SlideShare una empresa de Scribd logo

Unidad 1. Recurso 1. Transformación Digital (1).pdf

D
deuri1

Universidad del Caribe

Empleo
1 de 24
Descargar para leer sin conexión
0 Ciberseguridad Maestría en
1 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Mcs-111: Gestión de Operaciones de Ciberseguridad
2 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Unidad I Transformación Digital y Ciberseguridad
3 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad INTRODUCCIÓN.............................................................................................................. 4 UNIDAD I: TRANSFORMACIÓN DIGITAL Y CIBERSEGURIDAD ........................................... 5 1.1. Introducción a la Transformación Digital y al Ciberespacio ................................................5 1.2. Los sistemas y activos de información ...............................................................................8 1.3. Los sistemas de información y su rol dentro de la estrategia y misión de la organización ..9 1.4. Sistemas y activos de información críticos de la empresa ................................................10 ¿Cómo definir los activos de información críticos para una empresa? ...................................................11 Otras aplicaciones de la TIC como apoyo al negocio ...............................................................................11 1.5. Introducción a la Ciberseguridad: Habilitador de la Transformación Digital .....................12 1.6. Protección de los sistemas de información: Arquitectura, Políticas, Procesos y Controles14 ¿Qué es una Arquitectura? ......................................................................................................................15 1.7. Principios básicos de la arquitectura empresarial de la seguridad de la información........16 1.8. Introducción al diseño e implementación de procesos, actividades y tareas....................17 1.9. Controles de seguridad de la información .......................................................................19 1.10. Cuestiones éticas de la Ciberseguridad..........................................................................20 Bibliografía ............................................................................................................................22 Contenido
4 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Introducción La asignatura MCS-111: Gestión de Operaciones de Ciberseguridad tiene como propósito desarrollar en el maestrando las competencias requeridas para la gestión eficiente de los recursos tecnológicos destinados a salvaguardar los activos de información de una organización o empresa. Dichas habilidades poseen una relación estrecha con los estrepitosos avances de las tecnologías de la información y comunicaciones (TICs) y la transformación digital, así como las actividades vinculadas a la protección de la información almacenada, procesada o transmitida por activos (físicos o lógicos) en el Ciberespacio. Durante el desarrollo de esta asignatura abarcaremos aspectos alusivos al rol de la Ciberseguridad en el proceso de transformación digital, su planeación estratégica, implantación, soporte y mejora continua abundando sobre los elementos prácticos y operativos de esta novedosa disciplina. El desarrollo, exposición y discusión del contenido de esta asignatura se basa en el análisis del contenidista de recientes publicaciones académicas vinculadas a la materia, combinado con el estudio de marcos de referencia mundialmente aceptados y la experiencia de años de práctica en el sector profesional. Foto de Negocios creado por onlyyouqj - www.freepik.es
5 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Unidad I Transformación Digital y Ciberseguridad 1.1. Introducción a la Transformación Digital y al Ciberespacio ` La transformación digital, o también denominada cuarta revolución industrial (Klaus, 2016) consiste en un proceso de cambio o adaptación del ser humano, sus hábitos y costumbres acondicionados principalmente por nuevos descubrimientos en el campo científico. Aunque este proceso evolutivo no es nuevo para entender su significancia debemos estudiar la ola de avances que el ser humano y nuestra sociedad viene atravesando desde la revolución agrícola hasta lo que hoy en día conocemos como innovación digital. La transformación digital esta soportada por nuevos desarrollos tecnológicos que tienen una característica clave en común: Aprovechan el poder de alcance de la digitalización (que no es lo mismo que transformación digital) y las tecnologías de la información y comunicaciones o “TIC” (Klaus, 2016).
6 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Este proceso, integrado por una serie de revoluciones industriales que comenzaron a partir del siglo XVIII, marcaron el cambio de la aplicación de energía humana muscular, pasando por el aprovechamiento de la energía mecánica y evolucionando hacia un mayor uso de la energía cognitiva (en donde estamos hoy en día). Aunque pudiéramos abundar ampliamente sobre sobre las características e implicaciones que ha tenido cada una de estas revoluciones conviene concentrarnos en la denominada tercera revolución industrial, originada cerca de 1960 con el desarrollo de los semiconductores, lo que abrió paso a una serie de avances digitales nunca vistos en la historia de la humanidad. Es preciso mencionar que, sin el desarrollo de los semiconductores, transistores, circuitos integrados y otros elementos propios de la electrónica moderna hubiese sido imposible la simple digitalización que caracterizo a la tercera revolución industrial. La palabra digitalización, proveniente del inglés “to digitalize”, representa la acción y efecto de registrar información o datos de manera digital (RAE), lo que sumado a las TICs (tecnología necesaria para la gestión de dichos datos, (Daccach, s.f., p. 1)) permite el desarrollo continuo, exponencial e inimaginable de las tecnologías habilitadoras (Klaus, 2016). Los ordenadores, por ejemplo, planteados por Brynjolfsson y McAfee en 2014, como una tecnología tan precisa y diestra demuestra que es prácticamente imposible predecir en que ámbito del conocimiento será aplicada nos invita a reflexionar con respecto a como desarrollamos nuevas implementaciones de la computación moderna e innovación digital, en miras a resolver problemas primordiales y destacar posibles respuestas a los mismos (Klaus, 2016). Dichas tecnologías, sumado a un cambio cultural orientado a la innovación digital es lo que nos permitirá no solamente convertir nuestras organizaciones en “empresas orientadas por datos” sino además permitirnos disfrutar de eficiencias y eficacias nunca vistos en los procesos de negocio.
7 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Table1: Levels of Digitalization Digitalization vs Digitalization vs Gigital vs Digital. Transformation Adicionalmente a la ya conocida velocidad en el desarrollo de tecnologías habilitadoras (que ya discutiremos mas adelante) debemos considerar que la cuarta revolución industrial es única en su tipo, debido a la creciente convergencia, armonización e integración de múltiples disciplinas del diario vivir. Por cuanto, su velocidad (ritmo exponencial de Digitalization DIgitalization Digital Transformation Transforming non-digital content into a from computers can process Transforming human- based and document-bound processes into systems that can be computer-operated Changing business practices and strategies to leverage digital efficiencies “Digital-first document and content” “Digital-first processes and systems” “Digital-first organizations” Goal: Take paper and other non-computer understandable documents and transform them into a format that computers can process Goal: Extract more value from existing digital-format information with additional processing, while also transforming human-based processes into computer operational ones Goal: Change the way the business operates by taking advantage of digital-first processes and information to achieve significant efficiencies and enhanced value through operational change “Digitalize these documents” Aka “Digital capture” “Digitalize these processes” “Digitally transform this business”
8 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad desarrollo), su amplitud (transición de como hacemos las cosas a quienes somos) y su impacto en los sistemas sociales, económicos y empresariales la clasifican como un proceso evolutivo nunca visto (Klaus, 2016). El Ciberespacio, denominado por la RAE como “un ámbito virtual creado por medios informáticos” tiene su origen en la palabra griega “cibernao”, que significa pilotear una nave. Su uso esta especialmente vinculado al referirnos a redes interconectadas, dando así la idea de estar “navegando sobre un mundo virtual” (Sack, Etherovic, Ierache, 2017). Este ambiente, cada vez mas convergente con el ser humano en el contexto la revolución industrial 4.0 y el Internet de las Cosas (IoT), nos permite comprender que es un ambiente alto interés para nuestras sociedades modernas dada la cantidad de información que allí se intercambia. En efecto, el ciberespacio podría ser uno de los sitios de enfrentamiento más asimétricos, provocando que países menos desarrollados tecnológicamente hablando (Corea del Norte) pueda realizar ofensivas concretas contra otros lideres hemisféricos. 1.2. Los sistemas y activos de información Los activos de información pueden definirse como cualquier elemento (tangible o intangible) que procese, almacene o transmita información (NTC-ISO/IEC 27002, 2016). Es deber de las organizaciones poder contar con un repositorio (inventario) centralizado que permita identificar su propiedad, significancia, uso y relevancia dentro de los objetivos del negocio. Dichos activos generalmente se representan en distintos tipos, generalmente clasificados por: • Hardware: Conjunto de aparatos físicos o componentes electrónicos de una computadora o sistema informático (RAE); • Software: Conjunto de programas o instrucciones orientadas a ejecutar ciertas tareas en una computadora o sistema informatico (RAE);
9 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad • Redes de comunicación: Conjunto de medios, tecnologías, protocolos y facilidades necesarias para el intercambio de información entre entidades dentro de una red (O'Brien, J. A. & Marakas, 2008). • Bases de datos: Memoria informática en la que pueden integrarse datos, de manera que sean accesibles individualmente por medios electrónicos o de otra forma (RAE). 1.3. Los sistemas de información y su rol dentro de la estrategia y misión de la organización Las tecnologías de información y comunicaciones (TIC), como hemos podido apreciar anteriormente, representan un mecanismo clave en un mundo cada vez mas conectada. Construir y administrar la presencia digital de los seres humanos es una practica que va cada
10 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad vez en mayor tendencia; Esto gracias a la enorme capacidad de transmitir y compartir información de manera transparente, eficiente e interrelacionada (Klaus, 2016). Por lo tanto, las empresas no están ajenas a estos innovadores mecanismos, y la consecución de su misión (según corresponda), se ve forzada a incorporar elementos digitalmente innovadores que permitan alcanzar los cada vez mas exigentes niveles de eficiencia; Los cuales se ven empujados por grandes potencias mercantiles (tales como India y Asia). Una muestra de esto es que las empresas mas valiosas del mundo tienen o utilizan los sistemas de información como su núcleo, tales como Google, Amazon, Apple u otros (Fortune 500, 2021). Asimismo, debemos considerar que las TIC no son un edificio que pueda ser construido y dejado a su suerte, sino mas bien un jardín que debemos plantar y cuidar, incorporándolo en aspectos clave del negocio tales como su cultura y clima organizacional orientado a la innovación digital. 1.4. Sistemas y activos de información críticos de la empresa Resultara importante conocer que no todos los activos de información podrían resultar críticos para la consecución de los objetivos clave de un negocio o empresa. Dicha criticidad
11 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad puede obedecer a distintos requerimientos, emanados por el mercado, el órgano regulador (según la disciplina), sus accionistas, proveedores o relacionados. Por lo tanto, conocer la misión y visión del negocio nos permite comprender sus objetivos clave (estratégicos) e iniciar un relacionamiento con los sistemas de información o TIC que facilitan la consecución de estos objetivos. ¿Cómo definir los activos de información críticos para una empresa? Las mejores y ampliamente adoptadas practicas de seguridad y protección de la información en el mundo nos invita a contemplar la actividad de análisis de impacto al negocio (por sus siglas en ingles, BIA) como un ejercicio que nos permite identificar el impacto de un evento controlado sobre procesos u objetivos críticos de un determinado negocio (Vanegas, 2018). Otras aplicaciones de la TIC como apoyo al negocio
12 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Existe un sin numero de usos y aplicaciones que las tecnologías de información y comunicaciones (TIC) pueden ofrecer como apoyo al negocio, sumado al razonamiento digital que las organizaciones deben adoptar en su núcleo. Estas aplicaciones, generalmente catalogadas como tecnologías habilitadoras de la transformación digital, son las que permiten ofrecer un camino claro de eficiencia con respecto al negocio. Entre dichas tecnologías habilitadoras tenemos: • Servicio de computación en nube: Servicio digital que hace posible el acceso a un conjunto modulable y elástico de recursos informáticos que se pueden compartir (RAE). • Inteligencia Artificial (IA): Disciplina científica que se ocupa de crear programas informáticos que ejecutan operaciones comparables a las que realiza la mente humana, tales como el aprendizaje o razonamiento lógico (RAE). • Internet de las Cosas (IoT): Relación entre las cosas (productos, servicios, lugares, etc..) que resulta posible mediante tecnologías y plataformas conectadas (Klaus, 2016). • Blockchain o Cadena de Bloques: Registro compartido por millones de dispositivos interconectados, donde se inscriben y archivan transacciones de manera verificable, permanente y anónima (Fundeu RAE). 1.5. Introducción a la Ciberseguridad: Habilitador de la Transformación Digital En términos prácticos podemos decir que la Ciberseguridad es el conjunto de herramientas, políticas, conceptos, controles, métodos de gestión, acciones, preparación y tecnologías que pueden utilizarse para proteger los activos de una organización (incluyendo sus usuarios) en el Ciberespacio. (ITU, 2010). En el mismo orden, debemos catalogar a la Ciberseguridad como una disciplina que permite garantizar que se alcancen y mantengan las propiedades de la información, las cuales son la Disponibilidad, Integridad y Disponibilidad (NTC-ISO/IEC 27002, 2016), bajo el contexto del Ciberespacio.
13 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Recurso 1. Extraído de https://www.cisoplatform.com/profiles/blogs/understanding-difference-between-cyber- security-information Imagen 1 Diagrama:. Obtenido de: https://insecurityit.blogspot.com/2016/11/compartir-informacion-el-futuro-de- la.html?m=1 La exponencial velocidad de transformación que supone la cuarta revolución industrial deja a muchas organizaciones (tanto publicas como privadas) en un cierto nivel de incertidumbre acerca de su panorama de riesgos, considerando factores determinantes para el éxito de un atacante, como lo puede ser la tecnología obsoleta, las campanas de desinformación o los ataques criminales dirigidos y focalizados a TIC de sector critico. Es precisamente por esta velocidad que conceptos modernos de resiliencia digital empresarial (o resiliencia digital) han tomado mayor relevancia, visto que las empresas deben comprender el riesgo de los ciberataques y tomar decisiones asertivas bajo
14 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Imagen 2 Resiliencia digital obtenida de: Cano, 2021 Cano, 2021 adoptando una mirada prospectiva y estratégica (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015). Así las cosas, la Ciberseguridad resulta ser una innovadora y multidisciplinaria materia que nos permite habilitar el proceso de innovación y transformación digital en el contexto empresarial del siglo XXI, garantizando la protección de la información procesada, almacenada y transmitida por las TIC en un ambiente dinámico. 1.6. Protección de los sistemas de información: Arquitectura, políticas, Procesos y controles Según hemos podido apreciar la protección y aseguramiento de la información de una organización, individuo o sistema resultara crucial para su correcto desenvolvimiento en el mundo digital moderno. Esta acción de protección conllevara, en la práctica, la toma de una serie de decisiones estratégicas que favorezcan un sistema de gestión de la seguridad de la información (NTC ISO 27002) fiable y maduro y consistente, con respecto a los objetivos del negocio.
15 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Por lo tanto, será responsabilidad de la alta gerencia alinear estrategias, iniciativas y actividades operativas propias de este programa a los objetivos clave de cada negocio según su naturaleza. Estos objetivos clave (logros de venta, dominio de cuota de mercado, mejora de la reputación, entre otros…) son los que servirán como insumo para que el personal encargado de tomar decisiones pueda lograr lo siguiente: • Establecer claramente objetivos, metas y planes relativos a la protección de la información propiedad de la empresa; • Definir estándares, políticas generales, políticas complementarias, procedimientos e instructivos vinculados a la seguridad de la información; • Determinar la arquitectura de Seguridad de la Información, ilustrando claramente la conexión entre elementos clave como los Recursos Humanos, los procesos y la facilitación tecnología; • Documentar un catalogo de riesgos (amenazas), impactos y controles de seguridad, que permita comprender los esfuerzos tácticos que habrán de desprenderse de este programa en función de ese panorama de riesgos. Esta alineación (negocio – departamento de Ciberseguridad) puede darse de muchas maneras. Algunas organizaciones podrían llegar a este estado deseado por algún ejercicio de auditoria o gestión de riesgos y otras quizás con un simple conversatorio con las partes mas interesadas de la organización. Sea cual sea dicha realidad debemos considerar que la manera mas simple de transmitir nuestra concepción del programa de Ciberseguridad será a través de un modelo arquitectónico empresarial, donde podamos expresar a alto nivel como será el funcionamiento del programa con respecto a los otros componentes del negocio. ¿Qué es una Arquitectura? Es bastante común asociar la palabra arquitectura (proveniente del latín architectura, o técnica de diseñar y construir) a conceptos de construcción tanto en términos literales como metafóricos. Su significancia en dependerá del contexto en el cual utilizamos este término, ampliamente adoptado por distintas disciplinas del saber humano.
16 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Para los fines de esta materia – y en el contexto de seguridad TIC – definiremos la arquitectura como “La organización lógica para los procesos, estructuras y acuerdos de una corporación, que reflejan la integración y regulación de los requerimientos del modelo operacional de la misma” (Cano, 2008) Para esto, podemos emplear marcos de referencia tales como The Zachman Framework, The Open Group Architecture Framework (TOGAF), Service-Oriented Modeling Framework (SOMF), los cuales habrán de garantizar que la arquitectura cuente con clara definición de los aspectos de gobernanza (toma de decisiones), organizativos (recursos humanos), políticas, estándares y procedimientos (procesos) y líneas base respecto al panorama y apetito de riesgo del negocio (KillMeyer, 2006). 1.7. Principios básicos de la arquitectura empresarial de la seguridad de la información Considerando que el programa de Ciberseguridad (protección de la información en un ambiente dinámico como el Ciberespacio) supone un despliegue holístico y trasversal a todos los procesos del negocio debemos considerar un marco de trabajo que permita alcanzar tanto aspectos operativos como tácticos y estratégicos. Para esto tomaremos, consideraremos a la Arquitectura de Seguridad de Información como una parte de la arquitectura empresarial que se centra en la seguridad de la información a lo largo y ancho de la empresa, siendo visto como un proceso continuo que gira entorno a un circulo virtuoso de madurez y crecimiento (Correa, 2018).
17 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Imagen 3 Diagrama. Recurso obtenido de: https://sites.psu.edu/enterprisereflections/topic-5-security-architecture/ Bajo este marco conceptual es donde habremos de contemplar elementos clave para la operación, tales como acuerdos de servicio interfuncionales, estándares técnicos, controles de seguridad, facilitación tecnológica, políticas y marcos de referencia, gobernanza y el establecimiento de la visión deseada de la postura de seguridad. 1.8. Introducción al diseño e implementación de procesos, actividades y tareas Conociendo el estado deseado de la arquitectura de seguridad y protección de la información en el ciberespacio es necesario adoptar un marco metodológico que sirva para definir quien, como, cuando, por que y para que se realizaran las distintas actividades que formaran parte de la base operativa del sistema de gestión de la Ciberseguridad.
18 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Imagen 4 Diagrama obtenido de: https://n9.cl/d2l87 Para esto – al igual que cualquier otro modelo referencial de la gestión de la calidad de los procesos - será necesario adoptar un modelo estándar que nos permita medir y mejorar estas actividades a lo largo del tiempo de manera focalizada a los procesos de Seguridad de Información. En ese sentido estaremos tomando como referencia los estándares internacionales ISO/IEC 27002:2013 “Information Technology Security Techniques. Code of practice for information Security management” para los objetivos y logros del proceso y la norma ISO/IEC 21827:2008 “Information technology – Security Techniques – Systems Security Engineering – Capability Maturity Model ® (SSE-CMM®) en lo que concierne a la metodología de valoración.
19 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Imagen 5 Diagrama obtenido de: https://security-architect.com/how-to-assess-security-maturity-and-roadmap- improvements/ Estos niveles suponen importantes esfuerzos en lo concerniente a la planificación de recursos financieros y empresariales, considerando que la inversión tripartita (personas, procesos y tecnología) también trae consigo sus propios retos, dado el cambiante panorama en el cual se encuentran las empresas del siglo XXI 1.9. Controles de seguridad de la información Siguiendo los preceptos de la organización internacional para la estandarización (ISO) podemos decir que un control es una medida orientada a modificar algún riesgo (ISO/IEC 2000:2018), pudiendo materializarse en forma de proceso, política, estándar, configuración, dispositivo o cualquier otro. Asimismo, se establece que los objetivos de control son declaraciones de que objetivos deben ser alcanzados como resultado del diseño y aplicación de dicho control.
20 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Imagen 6 Tabla. Obtenida de: https://egs.eccouncil.org/wp-content/uploads/2019/06/table_3.png 1.10. Cuestiones éticas de la Ciberseguridad El origen de la palabra ética se remonta al griego Ethos, que significa fundamentalmente “carácter” o modo de ser. La ética se define como un conjunto de normas que rigen la conducta de un ser humano en cualquier ámbito de la vida cotidiana (RAE). Según Floridi (2006), la ética informática comparte con otras tradiciones filosóficas la lógica argumentativa, es empírica y tiene cierto perjuicio para el pensamiento analógico.
21 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad En el ámbito de la Ciberseguridad estas son normas que nos sirven para establecer las conductas profesionales relativas al manejo adecuado de la información, su régimen sancionatorio por mal uso y las practicas aceptadas para el ciclo de vida de la información (Cano, 2012); Esfuerzos que en el contexto empresarial habrán de ser concentrados en la cultura organizacional. Es, por lo tanto, de especial interés para los profesionales de Ciberseguridad construir los aspectos éticos que han de establecerse en la Constitución, Leyes Orgánicas, Políticas Corporativas, Regulaciones Sectoriales y otros instrumentos de carácter normativo.
22 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Bibliografía Floridi, 2006. Ética de la información: Su naturaleza y Alcance. International Organization for Standarization, 2018. Information technology — Security techniques — Information security management systems — Overview and vocabulary ISO27K Toolkit, 2021. ISECT. Systems Security Engineering Capability Maturity Model (SSE-CMM), 1999. Correa, 2018. Arquitectura de Seguridad de Información en una entidad del estado, Universidad Politécnico Grancolombiano. Cano, 2008. Arquitecturas de Seguridad Informática: Entre la administración y el gobierno de la Seguridad de la Información. En: Seminario de actualización en Seguridad Informática, Bucaramanga, 2008. Killmeyer, 2006. Information Security Architecture: An Integrated Approach to Security in the Organization. 2ª edición. Kaplan, Bailey, O’Halloran, Marcus y Rezek (2015). Beyond Cybersecurity: Protecting Your Digital Business Klaus, S. (2016). La Cuarta Revolución Industrial. Vanegas, C. (2018). Desarrollo y Mejoramiento del BIA (Análisis de impacto al negocio) en el Área de Tecnología con el Subproceso de Redes e Infraestructura en la Compañía ChevyPlan®. https://repository.ucatolica.edu.co/bitstream/10983/16089/2/RAE.pdf
23 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Sack, Etherovic, Ierache. (2017) Controles y Metricas Asociadas en el Contexto de la Ciberdefensa. http://sedici.unlp.edu.ar/bitstream/handle/10915/62684/Documento_completo.pdf- PDFA.pdf?sequence=1&isAllowed=y Norma Técnica Colombiana NTC-ISO/IEC 27002, (2007). Código de Practica para la Gestión de la Seguridad de la Información. http://gmas2.envigado.gov.co/gmas/downloadFile.public?repositorioArchivo=000000001 070&ruta=/documentacion/0000001358/0000000107#:~:text=Esta%20norma%20estable ce%20directrices%20y,la%20informaci%C3%B3n%20en%20una%20organizaci%C3%B3n Fortune 500 Company List 2021 Compilations. https://businessyield.com/uncategorized/fortune-500-company-list-2021-compilations/ Planeacion Estrategica, El rumbo hacia el exito. Loudes Galindo. Arquitectura Empresarial - Una visión General. Revisa Ingeniería Universidad de Medellín. Serna, Salazar y Cortes, 2010.

Recomendados

PRESENTACIÓN MÓDULO 2 La Revolución del Talento en la Industria 4.pptx
PRESENTACIÓN MÓDULO 2 La Revolución del Talento en la Industria 4.pptxPRESENTACIÓN MÓDULO 2 La Revolución del Talento en la Industria 4.pptx
PRESENTACIÓN MÓDULO 2 La Revolución del Talento en la Industria 4.pptxHugoSnchezMonge
 
Auditoria CPD
Auditoria CPDAuditoria CPD
Auditoria CPDSumdury
 
Articulo mk digital y mundos virtuales @pedroverdasco
Articulo mk digital y mundos virtuales @pedroverdascoArticulo mk digital y mundos virtuales @pedroverdasco
Articulo mk digital y mundos virtuales @pedroverdascoPedro Verdasco
 
Trabajo analisis de algoritmos.abr.2018
Trabajo analisis de algoritmos.abr.2018Trabajo analisis de algoritmos.abr.2018
Trabajo analisis de algoritmos.abr.2018Pegazzo177
 
Investigación internet of things 9710305 erick marroquin
Investigación internet of things 9710305 erick marroquinInvestigación internet of things 9710305 erick marroquin
Investigación internet of things 9710305 erick marroquinErick Estuardo Marroquín Aquino
 
Hoja de lectura industria 4.0
Hoja de lectura industria 4.0Hoja de lectura industria 4.0
Hoja de lectura industria 4.0Richard Armas Castañeda
 
La informática en los sistemas de producción
La informática en los sistemas de producciónLa informática en los sistemas de producción
La informática en los sistemas de producciónAdalay Ortuño Castillo
 
Nuevas tecnologías de la información 8
Nuevas tecnologías de la información 8Nuevas tecnologías de la información 8
Nuevas tecnologías de la información 8Ivan Villamizar
 

Recomendados

PRESENTACIÓN MÓDULO 2 La Revolución del Talento en la Industria 4.pptx
PRESENTACIÓN MÓDULO 2 La Revolución del Talento en la Industria 4.pptxPRESENTACIÓN MÓDULO 2 La Revolución del Talento en la Industria 4.pptx
PRESENTACIÓN MÓDULO 2 La Revolución del Talento en la Industria 4.pptxHugoSnchezMonge
 
Auditoria CPD
Auditoria CPDAuditoria CPD
Auditoria CPDSumdury
 
Articulo mk digital y mundos virtuales @pedroverdasco
Articulo mk digital y mundos virtuales @pedroverdascoArticulo mk digital y mundos virtuales @pedroverdasco
Articulo mk digital y mundos virtuales @pedroverdascoPedro Verdasco
 
Trabajo analisis de algoritmos.abr.2018
Trabajo analisis de algoritmos.abr.2018Trabajo analisis de algoritmos.abr.2018
Trabajo analisis de algoritmos.abr.2018Pegazzo177
 
Investigación internet of things 9710305 erick marroquin
Investigación internet of things 9710305 erick marroquinInvestigación internet of things 9710305 erick marroquin
Investigación internet of things 9710305 erick marroquinErick Estuardo Marroquín Aquino
 
Hoja de lectura industria 4.0
Hoja de lectura industria 4.0Hoja de lectura industria 4.0
Hoja de lectura industria 4.0Richard Armas Castañeda
 
La informática en los sistemas de producción
La informática en los sistemas de producciónLa informática en los sistemas de producción
La informática en los sistemas de producciónAdalay Ortuño Castillo
 
Nuevas tecnologías de la información 8
Nuevas tecnologías de la información 8Nuevas tecnologías de la información 8
Nuevas tecnologías de la información 8Ivan Villamizar
 
Industria 4.0
Industria 4.0Industria 4.0
Industria 4.0josel2101
 
Unidad I gestion de la tecnologia seccion b genesis castillo 27198524
Unidad I gestion de la tecnologia seccion b genesis castillo 27198524Unidad I gestion de la tecnologia seccion b genesis castillo 27198524
Unidad I gestion de la tecnologia seccion b genesis castillo 27198524genesisCastilloAlvar
 
Inteligencia Artificial en las Administraciones Públicas: oportunidades y ética.
Inteligencia Artificial en las Administraciones Públicas: oportunidades y ética.Inteligencia Artificial en las Administraciones Públicas: oportunidades y ética.
Inteligencia Artificial en las Administraciones Públicas: oportunidades y ética.Fernando de Pablo Martín
 
Tecnologias emergentes
Tecnologias emergentesTecnologias emergentes
Tecnologias emergentesalfredoolmos
 
Tecnologias emergentes
Tecnologias emergentesTecnologias emergentes
Tecnologias emergentesalfredoolmos
 
Internet of things
Internet of thingsInternet of things
Internet of thingsjoshdan06
 
Modulo de aplicaciones
Modulo de aplicacionesModulo de aplicaciones
Modulo de aplicacionesjuanktoalombo
 
plicaciones
plicacionesplicaciones
plicacionesheiddy89
 
Joyanesaguilar
JoyanesaguilarJoyanesaguilar
JoyanesaguilarDANIEL704682
 
Sobre la transformación digital de las organizaciones - eada - RamonCosta.pdf
Sobre la transformación digital de las organizaciones - eada - RamonCosta.pdfSobre la transformación digital de las organizaciones - eada - RamonCosta.pdf
Sobre la transformación digital de las organizaciones - eada - RamonCosta.pdfRamon Costa i Pujol
 
Industrias 4
Industrias 4Industrias 4
Industrias 4adriana2004tavera
 
Monografía 1 de Sistemas de Control Industrial UNSAAC(watner ochoa nuñez 1...
Monografía 1 de Sistemas de Control Industrial UNSAAC(watner ochoa nuñez 1...Monografía 1 de Sistemas de Control Industrial UNSAAC(watner ochoa nuñez 1...
Monografía 1 de Sistemas de Control Industrial UNSAAC(watner ochoa nuñez 1...Watner Ochoa Núñez
 
EXPOSICION (1).pptx
EXPOSICION (1).pptxEXPOSICION (1).pptx
EXPOSICION (1).pptxssuserabc279
 
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadPASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadEspedito Passarello
 
Tendencias_tecnologicas_2019 (Reporte Completo).pdf
Tendencias_tecnologicas_2019 (Reporte Completo).pdfTendencias_tecnologicas_2019 (Reporte Completo).pdf
Tendencias_tecnologicas_2019 (Reporte Completo).pdfFernando Javier Mateo Yataco
 
Estrategias Digitales Desarrollos Devastadores
Estrategias Digitales Desarrollos DevastadoresEstrategias Digitales Desarrollos Devastadores
Estrategias Digitales Desarrollos Devastadoresintl
 
Territorios rurales y su futuro en la aldea global
Territorios rurales y su futuro en la aldea globalTerritorios rurales y su futuro en la aldea global
Territorios rurales y su futuro en la aldea globalJacint Berengueras
 
Revista Mundo Contact Abril 2016
Revista Mundo Contact Abril 2016Revista Mundo Contact Abril 2016
Revista Mundo Contact Abril 2016Edson Ugalde
 
Revista Mundo Contact Abril 2016
Revista Mundo Contact Abril 2016Revista Mundo Contact Abril 2016
Revista Mundo Contact Abril 2016Mundo Contact
 
Agentes del cambio
Agentes del cambioAgentes del cambio
Agentes del cambioJhean Carlos Saenz
 
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptx
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptxEMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptx
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptxdaryel2
 
FASES DE LA CONSULTORÍA- parte 1aa.pptx
FASES DE LA CONSULTORÍA- parte 1aa.pptxFASES DE LA CONSULTORÍA- parte 1aa.pptx
FASES DE LA CONSULTORÍA- parte 1aa.pptx10ColungaFloresJosSa
 

Más contenido relacionado

Similar a Unidad 1. Recurso 1. Transformación Digital (1).pdf

Industria 4.0
Industria 4.0Industria 4.0
Industria 4.0josel2101
 
Unidad I gestion de la tecnologia seccion b genesis castillo 27198524
Unidad I gestion de la tecnologia seccion b genesis castillo 27198524Unidad I gestion de la tecnologia seccion b genesis castillo 27198524
Unidad I gestion de la tecnologia seccion b genesis castillo 27198524genesisCastilloAlvar
 
Inteligencia Artificial en las Administraciones Públicas: oportunidades y ética.
Inteligencia Artificial en las Administraciones Públicas: oportunidades y ética.Inteligencia Artificial en las Administraciones Públicas: oportunidades y ética.
Inteligencia Artificial en las Administraciones Públicas: oportunidades y ética.Fernando de Pablo Martín
 
Tecnologias emergentes
Tecnologias emergentesTecnologias emergentes
Tecnologias emergentesalfredoolmos
 
Tecnologias emergentes
Tecnologias emergentesTecnologias emergentes
Tecnologias emergentesalfredoolmos
 
Internet of things
Internet of thingsInternet of things
Internet of thingsjoshdan06
 
Modulo de aplicaciones
Modulo de aplicacionesModulo de aplicaciones
Modulo de aplicacionesjuanktoalombo
 
plicaciones
plicacionesplicaciones
plicacionesheiddy89
 
Sobre la transformación digital de las organizaciones - eada - RamonCosta.pdf
Sobre la transformación digital de las organizaciones - eada - RamonCosta.pdfSobre la transformación digital de las organizaciones - eada - RamonCosta.pdf
Sobre la transformación digital de las organizaciones - eada - RamonCosta.pdfRamon Costa i Pujol
 
Monografía 1 de Sistemas de Control Industrial UNSAAC(watner ochoa nuñez 1...
Monografía 1 de Sistemas de Control Industrial UNSAAC(watner ochoa nuñez 1...Monografía 1 de Sistemas de Control Industrial UNSAAC(watner ochoa nuñez 1...
Monografía 1 de Sistemas de Control Industrial UNSAAC(watner ochoa nuñez 1...Watner Ochoa Núñez
 
EXPOSICION (1).pptx
EXPOSICION (1).pptxEXPOSICION (1).pptx
EXPOSICION (1).pptxssuserabc279
 
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadPASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadEspedito Passarello
 
Tendencias_tecnologicas_2019 (Reporte Completo).pdf
Tendencias_tecnologicas_2019 (Reporte Completo).pdfTendencias_tecnologicas_2019 (Reporte Completo).pdf
Tendencias_tecnologicas_2019 (Reporte Completo).pdfFernando Javier Mateo Yataco
 
Estrategias Digitales Desarrollos Devastadores
Estrategias Digitales Desarrollos DevastadoresEstrategias Digitales Desarrollos Devastadores
Estrategias Digitales Desarrollos Devastadoresintl
 
Territorios rurales y su futuro en la aldea global
Territorios rurales y su futuro en la aldea globalTerritorios rurales y su futuro en la aldea global
Territorios rurales y su futuro en la aldea globalJacint Berengueras
 
Revista Mundo Contact Abril 2016
Revista Mundo Contact Abril 2016Revista Mundo Contact Abril 2016
Revista Mundo Contact Abril 2016Edson Ugalde
 
Revista Mundo Contact Abril 2016
Revista Mundo Contact Abril 2016Revista Mundo Contact Abril 2016
Revista Mundo Contact Abril 2016Mundo Contact
 

Similar a Unidad 1. Recurso 1. Transformación Digital (1).pdf (20)

Industria 4.0
Industria 4.0Industria 4.0
Industria 4.0
 
Unidad I gestion de la tecnologia seccion b genesis castillo 27198524
Unidad I gestion de la tecnologia seccion b genesis castillo 27198524Unidad I gestion de la tecnologia seccion b genesis castillo 27198524
Unidad I gestion de la tecnologia seccion b genesis castillo 27198524
 
Inteligencia Artificial en las Administraciones Públicas: oportunidades y ética.
Inteligencia Artificial en las Administraciones Públicas: oportunidades y ética.Inteligencia Artificial en las Administraciones Públicas: oportunidades y ética.
Inteligencia Artificial en las Administraciones Públicas: oportunidades y ética.
 
Tecnologias emergentes
Tecnologias emergentesTecnologias emergentes
Tecnologias emergentes
 
Tecnologias emergentes
Tecnologias emergentesTecnologias emergentes
Tecnologias emergentes
 
Internet of things
Internet of thingsInternet of things
Internet of things
 
Modulo de aplicaciones
Modulo de aplicacionesModulo de aplicaciones
Modulo de aplicaciones
 
plicaciones
plicacionesplicaciones
plicaciones
 
Joyanesaguilar
JoyanesaguilarJoyanesaguilar
Joyanesaguilar
 
Sobre la transformación digital de las organizaciones - eada - RamonCosta.pdf
Sobre la transformación digital de las organizaciones - eada - RamonCosta.pdfSobre la transformación digital de las organizaciones - eada - RamonCosta.pdf
Sobre la transformación digital de las organizaciones - eada - RamonCosta.pdf
 
Industrias 4
Industrias 4Industrias 4
Industrias 4
 
Monografía 1 de Sistemas de Control Industrial UNSAAC(watner ochoa nuñez 1...
Monografía 1 de Sistemas de Control Industrial UNSAAC(watner ochoa nuñez 1...Monografía 1 de Sistemas de Control Industrial UNSAAC(watner ochoa nuñez 1...
Monografía 1 de Sistemas de Control Industrial UNSAAC(watner ochoa nuñez 1...
 
EXPOSICION (1).pptx
EXPOSICION (1).pptxEXPOSICION (1).pptx
EXPOSICION (1).pptx
 
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridadPASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
PASSARELLO ESPEDITO Iram num 94_2004_hacia_una_cultura_de_seguridad
 
Tendencias_tecnologicas_2019 (Reporte Completo).pdf
Tendencias_tecnologicas_2019 (Reporte Completo).pdfTendencias_tecnologicas_2019 (Reporte Completo).pdf
Tendencias_tecnologicas_2019 (Reporte Completo).pdf
 
Estrategias Digitales Desarrollos Devastadores
Estrategias Digitales Desarrollos DevastadoresEstrategias Digitales Desarrollos Devastadores
Estrategias Digitales Desarrollos Devastadores
 
Territorios rurales y su futuro en la aldea global
Territorios rurales y su futuro en la aldea globalTerritorios rurales y su futuro en la aldea global
Territorios rurales y su futuro en la aldea global
 
Revista Mundo Contact Abril 2016
Revista Mundo Contact Abril 2016Revista Mundo Contact Abril 2016
Revista Mundo Contact Abril 2016
 
Revista Mundo Contact Abril 2016
Revista Mundo Contact Abril 2016Revista Mundo Contact Abril 2016
Revista Mundo Contact Abril 2016
 
Agentes del cambio
Agentes del cambioAgentes del cambio
Agentes del cambio
 

Último

EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptx
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptxEMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptx
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptxdaryel2
 
FASES DE LA CONSULTORÍA- parte 1aa.pptx
FASES DE LA CONSULTORÍA- parte 1aa.pptxFASES DE LA CONSULTORÍA- parte 1aa.pptx
FASES DE LA CONSULTORÍA- parte 1aa.pptx10ColungaFloresJosSa
 
CONTRATO DE TRABAJO, remuneraciones y otros datos
CONTRATO DE TRABAJO, remuneraciones y otros datosCONTRATO DE TRABAJO, remuneraciones y otros datos
CONTRATO DE TRABAJO, remuneraciones y otros datosJENNIFERBERARDI1
 
¡Explora el boletín del 29 abril de 2024!
¡Explora el boletín del 29 abril de 2024!¡Explora el boletín del 29 abril de 2024!
¡Explora el boletín del 29 abril de 2024!Yes Europa
 
-PEIC-NUEVO de plantel educativo Venezuela
-PEIC-NUEVO de plantel educativo Venezuela-PEIC-NUEVO de plantel educativo Venezuela
-PEIC-NUEVO de plantel educativo VenezuelaJESUS341998
 
GUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdf
GUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdfGUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdf
GUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdfIsaacRobertoRamrezLe
 
NOM-011-STPS-2001 NORMATIVA PRESENTACION
NOM-011-STPS-2001 NORMATIVA PRESENTACIONNOM-011-STPS-2001 NORMATIVA PRESENTACION
NOM-011-STPS-2001 NORMATIVA PRESENTACIONKarina224599
 

Último (7)

EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptx
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptxEMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptx
EMBARQUE Y DESEMBARQUE VEHICULOS MILITARES .pptx
 
FASES DE LA CONSULTORÍA- parte 1aa.pptx
FASES DE LA CONSULTORÍA- parte 1aa.pptxFASES DE LA CONSULTORÍA- parte 1aa.pptx
FASES DE LA CONSULTORÍA- parte 1aa.pptx
 
CONTRATO DE TRABAJO, remuneraciones y otros datos
CONTRATO DE TRABAJO, remuneraciones y otros datosCONTRATO DE TRABAJO, remuneraciones y otros datos
CONTRATO DE TRABAJO, remuneraciones y otros datos
 
¡Explora el boletín del 29 abril de 2024!
¡Explora el boletín del 29 abril de 2024!¡Explora el boletín del 29 abril de 2024!
¡Explora el boletín del 29 abril de 2024!
 
-PEIC-NUEVO de plantel educativo Venezuela
-PEIC-NUEVO de plantel educativo Venezuela-PEIC-NUEVO de plantel educativo Venezuela
-PEIC-NUEVO de plantel educativo Venezuela
 
GUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdf
GUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdfGUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdf
GUIA DOCENTE NEUMOLOGIA 2024 guia guia.pdf
 
NOM-011-STPS-2001 NORMATIVA PRESENTACION
NOM-011-STPS-2001 NORMATIVA PRESENTACIONNOM-011-STPS-2001 NORMATIVA PRESENTACION
NOM-011-STPS-2001 NORMATIVA PRESENTACION
 

Unidad 1. Recurso 1. Transformación Digital (1).pdf

  • 2. 1 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Mcs-111: Gestión de Operaciones de Ciberseguridad
  • 3. 2 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Unidad I Transformación Digital y Ciberseguridad
  • 4. 3 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad INTRODUCCIÓN.............................................................................................................. 4 UNIDAD I: TRANSFORMACIÓN DIGITAL Y CIBERSEGURIDAD ........................................... 5 1.1. Introducción a la Transformación Digital y al Ciberespacio ................................................5 1.2. Los sistemas y activos de información ...............................................................................8 1.3. Los sistemas de información y su rol dentro de la estrategia y misión de la organización ..9 1.4. Sistemas y activos de información críticos de la empresa ................................................10 ¿Cómo definir los activos de información críticos para una empresa? ...................................................11 Otras aplicaciones de la TIC como apoyo al negocio ...............................................................................11 1.5. Introducción a la Ciberseguridad: Habilitador de la Transformación Digital .....................12 1.6. Protección de los sistemas de información: Arquitectura, Políticas, Procesos y Controles14 ¿Qué es una Arquitectura? ......................................................................................................................15 1.7. Principios básicos de la arquitectura empresarial de la seguridad de la información........16 1.8. Introducción al diseño e implementación de procesos, actividades y tareas....................17 1.9. Controles de seguridad de la información .......................................................................19 1.10. Cuestiones éticas de la Ciberseguridad..........................................................................20 Bibliografía ............................................................................................................................22 Contenido
  • 5. 4 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Introducción La asignatura MCS-111: Gestión de Operaciones de Ciberseguridad tiene como propósito desarrollar en el maestrando las competencias requeridas para la gestión eficiente de los recursos tecnológicos destinados a salvaguardar los activos de información de una organización o empresa. Dichas habilidades poseen una relación estrecha con los estrepitosos avances de las tecnologías de la información y comunicaciones (TICs) y la transformación digital, así como las actividades vinculadas a la protección de la información almacenada, procesada o transmitida por activos (físicos o lógicos) en el Ciberespacio. Durante el desarrollo de esta asignatura abarcaremos aspectos alusivos al rol de la Ciberseguridad en el proceso de transformación digital, su planeación estratégica, implantación, soporte y mejora continua abundando sobre los elementos prácticos y operativos de esta novedosa disciplina. El desarrollo, exposición y discusión del contenido de esta asignatura se basa en el análisis del contenidista de recientes publicaciones académicas vinculadas a la materia, combinado con el estudio de marcos de referencia mundialmente aceptados y la experiencia de años de práctica en el sector profesional. Foto de Negocios creado por onlyyouqj - www.freepik.es
  • 6. 5 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Unidad I Transformación Digital y Ciberseguridad 1.1. Introducción a la Transformación Digital y al Ciberespacio ` La transformación digital, o también denominada cuarta revolución industrial (Klaus, 2016) consiste en un proceso de cambio o adaptación del ser humano, sus hábitos y costumbres acondicionados principalmente por nuevos descubrimientos en el campo científico. Aunque este proceso evolutivo no es nuevo para entender su significancia debemos estudiar la ola de avances que el ser humano y nuestra sociedad viene atravesando desde la revolución agrícola hasta lo que hoy en día conocemos como innovación digital. La transformación digital esta soportada por nuevos desarrollos tecnológicos que tienen una característica clave en común: Aprovechan el poder de alcance de la digitalización (que no es lo mismo que transformación digital) y las tecnologías de la información y comunicaciones o “TIC” (Klaus, 2016).
  • 7. 6 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Este proceso, integrado por una serie de revoluciones industriales que comenzaron a partir del siglo XVIII, marcaron el cambio de la aplicación de energía humana muscular, pasando por el aprovechamiento de la energía mecánica y evolucionando hacia un mayor uso de la energía cognitiva (en donde estamos hoy en día). Aunque pudiéramos abundar ampliamente sobre sobre las características e implicaciones que ha tenido cada una de estas revoluciones conviene concentrarnos en la denominada tercera revolución industrial, originada cerca de 1960 con el desarrollo de los semiconductores, lo que abrió paso a una serie de avances digitales nunca vistos en la historia de la humanidad. Es preciso mencionar que, sin el desarrollo de los semiconductores, transistores, circuitos integrados y otros elementos propios de la electrónica moderna hubiese sido imposible la simple digitalización que caracterizo a la tercera revolución industrial. La palabra digitalización, proveniente del inglés “to digitalize”, representa la acción y efecto de registrar información o datos de manera digital (RAE), lo que sumado a las TICs (tecnología necesaria para la gestión de dichos datos, (Daccach, s.f., p. 1)) permite el desarrollo continuo, exponencial e inimaginable de las tecnologías habilitadoras (Klaus, 2016). Los ordenadores, por ejemplo, planteados por Brynjolfsson y McAfee en 2014, como una tecnología tan precisa y diestra demuestra que es prácticamente imposible predecir en que ámbito del conocimiento será aplicada nos invita a reflexionar con respecto a como desarrollamos nuevas implementaciones de la computación moderna e innovación digital, en miras a resolver problemas primordiales y destacar posibles respuestas a los mismos (Klaus, 2016). Dichas tecnologías, sumado a un cambio cultural orientado a la innovación digital es lo que nos permitirá no solamente convertir nuestras organizaciones en “empresas orientadas por datos” sino además permitirnos disfrutar de eficiencias y eficacias nunca vistos en los procesos de negocio.
  • 8. 7 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Table1: Levels of Digitalization Digitalization vs Digitalization vs Gigital vs Digital. Transformation Adicionalmente a la ya conocida velocidad en el desarrollo de tecnologías habilitadoras (que ya discutiremos mas adelante) debemos considerar que la cuarta revolución industrial es única en su tipo, debido a la creciente convergencia, armonización e integración de múltiples disciplinas del diario vivir. Por cuanto, su velocidad (ritmo exponencial de Digitalization DIgitalization Digital Transformation Transforming non-digital content into a from computers can process Transforming human- based and document-bound processes into systems that can be computer-operated Changing business practices and strategies to leverage digital efficiencies “Digital-first document and content” “Digital-first processes and systems” “Digital-first organizations” Goal: Take paper and other non-computer understandable documents and transform them into a format that computers can process Goal: Extract more value from existing digital-format information with additional processing, while also transforming human-based processes into computer operational ones Goal: Change the way the business operates by taking advantage of digital-first processes and information to achieve significant efficiencies and enhanced value through operational change “Digitalize these documents” Aka “Digital capture” “Digitalize these processes” “Digitally transform this business”
  • 9. 8 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad desarrollo), su amplitud (transición de como hacemos las cosas a quienes somos) y su impacto en los sistemas sociales, económicos y empresariales la clasifican como un proceso evolutivo nunca visto (Klaus, 2016). El Ciberespacio, denominado por la RAE como “un ámbito virtual creado por medios informáticos” tiene su origen en la palabra griega “cibernao”, que significa pilotear una nave. Su uso esta especialmente vinculado al referirnos a redes interconectadas, dando así la idea de estar “navegando sobre un mundo virtual” (Sack, Etherovic, Ierache, 2017). Este ambiente, cada vez mas convergente con el ser humano en el contexto la revolución industrial 4.0 y el Internet de las Cosas (IoT), nos permite comprender que es un ambiente alto interés para nuestras sociedades modernas dada la cantidad de información que allí se intercambia. En efecto, el ciberespacio podría ser uno de los sitios de enfrentamiento más asimétricos, provocando que países menos desarrollados tecnológicamente hablando (Corea del Norte) pueda realizar ofensivas concretas contra otros lideres hemisféricos. 1.2. Los sistemas y activos de información Los activos de información pueden definirse como cualquier elemento (tangible o intangible) que procese, almacene o transmita información (NTC-ISO/IEC 27002, 2016). Es deber de las organizaciones poder contar con un repositorio (inventario) centralizado que permita identificar su propiedad, significancia, uso y relevancia dentro de los objetivos del negocio. Dichos activos generalmente se representan en distintos tipos, generalmente clasificados por: • Hardware: Conjunto de aparatos físicos o componentes electrónicos de una computadora o sistema informático (RAE); • Software: Conjunto de programas o instrucciones orientadas a ejecutar ciertas tareas en una computadora o sistema informatico (RAE);
  • 10. 9 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad • Redes de comunicación: Conjunto de medios, tecnologías, protocolos y facilidades necesarias para el intercambio de información entre entidades dentro de una red (O'Brien, J. A. & Marakas, 2008). • Bases de datos: Memoria informática en la que pueden integrarse datos, de manera que sean accesibles individualmente por medios electrónicos o de otra forma (RAE). 1.3. Los sistemas de información y su rol dentro de la estrategia y misión de la organización Las tecnologías de información y comunicaciones (TIC), como hemos podido apreciar anteriormente, representan un mecanismo clave en un mundo cada vez mas conectada. Construir y administrar la presencia digital de los seres humanos es una practica que va cada
  • 11. 10 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad vez en mayor tendencia; Esto gracias a la enorme capacidad de transmitir y compartir información de manera transparente, eficiente e interrelacionada (Klaus, 2016). Por lo tanto, las empresas no están ajenas a estos innovadores mecanismos, y la consecución de su misión (según corresponda), se ve forzada a incorporar elementos digitalmente innovadores que permitan alcanzar los cada vez mas exigentes niveles de eficiencia; Los cuales se ven empujados por grandes potencias mercantiles (tales como India y Asia). Una muestra de esto es que las empresas mas valiosas del mundo tienen o utilizan los sistemas de información como su núcleo, tales como Google, Amazon, Apple u otros (Fortune 500, 2021). Asimismo, debemos considerar que las TIC no son un edificio que pueda ser construido y dejado a su suerte, sino mas bien un jardín que debemos plantar y cuidar, incorporándolo en aspectos clave del negocio tales como su cultura y clima organizacional orientado a la innovación digital. 1.4. Sistemas y activos de información críticos de la empresa Resultara importante conocer que no todos los activos de información podrían resultar críticos para la consecución de los objetivos clave de un negocio o empresa. Dicha criticidad
  • 12. 11 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad puede obedecer a distintos requerimientos, emanados por el mercado, el órgano regulador (según la disciplina), sus accionistas, proveedores o relacionados. Por lo tanto, conocer la misión y visión del negocio nos permite comprender sus objetivos clave (estratégicos) e iniciar un relacionamiento con los sistemas de información o TIC que facilitan la consecución de estos objetivos. ¿Cómo definir los activos de información críticos para una empresa? Las mejores y ampliamente adoptadas practicas de seguridad y protección de la información en el mundo nos invita a contemplar la actividad de análisis de impacto al negocio (por sus siglas en ingles, BIA) como un ejercicio que nos permite identificar el impacto de un evento controlado sobre procesos u objetivos críticos de un determinado negocio (Vanegas, 2018). Otras aplicaciones de la TIC como apoyo al negocio
  • 13. 12 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Existe un sin numero de usos y aplicaciones que las tecnologías de información y comunicaciones (TIC) pueden ofrecer como apoyo al negocio, sumado al razonamiento digital que las organizaciones deben adoptar en su núcleo. Estas aplicaciones, generalmente catalogadas como tecnologías habilitadoras de la transformación digital, son las que permiten ofrecer un camino claro de eficiencia con respecto al negocio. Entre dichas tecnologías habilitadoras tenemos: • Servicio de computación en nube: Servicio digital que hace posible el acceso a un conjunto modulable y elástico de recursos informáticos que se pueden compartir (RAE). • Inteligencia Artificial (IA): Disciplina científica que se ocupa de crear programas informáticos que ejecutan operaciones comparables a las que realiza la mente humana, tales como el aprendizaje o razonamiento lógico (RAE). • Internet de las Cosas (IoT): Relación entre las cosas (productos, servicios, lugares, etc..) que resulta posible mediante tecnologías y plataformas conectadas (Klaus, 2016). • Blockchain o Cadena de Bloques: Registro compartido por millones de dispositivos interconectados, donde se inscriben y archivan transacciones de manera verificable, permanente y anónima (Fundeu RAE). 1.5. Introducción a la Ciberseguridad: Habilitador de la Transformación Digital En términos prácticos podemos decir que la Ciberseguridad es el conjunto de herramientas, políticas, conceptos, controles, métodos de gestión, acciones, preparación y tecnologías que pueden utilizarse para proteger los activos de una organización (incluyendo sus usuarios) en el Ciberespacio. (ITU, 2010). En el mismo orden, debemos catalogar a la Ciberseguridad como una disciplina que permite garantizar que se alcancen y mantengan las propiedades de la información, las cuales son la Disponibilidad, Integridad y Disponibilidad (NTC-ISO/IEC 27002, 2016), bajo el contexto del Ciberespacio.
  • 14. 13 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Recurso 1. Extraído de https://www.cisoplatform.com/profiles/blogs/understanding-difference-between-cyber- security-information Imagen 1 Diagrama:. Obtenido de: https://insecurityit.blogspot.com/2016/11/compartir-informacion-el-futuro-de- la.html?m=1 La exponencial velocidad de transformación que supone la cuarta revolución industrial deja a muchas organizaciones (tanto publicas como privadas) en un cierto nivel de incertidumbre acerca de su panorama de riesgos, considerando factores determinantes para el éxito de un atacante, como lo puede ser la tecnología obsoleta, las campanas de desinformación o los ataques criminales dirigidos y focalizados a TIC de sector critico. Es precisamente por esta velocidad que conceptos modernos de resiliencia digital empresarial (o resiliencia digital) han tomado mayor relevancia, visto que las empresas deben comprender el riesgo de los ciberataques y tomar decisiones asertivas bajo
  • 15. 14 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Imagen 2 Resiliencia digital obtenida de: Cano, 2021 Cano, 2021 adoptando una mirada prospectiva y estratégica (Kaplan, Bailey, O’Halloran, Marcus y Rezek, 2015). Así las cosas, la Ciberseguridad resulta ser una innovadora y multidisciplinaria materia que nos permite habilitar el proceso de innovación y transformación digital en el contexto empresarial del siglo XXI, garantizando la protección de la información procesada, almacenada y transmitida por las TIC en un ambiente dinámico. 1.6. Protección de los sistemas de información: Arquitectura, políticas, Procesos y controles Según hemos podido apreciar la protección y aseguramiento de la información de una organización, individuo o sistema resultara crucial para su correcto desenvolvimiento en el mundo digital moderno. Esta acción de protección conllevara, en la práctica, la toma de una serie de decisiones estratégicas que favorezcan un sistema de gestión de la seguridad de la información (NTC ISO 27002) fiable y maduro y consistente, con respecto a los objetivos del negocio.
  • 16. 15 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Por lo tanto, será responsabilidad de la alta gerencia alinear estrategias, iniciativas y actividades operativas propias de este programa a los objetivos clave de cada negocio según su naturaleza. Estos objetivos clave (logros de venta, dominio de cuota de mercado, mejora de la reputación, entre otros…) son los que servirán como insumo para que el personal encargado de tomar decisiones pueda lograr lo siguiente: • Establecer claramente objetivos, metas y planes relativos a la protección de la información propiedad de la empresa; • Definir estándares, políticas generales, políticas complementarias, procedimientos e instructivos vinculados a la seguridad de la información; • Determinar la arquitectura de Seguridad de la Información, ilustrando claramente la conexión entre elementos clave como los Recursos Humanos, los procesos y la facilitación tecnología; • Documentar un catalogo de riesgos (amenazas), impactos y controles de seguridad, que permita comprender los esfuerzos tácticos que habrán de desprenderse de este programa en función de ese panorama de riesgos. Esta alineación (negocio – departamento de Ciberseguridad) puede darse de muchas maneras. Algunas organizaciones podrían llegar a este estado deseado por algún ejercicio de auditoria o gestión de riesgos y otras quizás con un simple conversatorio con las partes mas interesadas de la organización. Sea cual sea dicha realidad debemos considerar que la manera mas simple de transmitir nuestra concepción del programa de Ciberseguridad será a través de un modelo arquitectónico empresarial, donde podamos expresar a alto nivel como será el funcionamiento del programa con respecto a los otros componentes del negocio. ¿Qué es una Arquitectura? Es bastante común asociar la palabra arquitectura (proveniente del latín architectura, o técnica de diseñar y construir) a conceptos de construcción tanto en términos literales como metafóricos. Su significancia en dependerá del contexto en el cual utilizamos este término, ampliamente adoptado por distintas disciplinas del saber humano.
  • 17. 16 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Para los fines de esta materia – y en el contexto de seguridad TIC – definiremos la arquitectura como “La organización lógica para los procesos, estructuras y acuerdos de una corporación, que reflejan la integración y regulación de los requerimientos del modelo operacional de la misma” (Cano, 2008) Para esto, podemos emplear marcos de referencia tales como The Zachman Framework, The Open Group Architecture Framework (TOGAF), Service-Oriented Modeling Framework (SOMF), los cuales habrán de garantizar que la arquitectura cuente con clara definición de los aspectos de gobernanza (toma de decisiones), organizativos (recursos humanos), políticas, estándares y procedimientos (procesos) y líneas base respecto al panorama y apetito de riesgo del negocio (KillMeyer, 2006). 1.7. Principios básicos de la arquitectura empresarial de la seguridad de la información Considerando que el programa de Ciberseguridad (protección de la información en un ambiente dinámico como el Ciberespacio) supone un despliegue holístico y trasversal a todos los procesos del negocio debemos considerar un marco de trabajo que permita alcanzar tanto aspectos operativos como tácticos y estratégicos. Para esto tomaremos, consideraremos a la Arquitectura de Seguridad de Información como una parte de la arquitectura empresarial que se centra en la seguridad de la información a lo largo y ancho de la empresa, siendo visto como un proceso continuo que gira entorno a un circulo virtuoso de madurez y crecimiento (Correa, 2018).
  • 18. 17 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Imagen 3 Diagrama. Recurso obtenido de: https://sites.psu.edu/enterprisereflections/topic-5-security-architecture/ Bajo este marco conceptual es donde habremos de contemplar elementos clave para la operación, tales como acuerdos de servicio interfuncionales, estándares técnicos, controles de seguridad, facilitación tecnológica, políticas y marcos de referencia, gobernanza y el establecimiento de la visión deseada de la postura de seguridad. 1.8. Introducción al diseño e implementación de procesos, actividades y tareas Conociendo el estado deseado de la arquitectura de seguridad y protección de la información en el ciberespacio es necesario adoptar un marco metodológico que sirva para definir quien, como, cuando, por que y para que se realizaran las distintas actividades que formaran parte de la base operativa del sistema de gestión de la Ciberseguridad.
  • 19. 18 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Imagen 4 Diagrama obtenido de: https://n9.cl/d2l87 Para esto – al igual que cualquier otro modelo referencial de la gestión de la calidad de los procesos - será necesario adoptar un modelo estándar que nos permita medir y mejorar estas actividades a lo largo del tiempo de manera focalizada a los procesos de Seguridad de Información. En ese sentido estaremos tomando como referencia los estándares internacionales ISO/IEC 27002:2013 “Information Technology Security Techniques. Code of practice for information Security management” para los objetivos y logros del proceso y la norma ISO/IEC 21827:2008 “Information technology – Security Techniques – Systems Security Engineering – Capability Maturity Model ® (SSE-CMM®) en lo que concierne a la metodología de valoración.
  • 20. 19 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Imagen 5 Diagrama obtenido de: https://security-architect.com/how-to-assess-security-maturity-and-roadmap- improvements/ Estos niveles suponen importantes esfuerzos en lo concerniente a la planificación de recursos financieros y empresariales, considerando que la inversión tripartita (personas, procesos y tecnología) también trae consigo sus propios retos, dado el cambiante panorama en el cual se encuentran las empresas del siglo XXI 1.9. Controles de seguridad de la información Siguiendo los preceptos de la organización internacional para la estandarización (ISO) podemos decir que un control es una medida orientada a modificar algún riesgo (ISO/IEC 2000:2018), pudiendo materializarse en forma de proceso, política, estándar, configuración, dispositivo o cualquier otro. Asimismo, se establece que los objetivos de control son declaraciones de que objetivos deben ser alcanzados como resultado del diseño y aplicación de dicho control.
  • 21. 20 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Imagen 6 Tabla. Obtenida de: https://egs.eccouncil.org/wp-content/uploads/2019/06/table_3.png 1.10. Cuestiones éticas de la Ciberseguridad El origen de la palabra ética se remonta al griego Ethos, que significa fundamentalmente “carácter” o modo de ser. La ética se define como un conjunto de normas que rigen la conducta de un ser humano en cualquier ámbito de la vida cotidiana (RAE). Según Floridi (2006), la ética informática comparte con otras tradiciones filosóficas la lógica argumentativa, es empírica y tiene cierto perjuicio para el pensamiento analógico.
  • 22. 21 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad En el ámbito de la Ciberseguridad estas son normas que nos sirven para establecer las conductas profesionales relativas al manejo adecuado de la información, su régimen sancionatorio por mal uso y las practicas aceptadas para el ciclo de vida de la información (Cano, 2012); Esfuerzos que en el contexto empresarial habrán de ser concentrados en la cultura organizacional. Es, por lo tanto, de especial interés para los profesionales de Ciberseguridad construir los aspectos éticos que han de establecerse en la Constitución, Leyes Orgánicas, Políticas Corporativas, Regulaciones Sectoriales y otros instrumentos de carácter normativo.
  • 23. 22 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Bibliografía Floridi, 2006. Ética de la información: Su naturaleza y Alcance. International Organization for Standarization, 2018. Information technology — Security techniques — Information security management systems — Overview and vocabulary ISO27K Toolkit, 2021. ISECT. Systems Security Engineering Capability Maturity Model (SSE-CMM), 1999. Correa, 2018. Arquitectura de Seguridad de Información en una entidad del estado, Universidad Politécnico Grancolombiano. Cano, 2008. Arquitecturas de Seguridad Informática: Entre la administración y el gobierno de la Seguridad de la Información. En: Seminario de actualización en Seguridad Informática, Bucaramanga, 2008. Killmeyer, 2006. Information Security Architecture: An Integrated Approach to Security in the Organization. 2ª edición. Kaplan, Bailey, O’Halloran, Marcus y Rezek (2015). Beyond Cybersecurity: Protecting Your Digital Business Klaus, S. (2016). La Cuarta Revolución Industrial. Vanegas, C. (2018). Desarrollo y Mejoramiento del BIA (Análisis de impacto al negocio) en el Área de Tecnología con el Subproceso de Redes e Infraestructura en la Compañía ChevyPlan®. https://repository.ucatolica.edu.co/bitstream/10983/16089/2/RAE.pdf
  • 24. 23 Gestión de Operaciones de Ciberseguridad Maestríaen Ciberseguridad Sack, Etherovic, Ierache. (2017) Controles y Metricas Asociadas en el Contexto de la Ciberdefensa. http://sedici.unlp.edu.ar/bitstream/handle/10915/62684/Documento_completo.pdf- PDFA.pdf?sequence=1&isAllowed=y Norma Técnica Colombiana NTC-ISO/IEC 27002, (2007). Código de Practica para la Gestión de la Seguridad de la Información. http://gmas2.envigado.gov.co/gmas/downloadFile.public?repositorioArchivo=000000001 070&ruta=/documentacion/0000001358/0000000107#:~:text=Esta%20norma%20estable ce%20directrices%20y,la%20informaci%C3%B3n%20en%20una%20organizaci%C3%B3n Fortune 500 Company List 2021 Compilations. https://businessyield.com/uncategorized/fortune-500-company-list-2021-compilations/ Planeacion Estrategica, El rumbo hacia el exito. Loudes Galindo. Arquitectura Empresarial - Una visión General. Revisa Ingeniería Universidad de Medellín. Serna, Salazar y Cortes, 2010.