IMC 2024 - Índice de Madurez en Ciberseguridad de las IES Iberoamericanas

En un mundo cada vez más interconectado y dependiente de la tecnología digital, la ciberseguridad se ha convertido en una preocupación central para todas las instituciones, incluidas las universidades. 

En este marco, el proyecto del Índice de Madurez en Ciberseguridad de las Universidades e Instituciones de Educación Superior (IES) Iberoamericanas (IMC 2024) surge como una iniciativa crucial para abordar esta preocupación. Este índice no solo busca evaluar el estado actual de la ciberseguridad en las universidades e IES de la región, sino también establecer un marco de referencia para mejorar y fortalecer sus capacidades en este ámbito esencial. Al ofrecer una visión detallada y específica del nivel de madurez en ciberseguridad de estas instituciones y habilitar la comparación con entidades de similar naturaleza, el proyecto aspira a ser una herramienta valiosa para la toma de decisiones estratégicas y la asignación de recursos en la lucha contra las amenazas cibernéticas.

MOTIVACIÓN Y OBJETIVOS

Las universidades e IES son depositarias de una gran cantidad de información sensible, desde datos personales de estudiantes y docentes hasta investigaciones de vanguardia y propiedad intelectual. Proteger esta información no es solo una cuestión de seguridad informática, sino también de responsabilidad social y cumplimiento normativo. 

Si bien existen y se aplican diversos marcos de evaluación de la madurez en ciberseguridad en entidades de distintos tipos y en diferentes latitudes, este estudio viene a llenar un vacío a nivel de la región Iberoamericana y para el ámbito de la enseñanza superior, con el objetivo de contribuir a una mejora en la ciberseguridad en este tipo de instituciones.

RESULTADOS

Como resultado de la aplicación del modelo IMC en las universidades que conforman MetaRed, se producirán 3 tipos de informes:

• Un informe global que compendie toda la información relevada y describa la situación general de las universidades iberoamericanas en materia de protección de su información y sus recursos tecnológicos. 

• Un resumen ejecutivo por país, que se pondrá a disposición de las universidades que han sido parte y que pertenecen a dicha jurisdicción, de modo que puedan conocer el estado de la ciberseguridad en dicho ámbito.

• Un cuadro de mando PRIVADO para cada institución participante que exponga la situación particular de esa IES y permita una comparativa con la media de las universidades participantes a nivel país e Iberoamérica.

BENEFICIOS PARA LAS INSTITUCIONES

Se espera que, como resultado del presente estudio, las universidades participantes puedan:

• Conocer el estado de situación de la ciberseguridad en las IES de la región iberoamericana que integran Metared.

• Obtener un panorama general que le permita compararse con otras universidades de su propio país y de la región.

• Adoptar medidas fundadas para mejorar el estado de la ciberseguridad en sus respectivos ámbitos.

Desde el punto de vista de Metared, aportará información útil a la hora de mejorar las acciones que puedan emprenderse para asistir a las IES que integran dicha red en la mejora de su estado general en materia de ciberseguridad.

MODELO IMC

El modelo del Índice de Madurez en Ciberseguridad se basa en los principios y dominios del ampliamente reconocido Framework de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos. La elección de este framework se debe a su enfoque integral y flexible, que permite una adaptación efectiva a las necesidades y realidades de cualquier tipo de entidad, incluyendo las universidades e IES iberoamericanas. 

Además, se integran controles y prácticas de otros estándares y normas internacionales, como ISO/IEC 27001 y 27002 y el Esquema Nacional de Seguridad de España, para asegurar una cobertura completa de los aspectos relevantes en materia de seguridad de la información. 

Este enfoque híbrido y personalizado justifica la elección del modelo, ya que combina aspectos relevantes de estándares globales de reconocimiento internacional, adaptándolos a un contexto específico y proporcionando un marco robusto y efectivo para la evaluación y mejora de la madurez en ciberseguridad.

GOBERNAR (GB) – Establecer y monitorear la gestión de la ciberseguridad de la organización. Esto resulta fundamental para incorporar la ciberseguridad en el funcionamiento de una organización. Con este objetivo se relaciona: definir la estrategia de ciberseguridad, definir/mantener y comunicar políticas, elaborar procesos y procedimientos, definir roles y responsabilidades en materia de ciberseguridad y llevar adelante las tareas que hacen a la gestión de la ciberseguridad.  Se vincula a comprender el contexto, establecer la estrategia, gestionar el riesgo sobre la cadena de suministro, definir los roles, responsabilidades y autoridades, elaborar las políticas, implementar procesos y procedimientos y supervisar la estrategia.

IDENTIFICAR (ID) – Determinar el riesgo actual de ciberseguridad para la organización. Para ello es necesario conocer sus activos (por ejemplo, datos, hardware, software, sistemas, instalaciones, servicios, personas) y los riesgos de ciberseguridad relacionados a los mismos. Todo ello a fin de dedicar esfuerzos para la identificación de mejoras necesarias respecto a las políticas, procesos, procedimientos y prácticas de la organización que respaldan la gestión de la ciberseguridad. La identificación de estas políticas, procesos, procedimientos y prácticas también se incluye en esta etapa.

PROTEGER (PR) – Implementar controles para mitigar los riesgos de ciberseguridad existentes, con el objetivo de proteger los activos para prevenir o reducir la probabilidad y el impacto de eventos adversos de ciberseguridad. En esta etapa se encuentran la concientización y el entrenamiento, la seguridad de datos, la gestión de identidades, la seguridad de la plataforma y la resiliencia de la infraestructura tecnológica.

DETECTAR (DE) – Buscar y analizar posibles ataques y compromisos de ciberseguridad. Permite el descubrimiento y análisis oportunos de anomalías, indicadores de compromiso, y otros eventos de ciberseguridad potencialmente adversos que pueden indicar la ocurrencia de ataques o incidentes de ciberseguridad. En esta etapa se encuentra el monitoreo de red a través de fuentes de información internas o externas, la configuración de herramientas para tal fin y el análisis de eventos.

RESPONDER (RS) – Actuar ante un incidente de ciberseguridad detectado. Cubre la gestión, análisis, mitigación y comunicación de incidentes. En esta etapa se encuentran los procesos relacionados a la gestión de incidentes de ciberseguridad propiamente dichos.

RECUPERAR (RC) – Restaurar activos y operaciones que se vieron afectados por un incidente. Acciones en pos de la restauración oportuna de las operaciones normales para reducir el impacto de incidentes de ciberseguridad. Esto incluye contar con plan de contingencia y plan de recuperación y procedimientos asociados.

FORMACIÓN Y TALENTO (FT) – Adicionalmente, se considera como parte del relevamiento un dominio complementario referido a la formación en ciberseguridad y a la captación y retención de talentos en el área respectiva de la institución. Este dominio se incluye en razón de tratarse de organizaciones dedicadas a la educación universitaria. Sin embargo, se aclara que no se lo incluirá en la determinación del nivel de madurez de la institución.

Cada control definido en los diferentes dominios será correlacionado dentro de los 4 niveles de madurez definidos: L0 - L3. La siguiente tabla muestra las características incluidas en cada uno de los cuatro niveles establecidos:

CONTACTO

Para más información sobre el proyecto puede contactar con: ciberseguridad@metared.org