Diseño de un marco de trabajo para la gestión de incidentes y crisis de ciberseguridad basado en la Norma ISO 22361

Abstract

A partir de la revisión de la literatura, se ha podido identificar que los incidentes mal gestionados pueden desencadenar una crisis dentro de la organización con un mayor impacto al negocio. Adicionalmente, el no contar con un plan de respuesta definido para mitigar un incidente de ciberseguridad, produce el riesgo de que la organización experimente una recuperación más lenta, lo que intensifica cualquier daño causado generando en una crisis dentro de la organización. (Aljaryan et al., 2022). Entonces, en relación a lo mencionado anteriormente, sin un correcto uso de procedimientos de gestión de crisis, la organización responde con una intervención inadecuada o incluso no brinda ninguna respuesta a la crisis en alguno de los tres puntos principales de la gestión de crisis definidos en (Weil & Murugesan, 2020): detección de la causa, estrategia de respuesta y comunicación durante la crisis. Este último punto resulta muy crítico para las organizaciones, porque sin una adecuada gestión de las comunicaciones durante las crisis se puede producir una afectación negativa en la reputación e imagen de la organización por falta de transparencia hacia las partes interesadas. Asimismo, una mala gestión de comunicaciones no permite identificar correctamente al equipo de respuesta y mucho menos permite la correcta distribución de responsabilidades, produciendo una respuesta nula o tardía a la crisis. Por tales motivos, el presente proyecto de fin de carrera tiene como finalidad diseñar un marco de trabajo para la gestión de incidentes y crisis de ciberseguridad basado en la norma ISO 22361. Este marco está conformado por tres dominios, los cuales agrupan procesos con sus respectivas descripciones, actividades, métricas, documentación relacionada, y lista de roles y responsabilidades. Asimismo, se incluye una guía de implementación del marco paso a paso. Finalmente, se realiza un análisis comparativo entre la gestión de crisis real seguida en un caso de estudio versus la gestión de crisis aplicando el marco de trabajo elaborado.