Hacia un marco holístico de Ciberseguridad para e-Gobiernos según Análisis Sistemático de Propuestas existentes

Abstract

Para los organismos gubernamentales, gestionar la seguridad de la información significa un compromiso implícito que estos mantienen con la sociedad de la información. La sociedad supone que aquellos datos que son de su propiedad y que resultan de interés para el Estado, para que éste logre llevar a cabo el ejercicio de sus funciones, se gestionan de forma segura. Ahora bien, gestionar la seguridad de la información en este tipo de organismos supone un reto que difiere en gran medida a los que se presentan cuando nos encontramos en el contexto de una organización del sector privado. Se puede idealizar a un gobierno como una gran empresa compuesta por una serie de áreas´ de negocio representadas por sus organismos públicos, adonde cada uno de ellos captura información de los ciudadanos afín a sus intereses de negocio, la procesan, la comparten con sus pares, y ponen a disposición de la sociedad información que retroalimenta al ciclo de vida de sus procesos. En este contexto, la seguridad de toda ´esta información es tan robusta como lo es el más débil en toda la cadena de procesos. Convergen en este escenario diversos factores: diferentes servicios e infraestructuras tecnológicas con sus amenazas inherentes, diferentes marcos normativos aplicables, diferentes grados de madurez en materia de cultura de seguridad, etc., con lo cual, conocer el grado general de seguridad para un Gobierno es imposible si no se cuenta con un modelo de gestión de la seguridad de la información que alcance de forma transversal a todos los organismos que lo componen. En este trabajo, se propone, a partir de un análisis sistemático de las propuestas existentes relacionadas con la ciberseguridad para e-Gobiernos, modelar un ecosistema seguro para los organismos de gobierno, que utilice como ejes transversales el cumplimiento normativo, la gestión de riesgos, y un marco de intercambio seguro de datos, que sea capaz de garantizar un nivel adecuado de la seguridad de la información de manera holística.

For government agencies, managing information security means an implicit commitment that they maintain with the information society. Society assumes that the data that is its property and that is of interest to the State, so that it can carry out its functions, is managed securely. However, managing information security in this organizations kind is a challenge that differs to a great extent from those that arise when we find ourselves in the context of a private sector organization. A government can be idealized as a large company made up of a series of business areas represented by their public bodies, where each one of them captures information from citizens related to their business interests, processes it, and shares it with their peers. , and make information available to society that feeds back into the life cycle of their processes. In this context, the security of all this information is as robust as the weakest in the entire process chain. Various factors converge in this scenario: different services and technological infrastructures with their inherent threats, different applicable regulatory frameworks, different degrees of maturity in terms of security culture, etc., with which, knowing the general degree of security for a Government is impossible if there is not an information security management model that cross-cuts all the organizations that comprise it. In this work, based on a systematic review of existing contributions related to e-Government Cybersecurity, it's proposed to model a secure ecosystem for government agencies, which uses regulatory compliance, risk management, and a secure data exchange framework as transversal axes. , that is capable of guaranteeing an adequate level of information security in a holistic way.