Elaboración de los cuadros de mando en los procesos de ciberseguridad

Abstract

Trabajo Fin de Máster en Transformación Digital de Empresas (2021-22). Directores: Dr. D. José Luis Martínez Ramos; Dr. D. Ignacio Ortega Mariño. Debido al conflicto actual entre Rusia y Ucrania, los ciberataques, tanto los dirigidos a las infraestructuras de los estados cómo a las empresas, no han dejado de crecer en esta era de Digitalización. Todas las compañías, entre las que se encuentran también las empresas eléctricas están incrementando sus esfuerzos con el objetivo de aumentar las medidas de seguridad para reforzar al máximo las defensas contra estos ataques. Para vigorizar estos sistemas es muy importante contar con un SGSI (Sistema de Gestión de Seguridad de la Información) basado en la familia de normas ISO 27000 porque aporta una “seguridad basada en datos de comportamiento” que permiten mostrar y demostrar que las cosas se están controlando y que se mantienen dentro de los rangos de valores deseados. Este trabajo desarrolla cómo fue la reelaboración de los cuadros de mando actualizando y añadiendo nuevos paneles a partir de los controles sugeridos por la Norma ISO27002(Seguridad de la Información) como así también las recomendaciones del framework NIST(National Institute of Standards and Technology) .Esta tarea tuvo lugar en el departamento de Gestión de la Energía Global Iberdrola, teniendo en cuenta que el objetivo central del departamento es abordar el proceso requerido para la certificación de la norma mencionada anteriormente. El tiempo necesario para su realización fue de dos meses y para su desarrollo fueron necesarias capacitaciones con un aprendizaje continuo desde diferentes fuentes de información vinculadas a seguridad de la información y formaciones internas de la compañía en herramientas tales como ARIS(Architecture of Integrated Information Systems), Excel, etc. Es importante destacar que los resultados fueron favorables en el proceso ya que se logró implementar los cuadros de mando lo que permitirá construir una mejora continua del sistema y una futura certificación.

Due to the current conflict between Russia and Ukraine, cyberattacks directed at the infrastructure of states and companies have not stopped growing in this era of Digitization. All companies, including energy companies, are increasing their efforts to maximize security to strengthen defences against these attacks as much as possible. To invigorate these systems, it is extremely important to have an ISMS (Information Security Management System) based on the ISO 27000 family of standards. It provides security based on behavioural data which allows showing and demonstrating that things are being controlled and that they remain within the ranges of the desired values. This work develops how the dashboards were reworked, updating and adding new panels based on the controls suggested by the ISO27002 Standard (Information Security) as well as the recommendations of the NIST framework (National Institute of Standards and Technology). This task took place in the Iberdrola Global Energy Management department taking into consideration that the main objective of the department is to address the process required for the certification of the aforementioned standard. The time required for its completion was two months. Furthermore, its development demanded training with continuous learning from different sources of information related to information security and internal instruction of the company in tools such as ARIS (Architecture of Integrated Information Systems), Excel, etc. It is important to highlight that the results were favourable in the process since the dashboards were implemented, which will allow the construction of a continuous improvement of the system and a future certification