figura 3-18: Nivel de madurez en ciberseguridad para el sector comercio ......................................58

Figura 4-1: Acciones a seguir para la ciberseguridad en MiPymes........................................................65

Tabla 4-2: Acciones a implementar .......................................................................................................................65

Introducción

Según la legislación colombiana, una MiPyme (Micro, pequeña y

mediana empresa) está definida tal y como se muestra en la tabla 1-

1.

Tabla 1-1: Definición de empresas en Colombia (Ley 905, 2004)

TIPO DE EMPRESA NÚMERO DE

EMPLEADOS

ACTIVOS TOTALES

EN SALARIOS MINIMOS

MENSUALES VIGENTES

Mediana 51-200 5000-15000

Pequeña 11-50 501-5000

Microempresa Hasta 10 Inferior a 500

La participación de las MiPymes en la economía nacional, según datos

del DANE (Departamento Administrativo Nacional de Estadística) en

su censo económico es de alrededor del 96%. Este porcentaje se

distribuye de la siguiente manera: 92,6% Micro, 3,2% Pequeñas y 0,5

Medianas1.En cuanto al empleo generado, las MiPymes ocupan el 80,8%

del personal en el territorio nacional. Este porcentaje se reparte

en un 50,3% en las Microempresas, el 17,6% en las Pequeñas y el

12,9% en las Medianas.

Estos números muestran el papel fundamental que juegan este tipo de

empresas en la economía nacional. El desconocimiento de algunos

aspectos de las MiPymes se puede ver reflejado, por ejemplo, en la

incapacidad de determinar el número total de MiPymes en el país. El

último dato que se conoce del número de establecimientos es de

1´389.698 (Departamento Administrativo Nacional de Estadística,

1 Departamento Administrativo Nacional de Estadística – DANE – Censo económico 2005


colombianas

2005). Dicha cifra, como todas las presentadas con anterioridad,

datan del 2005.

Para el año 2014 Confecámaras tiene registrados 716.578 sociedades

categorizadas como MiPymes. Sin embargo, existen muchos negocios

que no están registrados, es decir ejercen sin formalizar. En la

Figura 1 se evidencia el dinamismo en cuanto al establecimiento de

MiPymes en el país. Allí se puede apreciar el porcentaje de

crecimiento de MiPymes formalizadas en un periodo de 5 años. Según

datos del Banco Mundial, la tasa de informalidad para Colombia es

del 38,7%, lo cual hace que el dato disponible a través de

Confecámaras no sea suficiente para determinar el número total de

MiPymes en Colombia(Confecámaras, 2011).

Figura 1: Crecimiento de MiPymes registradas en Bogotá. Tomado de

(Mora-Riapira, Vera-Colina, & Melgarejo-Molina, 2015)

El panorama expuesto anteriormente es un reflejo de la poca

información que se tiene relacionada con las MiPymes, tema

preocupante dada la alta participación en la economía colombiana.

La ciberseguridad no es ajena a esta situación. Actualmente no

existen datos ni estadísticas de cómo este tipo de empresas están

adoptando prácticas para proteger su información en el país.

Para nadie es un secreto que en nuestros días la información es

utilizada en toda una gama de medios digitales, que hacen que las

amenazas se trasladen al mundo digital. Las precisiones e

impresiones que se tiene de las MiPymes y sus dificultades para

adoptar estrategias de ciberseguridad son producto de estudios

2005 2006 2007 2008 2009 2010

PORCENTAJE DECRECIMIENTO DE MIPYMES

9% 83% 11% -3% 15% 0,40%

-10%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

PORCENTAJE DE CRECIMIENTO DE MIPYMES REGISTRADAS EN BOGOTÁ

Introducción 9

realizados en otros países. De aquí radica la importancia de esta

investigación, la cual permitirá tomar una base y conocer en qué

situación se encuentran las MiPymes actualmente para así dar origen

a estrategias y herramientas que permitan apoyar a estas empresas

en ciberseguridad.

El presente estudio pretende recopilar información que ayude a

entender la situación de las MiPymes colombianas y así generar toda

una gama de soluciones que permitan convertir las debilidades

comunes en fortalezas. Se ha encontrado que las MiPymes pueden ser

poco formales, y esto podría utilizarse a favor para generar marcos

más flexibles y eficientes aprovechando el dinamismo estructural

con el que cuentan este tipo de compañías.

De esta manera se pretende identificar el estado actual en

ciberseguridad en Pymes colombianas y sus problemáticas. Los

objetivos específicos planteados son:

- Analizar entre los diversos modelos de madurez en seguridad de

la información existentes para Pymes y elegir el que se va a

utilizar.

- Establecer el nivel de madurez en ciberseguridad para Pymes

colombianas.

- Determinar, dentro de las empresas encuestadas, qué porcentaje

han adoptado un SGSI.

- Identificar qué tendencias existen dentro de la muestra

seleccionada.

- Dar lineamientos que puedan ayudar a solucionar las

problemáticas encontradas.

1. La Ciberseguridad En Las Mipymes: Un Urgente Tema De Investigación

En el país se han realizado algunos trabajos relacionados con

seguridad informática, seguridad de la información y ciberseguridad,

pero ninguno de estos esfuerzos ha sido enfocado hacia las MiPymes.

Anualmente la revista de sistemas de la ACIS (Asociación Colombiana

de Ingenieros de Sistemas) publica los resultados de su Encuesta

Nacional de Seguridad Informática(Almanza, 2015). En esta encuesta

participan todo tipo de empresas y se entregan unos resultados

generales.

A nivel académico no se encuentran investigaciones sobre el tema

enfocadas al contexto colombiano, por lo que la presente

investigación toma importancia, puesto que se realizará una medición

de madurez en ciberseguridad sobre MiPymes colombianas.

1.1 Identificación del problema

Debido a su reducido tamaño, las MiPymes enfrentan dificultades para

desenvolverse en diversas áreas(Rodríguez, 2013). Su limitado

presupuesto hace que solo se atiendan las prioridades directamente

relacionadas con su misión, descuidando otras áreas que son

importantes y afectando su competitividad. Dentro de esos aspectos

rezagados se encuentra la ciberseguridad.

Algunas empresas y en especial las MiPymes, consideran que la

ciberseguridad representa un gasto que no entrega beneficios

palpables(Yeboah-Boateng, 2013). Esta percepción permite a los

delincuentes informáticos sacar provecho de la situación. Las

MiPymes se han convertido en la entrada a empresas más grandes dado

que son la parte más débil de la cadena de suministro(Boyson, 2014).

Dentro de las empresas que tienen iniciativas de ciberseguridad, se

ha encontrado que estos sistemas implementados no las protege

realmente y son producto de la presión de proveedores y clientes

por asegurar la información de la empresa(Yeboah-Boateng, 2013).

Igualmente el número de Pymes o MiPymes que poseen algún tipo de

sistema de ciberseguridad certificado es reducido, probablemente

La Ciberseguridad En Las MiPymes: Un Urgente Tema De

Investigación

11

debido a la complejidad de implementarlo y a sus costos

asociados(Mangin, Barafort, Heymans, & Dubois, 2012).

Justificado en su falta de presupuesto, no se contrata personal

especializado en temas de ciberseguridad (Kimwele, Mwangi, & Kimani,

2010). Al no tener personal calificado, la implementación de

estándares y prácticas se vuelve demasiado compleja y costosa. Se

ha encontrado que hay carencia de modelos y guías prácticas que

ayuden a las MiPymes a implementar iniciativas de seguridad.

1.2 Diseño de la investigación

Como la meta es poder recopilar datos dada la escaza información

existente en el país, se ha diseñado una investigación cuantitativa

no experimental, transversal de carácter exploratoria(Sampieri,

2010)tal como se muestra en la figura 1-1.

Figura 1-1: Diseño de la investigación

Se ha propuesto como objetivo recopilar información sobre cómo las

empresas han adoptado prácticas y estrategias de ciberseguridad,

así como sus actitudes hacia esta, sin interferir o manipular las

variables definidas, es decir no experimental. Por otra parte, el

estudio se realizó de manera transversal, pues temporalmente se

evaluaron las empresas una única vez y se define un estudio de tipo

exploratorio. Esto último se considera lo más adecuado teniendo en

No experimental

Transversal Exploratorio


colombianas

cuenta que actualmente no existe mucha información sobre el tema

elegido.

Dentro de la ciberseguridad se han identificado diversos factores

que pueden influir en cómo las MiPymes están haciendo frente a los

desafíos encontrados. Dentro de las aproximaciones que se dan al

problema se encuentran problemas técnicos, humanos,

organizacionales, solo por mencionar algunos. El presente estudio

pretender entregar una visión holística de la ciberseguridad en

MiPymes colombianas, en donde estos resultados sirvan como base para

realizar estudios futuros y para entregar lineamientos y estrategias

encaminadas a fortalecer y mejorar las prácticas en ciberseguridad

de este sector empresarial.

La recopilación de la información se hizo por medio de encuestas.

La población objetivo son las MiPymes colombianas, según la

definición entregada por la Ley 905 de 2004. Sin embargo, como se

mencionó anteriormente no es posible determinar el número total de

MiPymes en el país con exactitud. Por esta razón se realiza un

muestreo por conveniencia.

La investigación se ha desarrollado en las etapas que se muestran

en la figura 1-2.

Figura 1-2: Etapas de la medición de madurez

•Ciberseguridad en MiPymes

•Modelos de Madurez

Revisión del estado del arte

•Revisión de modelos

•Definición del modelo a utilizar

Elección del modelo de madurez

•Diseño del instrumento

•Validación

Creación del instrumento de medición de madurez

•Aplicación de cuestionariosRecopilación de la

información

•Identificación de problemáticasAnálisis de resultados

•Pasos a SeguirConclusiones y

recomendaciones


Investigación

13

1.3 Método de estudio de similitud entre modelos y estándares (MSSS)

Para la selección del modelo de madurez, bajo el cual se realizó la

medición de las MiPymes colombianas, se utilizó el Método de Estudio

de Similitud entre Modelos y Estándares (MSSS)(Calvo-Manzano,

Cuevas, Muñoz, & Feliu, 2008). Este método ha sido diseñado para

facilitar la comparación entre diversos modelos y estándares de la

industria.

El método fue propuesto por La Cátedra de Mejora de Procesos Software

en el Espacio Iberoamericano (MPSEI) de la Universidad Politécnica

de Madrid (UPM) y ha sido validado por varios autores en diversos

campos(Calvo-Manzano, Cuevas, Muñoz, & Feliú, 2008; G. Hurtado,

2010; G. G. Hurtado, 2010). Este método surge de la recopilación y

análisis de varios estudios en donde se realiza la evaluación de

modelos y estándares.

El MSSS establece siete fases de análisis:

1. Identificación potencial de modelos y estándares a analizar 2. Selección o definición del modelo referencia 3. Selección del proceso (o procesos) que serán analizados 4. Establecimiento del nivel de detalle 5. Creación de la plantilla de comparación 6. Identificación de las similitudes entre modelos 7. Presentación de los resultados

En la figura 1-3 se muestra la adaptación del modelo utilizado para

esta tesis.

Figura 1-3: Método de Estudio de Similitud entre Modelos y

Estándares (Calvo-Manzano, Cuevas, Muñoz, & Feliu, 2008), adaptación

utilizada para el estudio.

1. Definir los criterios de selección de los modelos. Realizar selección preliminar.

2. Seleccionar los modelos a comparar. Establecer enfoque.

3. Definir aspectos a analizar de cada uno de los modelos. Definir alcance.

4. Definir nivel de detalle. Analizar la información.

5. Crear plantilla de comparación.

6. Identificar similitud y diferencias entre los modelos.

7. Presentar informaciòn y resultado del análisis


colombianas

1.4 La construcción de un instrumento de medición de madurez

La elaboración del instrumento de medición se realiza siguiendo la

guía metodológica propuesta por Zapata y Canet (Zapata & Canet,

2008), basada en el paradigma de Churchill(Churchill Jr., 1979).

Esta guía se compone de 11 pasos que permiten construir un

instrumento que cumpla con las necesidades del estudio.

Figura 1-4: Guía metodológica para la construcción del instrumento

de medición. Tomado de Zapata & Canet (2008)

Inicialmente debe identificarse el dominio de los constructos o

variables, las cuales deben tener un respaldo bibliográfico producto

de la revisión de la literatura existente. A partir de estos

constructos se definen los ítems y la escala de medida, los cuales

pueden ser tomados de la literatura revisada o pueden originarse de

la experiencia y criterio propio del investigador.

Una vez finalizados los pasos anteriores se genera una versión

preliminar del cuestionario, el cual es aplicado en una prueba

piloto. Dentro de esta prueba piloto se analiza la validez de

contenido que permite depurar el instrumento para el objetivo

propuesto. En este pilotaje pueden usarse técnicas como la

evaluación individual por especialistas, la técnica Delphi entre

otras. Para el presente estudio se realizará una evaluación de

especialistas.

1.Especificación del Constructo

2.Definición de las dimensiones

3.Selección de los ítems

4.Validez de contenido

5.Aplicación del cuestionario

6.Ajuste a la escala

7.Prueba Piloto8.Diseño de la

Población y Muestra

9.Diseño del Diagrama de

Path

10.Fiabilidad y Validez de Constructo

11.Ajuste final de la Escala


Investigación

15

Realizando la prueba de validez de contenido, se procede a

seleccionar la población y muestra a utilizar. Posteriormente se

realiza una prueba piloto con un grupo reducido de integrantes de

la muestra seleccionada, con el fin de depurar el contenido y

estructuración del cuestionario.

Después de realizar los ajustes necesarios, se aplica el instrumento

y se recolectan los datos. Estos datos se utilizarán para evaluar

el instrumento por medio de herramientas estadísticas. Con base en

estos resultados se realizan las depuraciones finales.

2. Estado Del Arte

En este capítulo se presentan los resultados de las investigaciones

en seguridad de la información y ciberseguridad. Adicionalmente se

complementa esta búsqueda con la ciberseguridad en las MiPymes.

2.1 Seguridad de la Información y Ciberseguridad

Los términos ciberseguridad y seguridad de la información han sido

utilizados como sinónimos. Se muestran algunas definiciones

encontradas en la literatura académica.

Para Lin & Goodman (2007)la ciberseguridad se refiere a todos los

asuntos relacionados con diversos ciberataques y al diseño de

estrategias para preservar la confidencialidad, integridad y

disponibilidad de la tecnología y de la información digital.

La UIT (Unión Internacional de Telecomunicaciones) define en su

recomendación UIT–T X.1205(Unión Internacional de

Telecomunicaciones, 2008) a la ciberseguridad como:

Ciberseguridad: el conjunto de herramientas, políticas,

conceptos de seguridad, salvaguardas de seguridad,

directrices, métodos de gestión de riesgos, acciones,

formación, prácticas idóneas, seguros y tecnologías que pueden

utilizarse para proteger los activos de la organización y los

usuarios en el ciberentorno. Los activos de la organización y

los usuarios son los dispositivos informáticos conectados, los

usuarios, los servicios/aplicaciones, los sistemas de

comunicaciones, las comunicaciones multimedios, y la totalidad

de la información transmitida y/o almacenada en el

ciberentorno. La ciberseguridad garantiza que se alcancen y

mantengan las propiedades de seguridad de los activos de la

organización y los usuarios contra los riesgos de seguridad

correspondientes en el ciberentorno. Las propiedades de

seguridad incluyen una o más de las siguientes:

• Disponibilidad;

• Integridad, que puede incluir la autenticidad y el no

repudio;

• Confidencialidad. (P.3)

Estado Del Arte 17

En Colombia el documento Conpes 3701 define la ciberseguridad como

la “capacidad del Estado para minimizar el nivel de riesgo

al que están expuestos sus ciudadanos, ante amenazas o

incidentes de naturaleza cibernética”(Consejo Nacional de Política

Económica y Social, 2011). Este Conpes define la estrategia nacional

de ciberseguridad para proteger al Estado colombiano ante amenazas

cibernéticas. Aunque el documento tiene una definición totalmente

diferente de ciberseguridad, a lo largo de este se tratan los

términos seguridad de la información y ciberseguridad como

sinónimos.

Por otra parte la norma ISO/IEC 27000:2014 define a la seguridad de

la información como la preservación de la confidencialidad,

integridad y disponibilidad de la información (International

Organization for Standardization, 2014).

Algunos autores consideran un error tratar los términos

ciberseguridad y seguridad de la información como sinónimos(Fojón &

Sanz Villalba, 2010). Sin embargo las diferencias entre los dos son

mínimas(R. von Solms & van Niekerk, 2013). Esta delgada línea que

los separa se debe a que las prácticas definidas para asegurar la

información son aplicables como elementos de las estrategias de

ciberseguridad. Así estas prácticas se hayan originado para proteger

a la información, su aplicación va más allá y permite proteger los

activos del ciberentorno.

Para ayudar a una mejor comprensión del cuestionario, se utiliza el

término seguridad de la información, dado que es un término con el

que se encuentran más familiarizados los empresarios y encargados

de temas de ciberseguridad en las empresas en Colombia.

Finalmente se tratarán los términos como sinónimos debido a su

similitud latente, evidenciada en las definiciones expuestas. Se

observa en diversos contextos, la definición de controles de

ciberseguridad que utilizan controles de seguridad de la

información, como el programa Cyber Essentials2 o los 20 controles

críticos del SANS 3 . Las practicas Ciber Esenciales (Cyber

Essentials) se diseñaron para proporcionar una guía práctica para

los negocios del Reino Unido y tiene su origen en la norma ISO/IEC

27001:2013, norma pilar de la seguridad de la información. Los

controles críticos del SANS definen, como su nombre lo indica,

controles esenciales de ciberseguridad cuyo objetivo es proteger la

seguridad de la información. El listado de ejemplos en donde se

solapan los dos términos es extenso y no se mencionarán todos puesto

que no es objetivo del presente trabajo profundizar en esta

discusión.

2 http://www.cyberessentials.org/ 3 https://www.sans.org/critical-security-controls/


colombianas

2.2 Sistema de Gestión de Seguridad de la Información

Un sistema de gestión es un grupo de elementos que interactúan en

una organización con el fin de establecer políticas, objetivos y

procesos que permitan alcanzar dichos objetivos(International

Organization for Standardization, 2014). Un Sistema de Gestión de

Seguridad de la Información (SGSI) permite a las empresas abordar

de manera organizada los objetivos que dan origen a iniciativas en

seguridad de la información. La implementación de un SGSI permite a

las empresas realizar una gestión apropiada de la seguridad.

Los requerimientos para la implementación de un SGSI están definidos

por la norma ISO/IEC 27001:2013. Esta norma comparte con la mayoría

de estándares de la ISO, una estructura basada en el ciclo PHVA

(Planear, Hacer, Verificar, Actuar)(Johnson, 2002).

La norma es aceptada y utilizada a nivel mundial como base de la

gestión de seguridad de la información en empresas. Se compone

principalmente de dos partes: los requerimientos para el

establecimiento de un SGSI y los controles a aplicar.

En la figura 2-1, puede verse cómo la primera parte de la norma se

relaciona con el ciclo PHVA.

Figura 2-1: Ciclo PHVA y su relación con los capítulos de la norma

NTC-ISO-IEC 27001:2013

La norma define 114 controles agrupados en 14 dominios de seguridad.

Cada dominio define un área que debe contemplarse a la hora de

establecer un SGSI.

Cada uno de los controles definidos en el anexo A de la norma hace

referencia a un objetivo relacionado con los dominios presentados

en la Figura 2-2.

PLANEAR -4.Contexto, 5.Liderazgo,

6.Planificación, 7.Soporte

HACER -8.Operación

VERIFICAR -9.Evaluación de

desempeño

ACTUAR -10.Mejora

Estado Del Arte 19

Figura 2-2: Dominios de la norma NTC-ISO-IEC 27001:2013

La norma NTC-ISO-IEC 27001:2013 es certificable por una entidad

externa que valida que la organización haya establecido un SGSI

conforme a los requerimientos de la misma. Esta norma estandariza

la seguridad de la información. Sin embargo, esta no constituye una

guía paso a paso para la implementación de un SGSI ni de los

controles allí definidos.

2.3 Ciberseguridad en MiPymes

Los temas de ciberseguridad para MiPymes no han sido explorados en

el volumen que se esperaría para un área de tal relevancia. Existen

varias aproximaciones que se han enfocado en identificar las

problemáticas en MiPymes(Cholez & Girard, 2014; Kett, Kasper,

Falkner, & Weisbecker, 2012; Laleh, Masoudi, Fathy, & Ghorbani,

2013; San-José, Borge, Alonso, Pérez, & Rodríguez, 2012; Yeniman

Yildirim, Akalp, Aytac, & Bayram, 2011). Dentro de estas

problemáticas se destacan la falsa sensación de seguridad, la baja

inversión y la falta de personal especializado en el tema.

Con el fin de apoyar a las empresas en la identificación de los

problemas que puedan presentarse en ciberseguridad existe la gestión

de riesgos. Se conoce como riesgo a nivel de Ciberseguridad como la

posibilidad de sufrir pérdida o daño(Richard a Caralli, Allen,

Curtis, White, & Young, 2010). También se define como la

probabilidad de que una amenaza explote una

vulnerabilidad(International Organization for Standardization,

A.5 Políticas de la seguridad de la

información

A.6 Organización de la seguridad de la

información

A.7 Seguridad de los recursos humanos

A.8 Gestión de activos

A.9 Control de acceso A. 10 CriptografíaA.11 Seguridad física y

del entornoA.12 Seguridad de las

operaciones

A.13 Seguridad de las comunicaciones

A.14 Adquisición, desarrollo y

mantenimiento de sistemas

A.15 Relaciones con los proveedores

A.16 Gestión de incidentes de seguridad

de la información

A.17 Aspectos de seguridad de la

información de la gestión de continuidad

de negocio

A.18 Cumplimiento


colombianas

2008b). La gestión de riesgos tiene como objetivo identificar,

analizar y mitigar los riesgos que puedan afectar a los activos de

información de la empresa(Richard a Caralli et al., 2010).

La gestión de riesgos puede resultar compleja para las empresas de

pequeño tamaño, por lo que han surgido algunas metodologías de apoyo

que simplifican esta gestión (Beachboard et al., 2008; RA Caralli,

Stevens, Young, & Wilson, 2007; European Network and Information

Security Agency, 2006; Hutchinson, Armitt, & Edwards-lear, 2014; a

Santos-Olmo & Sánchez, 2012). Cada una de estas metodologías tiene

sus fortalezas y debilidades, pero no es objetivo del estudio actual

detallar, analizar o comparar dichas metodologías.

Algunas soluciones se han propuesto a manera de modelos o marcos de

referencia enfocados a la Pymes. Estos marcos han sido generados

por organizaciones (Information Systems Security Association,

2011), grupos de investigación con apoyo gubernamental(Henson,

Dresner, & Booth, 2011)o grupos de investigación o investigadores

de manera independiente (Sánchez, 2009; Tawileh, Hilton, & McIntosh,

2007).

Finalmente existen dos tendencias que han tomado fuerza en la última

década. La primera es la protección de la información en la nube.

Se sabe que las soluciones en la nube han permitido que las Pymes

puedan tener acceso y aprovechar la tecnología de una mejor

manera(Sultan, 2011). En esta línea se tienen algunos artículos que

han abordado el tema de la seguridad en la nube y proponen algunas

soluciones(Kourik, 2011; Sangani & Vithani, 2012). La segunda

tendencia se relaciona con la cultura en seguridad de la

información. La cultura en ciberseguridad se conoce como las

percepciones, actitudes y suposiciones que son aceptadas y

estimuladas en una organización(Martins & Elofe, 2002).En esta área

se han realizado algunos estudios que muestran algunas de las

falencias de las Pymes en este aspecto(Dojkovski, Lichtenstein, &

Warren, 2007; Isomäki & Bilozerov, 2011, 2012; Lopes & Oliveira,

2014).

2.4 Modelos de Madurez

Actualmente existen diversos modelos de madurez relacionados con la

ciberseguridad. Los modelos de madurez permiten establecer qué

medidas ha implementado una empresa y con qué rigurosidad se ha

realizado dicha implementación. Woodhouse (2008) muestra un resumen

de dichos modelos hasta ese momento. En la tabla 2-1 se muestra un

resumen de dichos modelos y se incluyen algunos que no fueron

contemplados por Woodhouse en su artículo como lo son los modelos

MGSM-PYME, IASME, CRP, dado que a la fecha no existían.

Estado Del Arte 21

Tabla 2-1: Modelos de madurez consultados. Adaptado de

Woodhouse(2008)

MODELO DESCRIPCIÓN

NIST CSEAT IT Security

Maturity Model

Modelo enfocado a la documentación como

base principal de un esquema de

ciberseguridad. Se enfoca en la definición

y posterior implementación y medición de

lo definido en documentos(Lessing, 2008).

Citigroup´s

Information Security

Evaluation

Este estándar se realizó con base en la

documentación de los estándares y

publicaciones especiales de procesamiento

de información federal del gobierno de los

Estados Unidos(Lessing, 2008).

COBIT Maturity Model El modelo se basa en 17 objetivos de

control relacionado con cada uno de los

dominios definidos por CobiT para el

gobierno TI, dentro de los cuales se

encuentra la seguridad de la

información(Tanuwijaya & Sarno, 2010).

ISO/IEC 21827 /SSE-CMM En esta norma ISO se define un modelo de

madurez y capacidad para la seguridad de

sistemas(International Organization for

Standardization, 2008a).

CERT/CSO Define niveles de madurez relacionados con

la documentación(Woodhouse, 2008).

O-ISM3 Modelo diseñado con el fin de establecer

capacidad y madurez en tres grandes áreas:

gestión de riesgos, controles y gestión de

la seguridad(The Open Group, 2014).

Information Security

Capability Model

(ISPMG)

Este modelo mide el nivel de conciencia en

ciberseguridad de una empresa(Woodhouse,

2008).

Security Capability

Model (SMM)

Modelo que tiene una visión holística en

donde no solo se tiene en cuenta los

aspectos tecnológicos sino los

relacionados con la organización, gestión

y cultura de la empresa(Woodhouse, 2008).

MGSM-PYME Modelo de madurez diseñado

específicamente para Pymes y en donde se

mide la madurez de la implementación de un

SGSI(Sánchez, 2009).

IASME Modelo generado para medir el nivel de

implementación del estándar IASME del

Reino Unido(Henson et al., 2011).

CRP -HENRI TUDOR Modelo de madurez generado para medir los

avances relacionados con la investigación

realizada por el instituto Henri Tudor en

Luxemburgo, cuyo objetivo es apoyar a las

MiPymes en temas de ciberseguridad(Cholez

& Girard, 2014).


colombianas

2.5 Estándares de Ciberseguridad Enfocados a MiPymes

Se conoce como estándar los documentos que proporcionan

especificaciones o características que aseguren que los procesos o

servicios se desarrollaron de manera adecuada para cumplir con su

finalidad4. En la sección 2.2 se presentó el estándar más utilizado

en seguridad de la información. Sin embargo, existen un par de

estándares desarrollados específicamente para MiPymes: IASME e ISSA-

UK 5173.

2.5.1 IASME

IASME (Information Assurance for Small and Medium Sized Enterprises)

es un estándar creado por el IASME Consortium. Este consorcio está

constituido por un ente académico (Universidad de Worcester),

consultores privados en ciberseguridad y una asociación de

profesionales de TI (National Computing Centre). Fue creado para

apoyar a las Pymes del condado de West Midlands en Inglaterra. Su

finalidad es apoyar el desarrollo de iniciativas de seguridad de la

información al alcance de dichas empresas(Henson et al., 2011).

El estándar se originó inicialmente como una investigación realizada

sobre las prácticas que poseen las Pymes de Midlands en cuanto a

seguridad de la información(Henson & Booth, 2010). Después de

analizar dicha información, se propuso el primer borrador del

estándar IASME y este se puso a prueba, con varias interacciones

con diversas Pymes. Actualmente el uso del IASME se ha extendido al

Reino Unido. Adicionalmente este estándar es certificable y dicha

certificación se ha convertido en requisito para participar en

negocios con empresas estatales en este país.

En la tabla 2-2 se muestran las áreas que define IASME, las cuales

se conocen como los factores de seguridad del negocio (Business

Security Factors)(The IASME Consortium, 2015).

Tabla 2-2: Factores de Seguridad del Negocio – IASME Standard v.

3.0-2015

Factor Definición

Organización

Gestionar los recursos de información

dentro de la organización y las relaciones

de la organización con aliados.

4 Esta definición es la utilizada por la ISO (International Standard

Organization), reconocida entidad de estandarización a nivel mundial.

Estado Del Arte 23

Factor Definición

Riesgo

Entender y gestionar el riesgo al que está

expuesta la información del negocio.

Políticas y

cumplimiento

Establecer los requerimientos regulatorios

y legales, dirección de la gerencia y las

comunicaciones. Conocer qué se requiere y

monitorear su cumplimiento.

Activos Conocer el valor de los activos de

información. Adquirir y disponer de manera

segura dichos activos.

Planeación Construir seguridad y privacidad desde el

inicio, asegurándose que se tienen los

sistemas de información adecuados.

Acceso Controlar quiénes y a qué pueden acceder

de la información del negocio.

Personas Conocer a los empleados y educarlos en

seguridad del negocio.

Física y ambiental Proteger los activos de información de

daños físicos y ambientales.

Disrupción Defender la información de la empresa de

ataques hostiles y preparar a la empresa

para recuperarse de los efectos de dichos

ataques.

Operaciones Gestionar y monitorear los sistemas de

información efectivamente.

Gestión de incidentes Asegurar que las violaciones de

confidencialidad, integridad y

disponibilidad de los sistemas de la

empresa sean detectados y gestionados,

aprendiendo las lecciones en cada caso.

Continuidad Asegurarse de que la empresa puede

recuperarse rápidamente de la pérdida

total o parcial de activos clave de

información

Cada una de las áreas de éste estándar tiene unos objetivos y

prácticas específicas. Los objetivos pueden ser revisados por

autoevaluaciones o por un consultor externo, quien define si la

empresa cumple con los requisitos para certificarse en el estándar.

Dentro de la evaluación, IASME define unos niveles de madurez, los

cuales se presentan en la tabla 2-3.

Tabla 2-3: Niveles de madurez del estándar IASME

Nivel Nombre Descripción

0 Inicial Muy poca o ninguna evidencia disponible del

control de seguridad.

1 Mínimo Alguna evidencia del control, pero muy poca o

ninguna documentación disponible.


colombianas

2 En uso El control está en uso, parcialmente

documentado y con alguna evidencia de uso

disponible.

3 Gestionado El control está en uso, completamente

documentado y algunas métricas se recolectan,

pero no son totalmente explotadas.

4 Controlado El control es gestionado, completamente

monitoreado y las métricas son utilizadas

para mejorar la seguridad.

5 Optimizado El control es gestionado y lleva a una gestión

optimizada de la seguridad y ayuda en los

pronósticos del negocio.

2.5.2 ISSA-UK 5173

El estándar ISSA-UK 5173 fue realizado por un grupo de trabajo de

la ISSA (Information Systems Security Association) en su capítulo

del Reino Unido. La ISSA (Asociación de Seguridad en Sistemas de

Información) es una entidad internacional sin ánimo de lucro

dedicada a conectar a los diversos profesionales en ciberseguridad

a nivel mundial5. El objetivo de este estándar es establecer los

lineamientos de apoyo, para que así las empresas enmarcadas como

Pymes puedan implementar controles. También tiene como objetivo

servir como referencia para el aseguramiento de la información de

la empresa(Information Systems Security Association, 2011).

Este estándar define unas áreas prioritarias dependiendo del número

de empleados de la empresa. Aunque existen varias definiciones de

Pyme a nivel mundial, en el ISSA-UK 5173 se indica que el dato más

relevante, desde la perspectiva de seguridad, es la cantidad de

empleados(Information Systems Security Association, 2011).

El ISSA-UK 5173 agrupa los controles de la siguiente manera:

Medidas básicas de seguridad: Estos son los controles base que

todas las empresas (micro, pequeña y mediana) deben tener en

cuenta. Se compone de 4 grupos de controles:

o Compromiso del Propietario o Gerente

o Entendimiento de las obligaciones

o Entendimiento de los riesgos de seguridad

o Contramedidas esenciales de seguridad

Régimen de seguridad definido: Son medidas adicionales para

las empresas pequeñas y medianas con el fin de asegurar la

5 Para mayor información acerca de la ISSA visitar la página

http://www.issa.org/.

http://www.issa.org/

Estado Del Arte 25

efectividad de las medidas de seguridad adoptadas. Se compone

de los siguientes grupos de controles:

o Reglas de seguridad

o Responsabilidades de seguridad

o Plan de supervivencia a desastres

o Vigilancia en seguridad

Sistema de seguridad gestionado: Los controles bajo esta

categoría agregan medidas adicionales para las empresas

medianas con el fin de realizar mediciones de seguimiento y

monitoreo y gestión efectivas. Se compone de los siguientes

grupos de controles:

o Políticas y procedimientos

o Sistema de gestión

o Tecnologías de seguridad

o Educación en seguridad

3. Análisis y Elección del Modelo de Madurez

El propósito de utilizar un modelo de madurez es el de poder, no

solo establecer qué capacidades tiene una empresa en cuanto a

ciberseguridad, sino además identificar qué desarrollo tiene ésta

en las áreas evaluadas, debido a que esto puede influir finalmente

en la efectividad de las medidas adoptadas6.

Para la evaluación de los modelos de madurez se utilizará el Método

de Estudio de Similitud entre Modelos y Estándares MSSS (Calvo-

Manzano, Cuevas, Muñoz, & Feliu, 2008). En la tabla 3-1 se muestra

cada una de las etapas definidas en el método y su respectivo

desarrollo.

Tabla 3-1: Desarrollo de cada una de las etapas del MSSS

ETAPA DESCRIPCIÓN

1. Definir los criterios de

selección de los modelos.

Realizar selección

preliminar.

Se establecen los criterios

deseables en el modelo de

madurez necesario para la

investigación:

a. El modelo debe ser diseñado para evaluar seguridad de

la información.

b. Debe tener una visión

holística de seguridad de

la información (personas,

tecnologías, procesos,

gobierno).

2. Seleccionar los modelos a

comparar. Establecer

enfoque.

En la tabla 3-2 se muestra el

comparativo de los modelos

analizados para esta

investigación

6 Para este estudio se toman las definiciones de madurez y capacidad

establecidos en el Modelo eSCM (Hefley & Loesche, 2010)

Análisis y Elección del Modelo de Madurez 27

ETAPA DESCRIPCIÓN

3. Definir aspectos a

analizar de cada uno de

los modelos. Definir

alcance.

Se han evaluado los siguientes

aspectos, basado en lo

encontrado en la literatura,

como características deseables

en un modelo dirigido a MiPymes:

a. Numero de niveles: Se ha

dado prioridad a los que

posean menos niveles. Esto

puede hacer que su

entendimiento y evaluación

sea más fácil para las

MiPymes(Enrique, Crespo, &

Politécnica, 2007).

b. Complejidad para su

medición: Que el paso de un

nivel a otro sea lo

suficientemente claro y

permita evaluar

intenciones e iniciativas

consideradas como

preliminares en otros

modelos más robustos

dirigidos a grandes

empresas.(Cholez & Girard,

2014).

c. Definición de niveles

primarios: Que los niveles

primarios midan algunas

intenciones y

posturas(Cholez & Girard,

2014).

d. Orientación hacia Pymes:

Que el modelo haya sido

desarrollado especialmente

para Pymes(A. Santos-Olmo,

Sánchez, Fernández-Medina,

& Piattini, 2011).

e. Se han evaluado las

ventajas y desventajas

principales.

Se han tenido en cuenta los

modelos que cumplan con estas

características

específicamente.

4. Definir nivel de detalle.

Analizar la información.

Con base en lo expuesto en la

Tabla 3-2, se han analizado los


colombianas

ETAPA DESCRIPCIÓN

datos y se han seleccionado los

siguientes modelos:

I. ISO/IEC 21827 /SSE-CMM

II. O-ISM3

III. MGSM-PYME

IV. IASME

V. CRP -HENRI TUDOR

5. Crear plantilla de

comparación.

Para organizar la información se

ha realizado una tabla con los

siguientes campos:

a) Modelo de madurez

b) Numero de niveles

c) Factor de evaluación de los niveles

d) Niveles primarios

e) Orientación hacia pymes f) + ventajas y – desventajas

6. Identificar similitud y

diferencias entre los

modelos.

7. Presentar información y

resultado del análisis

Se presentan los resultados en

la tabla 3-3

Tabla 3-2: Modelos de madurez consultados (Woodhouse, 2008)

MODELO NIVELES COMENTARIOS ¿CUMPLE

CON LOS

CRITERIOS

?

NIST CSEAT

IT Security

Maturity

Model

1. Política 2. Procedimiento 3. Implementación 4. Pruebas 5. Integración

Enfocado en los niveles

de documentación.

NO

Citigroup´s

Information

Security

Evaluation

1. Complacencia 2. Reconocimiento 3. Integración 4. Práctica común 5. Mejora continua

Enfocado a conciencia en

seguridad únicamente

NO

COBIT

Maturity

Model

0. No existente 1. Inicial/ad-hoc

Modelo enfocado al

Gobierno corporativo.

NO


2. Repetible pero

intuitivo

3. Proceso definido 4. Gestionado y

medible

5. Optimizado

Auditoría de

procedimientos. Los

niveles limitan el

alcance y uso del modelo.

ISO/IEC

21827 /SSE-

CMM

0. No realizado 1. Realizado

inicialmente

2. Planeado y

monitoreado

3. Bien definido 4. Controlado

cualitativamente

5. Mejorando continuamente

22 áreas de proceso, 11

de ingeniería y 11

dedicadas a proyectos y

gestión.

Enfocado a desarrollo

seguro de software.

SI

CERT/CSO 1. Inicial 2. Evolucionando 3. Establecido 4. Gestionado

Enfocado a calidad

relacionada a los niveles

de documentación. No

abarca todas las áreas

necesarias.

NO

O-ISM3 1. Indefinido 2. Definido 3. Gestionado 4. Controlado 5. Optimizado

Gestión de seguridad de

la información, gestión

de riesgos e integración

de procesos. Es uno de

los modelos más completos

y mejor definidos.

SI

Information

Security

Capability

Model

(ISPMG)

1. Uncertainty 2. Awakening 3. Enlightenment 4. Wisdom

Enfocado en la conciencia

en seguridad

NO

Security

Capability

Model (SMM)

0. Blind trusting 1. Ad hoc tries 2. Policy 3. Evolutionary

Incluye tecnología,

organización, cultura

corporativa, activos

NO

MGSM-PYME Nivel 1

Nivel 2

Nivel 3

Modelo diseñado

específicamente para

Pymes

SI

IASME 0. Inicial 1. Mínimo 2. En uso 3. Gestionado 4. Controlado 5. Optimizado

Modelo especial para

Pymes

SI

CRP -HENRI

TUDOR

Nivel 0

Nivel 1

Nivel 2

Nivel 3

Nivel 4

Desarrollado por el

gobierno de Luxemburgo

para Pymes

SI


colombianas

Tabla 3-3: Comparación entre modelos de madurez en ciberseguridad

MODELO

DE

MADUREZ

NÚMERO

DE

NIVELES

FACTOR DE

EVALUACIÓN DE LOS

NIVELES

NIVELES

PRIMARIOS

ORIENTACIÓN

HACIA PYMES

+ VENTAJAS Y -

DESVENTAJAS

ISO/IEC

21827

/SSE-

CMM

6 Se debe cumplir

con una práctica

base y esta debe

generar unos

productos de

trabajo definidos

para cada uno de

los niveles dentro

del área de

proceso

correspondiente.

El primer

nivel, el cero

no se define

formalmente,

pero indica un

proceso

incompleto.

Esto indica que

debe al menos

tenerse

establecido un

proceso.

Existe una

brecha muy alta

para que una

Pyme pueda

cumplir al

menos con el

primer nivel,

sobre todo para

las

organizaciones

que no cuentan

con sistemas de

calidad

formalmente

constituidos y

que no tienen

iniciativas

enfocadas a

seguridad de la

información.

No es orientado

hacia Pymes.

Puede ser

adaptado para

el propósito de

este estudio,

sin embargo,

puede ser algo

extenso y

complejo para

lo que se

quiere medir.

+Modelo

completo y muy

bien

estructurado.

-Es un estándar

muy alto para

las Pymes,

sobre todo las

más pequeñas ya

que está

supeditado al

establecimiento

de procesos

formalmente

establecidos.

O-ISM3 5 Para poder pasar

de un nivel a

otro, de acuerdo a

al proceso

definido en el

modelo, se debe

cumplir con unas

métricas

preestablecidas.

El modelo parte de

la base de que la

empresa tiene

procesos bien

definidos o está

encaminada a

hacerlo, lo que

hace que sea

dependiente de que

las compañías

cuenten con un

Sistema de Gestión

de Calidad previo.

Para alcanzar

el primer nivel

debe haberse

implementado

los procesos

establecidos y

documentados.

Es conocido por

lo explorado en

la literatura

que las MiPymes

tienen

inconvenientes

con el solo

hecho de

establecer y

documentar un

proceso. Se

quieren evaluar

otros aspectos

previos a la

implementación

de procesos con

el fin de poder

establecer qué

dificultades

pueden

encontrarse las

Pymes en este

camino.

El modelo no es

orientado a

Pymes. Sin

embargo, posee

una relación de

bajo, medio y

alto costo y su

relación con el

Retorno a la

Inversión. El

modelo de bajo

costo podría

ser utilizado

para las Pymes

ya que se

compone

únicamente de 9

procesos.

+ Modelo muy

completo y

estructurado.

-Muy compleja

su

implementación

en Pymes


MODELO

DE

MADUREZ

NÚMERO

DE

NIVELES

FACTOR DE

EVALUACIÓN DE LOS

NIVELES

NIVELES

PRIMARIOS

ORIENTACIÓN

HACIA PYMES

+ VENTAJAS Y -

DESVENTAJAS

MGSM-

PYME

3 Se pasa de un

nivel a otro

dependiendo del

número de

controles

implementados. Los

controles están

divididos a su vez

en subcontroles

tomados de la

norma ISO/IEC

27001:2005.

Para llegar al

primer nivel se

debe hacer la

implementación

de 29 controles

y 153

subcontroles

El modelo es

orientado a

Pymes.

-Modelo

desactualizado.

-La gran

cantidad de

controles que

involucra lo

puede hacer

complejo para

las MiPymes.

IASME 6 El nivel de

madurez se define

individualmente

sobre cada

control.

Los primeros

niveles llevan

a medir

detalladamente

desde que la

organización no

posee nada,

hasta la

recolección y

documentación

de evidencias.

Se considera

adecuado ya que

esta escala

puede medir los

problemas que

puedan

presentar las

MiPymes al

iniciar a

implementar

ciberseguridad.

Modelo

utilizado para

evaluar

empresas que

quieren

certificarse en

el estándar

IASME, diseñado

específicamente

para las

MiPymes.

+Modelo

diseñado para

MiPymes

+La escala

usada permite

medir las

aproximaciones

iniciales de

las empresas.

-Demasiados

niveles.

CRP -

HENRI

TUDOR

5 Se define una

práctica por cada

área a evaluar la

cual debe

cumplirse para

poder pasar de

nivel.

El nivel 4, el

más alto, es el

equivalente al

nivel 1 del

estándar

ISO/IEC 15504.

Esto permite

que se puedan

medir con mayor

exactitud el

proceso de

adopción de

prácticas de

seguridad en la

empresa.

Modelo creado

específicamente

para Pymes.

-No se tiene la

información

específica del

modelo, aunque

se sabe que

está basado en

los controles

de la ISO/IEC

27001.

Dentro de los modelos evaluados, como se puede observar, se

encuentran varios que son basados en procesos. Si bien son conocidos

los beneficios que los procesos traen y en sí la adopción de un

Sistema de Gestión de Calidad por parte de la empresa, no se desea

que el modelo elegido tenga este enfoque exclusivamente. Existen

dificultades para las MiPymes en la adopción de procesos claramente

definidos, adecuados, útiles y alienados con la estrategia de la

compañía (Garengo & Biazzo, 2013), por lo que no se elegirá un

modelo que tenga un enfoque a procesos únicamente.


colombianas

Por otra parte, se descarta el MGSM-PYME, pues es complejo para la

medición que se desea realizar. Adicionalmente se encuentra

desactualizado (ISO 27001:2005). Es entendible la complejidad de

este modelo, pues fue diseñado como una herramienta adicional a una

metodología de implementación de un SGSI en MiPymes.

En relación al modelo CRP, se encuentra adecuado y cumple con los

requisitos. Sin embargo, no se encontró información detallada de

este, lo que impide poder generar un instrumento que establezca un

nivel de madurez, como el que se requiere.

Finalmente, el modelo de madurez del estándar IASME cumple con los

requisitos. La limitación de este modelo es la cantidad de niveles

existentes. Se considera que son demasiados niveles. Por esta razón

se elige este modelo, pero se realizarán algunas adaptaciones. Estas

adaptaciones se consideran necesarias, lo que ha facilitado su

aplicación y medición. Cabe resaltar que no se han realizado

modificaciones de forma ni de fondo en este.

Por lo tanto, como el inconveniente encontrado fue la gran cantidad

de niveles, se agruparon los niveles 1 y 2; 4 y 5, del modelo de

madurez del IASME. La relación entre niveles se muestra en la tabla

3-4.

Tabla 3-4: Relación entre los niveles del IASME originales y los

niveles definidos para el estudio

Nivel del IASME Nivel equivalente definido en el estudio Rango

0 0 Inicial

1 1 Bajo

2 1 Bajo

3 2 Medio

4 3 Alto

5 3 Alto

La diferencia entre el nivel 1 y 2 del IASME es la documentación.

Para el IASME el nivel 1 (mínimo) tiene muy poca o ninguna

documentación, mientras que para el nivel 2 (en uso) se tiene

parcialmente documentado. Entonces en el nivel 1 que se utilizará

en el estudio se realizará una fusión de estos dos niveles. Esto

quiere decir que en el nivel 1 se tendrá en cuenta si el control no

tiene documentación o si la tiene de manera parcial.

Respecto al nivel 3 (Gestionado) se mantiene el mismo del IASME.

Finalmente se fusionan los niveles 4 (Controlado) y 5 (Optimizado)

incluyendo en un solo nivel los aspectos definidos para los dos. La

definición de los niveles que se han utilizado se muestra en la

tabla 3-5.


Tabla 3-5: Niveles utilizados para realizar la medición de madurez

en ciberseguridad en MiPymes colombianas

Nivel Nombre Descripción

0 Inicial Muy poca o ninguna evidencia disponible del

control de seguridad.

1 Bajo El control está parcial o completamente en

uso, pero con alguna documentación, muy poca,

ninguna documentación disponible.

2 Medio El control está en uso, completamente

documentado y algunas métricas se recolectan,

pero no son totalmente explotadas.

3 Alto El control es gestionado, completamente

monitoreado y las métricas son utilizadas

para mejorar la seguridad. Puede que apoye en

los pronósticos del negocio

3.1 Organización de las áreas del modelo escogido

Aunque IASME está enfocado a MiPymes, se considera necesario

realizar un ajuste adicional antes de utilizar el estándar para

efectuar la evaluación de las empresas. Es importante comprender

que las Pymes o MiPymes, como se les denomina en Colombia, no pueden

ser observadas como una entidad homogénea, sino que deben entenderse

que son Micro, Pequeñas y Medianas empresas (King, 2013). Con el

fin de evaluar las particularidades de cada una de estas clases de

empresas se emplea el estándar ISSA-UK 5173 (Information Systems

Security Association, 2011).

El estándar ISSA define las áreas prioritarias dependiendo del

tamaño de la empresa, según los autores del estándar, el número de

empleados de la empresa es la consideración más importante a tener

en cuenta, puesto que es la más influyente en la seguridad

(Information Systems Security Association, 2011). Así, el estándar

ISSA-UK 5173, define las áreas prioritarias según el número de

empleados de la empresa, como se define en la figura 3-1.


colombianas

Figura 3-1: Áreas prioritarias en ciberseguridad, según el tamaño

de la empresa

Estas áreas prioritarias dan origen a tres instrumentos, uno para

micro empresas, otro para pequeñas empresas y otro para la mediana

empresa. De esta forma se relacionan los factores de seguridad del

negocio con cada una de estas áreas, dando como resultado los

factores prioritarios según el tamaño de la empresa. Como los dos

estándares tienen su origen en la norma ISO/IEC 27001, se considera

adecuado presentar en la tabla 3-6 la relación de estos dos

estándares con la norma.

En la columna correspondiente a la ISO/IEC 27001 se identifican las

áreas que corresponden al ciclo PHVA colocando una letra posterior

a cada requisito (P, planear; H, hacer; V, verificar; A, actuar).

Tabla 3-6: Relación entre el estándar ISSA-UK 5173 y la norma ISO/IEC

27001

ISSA-UK 5173 NTC-ISO/IEC 27001:2013 IASME V.3

Compromiso del

Propietario/Gerente Liderazgo-P Organización

Entendimiento de

las obligaciones Cumplimiento Organización

Entendimiento de

los riesgos de

seguridad

Planificación-P

Operación-H

Riesgo

Contramedidas

esenciales de

seguridad

Seguridad De Los

Recursos Humanos

Control De Acceso

Seguridad Física Y

Del Entorno

Seguridad De Las

Operaciones

Activos

Seguridad

física y

ambiental

Acceso

Mediana Empresa

Pequeña Empresa

Microempresas

• Políticas y procedimientos

• Sistema de Gestión

• Tecnologías de seguridad

• Educación

• Reglas

• Responsabilidades

• Plan de supervivencia

• Vigilancia

• Compromiso del Propietario/Gerente

• Entendimiento de las obligaciones

• Entendimiento de los riesgos de seguridad

• Contramedidas esenciales de seguridad


ISSA-UK 5173 NTC-ISO/IEC 27001:2013 IASME V.3

Relaciones Con Los

Proveedores

Gestión De Activos

Reglas Política De La

Seguridad De La

Información

Gestión De Activos

Políticas y

cumplimiento

Responsabilidades Organización De La

Seguridad De La

Información

Organización

Plan de

supervivencia Aspectos De La

Seguridad De La

Información De La

Gestión De

Continuidad De

Negocio

Gestión De

Incidentes

Disrupción

Gestión de

incidentes

Continuidad

Vigilancia Evaluación del

desempeño-V

Operaciones

Políticas y

procedimientos Soporte -P Organización

Sistema de Gestión Mejora-A

Contexto de la

organización-P

Organización

Tecnologías de

seguridad Criptografía.

Seguridad De Las

Comunicaciones

• Adquisición,

Desarrollo Y

Mantenimiento De

Sistemas

Inversiones

Educación Soporte-P Personas

Para complementar la estructura propuesta se agrega un dominio

adicional relacionado con la postura general o cultura de los

encuestados hacia la ciberseguridad. La cultura en ciberseguridad

se conoce como las percepciones, actitudes y suposiciones que son

aceptadas y estimuladas en una organización(Martins & Elofe, 2002).

Este factor cultural y de conciencia es realmente importante, ya

que el factor humano, es decir las personas, junto con sus actitudes

y creencias son causantes de muchos de los incidentes de seguridad

que se presentan (Albrechtsen, 2007). Esta institucionalización de

la seguridad y su importancia toma relevancia desde el 2005(S. von

Solms, 2010).


colombianas

3.2 Creación del instrumento de medición de madurez

Para realizar la medición de madurez, se utilizó una encuesta. Se

opta por este tipo de instrumento debido a la facilidad de dar un

alcance más amplio y poder llegar a un número mayor de empresas.

El objetivo principal del instrumento es responder fundamentalmente

estas preguntas:

- ¿Qué ha implementado la empresa a nivel de ciberseguridad?

- De lo implementado ¿Qué nivel de madurez tiene?

Para medir la madurez se usó del modelo de madurez adaptado a partir

de los estándares IASME e ISSA-UK 5173. Los dominios de la encuesta

son los dominios del modelo de madurez.

Adicionalmente se evalúa si el dominio aplica y si la persona

encuestada desconoce el tema. Se considera importante incluir estos

aspectos, dado en primer lugar, que algunos controles pueden no

aplicar para la empresa; y en segundo lugar, el desconocimiento

puede dar un indicio sobre problemas de conocimiento de sí mismas

en las MiPymes, factor que por lo investigado puede ser un problema

común en este tipo de empresas.

3.2.1 Población y muestra del estudio.

Inicialmente se definió como unidad de análisis las MiPymes

colombianas de acuerdo a lo establecido por la legislación del país.

Dentro de estas empresas se aplicó el instrumento a las personas

que tuvieran conocimiento y/o responsabilidades de ciberseguridad

dentro de las compañías. Por esta razón, el instrumento fue dirigido

a propietarios, gerentes, representantes legales, directores y en

resumen a cualquier alto mando de la organización, pues estos tienen

una visión global de la empresa. También se incluyó el personal que

tiene tareas directamente relacionadas con ciberseguridad.

Finalmente, se encuestó al personal con labores relacionadas con

tecnología, como responsables de los sistemas de información de la

compañía.

Se opta por realizar un muestreo por conveniencia, en donde se

contactan MiPymes con las cuales ya se tiene una relación de

confianza y a través de estas y contactos profesionales se llega a

más empresas. También se aplica el cuestionario a empresas

participantes o expositores del evento Expo MiPyme Digital 20157.

7 El evento Expo MiPyme Digital es creado por varias compañías privadas con el fin

de convocar empresas que ofrezcan servicios de TIC y soluciones tecnológicas

enfocadas a MiPymes. También se dan charlas, seminarios y conferencias dirigidas

a fortalecer y apoyar el uso de las TICs como apoyo para las MiPymes


Se recogió información por internet y presencialmente. Cabe recordar

que la investigación fue diseñada como no experimental, por lo que

no es posible intervenir en las variables a evaluar, en este caso

la ciberseguridad, pues el hecho de recolectar la información e

indagar sobre el tema no tendrá ningún efecto sobre las prácticas o

controles ya implementados dentro de la empresa(Sampieri, 2010)

En la tabla 3-7 se presentan las dimensiones, y los ítems del

instrumento de medición. Las dimensiones tienen su origen en los

temas prioritarios extraídos del estándar ISSA-UK 5173, recordando

que este se utilizó como una manera de organizar las áreas del IASME

(tabla 3-6).

Para medir cada una de estas dimensiones, se usa la norma ISO/IEC

27001:2013. La columna referencia, hace mención al capítulo o

control referencia para realizar la evaluación. Así por ejemplo 5.

Liderazgo indica el capítulo número de cinco de la norma ISO/IEC

27001:2013. Por otra parte, la letra A se refiere al anexo A de la

norma, el cual específica los controles recomendados.

Tabla 3-7: Dimensiones e ítems del instrumento de medición de

madurez

Tipo de

Empresa

Dimensiones Numero Ítems Referencia

Micro,

pequeña

y

mediana

Compromiso del

Propietario/Gerente

1 El Gerente o

Propietario de la

empresa lidera y apoya

las iniciativas de

seguridad de la

información

compatibles con la

estrategia y misión de

la organización

5. Liderazgo(ICONTEC,

2013)

2 El Gerente o

Propietario de la

empresa asegura que se

tengan los recursos

suficientes para el

desarrollo de las

iniciativas en

seguridad de la

información

5.Liderazgo(ICONTEC,

2013)

Entendimiento de las

obligaciones

3 Se conocen las

obligaciones

contractuales,

legislativas y

regulatorias que

exigen requerimientos

de seguridad de la

información

A.18

Cumplimiento(ICONTEC,

2013)

Entendimiento de los

riesgos de seguridad

4 Se conocen y revisan

periódicamente los

riesgos en seguridad

de la información a

los cuales se está

expuesto

6. Planificación(ICONTEC,

2013)

Contramedidas

esenciales de

seguridad

5 Se tienen procesos de

control del personal

antes de la

contratación, durante

el empleo y después de

A.7. Seguridad de los

recursos humanos(ICONTEC,

2013)


colombianas

Tipo de

Empresa


la terminación del

contrato para

preservar la seguridad

de la información de

la empresa

6 El acceso a las

instalaciones y los

sistemas es

restringido

A.9.1 Requisitos del

negocio para el control de

acceso(ICONTEC, 2013)

7 Las instalaciones

están protegidas

contra desastres

naturales

A.11.1.4 Protección

contra amenazas externas

y ambientales(ICONTEC,

2013)

8 Se lleva un control de

los equipos entrantes

y salientes en las

instalaciones

A.11.2 Equipos(ICONTEC,

2013)

9 Se tiene antivirus

instalado en los

equipos de cómputo

A.12.2 Protección contra

códigos

maliciosos(ICONTEC, 2013)

10 Se tienen copias de

respaldo de la

información

importante de la

empresa

A.12.3 Copias de

respaldo(ICONTEC, 2013)

11 Se tienen acuerdos de

confidencialidad con

los proveedores

A.15 Relaciones con los

proveedores(ICONTEC,

2013)

12 Se hace seguimiento y

revisión a los

servicios de los

proveedores

A.15.2 Gestión de la

prestación de servicios

de los proveedores

(ICONTEC, 2013)

13 Existe un inventario

de activos de

información con unos

responsables

A.8.1 Responsabilidad por

los activos(ICONTEC,

2013)

14 Se tiene un esquema de

clasificación de la

información

A.8.2 Clasificación de la

información(ICONTEC,

2013)

15 Se tiene un

procedimiento de

gestión, disposición y

transferencia de

medios

A.8.3 Manejo de

medios(ICONTEC, 2013)

16 Se tienen definidas

reglas para el manejo

de dispositivos

móviles y para el

teletrabajo

A.6.2 Dispositivos

móviles y

teletrabajo(ICONTEC,

2013)

17 Se establecen reglas

para la instalación de

software

A.12.6.2 Restricciones

sobre la instalación de

software(ICONTEC, 2013)

Pequeña

y

mediana

Reglas

18 Se tienen establecidas

políticas de seguridad

de la información

A.5 Políticas de la

seguridad de la


2013)

Responsabilidades

19 Se tienen roles y

responsabilidades

asignadas en cuanto a

seguridad de la

información se refiere

A.6.1.1 Roles y

responsabilidades para la

seguridad de la


2013)

Plan de

supervivencia

20 Se tiene un plan de

continuidad del

negocio

A.17 Aspectos de

seguridad de la gestión de

la continuidad del

negocio(ICONTEC, 2013)


Tipo de

Empresa


21 Se tiene un

procedimiento de

gestión de incidentes

A.16.1 Gestión de

incidentes y mejoras en la

seguridad de la


2013)

Vigilancia

22 Se monitorean y

evalúan eventos de

seguridad

A.16.1.2 Reporte de

eventos de seguridad de la


2013)

A.16.1.4 Evaluación de

eventos de seguridad de la

información y decisiones

sobre ellos(ICONTEC,

2013)

23 Existen auditorías

internas

9.2 Auditoría

interna(ICONTEC, 2013)

Mediana

Políticas y

procedimientos

24 Se tienen personas

dedicadas a la

seguridad de la

información

7.2 Competencia(ICONTEC,

2013)

25 Se tiene un sistema de

gestión documental

para todo lo

relacionado con

seguridad

7.5 Información

documentada(ICONTEC,

2013)

Sistema de Gestión

26 Se tiene un sistema de

gestión de seguridad

de la información

4. Contexto de la

organización(ICONTEC,

2013)

10. Mejora(ICONTEC, 2013)

Tecnologías de

seguridad

27 Se tienen controles

criptográficos

A.10

Criptografía(ICONTEC,

2013)

28 Se hace análisis y

gestión de

vulnerabilidades

A.12.6.1 Gestión de las

vulnerabilidades

técnicas(ICONTEC, 2013)

29 Se tiene una

arquitectura de red

segura

A.13 Seguridad de las

comunicaciones(ICONTEC,

2013)

30 Se tienen políticas de

desarrollo seguro

A.14.2 Seguridad en los

procesos de desarrollo y

soporte(ICONTEC, 2013)

Educación 31 Existe un plan de

conciencia y

capacitación en

seguridad

7.3 Toma de conciencia

(ICONTEC, 2013)

Micro,

pequeña

y

mediana

Conciencia

32 Considera importante

la seguridad de la

información para las

actividades del

negocio

(Isomäki & Bilozerov,

2011)

33 Considera útil e

importante invertir en

seguridad de la

información

(Ng, Ahmad, & Maynard,

2013)

34 Considera conveniente

tener buenas prácticas

en seguridad de la

información a la hora

de manipular

información de la

empresa

(Isomäki & Bilozerov,

2012)(Lopes & Oliveira,

2014)


colombianas

3.3 Realización de la encuesta

Previo a aplicar el instrumento, se realizó la validación de

contenido y la prueba piloto. Esto permitió depurar el instrumento

y adecuarlo al objetivo de la investigación. Posteriormente se

aplica el instrumento y se muestran los resultados obtenidos.

3.3.1 Validación de la encuesta

El cuestionario se valida con tres expertos en seguridad de la

información, quienes evalúan el instrumento y proponen algunas

modificaciones. El primer experto, Felipe Rodríguez tiene más de 15

años de experiencia en consultoría de implementación de SGSI en

empresas colombianas, ecuatorianas y venezolanas, así como es

instructor certificado de la certificación CISSP, una de las más

reconocidas a nivel mundial. El segundo experto, solicitó no ser

mencionado, tiene 10 años de experiencia en labores de seguridad en

diversos proveedores de telecomunicaciones, definiendo y

gestionando controles de seguridad y estableciendo procesos y

programas de conciencia. Finalmente se encuentra el investigador

autor de esta tesis que posee más de 10 años de experiencia en temas

de TI y seguridad de la información, con experiencia en

capacitaciones y consultoría en seguridad de la información y

proveedor de servicios, gestor de proyectos y herramientas

informáticas de TI para MiPymes.

3.3.2 Prueba piloto

La prueba piloto se realizó sobre 10 empresas. Se realizaron ajustes

con base en la retroalimentación recibida. Se eliminaron preguntas

pasando de un total de 40 a 34 y se modificó la redacción y contenido

de algunas preguntas que no eran claras para los encuestados.

Según se indicó, se dividió el instrumento y se aplicaron 3

cuestionarios diferentes según el tipo de empresa. El instrumento a

utilizar se filtra en el formulario en línea generado de acuerdo al

tamaño de la empresa. En la tabla 3-8 se relaciona el número de

preguntas de la encuesta con el tamaño de la empresa.

Tabla 3-8: Número de Preguntas de la Encuesta por Tamaño de Empresa

Tipo Número de

preguntas

Micro 24

Pequeña 30

Mediana 34


Para las personas a las cuales se les encuestó cara a cara, se les

entregó un diagnóstico y un gráfico que indicaba la madurez de la

empresa en las áreas evaluadas. El gráfico de retroalimentación se

puede observar en la figura 3-2.

Figura 3-2: Muestra del gráfico de madurez diseñado

A continuación, se realizó la prueba de fiabilidad de constructo

por medio del coeficiente Alfa de Cronbach. Este es uno de los

métodos más usados cuando se trata de variables por intervalos o de

razón(Sampieri, 2010). Por lo tanto, se aplica en la sección del

cuestionario que mide las actitudes y posturas relacionadas con

seguridad de la información, puesto que son las únicas variables

por intervalos dentro del instrumento. En esta sección se utilizó

una escala de Likert de 5 puntos. El alfa calculado es de 0.712,

indica una fiabilidad satisfactoria para la investigación(Zapata &

Canet, 2008).

3.4 Aplicación del instrumento

La encuesta se aplicó en dos fases. En la primera se envió la

encuesta por correo electrónico y fue respondida por cerca de 30

empresas. En la segunda fase se realizó la encuesta a participantes

del evento ExpoMipyme Digital 2015. Se aplicó el cuestionario cara

a cara. Las empresas encuestadas cumplen con los requisitos para

ser una MiPyme acorde con la legislación colombiana(Ley 905, 2004).

Se encuestaron empresas de diversos sectores dentro de los que se

destacan las empresas dedicadas a ofrecer servicios relacionados

con las TIC (Tecnología, Telecomunicaciones). Esto es previsible ya

que el evento ExpoMipyme digital congrega diversas empresas que

ofrecen servicios tecnológicos, para que presenten sus propuestas a

los asistentes, las cuales por lo general son empresas que están en

busca de tecnología que pueda apoyar sus negocios. Cabe resaltar

que se encuestaron tanto a exponentes como a asistentes al evento.

0

1

2

3ANTIVIRUS

RESPALDOS

MANEJO DEPROVEEDORES

ACTIVOS DEINFORMACIÓN

CLASIFICACIÓN DEINFORMACIÓN

MANEJO DEMEDIOS

MÓVILES

INSTALACIÓN DESOFTWARE

Nivel de Madurez

Nivel de Madurez


colombianas

En total se encuestaron 102 empresas de las cuales se eliminaron 14

que no hacían parte de la población objetivo, ya que superaban los

200 empleados. Adicionalmente, tampoco se tuvieron en cuenta 9

respuestas que correspondían a personas que no estaban dentro de

los cargos objeto del estudio. Es decir, cumplían labores generales

u operativas. Se trataba de secretarias, asesores comerciales, etc.

En la tabla 3-9 se hace un resumen de la muestra utilizada.

Tabla 3-9: Resumen de la muestra a analizar

Unidad de Análisis MiPymes

Población MiPymes colombianas existentes y

económicamente activas entre

junio y septiembre de 2015

Tipo de Muestra Muestreo no probabilístico

Método de recolección de datos Encuestas cara a cara,

cuestionario en internet

Tamaño de la muestra 79 MiPymes

La figura 3-3 presenta los sectores económicos que hicieron parte

del estudio. El 67% corresponden al sector servicios, el 22% son

del sector industrial y el 11% son del sector comercio.

Figura 3-3: Porcentaje de empresas por sectores económicos

En lo que respecta al tamaño, la figura 3-4 refleja que el 62% de

las empresas clasifican como micro, 29% son pequeñas y el 9% son

medianas.

Figura 3-4: Número de empleados de las empresas

67%

22%

11%

Servicios Industrial Comercio

62%29%

9%

1 y 10 11 y 50 51 y 200


Dentro de las empresas encuestadas, más de la mitad tienen entre 1

y 10 empleados. La mayoría de empresas poseen alguna infraestructura

tecnológica. Esto se evidencia en la figura 3-5. La mayoría de las

empresas tienen al menos internet y computadores. EL 80% tiene

aplicaciones o correo electrónico.

Figura 3-5: Infraestructura tecnológica de las empresas encuestadas

La figura 3-6 presenta el gráfico con los porcentajes de los cargos

de las personas encuestadas. El 59% tienen un cargo de alto mando

dentro de la empresa, es decir gerentes, presidentes, propietarios,

directores. Los mandos medios (coordinadores, jefes) fueron un 20%.

Finalmente, las personas que tenían algún cargo de responsabilidad

operativa en cuanto a TI dentro de la empresa corresponden al 21%

de los encuestados.

Figura 3-6: Cargos de las personas encuestadas

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Computadores de escritorio y/o portátiles.

Equipo de acceso inalámbrico.

Internet.

Servidores

Aplicaciones o infraestructura en la nube.

Dispositivos móviles (teléfonos inteligentes, tabletas, etc.)

Enlaces de telecomunicaciones o telefonía.

Página web, aplicaciones y/o correo electrónico corporativo.

Ninguna

59%20%

21%Altos mandos

Mando Medio

Operativo


colombianas

3.5 Resultados generales

Como resultado se obtiene que solo el 11.4% de las empresas

encuestadas poseen un SGSI formalmente establecido, el cual es

presentado en la figura 3-7. La gran mayoría de empresas (63.3%) no

tienen nada formalmente establecido y el 25.3% toman medidas y

controles informales.

Figura 3-7: Porcentaje de MiPymes con un SGSI implementado

La figura 3-8 presenta las características del personal dedicado a

ciberseguridad en la empresa. El 57% de las empresas no tienen

personas dedicadas a la seguridad de la información. El 11% opta

por contratar una asesoría o consultoría en estos temas y solo el

2.5% tienen un área dedicada a estos temas.

0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%

No se tiene.

Se tienen algunas medidas y controles de seguridad.

Se tiene establecido un sistema de gestión deseguridad de la información incorporado en la…

Se tiene certificado este sistema o se está en procesode certificación y se mejora frecuentemente.

¿Tiene la empresa un SGSI?


Figura 3-8: Personal dedicado a la ciberseguridad

La postura en ciberseguridad de las empresas (figura 3-9) se evaluó

teniendo en cuenta cuatro ítems:

La importancia que le da la empresa a usar buenas prácticas

en ciberseguridad a la hora de realizar labores de la empresa.

Qué tan útil considera invertir en seguridad.

Qué tan importante es la seguridad de la información.

Considera la empresa que puede ser objetivo de los

delincuentes.

Figura 3-9: Postura de las empresas en ciberseguridad

0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0%

No se tienen.

Se tiene contratada una asesoría o consultoría porparte de externos.

Algunas personas cumplen estas funciones pero noestán dedicadas a esto únicamente.

Se tiene al menos un cargo exclusivo para temas deseguridad de la información.

Se tiene un área establecida de seguridad conmétricas de rendimiento definidas.

¿Se tienen personas dedicadas a la seguridad de la información?

0,0 20,0 40,0 60,0 80,0 100,0 120,0

Objetivo de Delincuentes

Importante para la Empresa

Útil Invertir

Buenas Prácticas

Totalmente en desacuerdo En desacuerdo

Ni de acuerdo ni en desacuerdo De acuerdo

Totalmente de acuerdo


colombianas

La mayoría de las empresas están totalmente de acuerdo en la

importancia de la ciberseguridad para la empresa (62%) y de mantener

unas buenas prácticas de ciberseguridad (65,8%). Sin embargo el

porcentaje no es tan alto, a la hora de indagar sobre la utilidad

de invertir en ciberseguridad (39,2) y de considerar que la compañía

puede ser objetivo de delincuentes informáticos (40,5%).

En la tabla 3-10 se muestran los resultados de la madurez en las

empresas encuestadas con base en el modelo propuesto. Se incluyeron

dos columnas cuando el área a evaluar no aplica a la empresa o

cuando la persona no conoce la información solicitada.

Tabla 3-10: Madurez de MiPymes encuestadas


Dimensiones Ítems Niveles de Madurez (% de empresas)

0 1 2 3 NS NA

Compromiso del

Propietario/

Gerente

El Gerente o

Propietario de la

empresa lidera y

apoya las

iniciativas de

seguridad de la

información

compatibles con

la estrategia y

misión de la

organización.

16.5 41.8 15.2 25.3 1.3 0

El Gerente o

Propietario de la

empresa asegura

que se tengan los

recursos

suficientes para

el desarrollo de

las iniciativas

en seguridad de la

información.

20.3 36.7 19 20.3 3.8 0

Entendimiento de

las obligaciones

Se conocen las

obligaciones

contractuales,

legislativas y

regulatorias que

exigen

requerimientos de

seguridad de la

información.

35.4 35.4 19 8.9 1.3 0

Entendimiento de

los riesgos de

seguridad

Se conocen y

revisan

periódicamente

los riesgos en

seguridad de la

información a los

cuales se está

expuesto

25.3 50.6 10.1 13.9 0 0

Contramedidas

esenciales de

seguridad

Se tienen

procesos de

control del

personal antes de

la contratación,

durante el empleo

y después de la

terminación del

contrato para

preservar la

seguridad de la

información de la

empresa.

31.6 34.2 17.7 16.5 0 0

El acceso a las

instalaciones y

16.5 38 38 6.3 1.3 0


colombianas

los sistemas es

restringido

Las instalaciones

están protegidas

contra desastres

naturales

46.8 21.5 16.5 10.1 5.1 0

Se lleva un

control de los

equipos entrantes

y salientes en las

instalaciones

43 11.4 29.1 11.4 5.1 0

Se tiene

antivirus

instalado en los

equipos de

computo

3.8 19 65.8 10.1 1.3 0

Se tienen copias

de respaldo de la

información

importante de la

empresa

10.1 41.8 31.6 13.9 2.5 0

Se tienen

acuerdos de

confidencialidad

con los

proveedores

24.1 35.4 24.1 11.4 2.5 2.5

Se hace

seguimiento y

revisión a los

servicios de los

proveedores

17.7 39.2 22.8 19 1.3 0

Existe un

inventario de

activos de

información con

unos responsables

22.8 32.9 26.6 17.7 0 0

Se tiene un

esquema de

clasificación de

la información

30.4 31.6 22.8 10.1 5.1 0

Se tiene un

procedimiento de

gestión,

disposición y

transferencia de

medios

45.6 25.3 12.7 7.6 3.8 5.1

Se tienen

definidas reglas

para el manejo de

dispositivos

móviles y para el

teletrabajo

48.1 22.8 15.2 5.1

1.3 7.6

Se establecen

reglas para la

30.4 32.9 20.3 13.9 2.5 0


instalación de

software

Reglas Se tienen

establecidas

políticas de

seguridad de la

información

48.3 24.1 17.2 10.3 0 0

Responsabilidades Se tienen roles y

responsabilidades

asignadas en

cuanto a

seguridad de la

información se

refiere

37.9 17.2 31 6.9 6.9 0

Plan de

supervivencia

Se tiene un plan

de continuidad

del negocio

24.1 27.6 17.2 13.8 10.3 6.9

Se tiene un

procedimiento de

gestión de

incidentes

58.6 10.3 17.2 6.9 6.9 0

Vigilancia Se monitorean y

evalúan eventos

de seguridad

48.3 20.7 17.2 6.9 6.9 0

Existen

auditorías

internas

51.7 20.7 17.2 6.9 0 3.4

Políticas y

procedimientos

Se tiene un

sistema de

gestión

documental para

todo lo

relacionado con

seguridad

28.6 28.6 14.3 28.6 0 0

Tecnologías de

seguridad

Se tienen

controles

criptográficos

42.9 28.6 28.6 0 0 0

Se hace análisis y

gestión de

vulnerabilidades

42.9 14.3 28.6 14.3 0 0

Se tiene una

arquitectura de

red segura

14.3 42.9 28.6 14.3 0 0

Se tienen

políticas de

desarrollo seguro

0 42.9 14.3 0 0 42.9

Educación Existe un plan de

conciencia y

capacitación en

seguridad

28.6 57.1 14.3 0 0 0


colombianas

3.6 Resultados por tamaño de la empresa

Con el cálculo de la mediana se puede establecer un cuadro general

que permita observar los datos de una manera amplia y establecer un

nivel de madurez para las empresas encuestadas. Se utilizarán los

mismos gráficos de apoyo diseñados para las encuestas.

Para las microempresas, en la figura 3-11 se puede observar cómo se

encuentran en un nivel uno (bajo) en las cuatro áreas básicas

definidas en el modelo. Visto a nivel general, el campo en donde

las empresas tienen una mayor madurez y para las microempresas no

es la excepción, es el antivirus. La mayoría de las empresas tienen

antivirus instalado y realizan algunas tareas básicas sobre éste,

como escaneos y revisión de eventos.

Por otra parte, el área en la cual presentan mayores dificultades

es en el manejo de los medios de almacenamiento de información. El

52% de las microempresas encuestadas no cuentan con un control a la

hora de deshacerse o transferir información. A nivel general en los

campos restantes tiene un nivel de madurez uno.

Figura 3-10: Nivel de madurez en ciberseguridad para Microempresas

0

3

Compromiso delDueño/Gerente

Entendimiento de lasobligaciones

Control deContratación

Seguridad Física

Evaluación- Microempresas - Aspectos Generales


En relación con la pequeña empresa se destaca el nivel de madurez

de la seguridad física (figura 3-12). El 100% de las empresas

pequeñas tienen un control de acceso físico y lógico establecido y

el 14,3% realizan revisiones periódicas de los datos recopilados

por los controles de acceso. Nuevamente se destaca el antivirus como

el control preferido con una madurez en nivel dos (medio).

Se observan serias falencias como la ausencia de auditorías

internas, procedimientos de monitoreo y gestión de incidentes de

seguridad de la información, así como la falta de políticas formales

y claras en ciberseguridad dentro de la empresa.

0

1

2

3ANTIVIRUS

RESPALDOS



CLASIFICACIÓNDE

INFORMACIÓN

MANEJO DEMEDIOS

MÓVILES

INSTALACIÓNDE SOFTWARE

Nivel de Madurez - Microempresas Aspectos Específicos

Nivel de Madurez


colombianas

Figura 3-11: Nivel de madurez de la Pequeña empresa

0

3


Entendimiento delas obligaciones


Seguridad Física

Evaluación - Pequeña Empresa General

0

1

2

3ANTIVIRUS

RESPALDOS

MANEJO DE PROVEEDORES

ACTIVOS DE INFORMACIÓN


MANEJO DE MEDIOS

MÓVILES


POLÍTICAS

RESPONSABILIDADES

PLAN DE SUPERVIVENCIA

INCIDENTES

MONITOREO

AUDITORÍAS

Madurez - Pequeña Empresa Aspectos Específicos

Madurez


Figura 3-12: Nivel de madurez mediana empresa

0

3



Control de Contratación

Seguridad Física

Evaluación - Mediana Empresa Aspectos Generales

0

1

2

3ANTIVIRUS

RESPALDOS



CLASIFICACIÓN DE INFORMACIÓN

MANEJO DE MEDIOS

MÓVILES

INSTALACIÓN DE SOFTWARE

POLÍTICAS

RESPONSABILIDADES


INCIDENTES

MONITOREO

AUDITORÍAS

SGSI

CONTROLES CRIPTOGRÁFICOS

VULNERABILIDAD

RED

DESARROLLO

CONCIENCIA

MADUREZ - Mediana Empresa

MADUREZ


colombianas

3.7 Resultados por sector

La figura 3-14 muestra la distribución de las empresas encuestadas

según el sector económico en el cual se desenvuelven. Este es el

porcentaje de empresas por tamaño únicamente para el sector

servicios.

Figura 3-13: Porcentaje de empresas encuestadas de un total de 61

pertenecientes al sector de servicios

Para cada sector económico también se calculó un nivel de madurez,

producto de la mediana de los resultados obtenidos. En la figura 3-

15 se observa como en los aspectos generales se tiene un nivel de

uno (bajo).

Al evaluar a las empresas del sector de servicios únicamente, se

encuentra que, si bien son pocas las que alcanzan un nivel tres de

madurez en algunos aspectos, éstas poseen iniciativas en la gran

parte de los aspectos específicos. Se identifica la misma falencia

en el establecimiento de un SGSI, las auditorías, los incidentes y

las políticas.


Figura 3-14: Madurez sector servicios

Para las empresas del sector industrial la situación no es

diferente. Como se puede apreciar en la figura 3-16, solo se

encuestaron pequeñas y micro empresas. Se pueden observar en la

figura 3-17 las mismas falencias (incidentes, monitoreo, auditorías

y políticas).

0

3




Seguridad Física

Evaluación - Sector Servicios

0

1

2

3ANTIVIRUS

RESPALDOS




MANEJO DE MEDIOS

MÓVILES


POLÍTICAS

RESPONSABILIDADES


INCIDENTES

MONITOREO

AUDITORÍAS

SGSI


VULNERABILIDAD

RED

DESARROLLO

CONCIENCIA

MADUREZ - SECTOR SERVICIOS

MADUREZ


colombianas


pertenecientes al sector industrial

Figura 3-16: Nivel de madurez en ciberseguridad para el sector

industrial

0

3




Seguridad Física

Evaluación - Sector Industrial


Finalmente en el sector comercio, la figura 3-18 presenta que solo

se encuestaron empresas micro y medianas, ninguna pequeña. En éste

sector se evidencian falencias en casi todos los aspectos (figura

3-19). Solo el área de antivirus tiene una madurez nivel dos

(intermedio).


pertenecientes al sector comercio

0

1

2

3ANTIVIRUS

RESPALDOS




MANEJO DE MEDIOS

MÓVILES


POLÍTICAS

RESPONSABILIDADES

PLAN DESUPERVIVENCIA

INCIDENTES

MONITOREO

AUDITORÍAS

Madurez-Sector industrial

Madurez


colombianas

Figura 3-18: Nivel de madurez en ciberseguridad para el sector

comercio

0

3


Entendimiento delas obligaciones


Seguridad Física

Genéricos - Sector Comercio

0

1

2

3ANTIVIRUS

RESPALDOS




MANEJO DE MEDIOS

MÓVILES


POLÍTICAS

RESPONSABILIDADESPLAN DE SUPERVIVENCIA

INCIDENTES

MONITOREO

AUDITORÍAS

SGSI


VULNERABILIDAD

RED

DESARROLLO

CONCIENCIA

MADUREZ - SECTOR COMERCIO

MADUREZ

4. Conclusiones, Hallazgos Y Recomendaciones

En este capítulo se presentan en primera medida las conclusiones

generales y posteriormente se presentan unas conclusiones

específicas, las cuales se dividen en:

Conclusiones para la academia

Conclusiones para los empresarios (micro, mediana y pequeña

empresa)

Finalmente se entregan algunas recomendaciones y pasos a seguir

dentro de los involucrados en la ciberseguridad de las MiPymes

colombianas.

4.1 Conclusiones generales

El 23% de las empresas encuestadas corresponden al sector de la

tecnología. Sorprendentemente, las empresas que ofrecen prácticas

para los aspectos evaluados no tienen un nivel de madurez destacado.

Las empresas de TI deben ser del tipo de empresas que más cuidadosas

deben ser en temas de ciberseguridad, ya que cualquier incidente

pone en riesgo la información de las empresas con las cuales tienen

relaciones comerciales.

Se evidenció que la mayor parte de las empresas no tienen en cuenta

muchos de los temas propuestos en la encuesta. Algunas de las

retroalimentaciones que se recibieron fueron que el instrumento y

los temas que abordan sirven como apoyo para que las empresas se

hagan una idea de qué deben tener en cuenta en ciberseguridad. El

instrumento permite que las empresas consideren algunos temas que

no habían contemplado. El hecho de entregar una retroalimentación

hace que las empresas se sientan interesadas en el tema y descubran

la magnitud de los riesgos que están afrontando.

La mayoría de las empresas encuestadas no tienen un SGSI establecido

ni personal dedicado a la seguridad de la información. Las empresas

optan por una aproximación informal para el tratamiento de los

riesgos, pues la mayoría no tienen una actitud organizada y definida

para hacer frente a dichos riesgos.

60 Bibliografía

Se encuentra que la mayoría de las empresas son conscientes de los

problemas que puede implicar la materialización de un incidente de

seguridad y tienen claro que esto puede afectar el negocio. Sin

embargo, no toman las medidas adecuadas para evitarlos o tratarlos

adecuadamente.

Se evidencia un bajo apoyo de los gerentes y directores o

propietarios en las iniciativas de ciberseguridad. Tal vez esto sea

producto del poco conocimiento que ellos mismos tengan sobre el

tema, evidenciado en algunas de las encuestas. Esto lleva a que las

empresas no tengan una estrategia clara y definida que permita

realizar una aproximación a los riesgos eficiente y adecuada.

El 52% de las empresas no asignan recursos o estos no son suficientes

para cubrir sus necesidades de seguridad de la información.

Uno de los controles más utilizado es el antivirus, pues el 96,2%

de las empresas encuestadas hacen uso de éste. Sin embargo, son muy

pocas (13%) las que recogen estadísticas, realizan verificaciones y

análisis de los datos que estos entregan, práctica vital para

aumentar la efectividad de estos.

El 40% de las empresas encuestadas no realizan un control de la

información que desechan, uno de los riesgos más comunes en cuanto

a seguridad de la información. Por otra parte, si bien algunas

empresas están haciendo uso de dispositivos móviles para sus

labores, el 43% de estas no realiza ningún control sobre estos ni

sobre las personas que trabajan en instalaciones diferentes a las

de la empresa (teletrabajo). La falta de controles hace que los

dispositivos móviles representen un riesgo para la información de

las empresas.

El 45% no tiene un plan de continuidad establecido, lo que las hace

vulnerables a cualquier desastre (incendio, inundación, terremoto,

etc.). Más del 50% de las empresas no tienen un procedimiento de

gestión de incidentes de seguridad. Esto quiere decir que pueden

presentarse eventos que comprometan la seguridad de la información

y la empresa puede no detectarlos y en caso de hacerlo, no estar

preparada para realizar una investigación o tomar las respectivas

acciones legales.

El 45% de las empresas medianas tiene planes de conciencia y

capacitación en seguridad de la información. Esta práctica es muy

importante a la hora de mitigar el riesgo causado por las personas.

Si bien, el 14% de las empresas encuestadas muestran un nivel 3 de

madurez en algunos aspectos, algunas de estas prácticas las realizan

de manera intuitiva y no dentro un plan estructurado.

Medición de madurez de CiberSeguridad en MiPymes

colombianas

61

4.2 Conclusiones para la academia

Si bien existe un gran número de modelos de madurez, son escasos

los modelos que se ajustan a lo que requiere un sistema de medición

de madurez y capacidad en ciberseguridad enfocado a las MiPymes.

Aunque el modelo del estándar IASME responde bien al objetivo de la

investigación, para realizar investigaciones posteriores se hace

necesario hacer algunos ajustes a este modelo y adaptarlo a las

características de la industria colombiana.

Solo el 11% de las MiPymes tiene establecido formalmente un SGSI.

Sin embargo, este bajo porcentaje no sorprende debido a lo que

implica definir un sistema de este tipo: los costos, el esfuerzo,

los recursos y el tiempo que se requiere. A futuro sería pertinente

investigar qué tanta efectividad tienen estos SGSI, qué dificultades

se presentan, por qué su baja adopción y revisar alternativas que

lleven a las empresas a tener los beneficios que otorga un SGSI.

A nivel general, se puede decir que las MiPymes encuestadas no

poseen planes claros de mejora o revisión de los controles que ya

han implementado. Es necesario identificar las causas y plantear

soluciones que permitan elevar este porcentaje.

La mayoría de las empresas consideran importante la ciberseguridad

para sus actividades, pero se muestran resistentes para invertir en

ella. Una evaluación de la educación en ciberseguridad que puedan

tener gerentes, propietarios y demás altos mandos puede ser útil

para crear conciencia en la necesidad de invertir en ciberseguridad.

La encuesta también refleja una falencia general en cuanto a los

planes de continuidad que establecen las MiPymes encuestadas. Este

aspecto es llamativo, pues un plan de continuidad del negocio para

una empresa pequeña puede valer mucho menos de lo que puede costar

para una gran empresa. Las empresas, tal vez por desconocimiento,

no revisan este aspecto vital para la supervivencia misma del

negocio. Este desconocimiento se ve reflejado en las dudas que

manifestaron las MiPymes encuestadas. Algunas de las personas

encuestadas indicaron no tener en cuenta este aspecto o no saber

cómo hacer un plan de continuidad a su medida. Esta problemática

resulta un tema interesante en el cual profundizar y proponer

soluciones.

El control predilecto a utilizar por las MiPymes es sin duda alguna

el antivirus, pues solo el 3.8% de las empresas no lo utiliza. Sin

embargo, este control refleja un comportamiento que se extiende por

varios de los aspectos evaluados. Se implementa y se expande de

manera adecuada, pero no se realizan acciones correctivas o de

mejora sobre la efectividad del control. Las empresas solamente

instalan el antivirus sin ningún plan claro o sin tener unos

62 Bibliografía

objetivos alineados con su necesidad. Es necesario fortalecer a las

MiPymes en planes de supervisión y revisión de los controles que se

tienen implementados, con el fin de realizar los ajustes necesarios

y mejorar la efectividad de sus acciones. La academia puede apoyar

en mejorar la óptima implementación de controles de ciberseguridad

al interior de las compañías.

4.3 Conclusiones para las microempresas

En las microempresas evaluadas existe poco compromiso de la gerencia

con la ciberseguridad y un entendimiento casi nulo de los riesgos y

obligaciones como empresa. Así mismo no se toma en serio la seguridad

física.

Por otra parte, se observa que las MiPymes no realizan controles

sobre las personas que contratan.

En las microempresas existe una grave falencia en cuanto al manejo

de los medios de almacenamiento de la información. Muchas empresas

durante la encuesta indicaron no poseer ningún tipo de control a la

hora de deshacerse de información y mucho menos llevar algún tipo

de control cuando esta se transfiere. Esto las hace vulnerables a

experimentar fugas de información, pues solo con el hecho de revisar

lo que deja en la basura alguna de estas empresas podría tener

acceso a información valiosa. También pueden presentar fugas de

información si alguien transfiere información de manera física, como

por ejemplo enviar un medio de almacenamiento con un mensajero. Esta

información claramente podría estar en riesgo de ser consultada o

alterada. En las demás áreas han realizado algunas tareas, pero de

manera parcial y tal vez de una manera desorganizada.

Las microempresas encuestadas tienen una falencia generalizada en

el control que hacen en la contratación de sus empleados. Falta de

controles en la información que se entrega a candidatos. Controles

deficientes mientras están en la empresa y un pobre control de la

información que deben entregar para evitar su fuga cuando el

empleado deja la empresa.

4.4 Pequeña empresa

La encuesta muestra que cuenta con algunos controles físicos. Sin

embargo, estos puede que no sean los suficientemente efectivos. En

este tipo de empresas también se observa un poco más de compromiso

por parte de los dueños o gerentes en cuanto a seguridad de la

información. Pero se perciben las mismas falencias de las MiPymes

del desconocimiento de las obligaciones de la empresa y el control

de contratación de empleados.

En cuanto a los controles, el único que se encuentra en nivel medio

(2) es el antivirus. En el resto de controles existen serias


colombianas

63

falencias y únicamente se hacen acciones al azar. La parte de las

auditorías, incidentes, monitoreo y políticas es prácticamente nula.

4.5 Mediana empresa

Los resultados de la encuesta destacan levemente las prácticas en

seguridad física. Sin embargo, se evidencia que el compromiso de

los propietarios no es suficiente.

La mediana empresa a nivel general también tiene un desconocimiento

absoluto de sí misma poniéndola en riesgos legales y monetarios.

Esto se puede concluir debido a que el 69% desconocen sus

obligaciones legales, regulatorias y contractuales o conocen solo

algunas, pero no están seguros de que conozcan todas las

obligaciones aplicables. Adicionalmente el 31.8% de las empresas

desconocen a qué riesgos están expuestas y el 45,5% afirma conocer

solo algunos de estos riesgos. Este tipo de empresas tampoco

acostumbra hacer un control en la contratación de personal.

Se pueden enumerar varios controles en los que la mediana empresa

muestra un nivel medio (2). Estos controles son el antivirus, el

respaldo de la información, la clasificación en inventario de

activos de información y la instalación de software, políticas y

responsabilidades.

4.6 Recomendaciones

Se encuentra gran aceptación por parte de los encuestados a la hora

de aplicar el instrumento. Manifiestan que esto contribuyó a

aumentar su conciencia en cuanto a seguridad y a considerar ciertos

aspectos que no se habían tenido en cuenta dentro de sus operaciones.

Se considera importante fortalecer programas de conciencia en

ciberseguridad para las MiPymes, dándoles un enfoque práctico y

tangible, que los ayude a identificar situaciones de riesgo y pueda

aportar en las decisiones y acciones que puedan tomar.

Estos programas de conciencia e información deben reforzarse con

material práctico que permita a las empresas realizar sus propias

evaluaciones iniciales. Una vez la empresa tiene un conocimiento de

sus necesidades, solo en ese momento estaría lista para contratar

servicios o asesorías que puedan ayudarlas a mitigar los problemas.

Desde las cámaras de comercio y entidades de apoyo a las MiPymes se

debe prestar especial atención a las microempresas. Este grupo de

empresas pueden representar el grupo más vulnerable. Con campañas,

guías gratuitas y prácticas se debe apoyar a este tipo de empresas,

sobre todo cuando están en sus inicios. Esto con el fin de mitigar

los riesgos a los cuales están expuestas.

64 Bibliografía

Es necesario impulsar campañas que le permitan a las empresas

conocer qué es un incidente de seguridad y saber qué medidas puede

tomar. Es necesario fortalecer los CERT (Computer Emergency Response

Team) regionales y locales que apoyen a las entidades en la detección

y manejo de incidentes de seguridad.

Las empresas de pocos recursos deberían recurrir a soluciones en la

nube de bajo costo y fácil implementación que les permita establecer

un plan de continuidad del negocio.

Por otra parte, dentro de los hallazgos se considera preocupante la

actitud que ejercen las compañías hacia los riesgos. En seguridad

de la información, la gestión de riesgos juega un papel fundamental

y es el pilar sobre el cual se establecen las estrategias de

protección en una empresa. Por esta razón se considera importante

dar a conocer y capacitar a las empresas en una adecuada gestión de

riesgos. Actualmente existen algunas metodologías de gestión de

riesgos, pero estas pueden resultar complejas y confusas para las

MiPymes. Es de utilidad definir una metodología de gestión de

riesgos enfocada para estas empresas, que sea de fácil aplicación,

de bajo costo y altamente efectiva.

El gobierno y la academia deben establecer programas conjuntos que

permitan generar modelos, estándares y guías de apoyo para las

MiPymes. Aunque a nivel mundial existan soluciones planteadas, estas

pueden no ser del todo adecuadas dadas las diferencias existentes

en la definición de Pyme a nivel mundial. Las Pymes colombianas

tienen un entorno único que puede afectar la seguridad de la

información.

4.7 Próximos pasos

En próximos estudios se puede explorar de qué manera la situación

económica de las empresas o su estado e informalidad influye en unas

malas prácticas al manipular información. Si bien ya existen

soluciones de bajo costo, en este estudio se evidencia que estas no

están siendo usadas por las empresas y es necesario identificar las

razones por las cuales esto sucede con el fin de atacar este problema

de raíz.

Es necesario establecer un modelo de fácil implementación y

evaluación para las MiPymes, ya que la implementación de normas como

la ISO 27001 lleva un gran esfuerzo y costo y puede no ser adecuada

para el inicio. El estudio evidenció una baja implementación de SGSI

y la percepción en algunos casos es que esto es para grandes

empresas.

Como investigación posterior puede verse cómo la adopción y

formalización de políticas puede influir a mejorar las prácticas de

seguridad de la empresa. En algunos casos puede revisarse las


colombianas

65

dificultades que tienen las empresas a la hora de establecer

políticas.

Es necesario establecer metodologías de gestión de riesgos ágiles

que permitan a las empresas conocerse. También es necesario

establecer esquemas de atención de incidentes fáciles de implementar

que permitan a las empresas reaccionar.

Campañas de divulgación y conocimiento de los aspectos de seguridad

que las empresas deben tener en cuenta, pueden resultar útiles.

Teniendo en cuenta a los involucrados, se resumen las acciones a

seguir en la figura 4-1.

Figura 4-1: Acciones a seguir para la ciberseguridad en MiPymes

La tabla 4-2 detallar acciones concretas que se sugieren para tratar

las problemáticas identificadas.

Tabla 4-2: Acciones a implementar

ACTORES INVOLUCRADOS ACCIÓN OBSERVACIÓN

Empresario /

Consultor legal

Conocimiento legal de la

empresa

Poseer un conocimiento de los

requerimientos legales,

contractuales y regulatorios

que pueda tener la empresa.

Investigadores Metodología para realizar un

análisis de impacto de

negocio

El análisis de impacto de

negocio es vital para que los

empresarios tengan un

conocimiento de su empresa y

66 Bibliografía


de sus activos de información

valiosos. Actualmente no

existe una metodología

establecida y mucho menos

estandarizada para MiPymes.

Investigadores,

Consultores;

Empresarios

Metodología de riesgos La gestión de riesgos es un

tema en el cual deben

involucrarse los empresarios

como parte del conocimiento

de su empresa. Existen

algunas metodologías ágiles

las cuales podrían

experimentarse en el entorno

de la industria nacional y

ajustar para su uso.

Empresarios Inversiones inteligentes Un empresario bien informado

y con un conocimiento claro

de su empresa será capaz de

realizar las inversiones

necesarias a los activos

clave optimizando los gastos

en ciberseguridad.

Empresarios Gestión de proveedores

eficiente

Los empresarios deben estar

en la capacidad de elegir y

hacer seguimiento a los

proveedores que contratan con

el fin de sacar el máximo

provecho de los servicios

contratados.

Consultores Gestión de personal Capacitación y servicios de

selección de personal y

seguimiento a su desempeño,

pueden ayudar a evitar

inconvenientes con empleados

que no cumplan con los

requerimientos de la empresa

en ciberseguridad.

Consultores Servicios de respaldo y

recuperación

Se deben proveer servicios de

respaldo y configuración

sencillos de implementar y de

bajo costo para MiPymes

Gobierno,

investigadores,

consultores

Esquemas de clasificación de

la información

estandarizados

Definir un esquema de

clasificación de información

estándar que sirva de guía a

los empresarios para diseñar

los propios según sus

necesidades

Consultores,

fabricantes,

investigadores

Soluciones para control de

dispositivos móviles

Ya existe una variedad de

soluciones para dispositivos

móviles. Se debe entrar a

evaluar su adopción en las

MiPymes con el fin de

identificar su idoneidad y

eficacia en este tipo de

empresas.

Fabricantes,

proveedores de

servicios

Sistemas de control físico y

de acceso

Sistemas de controles de

entrada y salida de

elementos, alarmas y

biométricos de bajo costo y

versátiles que sirvan a los

empresarios para tener un

control sobre sus elementos.

Gobierno/Empresarios Guía para la gestión de

incidentes de seguridad de

la información

Establecer guías de apoyo

para que las empresas sean

capaces de identificar

incidentes de información y

cómo gestionarlos. El

establecimiento de un CSIRT

(Computer Security Incident


colombianas

67


Response Team) para las

MiPymes también puede apoyar

este punto, ya sea organizado

por el gobierno o por los

mismos empresarios.

Proveedores de

servicios

Auditorías Proporcionar servicios de

auditorías enfocadas a

MiPymes

Gobierno Guía para la implementación

de un SGSI

El desarrollo de una guía por

cada uno de los tipos de

empresa separadamente, es

decir guía SGSI micro, guía

SGSI pequeña, guía SGSI

mediana.

Proveedores de

servicios / Gobierno/

Investigadores

Guía de continuidad El gobierno debe realizar

campañas de conciencia

relacionadas con los planes

de continuidad y las empresas

consultoras ayudar a

establecer planes de

continuidad de negocio

enfocados para MiPymes.

Consultores Asesoría legal Ofrecer asesorías

especializadas en temas de

delitos informáticos.

Proveedores de

servicios /

Investigadores

Soluciones para el análisis

de vulnerabilidades

Soluciones específicas para

MiPymes.

Proveedores de

servicios

Asesoría y soluciones de

gestión de medios.

Soluciones de custodia y

disposición segura de medios

para MiPymes.

68 Bibliografía

5. Bibliografía

Albrechtsen, E. (2007). A qualitative study of users’ view on

information security. Computers & Security, 26(4), 276–289.

http://doi.org/10.1016/j.cose.2006.11.004

Almanza, A. (2015, April). Revista Sistemas - ACIS.

Beachboard, J., Cole, A., Mellor, M., Hernandez, S., Aytes, K., &

Massad, N. (2008). Improving information security risk

analysis practices for small- and medium-sized enterprises : A Research Agenda. Issues in Information Science and Information

Technology, 5.

Boyson, S. (2014). Cyber supply chain risk management:

Revolutionizing the strategic control of critical IT systems.

Technovation, 34(7), 342–353.

Calvo-Manzano, J., Cuevas, G., Muñoz, M., & Feliu, T. S. (2008).

Process similarity study: Case study on project planning

practices based on CMMI-DEV v1. 2. Links.

Calvo-Manzano, J., Cuevas, G., Muñoz, M., & Feliú, T. S. (2008).

Estudio entre modelos y estándares de buenas prácticas

enfocado a las prácticas de planificación de proyectos y

utilizando CMMI-DEV v1. 2 como referencia. 3a Conferencia

Ibérica de Sistemas Y Tecnologías de Información.

Caralli, R. a, Allen, J. H., Curtis, P. D., White, D. W., & Young,

L. R. (2010). CERT ® Resilience Management Model. Management,

1988(May), 259.

Caralli, R., Stevens, J., Young, L., & Wilson, W. (2007).

Introducing octave allegro: Improving the information security

risk assessment process.

Cholez, H., & Girard, F. (2014). Maturity assessment and process

improvement for information security management in small and

medium enterprises. Journal of Software: Evolution and

Process, 26(5), 496–503.

Churchill Jr., G. a. (1979). A paradigm for developing better

measures of marketing constructs. Journal of Marketing

Research, 16(1), 64–73.

Confecámaras. (2011). Impacto de la Formalización Empresarial en

Colombia.

Consejo Nacional de Política Económica y Social. Documento Conpes

3701 - Lineamientos de Política para Ciberseguridad y

Ciberdefensa (2011). República de Colombia: Departamento

Nacional de Planeación.

Departamento Administrativo Nacional de Estadística. DANE - Censo


colombianas

69

Económico (2005). Colombia.

Dojkovski, S., Lichtenstein, S., & Warren, M. (2007). Fostering

Information Security Culture in Small and Medium Size

Enterprises: An Interpretive Study in Australia. ECIS.

Enrique, L., Crespo, S., & Politécnica, E. (2007). MMISS-SME

Practical Development : Maturity Model for Information Systems Security Management in SMEs ., (July 2015).

European Network and Information Security Agency. (2006). Risk

Assessment and Risk Management Methods : Information Packages for Small and Medium Sized Enterprises ( SMEs ), 1–20.

Fojón, J. E., & Sanz Villalba, Á. F. (2010, June 23).

Ciberseguridad en España: una propuesta para su gestión.

Boletín Elcano. Real Instituto Elcano.

Garengo, P., & Biazzo, S. (2013). From ISO quality standards to an

integrated management system: An implementation process in

SME. Total Quality Management & Business Excellence.

Hefley, B., & Loesche, E. A. (2010). eSourcing Capability Model

for Client Organizations – eSCM-CL. van Haren Publishing.

Henson, R., & Booth, D. (2010). Information Assurance and SMEs:

Research Findings to inform the development of the IASME

model. Retrieved from

http://staffweb.worc.ac.uk/hensonr/iasmeresearchfindingsnov10.

pdf

Henson, R., Dresner, D., & Booth, D. (2011). IASME: Information

Security Management Evolution for SMEs. In ATINER 8th Annual

International Conference on Small & Mediun Sized Enterprises:

Management - Marketing.

Hurtado, G. (2010). Estudio de similitud del proceso de gestión de

riesgos en proyectos de outsourcing de software: utilización

de un método. Revista Ingenierías Universidad de Medellín.

Hurtado, G. G. (2010). Metodología de gestión de riesgos para la

adquisición de software en pequeños entornos-MEGRIAD.

Hutchinson, D., Armitt, C., & Edwards-lear, D. (2014). The

application of an agile approach to it security risk

management for SMES THE APPLICATION OF AN AGILE APPROACH TO IT

SECURITY.

ICONTEC. NTC-ISO-IEC 27001 (2013).

Information Systems Security Association. (2011). ISSA-UK 5173 -

Information Security for SMEs.

International Organization for Standardization. ISO/IEC 21827:2008

- Information technology -- Security techniques -- Systems

Security Engineering -- Capability Maturity Model® (SSE-CMM®)

70 Bibliografía

(2008).

International Organization for Standardization. NTC-ISO/IEC 27005

(2008).

International Organization for Standardization. International

Standard ISO/IEC 27000 (2014).

Isomäki, H., & Bilozerov, O. (2011). Information Security Culture

in Russian ICT Small and Medium Size Enterprises. IRIS.

Isomäki, H., & Bilozerov, O. (2012). Managers’ Information

Security Awareness in Russian ICT Small and Medium Sized

Enterprises. IRIS.

Johnson, C. (2002). The benefits fo PDCA. Quality Progress.

Kett, H., Kasper, H., Falkner, J., & Weisbecker, A. (2012). Trust

factors for the usage of cloud computing in small and medium

sized craft enterprises. Lecture Notes in Computer Science

(Including Subseries Lecture Notes in Artificial Intelligence

and Lecture Notes in Bioinformatics), 7714 LNCS, 169–181.

Kimwele, M., Mwangi, W., & Kimani, S. (2010). Adoption of

information technology security policies: Case study of Kenyan

small and medium enterprises (SMES). Journal of Theoretical

and Applied Information Technology, 18(2), 1–11.

King, N. (2013). Small Business Cyber Security Workshop 2013

Towards Digitally Secure Business Growth.

Kourik, J. L. (2011). For Small and Medium Size Enterprises ( SME

) Deliberating Cloud Computing : A Proposed Approach 2 Cloud Computing 3 Potential Benefits and Drawbacks of Cloud

Computing. ECC’11 Proceedings of the 5th European Conference

on European Computing Conference, 216–221.

Laleh, E., Masoudi, Y., Fathy, F., & Ghorbani, S. (2013).

Influencing Factors of Information Security Management in

Small- and Medium-Sized Enterprises and Organizations. In 2013

International Conference on Communication Systems and Network

Technologies (pp. 445–449). IEEE. Retrieved from

http://ieeexplore.ieee.org/lpdocs/epic03/wrapper.htm?arnumber=

6524436

Lessing, M. (2008). Best practices show the way to Information

Security Maturity.

Ley 905. Congreso de Colombia (2004). Agosto 2 de 2004.

Lin, H., & Goodman, S. (2007). Toward a safer and more secure

cyberspace.

Lopes, I., & Oliveira, P. (2014). Understanding information

security culture: a survey in small and medium sized

enterprises. New Perspectives in Information Systems and ….

Mangin, O., Barafort, B., Heymans, P., & Dubois, E. (2012).


colombianas

71

Designing a process reference model for information security

management systems. … Process Improvement and ….

Martins, A., & Elofe, J. (2002). Information security culture.

Mora-Riapira, E. H., Vera-Colina, M. A., & Melgarejo-Molina, Z. A.

(2015). Planificación estratégica y niveles de competitividad

de las Mipymes del sector comercio en Bogotá. Estudios

Gerenciales, 31(134), 79–87.

http://doi.org/10.1016/j.estger.2014.08.001

Ng, Z., Ahmad, A., & Maynard, S. (2013). Information Security

Management: Factors that Influence Security Investments in

SMES. In Australian Information Security Management

Conference. Perth, Australia: SRI Security Research Institute,

Edith Cowan University, Perth, Western Australia.

Rodríguez, E. A. B. (2013, November 13). Hacia la competitividad

sistémica de las MIPYMES: un análisis del contexto colombiano.

Ensayos. Revista de los estudiantes de Administración de

Empresas.

Sampieri, R. H. (2010). Metodología de la investigación. México:

Editorial Mc ….

Sánchez, L. (2009). MGSM-PYME: Metodología para la gestión de la

seguridad y su madurez en las PYMES. V Congreso ….

Sangani, N., & Vithani, T. (2012). Security & Privacy Architecture

as a service for Small and Medium Enterprises. Cloud Computing

….

San-José, P. P., Borge, C. G., Alonso, E. Á., Pérez, L. G., &

Rodríguez, S. de la F. Estudio sobre seguridad de la

información y continuidad de negocio en las empresas españolas

(2012). Gobierno de España, Ministerio de Industria, Energía y

Turismo.

Santos-Olmo, A., Sánchez, L. E., Fernández-Medina, E., & Piattini,

M. (2011). Desirable characteristics for an ISMS oriented to

SMEs. In Proceedings of the 8th International Workshop on

Security in Information Systems, WOSIS 2011, in Conjunction

with ICEIS 2011 (pp. 151–158).

Santos-Olmo, a, & Sánchez, L. (2012). Revisión Sistemática de

Metodologías y Modelos para el Análisis y Gestión de Riesgos

Asociativos y Jerárquicos para PYMES.

Globaltraining.Mondragon.Edu.

Solms, S. von. (2010). The 5 Waves of Information Security–From

Kristian Beckman to the Present. Security and Privacy–Silver

Linings in the Cloud.

Sultan, N. A. (2011). Reaching for the “cloud”: How SMEs can

manage. International Journal of Information Management,

72 Bibliografía

31(3), 272–278.

Tanuwijaya, H., & Sarno, R. (2010). Comparation of COBIT maturity

model and structural equation model for measuring the

alignment between university academic regulations and

information. IJCSNS.

Tawileh, A., Hilton, J., & McIntosh, S. (2007). Managing

information security in small and medium sized enterprises: a

holistic approach. ISSE/SECURE 2007 Securing Electronic ….

The IASME Consortium. Information Assurance for Small and Medium

Enterprises (IASME)-3.0-2015 (2015).

The Open Group. (2014). O-ISM3 Consortium Blog.

Unión Internacional de Telecomunicaciones. UIT-T X.1205 Serie X:

Redes de Datos, Comunicaciones de Sistemas Abiertos y

Seguridad (2008).

von Solms, R., & van Niekerk, J. (2013). From information security

to cyber security. Computers & Security, 38, 97–102.

http://doi.org/10.1016/j.cose.2013.04.004

Woodhouse, S. (2008). An isms (im)-maturity capability model. …

Workshops, 2008. CIT Workshops 2008. IEEE ….

Yeboah-Boateng, E. O. (2013). Cyber-Security Challenges with SMEs

in Developing Economies : Issues of Confidentiality , Integrity & Availability. Aalborg University.

Yeniman Yildirim, E., Akalp, G., Aytac, S., & Bayram, N. (2011).

Factors influencing information security management in small-

and medium-sized enterprises: A case study from Turkey.

International Journal of Information Management, 31(4), 360–

365.

Zapata, G., & Canet, T. (2008). Propuesta metodológica para la

construcción de escalas de medición a partir de una aplicación

empírica (Actualidades Investigativas en Educación, Latindex-

{UCR}). Actualidades Investigativas En Educación., Volumen

8(número 2), 1–26.

Documents

Medición de madurez de CiberSeguridad en MiPymes … · 4.7 Próximos pasos ... Etapas de la medición de madurez ... pero ninguno de estos esfuerzos ha sido enfocado hacia las MiPymes