Modelo de ciberseguridad para cajas municipales en tiempos de transformación digital - un nuevo enfoque

Abstract

Los modelos de ciberseguridad, ayudan a controlar y medir los riesgos a los que se ven expuestos toda organización; a través de diferentes controles, procedimientos y estrategias. Así mismo, permite proteger los activos de información y los servicios de negocio que brinda la empresa y que constantemente se ven amenazadas por la ciberdelincuencia y los ciberataques. La evolución de los clientes bancarios y su decidida incorporación al mundo digital, hacen que la transformación digital, sea uno de los más grandes retos estructurales que afecta el sector financiero; y sin duda, el más trascendental para el futuro de estas entidades; lo cual obliga también a la evolución de sus modelos de ciberseguridad. La pandemia del covid-19, ha puesto de manifiesto la necesidad que tienen las empresas en acelerar sus procesos de transformación digital. El objetivo del presente estudio fue elaborar la propuesta para un modelo de ciberseguridad con nuevo enfoque para cajas municipales, en tiempo de transformación digital, que incluya características de integridad, confidencialidad y disponibilidad, y que pueda servir para adaptarse a las exigencias actuales de la transformación digital y hacerle frente a los nuevos tipos de amenaza y ataques informáticos que evolucionan constantemente. Dentro de los resultados, se desarrolló la propuesta, utilizando el modelo de ciberseguridad “Zero Trust”, basado en el marco de gestión de ciberseguridad NIST. Así mismo, se diseñó un modelo organizacional basado en un esquema de niveles Estratégicos, Operacionales y Tácticos en forma de pirámide, que permitirá una mejor gestión de ciberseguridad y una comunicación constante entre todos los departamentos de la organización. Se modificó el organigrama del departamento de seguridad de la información; así como también, se elaboró la estructura de una nueva sección dentro del departamento de Tecnologías de Información llamado “Seguridad informática”; ambas, con sus respectivas macro funciones. Se elaboró el diseño de arquitectura de seguridad que protege y monitorea tanto el perímetro como lo que se encuentra fuera de él (internet). Se diseñó una matriz para el uso de 20 controles de seguridad CIS y acciones para crear una cultura robusta en ciberseguridad en toda la organización. Como conclusión, se logró identificar los modelos de ciberseguridad: “Defensa en Profundidad”, “Modelo Perimetral”, Modelo Zero Trust” y “Modelo Thin Security” a través de una matriz de priorización validada por expertos en ciberseguridad. Así mismo, se evaluaron estos modelos a través de una matriz de comparación de características; se determinaron las características que debe utilizar el modelo y fueron validadas a través de una lista de cotejo de usuarios potenciales. En base a lo anterior, se elaboró la propuesta utilizando el modelo de ciberseguridad Zero Trust basado en el marco NIST, el diseño de una nueva estructura organizacional de seguridad, la creación de una matriz de soporte de controles de seguridad CIS, el diseño de una arquitectura de ciberseguridad y los pasos para la creación de cultura en ciberseguridad en la organización. Finalmente, se validó la pertinencia, relevancia y claridad de la propuesta a través de una evaluación de Juicio de Expertos realizada a los usuarios potenciales.

Cybersecurity models help to control and measure the risks to which every organization is exposed; through different controls, procedures and strategies. Likewise, it allows to protect the information assets and the business services that the company provides and that are constantly threatened by cybercrime and cyberattacks. The evolution of banking clients and their determined incorporation into the digital world make digital transformation one of the greatest structural challenges affecting the financial sector; and without a doubt, the most important for the future of these entities; which also forces the evolution of their cybersecurity models. The covid-19 pandemic has highlighted the need for companies to accelerate their digital transformation processes. The objective of this study was to develop the proposal for a cybersecurity model with a new approach for municipal savings banks, in times of digital transformation, that includes integrity, confidentiality and availability characteristics, and that can be used to adapt to the current demands of transformation and tackle new types of cyber threats and attacks that are constantly evolving. Among the results, the proposal was developed, using the “Zero Trust” cybersecurity model, based on the NIST cybersecurity management framework. Likewise, an organizational model was designed based on a scheme of Strategic, Operational and Tactical levels in the form of a pyramid, which will allow better cybersecurity management and constant communication between all the departments of the organization. The organization chart of the information security department was modified; as well as, the structure of a new section within the Information Technologies department called "Computer Security" was elaborated; both, with their respective macro functions. The security architecture design was developed that protects and monitors both the perimeter and what is outside it (internet). A matrix was designed for the use of 20 CIS security controls and actions to create a robust culture in cybersecurity throughout the organization. As a conclusion, it was possible to identify the cybersecurity models: "Defense in Depth", "Perimeter Model", Zero Trust Model "and" Thin Security Model "through a prioritization matrix validated by cybersecurity experts. Likewise, these models were evaluated through a characteristic comparison matrix; The characteristics that the model should use were determined and validated through a checklist of potential users. Based on the above, the proposal was prepared using the Zero Trust cybersecurity model based on the NIST framework, the design of a new organizational security structure, the creation of a CIS security controls support matrix, the design of a cybersecurity architecture and the steps for creating a cybersecurity culture in the organization. Finally, the relevance, relevance and clarity of the proposal was validated through an Expert Judgment evaluation carried out on potential users.