Cyber resilience operationalization framework (cr-of) for smes
- Saioa Arrizabalaga Director
- Josune Hernantes Apezetxea Director
Universidade de defensa: Universidad de Navarra
Fecha de defensa: 17 de setembro de 2021
- Jose Julio Cabeza González Presidente/a
- Javier Añorga Benito Secretario/a
- Maykel Alonso Arce Vogal
- Josu Bilbao Ugalde Vogal
- Javier Santos García Vogal
Tipo: Tese
Resumo
El panorama de las ciberamenazas, en constante evolución, es un problema latente para las empresas actuales. Esto es especialmente cierto para las Pequeñas y Medianas Empresas (PYMEs) porque tienen recursos limitados para hacer frente a las amenazas pero, como grupo, representan un amplio mercado para que los ciberdelincuentes exploten. Además, el riesgo de incidentes cibernéticos no se debe únicamente a los ciberdelincuentes, sino que puede provenir de múltiples fuentes, como errores humanos, fallos del sistema, etc. En cualquier caso, los costes de estos ciber incidentes son elevados y pueden afectar considerablemente a las PYMEs. Por otra parte, el enfoque tradicional de ciberseguridad de protección contra las amenazas conocidas no puede resistir la rápida evolución de las tecnologías y las amenazas. En este sentido, este estudio afirma que la ciberresiliencia, un enfoque más holístico de la ciberseguridad, podría ayudar a las PYMEs a anticipar, detectar, resistir, recuperarse y evolucionar tras los ciberincidentes. Sin embargo, operacionalizar la ciberresiliencia no es una tarea fácil, ya que requiere conocimientos técnicos y estratégicos y experiencia por su amplio enfoque, su naturaleza holística y multidimensional. Aunque la literatura actual relativa a la operacionalización de la ciberresiliencia ha cubierto ampliamente las acciones y áreas de conocimiento (a menudo llamadas políticas y dominios) requeridas para operacionalizar la ciberresiliencia, su priorización y las estrategias específicas de implementación no están claras. Además, las diferencias entre las acciones sugeridas entre los distintos autores obligan a las empresas a seleccionar un enfoque y a priorizar posteriormente estas acciones. Por lo tanto, se requiere capacidad de decisión, conocimiento y experiencia para saber qué es lo mejor para la empresa. En las PYMES, estos conocimientos y experiencia pueden no estar presentes ya que en la mayoría de los casos la ciberseguridad no es el núcleo de su negocio. Por lo tanto, este estudio trata de facilitar el proceso de operacionalización de la ciberresiliencia para las PYMEs. Para lograr el objetivo de ayudar a las PYMEs en la operacionalización de la ciberresiliencia, este estudio presenta un marco de operacionalización para ayudarles a priorizar las políticas de ciberresiliencia necesarias y desarrollar estrategias efectivas para implementarlas. Para ello, el estudio presenta una clasificación con los dominios y políticas de ciberresiliencia esenciales para operacionalizar la ciberresiliencia en las PYMEs. Una vez establecidas estas políticas, también presenta un orden de implementación para una operacionalización efectiva de la ciberresiliencia. Además, el estudio presenta ejemplos de progresión para cada política en un modelo de progresión con el fin de que las empresas puedan elaborar estrategias para implementar y posteriormente mejorar las políticas requeridas. Estos resultados se combinan en una herramienta de autoevaluación y en modelos de simulación que podrían ser utilizados por las empresas en su proceso de toma de decisiones para tener en cuenta las conclusiones de este estudio a la hora de hacer operativa la ciberresiliencia.