Modelo de madurez para determinar el nivel de cultura de ciberseguridad en organizaciones industriales

Abstract

En los últimos cinco años los incidentes de ciberseguridad han incrementado su frecuencia en 40 por ciento en la industria en general. El 80 por ciento de compañías consideran que no tiene una cultura en ciberseguridad implementada en su respectiva empresa y, sólo un 11 por ciento tienen métodos y programas de medición continua de esta cultura. En este trabajo de investigación hemos profundizado en el comportamiento del factor humano como la principal amenaza para la ciberseguridad. Teniendo en cuenta el contexto industrial, la realidad económica, social y política del país, decidimos presentar una alternativa que permita controlar el estado de la cultura de una forma continua, de fácil uso y bajo costo.

En base a esta necesidad, proponemos un modelo de madurez para diagnosticar el grado de cultura de ciberseguridad en organizaciones industriales que permite evaluar el estado de la cultura en la empresa a través de sus componentes y poder monitorearlos a través de métricas definidas en este proyecto. El modelo permitirá mostrar resultados, de fácil entendimiento, que nos permitirá sustentar proyectos y programas de mejora en la concienciación de la cultura.

Finalmente, se aplicó la herramienta de medición a una empresa del sector minero que opera a lo largo del país. Se desplegaron los cuestionarios para que sean resueltos por especialistas de tecnologías de información y del negocio. Los resultados obtenidos nos muestran el estado actual de la cultura en ciberseguridad de la empresa y de los controles que deberán ajustarse para poder lograr el nivel objetivo trazado, donde se visibilice un cambio en el comportamiento de los empleados en la organización que permitirá fortalecer sus capacidades de ciberseguridad.

In the last five years, cybersecurity incidents have increased in frequency by 40 percent in the industry as a whole. Eighty percent of companies believe that there is no cybersecurity culture implemented in their respective company and only 11 percent have methods and programs for continuous measurement of this culture. In this research paper we have delved into the behavior of the human factor as the main threat to cybersecurity. Taking into account the industrial context, the economic, social and political reality of the country, we decided to present an alternative that allows monitoring the state of the culture in a continuous, easy to use and low-cost way.

Based on this need, we propose a Maturity Model to determine the level of cybersecurity culture in industrial organizations that allows to evaluate the state of the culture in the company through its components and monitor them through metrics defined in this project. The model will allow us to show results, easy to understand, that will allow us to support projects and improvement programs in culture awareness.

Finally, the measurement tool was applied to a company in the mining sector operating throughout the country. The questionnaires were deployed to be solved by information technology and business specialists. The results obtained show us the current state of the company's cybersecurity culture and the controls that must be adjusted in order to achieve the objective level set, where a change in the behavior of the organization's employees can be seen, which will strengthen their cybersecurity capabilities.