Gutierrez AJ

Modelo de madurez de ciberseguridad
cloud para el sector financiero
Item Type info:eu-repo/semantics/bachelorThesis
Authors Gutierrez Alayo, Jorge Enrique; Necochea Mendoza, Paul

Alejandro
Publisher Universidad Peruana de Ciencias Aplicadas (UPC)
Rights info:eu-repo/semantics/openAccess; Attribution-

NonCommercial-ShareAlike 4.0 International
Download date 12/11/2023 00:43:21
Item License http://creativecommons.org/licenses/by-nc-sa/4.0/
Link to Item http://hdl.handle.net/10757/660408

UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS
FACULTAD DE INGENIERÍA
PROGRAMA ACADÉMICO DE INGENIERÍA DE SISTEMAS DE INFORMACIÓN
Modelo de madurez de ciberseguridad cloud para el sector financiero
TESIS
Para optar el título profesional de Ingeniero de Sistemas de Información
AUTOR(ES)
Gutierrez Alayo, Jorge Enrique [0000-0002-9095-729X]
Necochea Mendoza, Paul Alejandro [0000-0002-5273-6058]
ASESOR
Vargas Medina, Jose Carlos [0000-0002-2101-5477]
Lima, julio de 2020

RESUMEN
En este documento, proponemos un modelo de madurez de ciberseguridad para brindar

servicios a las organizaciones del sector financiero. Para el desarrollo de la propuesta, se
ha tomado como referencia frameworks y modelos existentes, expandiendo su alcance
mediante la integración de las capacidades de seguridad en la nube y privacidad. De esta
manera, el modelo propuesto está soportado por una herramienta de medición que facilita
el diagnóstico y visualización de resultados. El proceso de evaluación es realizado en base
al cumplimiento de controles, los cuales son evaluados en una escala de cinco niveles de
madurez: 1. Inicial, 2. En Desarrollo, 3. Definido, 4. Gestionado y 5. Optimizado, siendo
los resultados agrupados por dominios y funciones. El modelo fue validado y piloteado
en dos entidades pertenecientes al sector financiero en Lima, Perú. Los resultados
preliminares mostraron un nivel de aceptación promedio de 4.3 en una escala de 1 a 5 en
la validación realizada. Asimismo, se obtuvo un nivel de madurez 3 – Definido, en el
proceso evaluado, lo cual nos permitió proponer actividades para eliminar las brechas
encontradas y mejorar las capacidades de la organización en el proceso elegido.
Palabras clave: ciberseguridad; privacidad; cloud, modelo de madurez; sector financiero

[Cibersecurity maturity model for providing services in the financial sector in Peru]
ABSTRACT
In this paper, we proposed a cybersecurity maturity model for providing services to

organizations in the financial sector. To develop this proposal, existing frameworks and
models have been taken as a reference, expanding its scope by integrating cloud security
and privacy capabilities. In this way, the proposed model is supported by a measurement
tool that facilitates the diagnosis and visualization of results. The evaluation process is
carried out based on the fulfillment of controls, which are evaluated on a scale of five
levels of maturity: 1. Initial, 2. In Development, 3. Defined, 4. Managed and 5. Optimized.
The results are grouped by domains and functions. The model was validated and piloted
in two entities from the financial sector in Lima, Peru. In the performed validation, the
preliminary results showed an average acceptance level of 4.3 on a 1 to 5 scale while the
maturity level obtained was 3. Those results allowed us to propose activities which
eliminate the gaps found as well as improve the organization's capabilities in the
evaluated process.
Keywords: cybersecurity; privacy; cloud; maturity model; financial sector

Tabla de contenido
Introducción .................................................................................................................... 8
Capítulo 1. Definición del proyecto ............................................................................... 9
1.1. Objeto de estudio .......................................................................................................... 9
1.2. Dominio del problema................................................................................................. 10
1.3. Planteamiento de la solución ...................................................................................... 10
1.4. Objetivos del proyecto ................................................................................................ 11
1.4.1. Objetivo general .................................................................................................. 11

1.4.2. Objetivos específicos ........................................................................................... 11
1.5. Indicadores de éxito .................................................................................................... 12
1.6. Planificación del proyecto ........................................................................................... 12
1.6.1. Plan de gestión del alcance ................................................................................. 12

1.7. Plan de gestión de calidad ........................................................................................... 14
1.7.1. Plan de gestión de comunicaciones ..................................................................... 14

1.8. Plan de gestión de riesgo ............................................................................................ 18
1.9. Plan de gestión de recursos humanos ........................................................................ 19
1.10. Plan de gestión de cronograma................................................................................... 20
Capítulo 2. Logros Student Outcomes ........................................................................ 22

Capítulo 3. Marco teórico ............................................................................................ 30
Capítulo 4. Desarrollo del proyecto ............................................................................ 34
4.1 Scope ................................................................................................................................. 35
4.2 Design ............................................................................................................................... 37
4.3 Populate ............................................................................................................................. 55
4.4 Test .................................................................................................................................. 122
4.5 Deploy ............................................................................................................................. 127
4.6 Mantain ........................................................................................................................... 135
Capítulo 5. Resultado del proyecto ........................................................................... 138

5.1. Resultados de validación ................................................................................................ 138
5.1.1. Resultados de empresa A ........................................................................................ 138

5.1.2. Resultados de empresa B......................................................................................... 141
5.2. Resultados del diagnóstico ............................................................................................. 145
Capítulo 6. Gestión del proyecto ............................................................................... 149
Lecciones aprendidas ................................................................................................. 159
Conclusiones ................................................................................................................ 159
Recomendaciones ........................................................................................................ 160
Glosario ....................................................................................................................... 160
Bibliografía .................................................................................................................. 162
Anexo A – WASC ....................................................................................................... 167
Anexo C – Costos y presupuestos .............................................................................. 195
Anexo E – Estado del arte .......................................................................................... 197
Índice de Tablas
Tabla 1 – Planteamiento del problema
Tabla 2 – Indicadores de éxito
Tabla 3 – Restricciones
Tabla 4 – Matriz de comunicaciones
Tabla 5 – Descripción de riesgos
Tabla 6 – Roles y responsabilidades
Tabla 7 – Cronograma
Tabla 8 – Conocimientos
Tabla 9 – Audiencias
Tabla 10 – Marcos de trabajo, modelos de madurez y normativas analizadas para el

diseño
Tabla 11 – Benchmarking de ciberseguridad
Tabla 12 – Benchmarking se seguridad en la nube
Tabla 13 – Benchmarking de privacidad
Tabla 14 – Resultados de benchmarking
Tabla 15 – Controles
Tabla 16 – Característica del contacto
Tabla 17 – Encuesta de validación
Tabla 18 – Métricas de validación
Tabla 19 – Proceso a evaluar
Tabla 20 – Resultados de encuesta en empresa A
Tabla 21 – Resultados de encuesta en empresa B
Tabla 22 – Resumen de encuesta
Tabla 23 – Resultados de diagnóstico

Índice de Figuras
Figura 1. Organización de recursos humanos
Figura 2. Metodología
Figura 3. Proceso de metodología
Figura 4. Cronograma del proyecto
Figura 5. Organigrama del proyecto
Figura 6. Criterios de benchmarking
Figura 7. Modelo de madurez propuesto
Figura 8. Plan de trabajo de validación
Figura 9. Inicio de herramienta
Figura 10. Niveles de madure de herramienta
Figura 11. Matriz de controles integrados
Figura 12. Resultados de evaluación
Figura 13. Reportería de herramienta

Introducción
Hoy en día, el papel que desempeñan las entidades financieras es fundamental para la
mejora del dinamismo económico existente, lo cual se evidencia en crecimiento año tras
año de la banca en el país. Sin embargo, al tomar las entidades financieras una mayor
importancia y relevancia, sus responsabilidades también crecen. Una de ellas es proveer
un entorno seguro a sus clientes para que estos puedan efectuar sus transacciones, no solo
porque es una medida exigida por el ente regulador en el país, sino porque también mejora
la percepción de los clientes hacia la entidad y aumenta la confianza.
En ese sentido, como parte de un entorno seguro la entidad financiera debe de asegurar la
privacidad de los datos de los clientes y la seguridad de los mismos. Este es un reto cada
vez más urgente para las dichas entidades debido a que la cantidad de ataques
informáticos aumenta y se vuelve más compleja con el paso del tiempo. Según la Encuesta
Global Sobre Delitos Económicos y Fraude (PwC, 2018) el cibercrimen es el segundo
delito más cometido a nivel mundial y el séptimo en el país. Enfocándonos en el sector
bancario, según el Reporte de Estado de la Ciberseguridad en el Sector Bancario en
América Latina y el Caribe (OEA, 2018) el 92% de las entidades bancarias manifiestan
que identificaron algún tipo de evento (ataques exitosos (37%) y ataques no exitosos
(55%)).
Es importante mencionar también, que las entidades bancarias peruanas vienen

definiendo tendencias de transformación digital que incluyen desde banca predictiva
hasta la migración de datos al entorno cloud. En el caso del último, los servicios cloud le
permiten a las entidades bancarias poseer una infraestructura más escalable, flexible y
eficiente en costos. En el entorno internacional, de acuerdo con el reporte “Invigorating
Banking” (Finextra Research, 2015) realizado a partir de una encuesta a 96 diferentes
entidades financieras en 38 países, cuatro de cada cinco bancos creen que deberán
reemplazar sus sistemas Core dentro de tres a cinco años, debido a que su sistema actual
ya no puede soportar sus necesidades. Un 89% estima que los bancos necesitarán
modernizar rápidamente sus procesos y sus tecnologías de información para evitar perder
cuota de mercado. Asimismo, un 88% opina que esa modernización deberá incluir
servicios basados en la nube como parte de la infraestructura. No obstante, una de las
principales adversidades son las vulnerabilidades que posee dicho servicio y los ataques
cibernéticos que ha sufrido. Según la Encuesta Global de Seguridad de la Información
(Ernst & Young, 2018), las vulnerabilidades relacionadas con el uso de la computación
en la nube se encuentran dentro de las cinco con mayor exposición a los riesgos en los
últimos doce meses. Asimismo, según el Top 10 de OWASP, que investiga los diez
riesgos de seguridad más importantes en aplicaciones web (OWASP, 2017), la
configuración de seguridad incorrecta en los servicios en la nube es uno de los principales
riesgos encontrados.
Sin embargo, a pesar del riesgo latente del cibercrimen, actualmente solo existen
frameworks que evalúan la madurez de las prácticas de ciberseguridad, privacidad y cloud
de manera independiente o poco específica (N.T. Le, D.B. Hoang, 2017), lo cual impide
que las organizaciones puedan evaluar dichas prácticas de manera holística. Esto limita a
las empresas en su protección contra ciberataques, exponiéndose a pérdidas económicas
por las mismas y a multas regulatorias debido al incumplimiento de normativas locales
de ciberseguridad y privacidad.
Por ello, el presente proyecto tiene como propósito brindar un modelo de madurez que
integre las prácticas de ciberseguridad, privacidad y cloud que les permita a las entidades
financieras medir de manera integrada el estado actual de sus capacidades y así, poder
protegerse de forma más completa contra los ciberataques, mejorando la toma de
decisiones.
Capítulo 1. Definición del proyecto
1.1. Objeto de estudio

El proyecto planteado tiene como objeto estudio los procesos principales
relacionados a tecnologías de información de una entidad financiera. Se busca la
mejora de dichos procesos en cuanto a los ámbitos de ciberseguridad, seguridad
en la nube y la privacidad de datos, mediante la evaluación de estos a través del
modelo de madurez propuesto.
1.2. Dominio del problema
Tabla 1. Planteamiento del problema
Necesidad/Problemática Causas
El cibercrimen es el séptimo delito más cometido

en el país (PwC, 2018) registrando pérdidas que
alcanzan los US$ 4,782 millones (Gestión, 2018)
9 de cada 10 bancos de América Latina y el Caribe

sufrieron incidentes cibernéticos (OEA, 2018)
Evaluar integralmente, teniendo en cuenta

normativas locales, las capacidades de
Incremento en un 65% de ataques a aplicaciones
ciberseguridad, seguridad en la nube y
cloud en el primer trimestre del 2019 (Proofpoint,
privacidad para la protección contra
2019)
ataques informáticos.
La DGTAIPD impuso 115 sanciones por un monto

total de S/ 3.7 MM entre el 2015 y el 2017
(Ministerio de Justicia y Derechos Humanos, 2018)
Fuente: Elaboración propia
1.3. Planteamiento de la solución
Ante la necesidad descrita, se propone un modelo de madurez que integre las

prácticas de ciberseguridad, privacidad y cloud que les permita a las entidades
financieras medir de manera integrada el estado actual de sus capacidades y así,
poder protegerse de forma más completa contra los ciberataques, mejorando la
toma de decisiones.
1.4. Objetivos del proyecto
1.4.1. Objetivo general
Implementar un modelo de madurez que integre las capacidades de

ciberseguridad, seguridad en la nube y privacidad para entidades del sector
financiero.
1.4.2. Objetivos específicos
El objetivo general del proyecto se basa en los siguientes objetivos

específicos:
 OE1: Analizar los marcos de trabajo, modelos de madurez y

controles de ciberseguridad, cloud y privacidad existentes, así como
las normativas locales.
 OE2: Diseñar un modelo de madurez de ciberseguridad cloud para
una entidad del sector financiero.
 OE3: Validar el modelo de madurez de ciberseguridad cloud
propuesto en una entidad financiera.
 OE4: Elaborar el plan de continuidad y mejora del modelo de
madurez de ciberseguridad cloud propuesto.
1.5. Indicadores de éxito
El cumplimiento de los objetivos de proyecto se mide a través de los

siguientes indicadores de logro:
Tabla 2. Indicadores de éxito
Indicador de éxito Objetivo
Acta de aprobación del análisis de los distintos frameworks, modelos y

I1 OE1
controles por parte del cliente.
Acta de aprobación del diseño del modelo de madurez de ciberseguridad cloud

I2 OE2
por parte del cliente.
I3 Certificación QS aprobada del modelo propuesto OE2
Acta de aprobación respecto a los resultados del modelo de madurez de

I4 OE3
ciberseguridad cloud por parte de una entidad financiera.
I5 Acta de aprobación del plan de continuidad por parte del cliente. OE4
1.6. Planificación del proyecto
1.6.1. Plan de gestión del alcance
El alcance del proyecto abarcará el cumplimiento de los objetivos propuestos

en este documento a lo largo de los dos ciclos académicos (32 semanas). Estos
ciclos son correspondientes a los cursos de Taller de Proyecto I (2019-02) y
Taller de Proyecto II (2020-01).
Asimismo, el presente proyecto consiste en la implementación de un modelo

de madurez de ciberseguridad cloud para entidades financieras basado en las
normativas locales de seguridad y privacidad, que permita que las entidades
financieras puedan realizar comparaciones en base a su estado actual y el
modelo propuesto.
El alcance del proyecto incluirá:
● Documento Project Charter
● Documentos de Gestión del Proyecto
● Documento de análisis del Sector Financiero en el Perú
● Documento de análisis de los distintos tipos de modelos de madurez
● Documento de diseño del modelo de madurez
● Documento de validación del modelo de madurez
● Plan de continuidad del modelo de madurez
● Acta de cierre y aceptación
● Paper
● Poster
● Memoria
● Lecciones aprendidas
Las exclusiones del proyecto:
● No se realizará la implementación del modelo de madurez.
● El modelo de madurez no se enfocará en la normativa internacional.
Las restricciones del proyecto:
Tabla 3. Restricciones
Restricciones Descripción
1. El desarrollo de los entregables se realizará en dos ciclos académicos

(2019-02 y 2020-01)
2. Los plazos de entrega de los entregables no podrán ser postergados
3. Las reuniones para los avances del proyecto dependen de la

disponibilidad de los jefes de proyecto y cliente
1.7. Plan de gestión de calidad
1.7.1. Plan de gestión de comunicaciones
Tabla 4. Matriz de comunicaciones
Contenido Respons. de Método de

Frecuencia
elaborarlo comunicación
Información Para su Código de
a utilizar
Inicio del entrega a los
- Aseso - Docum EDT
requerida
Proyecto Stakeholders
r ento asociado
Client digital
Información e (Word)
sobre el inicio
- Profes - Reunio
del proyecto, Jorge
or nes Una sola
que puede ser Gutierrez 1.1.1
Geren presenc vez
visto en el Paul Necochea
te iales
Project
Charter - Comit - Correo
é de electrón
Proye ico de
ctos la UPC
Planificación Documentos
del Proyecto de Gestión del
Proyecto:
 Gestión del
Alcance
 Gestión del
Tiempo
 Gestión de
Calidad
- Aseso - Docum
 Gestión de
r ento
RRHH
Client digital
 Gestión de
e (Word)
Comunicac
- Profes - Reunio
iones Jorge
or nes Una sola
Gutierrez 1.2
 Gestión de
Geren presenc vez
Riesgos Paul Necochea
te iales
 Matriz de
- Comit - Correo
trazabilida
é de electrón
d de
Proye ico de
requerimie
ctos la UPC
ntos
 Matriz de
riesgos
 Registro de
interesados
 Matriz
RAM
 Diccionario
EDT
Plan de
trabajo
Estado del  Estado

Proyecto de los
entreg
ables
median
te - Aseso - Docum
avance r ento
s. Client digital
e (Word)
 Memor
- Profes - Reunio
ia del Jorge
or nes - Sem
proyec Gutierrez 1.3
Geren presenc anal
to
Paul Necochea
te iales
 Diseño
- Comit - Correo
del
é de electrón
modelo
Proye ico de
propue
ctos la UPC
sto
 Análisi
s de los
modelo
s
Coordinació Información
- Aseso - Docum
n del de las
r ento
Proyecto reuniones que Jorge
Client digital - Sem
establecerán Gutierrez 1.2.2
e (Word) anal
durante el Paul Necochea
desarrollo del - Profes - Reunio
proyecto or nes
Actas de Geren presenc
Reunión te iales
- Comit - Correo
é de electrón
Proye ico de
ctos la UPC
Cierre del - Aseso - Docum

Proyecto r ento
Client digital
Resultados y e (Word)
comunicación - Profes - Reunio

Jorge
sobre el cierre or nes Una sola
Gutierrez 1.5
del proyecto. Geren presenc vez
Paul Necochea
Acta de te iales
aprobación - Comit - Correo

é de electrón
Proye ico de
ctos la UPC

1.8. Plan de gestión de riesgo
Se incluye la lista de riesgos que pueden impedir el desarrollo y culminación

del proyecto. Por lo cual, para cada uno de los riesgos, se propone una
estrategia de mitigación.
Tabla 5. Descripción de riesgos
# Riesgo Probabilida Impact Estrategia de mitigación

d o
1 Cambios en el alcance del Media Muy Se realizará un seguimiento de los

proyecto Alto avances de manera periódica
2 Negación por parte de la Media Muy Se mantendrán contactos de

empresa seleccionada a Alto contingencia en caso de que la
brindar información empresa decida retirarse.
3 Cancelación de las reuniones Media Muy Se acordarán las reuniones

por parte del asesor cliente Alto durante la semana, avisando
oportunamente al profesor.
4 Cumplimiento en la entrega de Baja Alto Se dedicará tiempos extras para

los documentos de acuerdo al cerrar los documentos pendientes.
cronograma
5 Coordinación limitada entre el Baja Alto Se mantendrá un diálogo

Jefe de Proyecto y el Jefe de constante, presencial y no
Investigación presencial, sobre el proyecto.
6 Pérdida de la información Baja Muy Se establecerá un repositorio

recopilada Alto donde se almacenará dicha la
información.

1.9. Plan de gestión de recursos humanos
Para el presente proyecto se ha definido la siguiente estructura

organizacional.
Figura 1. Organigrama de Recursos Humanos. Elaboración propia
Además, en la siguiente tabla se detallan los roles y responsabilidades definidos dentro

del proyecto.
Tabla 6. Roles y responsabilidades
Rol Miembro Responsabilidades
Jorge Enrique Gutierrez

Scrum Master Gestión ágil del Proyecto.
Alayo
Paul Alejandro Necochea

Project Manager Gestión del Proyecto.
Mendoza
Manager Julio Enrique Quispe Tuesta Asesorar y aprobar el
Project Charter para
revisión del comité.
Product Owner Jose Carlos Vargas Medina Brindar requerimientos del

proyecto y recomendaciones
para el éxito del proyecto.
PMO Alfredo Barrientos Asegurar el cumplimiento

de los objetivos de cada
proyecto
Comité de proyectos Equipo del comité evaluador Aprobar los proyectos
Development Team Alumnos de TDP Investigación y certificación
1.10. Plan de gestión de cronograma
A continuación, se mencionan las grandes fases y actividades con las fechas

de término y los productos que se deben entregar en el proyecto.
Tabla 7. Cronograma
Fase del Hito del Fecha Entregables incluidos Prioridad

Proyecto proyecto Estimada
Inicio Definición Semana 2 Project Charter. Alta

del proyecto 2019-02
Planificación Exposición Semana 9 Project Charter, Plan de Alta

Parcial TP1 2019-02 Trabajo, Entregables de
Gestión.
Ejecución Aprobación Semana 12 Diseño del modelo de Alta
del Modelo 2019 -02 madurez de ciberseguridad
de Madurez cloud para el sector
financiero.
Exposición Semana 16 Modelo de madurez y Alta

Final TP1 2019-02 Memoria.
Validación Semana 22 Modelo de Madurez y Alta

del Modelo 2020-01 resultados de la validación.
de Madurez
Exposición Semana 25 Modelo de madurez y Alta

Parcial TP2 2020-01 Memoria
Aprobación Semana 27 Plan de Continuidad Alta

del Plan de 2020-01
Continuidad
Aprobación Semana 28 Memoria y Paper Alta

de Memoria 2020-01
y Paper
Cierre Exposición Semana 32 Modelo de madurez, Plan de Alta

Final TP2 2020-01 continuidad, Memoria y
Paper
Capítulo 2. Logros Student Outcomes
Este capítulo describe todos los Student Outcomes y su relación con los resultados
obtenidos en este proyecto.
Criterios de ingeniería
En esta sección, se explica el debido cumplimiento del proyecto “Mejora en la

experiencia del proceso de comunicación entre padre de familia y docentes en
colegios nacionales” con respecto a los criterios de ingeniería definidos por la
Escuela de Sistemas y Computación para el desarrollo de proyectos en la carrera
(Universidad Peruana de Ciencias Aplicadas [UPC], 2020).
Student Outcome 1
La capacidad de identificar, formular y resolver problemas complejos de

ingeniería aplicando los principios de ingeniería, ciencia y matemática.
Como parte del conocimiento adquirido para el desarrollo de nuestro proyecto,

se detallará cada conocimiento y la manera en que fue aplicado durante todo
el proyecto.
Tabla 8. Conocimientos
Conocimiento Aplicación
 Uso de fórmulas matemáticas para la

estimación del puntaje para la selección del
Matemáticas modelo propuesto.
 Uso de fórmulas matemáticas para realizar

el presupuesto del proyecto.
 La investigación realizada la cual permitió

conocer los modelos de madurez empleados
Ciencias en la actualidad, las mejores prácticas,
estándares, normativas nacionales y
regulaciones.
 Desarrollo de los diversos entregables como
el modelo de madurez, comparativos del
mismo y el manual de uso de estos a través
del uso de software (Microsoft Office)
Computación
 Manejo de herramientas de medios de
comunicación como es el correo electrónico
para una comunicación formal con nuestros
asesores y contacto a expertos.
 Desarrollo del modelo de madurez

propuesto privilegiando una innovación.
Ingeniería
 Análisis de los resultados obtenidos para la
entidad financiera con la que se contactó.
Student Outcome 2
La capacidad de aplicar el diseño de ingeniería para producir soluciones

que satisfagan necesidades específicas con consideración de salud pública,
seguridad y bienestar, así como factores globales, culturales, sociales,
ambientales y económicos
Dentro del desarrollo del diseño de modelo de madurez de ciberseguridad

cloud para el sector financiero, se tomaron en cuenta los costos necesarios para
la reestructuración de la entidad donde se valida el proyecto, tanto en personal
y tecnología. Por otro lado, desde el punto de vista de impacto de social de
nuestro proyecto pues, al tratarse de una implementación enfocada en el sector
financiero, es importante e imprescindible analizar la manera en la que
impacta nuestra propuesta en la mejora de las finanzas de los clientes de las
compañías. Asimismo, al ser nuestro modelo diseñado bajo cumplimientos y
normativas demuestra ser una solución que brinda transparencia. Finalmente,
nuestro modelo de madurez cuenta con las buenas prácticas al tratado de la
seguridad de los datos y permite que las entidades financieras peruanas
cuenten con una solución integrada en ciberseguridad, cloud y privacidad.
Student Outcome 3
La capacidad de comunicarse efectivamente con un rango de audiencias.
Dentro del desarrollo del proyecto fue clave para el éxito de este una
comunicación efectiva. Por ello, la manera en la que uno se expresa en las
exposiciones delante del comité fue formal, demostrando respeto y
estrictamente profesional. Asimismo, el entendimiento de las actividades es
gracias a esa comunicación, por ello se mostrará los medios de comunicación
que se tuvo con cada involucrado.
Tabla 9. Audiencias
Involucrados Medios de Comunicación
 Correo Electrónico UPC
Profesor Cliente  Llamadas Telefónicas
 Comunicación Oral

Profesor Gerente

PMO
 SharePoint de la Escuela

Recurso QS

Student Outcome 4
La capacidad de reconocer responsabilidades éticas y profesionales en

situaciones de ingeniería y hacer juicios informados, que deben
considerar el impacto de las soluciones de ingeniería en contextos
globales, económicos, ambientales y sociales.
El modelo de madurez de ciberseguridad cloud para el sector financiero está

diseñado bajo total transparencia y responsabilidad, puesto que en el proyecto
se respeta información que haya sido utilizada bajo una citación correcta.
Asimismo, el diseño del modelo al estar enfocado en el sector financiero
respeta el marco legal peruano (normativas y cumplimientos).
Student Outcome 5
La capacidad de funcionar efectivamente en un equipo cuyos miembros

juntos proporcionan liderazgo, crea un entorno de colaboración e
inclusivo, establecen objetivos, planifican tareas y cumplen objetivos.
Durante el desarrollo del proyecto se estableció roles entre los jefes de

proyectos para poder tener una mejor organización dentro de las actividades
asignadas. Esto a su vez, permite un trabajo mucho más organizado y
colaborativo. Asimismo, las tareas fueron divididas para que el desarrollo del
proyecto sea fluido, pero sin descuidar la calidad de este, mediante revisiones
constantes.
Student Outcome 6
La capacidad de desarrollar y llevar a cabo la experimentación adecuada,

analizar e interpretar datos, y usar el juicio de ingeniería para sacar
conclusiones.
Durante el desarrollo del proyecto se realizó el objetivo 1, el cual indica el

análisis de modelos de ciberseguridad, cloud financieros existentes. Es por
ello, que se recopilo distintos modelos de madurez, Frameworks, estándares,
leyes, entre otras y se ingresó en una tabla que nos permitiera mediante puntaje
seleccionar las más adecuadas. En base al análisis que realizamos pudimos
interpretar gracias a los distintos parámetros que seleccionamos como año de
validación, enfoque, área, actualización, entre otras una correcta elección de
los modelos que se iba a usar para nuestro proyecto.
Student Outcome 7
La capacidad de adquirir y aplicar nuevos conocimientos según sea

necesario, utilizando estrategias de aprendizaje apropiadas.
Durante el desarrollo del proyecto nos informamos más acerca de la actualidad

de las entidades financieras de nuestro país. Además, de aumentar el
conocimiento acerca de Frameworks, modelos, modelos de madurez,
cumplimento, entre otras. Asimismo, llevando este contexto a una situación
real, para los ingenieros de sistemas es importante mantenerse actualizados,
ya que el desarrollo de las tecnologías evoluciona y aumentan cada día más.
Criterios de computación
Student Outcome 1
La capacidad de analizar un problema complejo y aplicar principios de

computación y otras disciplinas relevantes para identificar soluciones.
Durante el desarrollo del proyecto, se realizó una larga investigación de los

principales problemas que aquejan a las empresas financieras. En base a
comparaciones y benchmarks, se decidió atacar la criticidad de la
ciberseguridad que afrontan las empresas del sector bancario. Como parte de
la solución se desarrolló una aplicación desarrollada en lenguaje VBA, con el
fin de permitir a las empresas poder medir y validar el estado actual de sus
protocolos y controles de ciberseguridad.
Student Outcome 2
La capacidad de diseñar, implementar y evaluar una solución basada en

computación para cumplir con el conjunto de requerimientos en el
contexto de sistemas de información.
El objetivo final de nuestro proyecto es permitir a las empresas del sector

financiero poder realizar una detallada evaluación del estado actual de sus
controles y protocolos de ciberseguridad, así como también evidenciar los
siguientes pasos para mejorar y potenciar la seguridad de información. Para
ello, nos ayudamos de una herramienta. Esta fue diseñada en base al análisis
de las necesidades actuales, feedback de especialistas en el campo y
comparativas con otras investigaciones. Se desarrolló en Excel, con lenguaje
VBA y se evaluó en dos empresas del sector financiero en base a los
requerimientos de los clientes.
Student Outcome 3
La capacidad de comunicarse efectivamente con un rango variado de

audiencias.
Dentro del desarrollo del proyecto fue clave para el éxito de este una
comunicación efectiva. Por ello, la manera en la que uno se expresa en las
exposiciones delante del comité fue formal, demostrando respeto y
estrictamente profesional. Asimismo, el entendimiento de las actividades es
gracias a esa comunicación, por ello se mostrará los medios de comunicación
que se tuvo con cada involucrado.
Tabla 9. Audiencias
Involucrados Medios de Comunicación
Profesor Cliente  Llamadas Telefónicas

Profesor Gerente

PMO
 SharePoint de la Escuela

Recurso QS
Student Outcome 4
La capacidad de reconocer responsabilidades éticas y profesionales en

situaciones de ingeniería y hacer juicios informados, que deben
considerar el impacto de las soluciones de ingeniería en contextos
globales, económicos, ambientales y sociales.
El modelo de madurez de ciberseguridad cloud para el sector financiero está

diseñado bajo total transparencia y responsabilidad, puesto que en el proyecto
se respeta información que haya sido utilizada bajo una citación correcta.
Asimismo, el diseño del modelo al estar enfocado en el sector financiero
respeta el marco legal peruano (normativas y cumplimientos).
Student Outcome 5
La capacidad de funcionar efectivamente en un equipo cuyos miembros

juntos proporcionan liderazgo, crea un entorno de colaboración e
inclusivo, establecen objetivos, planifican tareas y cumplen objetivos.
Durante el desarrollo del proyecto se estableció roles entre los jefes de

proyectos para poder tener una mejor organización dentro de las actividades
asignadas. Esto a su vez, permite un trabajo mucho más organizado y
colaborativo. Asimismo, las tareas fueron divididas para que el desarrollo del
proyecto sea fluido, pero sin descuidar la calidad de este, mediante revisiones
constantes.
Student Outcome 6
La capacidad para comprender y brindar soporte para el uso, entrega y

gestión de sistemas de información dentro de un entorno de sistemas de
información.
Para el desarrollo de nuestra herramienta, se utilizó una metodología ágil,

donde cada semana se presentaban entregables hasta terminar el producto
final. Terminado el desarrollo, se dio soporte y actualización en base a
utilización y feedback de la herramienta en instituciones del sector financiero.
Capítulo 3. Marco teórico
Gestión de la información
Los datos se reconocen como un activo empresarial indispensable y, por lo tanto,

son el elemento vital de la economía moderna. Los datos se han convertido en una
parte fundamental de las empresas contemporáneas y han modificado los procesos
de las empresas. (Trom, 2019)
Seguridad de la información
La información es un activo valioso para la institución, y en consecuencia requiere

una protección adecuada. La seguridad de la información protege a esta de un
amplio rango de amenazas para asegurar la continuidad de las actividades de la
institución y minimizar daños.
La información adopta diversas formas; puede estar impresa o escrita en papel,

almacenada electrónicamente, transmitida por correo o por medios electrónicos,
mostrada en video o hablada.
A continuación, los principios de la seguridad de la información:
a) Confidencialidad: asegurando que solo quienes estén autorizados pueden

acceder a la información;
b) Integridad: asegurando que la información y sus métodos de proceso son

exactos y completos;
c) Disponibilidad: asegurando que los usuarios autorizados tengan acceso a la

información y a sus activos asociados cuando lo requieran.
La seguridad de la información se consigue implantando un conjunto adecuado de

controles, que pueden ser políticas, normas, procedimientos, estructuras
organizativas, equipos, prácticas y funciones de software (Indecopi, 2019)
Ciberseguridad
La ciberseguridad es la protección de los sistemas conectados a Internet,

incluidos el hardware, el software y los datos, de los ataques cibernéticos.
En un contexto informático, la seguridad comprende la seguridad cibernética

y la seguridad física; ambas son utilizadas por las empresas para protegerse
contra el acceso no autorizado a centros de datos y otros sistemas
informáticos. La seguridad de la información, que está diseñada para mantener
la confidencialidad, integridad y disponibilidad de los datos, es un
subconjunto de la ciberseguridad (Rouse, 2018).
Modelo de madurez
Un modelo de madurez es definido por la Universidad de Carnegie Mellon como

“un modelo de evaluación de procesos de una organización” (Carnegie Mellon
University, 1987). Su función principal es la de medir el estado actual de la
organización en un ámbito en específico (capacidades, seguridad, etc.),
permitiendo el autoanálisis y la definición del estado de madurez a alcanzar. Esto
último permite oportunidades de mejora y de optimización de los procesos
relacionados, así como permite que los requerimientos se encuentren alineados
con las estrategias del negocio. Además, permite iniciar un ciclo de mejora y
evolución secuencial y continua, de acuerdo con las necesidades de la empresa.
Computación en la nube
Computación en la nube o Cloud Computing, cuenta con diferentes definiciones

de acuerdo con el tipo de servicio proveído. Por ello, Gartner ha expandido la
definición de computación en la nube a "un estilo de computación en el que
capacidades TI escalables y elásticas son entregadas en forma de servicio
utilizando tecnologías Internet", siendo esta la acepción utilizada para
Computación en la nube pública. Asimismo, el concepto de Computación en nube
privada es descrito como “una forma de computación en la nube utilizada por una
sola organización o que asegura que una organización está completamente aislada
de otras” y, además, Computación en nube híbrida se define como
“Aprovisionamiento de servicios coordinado y basado en políticas, uso y gestión
a través de una mezcla de servicios en la nube internos y externos”. Es importante
mencionar que, según Gartner el mercado mundial de servicios de nube pública
mantiene una tendencia de crecimiento, la cual se puede evidenciar en que dicho
mercado creció un 15,8% en 2019 hasta un total de 227,8 millones de dólares,
frente a los 196,7 millones de dólares estimados para 2018. Asimismo, el
Vicepresidente de Investigación de Gartner, Sid Nag, menciona que: “En este
punto, la adopción de la nube es generalizada. Por lo tanto, las expectativas de los
resultados asociados con las inversiones en la nube también son más altas. El
panorama de los servicios gestionados en la nube se está volviendo cada vez más
sofisticado y competitivo. De hecho, para 2022, hasta el 60 % de las
organizaciones utilizarán la oferta de servicios administrados en la nube de un
proveedor de servicios externo, lo que representa el doble del porcentaje de
organizaciones de 2018” (Gartner, 2019).
Privacidad de datos
La privacidad de la información o privacidad de datos se refiere a la relación entre

la tecnología y el derecho legal o la expectativa pública de privacidad en la
recopilación y el intercambio de datos. Los problemas comunes de privacidad de
datos se encuentran relacionadas a los registros médicos, las investigaciones
penales, las instituciones y transacciones financieras, los servicios basados en
ubicación y geolocalización, etc. En el caso de la privacidad financiera, el objetivo
es proteger la información sobre las transacciones financieras de una persona,
siendo importante para evitar el fraude, el robo de identidad u otros crímenes.
Por tanto, uno de los principales retos en la protección de datos son el poder usar
la información sin por ello dejar desprotegidas las preferencias de privacidad del
individuo y su información de identidad personal, así como el adaptarse a los
cambios en las regulaciones, en constante evolución, que obligan a las
organizaciones a reevaluar continuamente el cumplimiento de las normas de
privacidad y seguridad de datos.
Sector financiero
El sistema financiero es un conjunto de instituciones, entidades públicas y

privadas y cajas de ahorro que se encargan de canalizar el ahorro de los
prestamistas y dar seguridad en los movimientos de dinero y a los propios sistemas
de pago, permitiendo el desarrollo de todas aquellas transacciones, que impliquen
el uso de dinero, entre personas, empresas y organizaciones.
Asimismo, el sistema financiero comprende también los activos financieros que
se compran y venden, y los mercados financieros en los que se llevan a cabo esas
operaciones.
Por ello, su principal finalidad es la de captar recursos monetarios de personas que
no gastan todo lo que tienen (ahorradores) y dirigirlos a personas que gastan más
de lo que tienen (prestatarios), tanto del sector público como privado,
garantizando que la asignación de recursos financieros sea totalmente eficaz, y
contribuyendo al desarrollo y estabilidad monetaria del país, mediante el fomento
del ahorro y la inversión.
En el mercado financiero actual del país existe un alto grado de competitividad,
el cual cuenta, según la lista de entidades financieras del Banco Central de
Reservas del Perú (BCRP), con un total de 16 empresas bancarias, 4 entidades
financieras estatales, 11 empresas financieras y 18 cajas municipales y rurales de
ahorro y crédito, entre otras entidades financieras operando en el país. Sin
embargo, es necesario mencionar que solo 04 entidades bancarias poseen una
cuota de participación de mercado de 83.03% en colocación de créditos y de
84.04% de los depósitos totales del sistema bancario, siendo estas entidades las
siguientes:
● Banco de Crédito del Perú (BCP)

● BBVA Continental
● Interbank
● Scotiabank Perú
Capítulo 4. Desarrollo del proyecto
Este capítulo indica el procedimiento realizado durante el ciclo de vida de este

proyecto, detallando cada una de sus fases, desde su iniciación hasta su cierre. Para
ello nos basaremos en dos metodologías. La primera es propuesta por De Bruin
(2005), que recomienda un proceso para desarrollar con éxito un modelo genérico de
madurez. De esta forma, alinearemos los conceptos de ciberseguridad y privacidad
con el marco propuesto en cada una de sus siguientes fases:
1. Scope
2. Design
3. Populate
4. Test
5. Deploy
6. Maintain
La segunda es propuesta por D.B. Hoang. (2017), que nos recomienda un proceso
para diseñar con éxito un modelo de madurez orientado a la ciberseguridad. Por ello,
esta metodología nos ayudará para la construcción de las fases de Design y Populate
de la metodología anterior. Esto se ve representado en las siguientes figuras:
Figura 2. Metodología. Elaboración propia
Figura 3. Proceso de metodología. Elaboración propia
4.1 Scope
El modelo de madurez propuesto será enfocado principalmente a empresas

pertenecientes al sector financiero del Perú. En este caso, nuestro modelo está
orientado la seguridad de información y como propuesta de valor, estamos
proponiendo que este integre las capacidades de ciberseguridad, seguridad en la
nube y privacidad. Asimismo, se tomarán en cuenta las normativas locales con el
objetivo de permitir que las entidades financieras peruanas puedan realizar
comparaciones en base a su estado actual y el modelo propuesto con mayor
exactitud, permitiendo así, una mejor toma de decisiones de acuerdo con las
necesidades del negocio y un incremento en la seguridad de sus operaciones y en
la capacidad de protección ante ataques cibernéticos.
4.2 Design
Para el diseño del modelo se investigaron marcos de trabajo, modelos de madurez

y normativas relacionadas a las capacidades de ciberseguridad, seguridad en la
nube y privacidad, analizándose doce, siete y seis respectivamente. En la siguiente
tabla se encuentran los artefactos analizados para el diseño del modelo propuesto.
Tabla 10 – Marcos de trabajo, modelos de madurez y normativas

analizadas para el diseño
Acrónimo Marco de trabajo Capacidad Año
Circular SBS G- Circular SBS G-140 Ciberseguridad 2009
140
CSF - NIST NIST Cibsersecurity Framework Ciberseguridad 2014
NIST 800-53 NIST Special Publication – Security and Ciberseguridad 2014
Privacy Controls for Federal
Information Systems and Organizations
ISO 27032:2012 Marco de Ciberseguridad ISO 27032 Ciberseguridad 2012
NICE - CMM NICE - Cybersecurity Capability Ciberseguridad 2014
Maturity Model
C2M2 Cybersecurity Capability Maturity Ciberseguridad 2014
Model Program
COBIT v5 COBIT v5 Ciberseguridad 2012
O - ISM3 Information Security Management Ciberseguridad 2011
Maturity Model
SSE - CMM Systems Security Engineering Ciberseguridad 2000
Capability Maturity Model
CCSMM Community Cyber Security Maturity Ciberseguridad 2007
Model
ISM2 Information Security Model Ciberseguridad 2012
ISEM Information Systems Engineering and Ciberseguridad 2012
Management
CSA Cloud CSA Cloud Controls Matrix Seguridad en 2017
Controls Matrix la nube
ISACA Cloud ISACA Cloud Computing Seguridad en 2011
Computing la nube
ISO/IEC Marco de Ciberseguridad ISO 27017 Seguridad en 2015
27017:2015 la nube
ISO/IEC Marco de Ciberseguridad ISO 27018 Seguridad en 2015
27018:2015 la nube
ENISA Security ENISA Security Framework for Cloud Seguridad en 2015
Framework for la nube
Cloud
NIST Cloud NIST Cloud Computing Standards Seguridad en 2013
Computing Roadmap la nube
Standards
Roadmap
OACA Cloud OACA Cloud Maturity Model Seguridad en 2018
Maturity Model la nube
Ley 29733 Ley de protección de datos personales Privacidad 2011
PIPEDA Personal Information Protection and Privacidad 2019
Electronic Documents Act
GDPR General Data Protection Regulation Privacidad 2018
AICPA/CICA AICPA/CICA Privacy Maturity Model Privacidad 2011
Privacy
Maturity Model
ISO 29100:2011 Marco de Ciberseguridad ISO 29100 Privacidad 2011
OASIS PMRM Privacy Management Reference Model Privacidad 2016
Para poder realizar el diseño final del modelo necesitamos definir cinco aspectos
importantes:
- Estructura/Fases
- Capacidades
- Niveles de madurez
- Funciones o ámbitos por evaluar
- Artefactos
Para poder definir las fases o pasos que nuestro modelo tendrá, tomamos como
referencia a Hoang (2017) y a Fariba (2018). En estos estudios los autores
explican el proceso que un modelo de madurez debe seguir para ejecutarse
correctamente. Ambos coinciden que antes de realizar la evaluación del nivel de
madurez debe existir una etapa de preparación, recolección de inputs necesarios
y evaluación del contexto a analizar. Asimismo, luego de definir el nivel de
madurez, se realizan reportes con el objetivo de proponer mejoras y
recomendaciones según los deseos de la empresa en base al resultado obtenido.
Por ello, es que nosotros proponemos tres fases básicas pero importantes en
nuestro modelo:
1) Preparación: Se recopila la información necesaria para el diagnóstico a realizar,

siempre teniendo en cuenta el alcance.
2) Diagnóstico: Se realiza el análisis del estado actual de un proceso o procesos en
una empresa del sector financiero.
3) Mejora: Se presentan los resultados y se proponen mejoras y recomendaciones
en base a los mismos.
Las capacidades fueron definidas tomando en cuenta que actualmente solo existen
marcos de trabajo que evalúan la madurez de las prácticas de ciberseguridad,
privacidad y seguridad en la nube de forma independiente o no específica, lo que
impide que las organizaciones evalúen sus prácticas de manera integral.
Para la definición de los niveles, seleccionamos cinco modelos de madurez que

cubran las tres capacidades que se contemplan en el desarrollo del presente
proyecto: Ciberseguridad, Seguridad Cloud y Privacidad. Para ello, tomamos
como referencia los modelos AICPA/CICA PMM, FFIEC CAT, CCSMM,
OACA CMM y SSE-CMM. En los 5 modelos, se tomaron en cuenta 5 niveles de
madurez.
Tabla 15. Modelos de madurez analizados
Modelo NIVELES
de Enfoque 2: En
1: Inicial 3: Definido 4: Gestionado 5: Optimizado
Madurez Desarrollo
REPETIBLE: DEFINIDO: Los
AD HOC:
Los procesos y procesos y OPTIMIZAD
Procesos y
procedimientos procedimientos se GESTIONADO: O: Las
procedimi
existen encuentran El presente nivel revisiones se
entos
formalmente, totalmente especifica que los realizan de
informales
AICPA/C pero no se implementados en procesos ya manera regular
, no
ICA Privacidad encuentran la organización, definidos en el y el feedback
aplicados
PMM totalmente cubriendo todos Nivel 3, deberán de de estas es
consistent
documentados los puntos ser revisados para usado para
emente,
y no cubren relevantes. Roles determinar su actualizar y
sin roles y
todos los y funciones efectividad. optimizar el
funciones
aspectos de la claramente proceso.
definidos.
organización. definidos.
EVOLUTIVO INNOVADO
LÍNEA
: Formalidad R: Con el
BASE: INTERMEDIO:
en la objetivo de
Existencia Procesos AVANZADO: El
documentación gestionar los
mínima de detallados y concepto de
de políticas y riesgos de
requerimie formalizados en ciberseguridad es
procedimientos ciberseguridad,
ntos de la organización. cross entre todas
. Sin embargo, en este nivel
cumplimie Los controles las líneas de
FFIEC Cibersegur estos tienen un todos los
nto existen y son negocio. Los
CAT idad alcance análisis y
regulatorio robustos. Las procesos (en su
limitado decisiones se
. Sin estrategías de mayoría) son
(incompleto). toman en
embargo, ciberseguridad se automatizados y se
Los objetivos tiempo real y
no existe basan en el riesgo mejoran en el
de la de manera
especifica de la tiempo.
organización predictiva. Las
ción de organización.
son basados en herramientas
políticas o
el riesgo. El son totalmente
roles concepto de automáticas.
definidos. ciberseguridad La
es referenciado organización
en los activos tiene la
y los sistemas capacidad de
de desarrollar
información. nuevos
controles y/o
herramientas
de acuerdo a
sus
necesidades.
INICIAL: AVANZADO: AUTOEVALUA INTEGRADO: VANGUARDI
Sin Existe la DO: La Bastante parecido STA: La
conciencia concientizació concientización se al nivel anterior, concientizació
de n de da a lo largo de la pero la integración n es
prácticas ciberseguridad organización. Se de información se imperativa.
de y hay una promueve la da a una mayor Los centros de
cibersegur cooperación integración de escala (inteligencia inteligencia de
idad. No informal para información en de amenazas). Los amenazas y la
se mejorarla temas de ejercicios de información
comparte mediante ciberseguridad ciberseguridad recabada se
Cibersegur
CCSMM informació integración de interna y externa. incluyen métricas encuentra
idad
n. Sin información en Se realizan de trabajo reales y totalmente
políticas o la ejercicios de la evaluación se integrada con
procedimi organización. escritorio de realiza de manera diferentes
entos (Ad Los análisis y ciberseguridad continua. Equipos fuentes de
hoc). Los las métricas para evaluar el de respuesta ante información y
planes de de seguridad estado de la incidentes de de acuerdo al
continuida son Ad hoc. organización. Las ciberseguridad contexto de la
d de Las políticas y políticas y formalizados. Los organización.
negocio no procedimientos procedimientos planes de Los ejercicios
contempla existen. son formales. continuidad de se dan a todos
n Concientizació Existe una respuesta y los niveles en
escenarios n para la auditoría a los recuperación se la organización
de integración de procesos y encuentran y comprenden
cibersegur la entrenamiento de totalmente una evaluación
idad. ciberseguridad personal. Los integrados con de las
en la planes de escenarios de capacidades de
continuidad. continuidad ciberseguridad. respuesta y
contemplan habilidades del
planes de personal. Las
ciberseguridad y evaluaciones y
estan su
formalizados. retroalimentaci
ón se utiliza
para mejorar
todos los
procesos de
manera
continua.
INICIAL: REPETIBLE DEFINIDO Y MEDIDO Y OPTIMIZAD
Análisis Y SISTEMÁTICO MEDIBLE: Las O: La nube es
de la OPORTUNIS : Existen aplicaciones interoperable y
disposició TA: Los herramientas e compatibles con la abierta. La
n de la procesos para integración para nube se capacidad
nube del la adopción de el uso implementan de mejora
entorno la nube están automatizado de acuerdo con los gradualmente
OACA
Cloud actual. definidos. Se la nube. Las requisitos en función de
CMM
Mapeo y ha decidido un partes afectadas comerciales en métricas
análisis enfoque y se han revisado y plataformas recopiladas de
del aplica de aceptado el públicas, privadas e manera
potencial manera enfoque. El híbridas. Existe una coherente. Los
de la nube oportunista. El enfoque es infraestructura activos se
para los enfoque no es definido gubernamental que mantienen de
sistemas y ampliamente formalmente y mide y gestiona forma
servicios aceptado. documentado. cuantitativamente proactiva para
existentes. Existen Además, se sigue la capacidad de la garantizar la
Existe enfoques siempre o casi nube. relevancia y la
cierta redundantes, siempre. corrección. La
conciencia superpuestos o organización
de la informalmente ha establecido
computaci definidos. el potencial
ón en la Beneficios para utilizar
nube, y iniciales mecanismos de
algunos obtenidos de la mercado para
grupos infraestructura nivelar
están apalancada. operaciones
comenzan entre nubes.
do a
implement
ar
elementos
de
computaci
ón en la
nube.
PLANIFICA
DO Y CONTROLADO
REALIZ BIEN
MAPEADO: CUANTITATIVA MEJORA
ADO DEFINIDO: El
Se abordan MENTE: Este CONTINUA:
Seguridad INFORM objetivo es definir
problemas de nivel se enfoca en Se mejoran la
SSE- de ALMENT y refinar una
definición, establecer objetivos capacidad
CMM Informació E: Se práctica estándar
planificación y de calidad medibles organizativa y
n realizan y coordinarla con
verificación y administrar la efectividad
procesos toda la
del desempeño objetivamente su del proceso.
base. organización.
a nivel de actuación.
proyecto.
De esta manera, podemos definir cinco niveles y agregamos los factores de evaluación
tomando en cuenta los modelos analizados. En la tabla 16 se muestra los niveles
terminados.
Tabla 16. Niveles de madurez
Nivel de Factores de Evaluación
Madurez Roles y
Política Alcance Reportes Automatización
(NM) Responsabilidades
Sin
Roles no cobertura de
NM1: Inexistencia No genera
definidos ni los activos Manual.
Inicial de Políticas. reportes.
utilizados. de la
empresa.
Controles no Cobertura
Roles utilizados Los reportes
NM2: En mencionados de algunos Manual o Semi
en la labor diaria generados son
Desarrollo en ninguna sistemas de - automatizado.
pero no definidos. limitados.
política. la empresa.
Controles
realizados de Cobertura
Los reportes
manera de los
NM3: Roles definidos y sus formatos
informal o activos Automatizado.
Definido en las políticas. se encuentran
mencionados críticos de
definidos.
en algunas la empresa.
políticas.
Los reportes
Cobertura
Controles son enviados a
Roles definidos de todos los Completamente
NM4: formalizados en los
y utilizados sistemas a automatizado y
Gestionado políticas y administradores
correctamente. lo largo de operacional.
procedimientos. y son
la empresa.
revisados.
Revisión
Controles Roles y Los Mantiene las
periódica
revisados y responsabilidades requerimientos características del
NM5: para
actualizados definidos y de los reportes NM4 y se
Optimizado garantizar la
periódicamente revisados son actualiza
cobertura
en las políticas. periódicamente. continuamente constantemente.
total de los
activos de la revisados y
empresa. actualizados.
Mediante la técnica de benchmarking, se eligieron tres marcos de trabajo para

ciberseguridad, dos para seguridad en la nube y uno para privacidad. Para la
comparación se realizó un análisis cuantitativo teniendo en cuenta los siguientes
criterios:
1. Año de revisión
2. Institución publicadora
3. Sector de Aplicación
4. Orientado a Ciberseguridad (solo para la elección en el Dominio de
Ciberseguridad)
5. Utilización en la industria actual
6. Cantidad de Documentación
En la figura 6 se detalla cada criterio de evaluación.

Figura 6. Criterios de benchmarking
Asimismo, debido a que el presente proyecto busca cumplir con las normativas
nacionales, se consideraron los siguientes documentos por defecto:
1. Circular G-140
2. Ley de Protección de Datos Personales (Ley 29733)
Es decir, estos marcos de trabajo no obtendrán puntaje, pero serán utilizados para
el diseño. A continuación, se muestran los benchmarkings realizados por cada
capacidad.
Tabla 11. Benchmarking de Ciberseguridad
Fecha
Utilizado
Enfoque de Cantidad Instituci
Marcos actualme
del Marco Sector de publicac de ón Regulat Punt Elegi
de nte en la
de Aplicación ión / Documenta Publicad orio aje do
Trabajo Industri
Trabajo Última ción ora
a
revisión
Seguridad
Circula
de
r SBS Financiero 2009 Media SI SBS SI - SI
Informació
G-140
n
CSF - Cibersegur Empresas
2015 Media SI NIST NO 13 SI
NIST idad Privadas
Seguridad
NIST de Empresas
2015 Media SI NIST NO 12 SI
800-53 Informació Privadas
n
ISO
Cibersegur
27032:2 Genérico 2012 Media SI ISO NO 11 NO
idad
012
NICE - Cibersegur Gubernam USA
2014 Baja SI NO 11 NO
CMM idad ental DHS
Cibersegur USA
C2M2 Genérico 2014 Media SI NO 11 NO
idad DHS
COBIT Gobierno
Genérico 2012 Alta SI ISACA NO 11 NO
v5 de TI
Seguridad
The
O- de
Genérico 2017 Baja SI Open NO 10 NO
ISM3 Informació
Group
n
SSE - Seguridad USA
Genérico 2008 Alta SI NO 10 NO
CMM de NSA
Informació
n
CCSM Cibersegur CIAS -
Genérico 2006 Baja SI NO 8 NO
M idad UTSA
Seguridad
de Empresas NIST -
ISM2 2007 Baja NO NO 8 NO
Informació Privadas PRISMA
n
Seguridad
de City
ISEM Genérico 2000 Baja NO NO 6 NO
Informació Group
n

Tabla 12. Benchmarking de seguridad en la nube
Utiliza
Fecha
do Instit
de Cantidad
actual ución
Marcos de Sector de publicac de
mente Publi Regulatorio Puntaje Elegido
Trabajo Aplicación ión / Documenta
en la cador
Última ción
Industr a
revisión
ia
CSA Cloud
Controls Genérico 2018 Alta SI CSA NO 11 SI
Matrix
ISACA
ISAC
Cloud Genérico 2016 Alta
A
Computing SI NO 11 SI
ISO/IEC
Genérico 2015 Media SI ISO NO 10 NO
27017:2015
ISO/IEC
Genérico 2015 Media SI ISO NO 10 NO
27018:2015
ENISA
Security ENIS
Genérico 2015 Media SI NO 10 NO
Framework A
for Cloud
NIST Cloud
Computing Empresas
2011 Media SI NIST NO 9 NO
Standards Privadas
Roadmap
OACA
Cloud OAC
Genérico 2018 Baja SI NO 8 NO
Maturity A
Model

Tabla 13. Benchmarking de privacidad
Enfoque
Sector Fecha de Cantidad Utilizado Institu
del
Marcos de de publicación de actualmente ción Regul
Marco Puntaje Elegido
Trabajo Aplica / Última Document en la Public atorio
de
ción revisión ación Industria adora
Trabajo
Gobier
Privacida Genéri no
Ley 29733 2011 Media SI SI - SI
d co Peruan
o
Gobier
Privacida Genéri no
PIPEDA 2019 Media SI SI 10 NO
d co Canadi
ense
Union
Privacida Genéri
GDPR 2018 Media SI Europe SI 10 NO
d co
a
AICPA/CI
CA Privacy Privacida Genéri
2011 Media SI AICPA NO 9 NO
Maturity d co
Model
ISO Privacida Genéri
2011 Media SI ISO NO 9 NO
29100:2011 d co
OASIS Privacida Genéri
2016 Baja SI OASIS NO 9 NO
PMRM d co

Tabla 14. Resultados de benchmarking
Marcos de
Autor Sustento
Trabajo
Se eligió la siguiente normativa, ya que se trata la
Superintendencia
Circular N° Gestión de la Seguridad de Información,
de Banca y
G-140 - 2009 presentando controles obligatorios para las entidades
Seguros (SBS)
financieras del Perú.
El Cybersecurity Framework del NIST, plantea
cinco funciones que proporcionan una visión
estratégica de alto nivel del ciclo de vida del
proceso de gestión de riesgos de la seguridad
National
cibernética de una organización.
Institute of
Cybersecurity
Standards and
Framework Se eligió el presente framework debido a las
Technology
posibilidades de integración que tiene con las
(NIST)
diferentes referencias informativas. Asimismo,
porque es un framework altamente utilizado para
realizar diagnosticos de ciberseguridad en las
instituciones.
La publicación del NIST en su presente revisión
presenta controles que son necesarios para asegurar
National
un adecuado nivel de seguridad dentro de cualquier
NIST Special Institute of
institución.
Publication Standards and
800-53 Rev. 4 Technology
Se eligió el presente listado de controles debido a las
(NIST)
posibilidades de integración que tiene con el
Cybersecurity Framework del NIST.
El presente documento proporciona un marco de
CSA Cloud control que, detallado de los principios de seguridad
Cloud Security
Controls propuestos por Cloud Security Alliance, repartido en
Alliance (CSA)
Matrix 13 dominios.
Se eligió el presente listado de controles debido a las
posibilidades de integración con la publicación 800-
53 de la NIST.
La presente publicación comprende la identificación
de los riesgos y controles existentes en la nube, con
la finalidad de mejorar la seguridad en la misma.
ISACA Cloud
ISACA Se eligió el presente listado de controles debido a
Computing
que es presentado por una entidad reconocida.
Asimismo, debido también a que hace referencia el
listado de controles propuesto por el CSA
definiéndolo como buenas prácticas.
Ley 29733 - Se eligió la siguiente normativa, ya que específica
Ley de como debe de ser tratados los datos personales en el
Protección de Estado Peruano país, siendo obligatoria para cualquier entidad que
Datos utilice los mismos para sus operaciones (por ejemplo
Personales instituciones financieras).
Finalmente, para definir las funciones del modelo, tomamos como referencia solo los
marcos de trabajo que resultaron ganadores en el benchmarking realizado, principalmente
de Cibersecurity Framework de NIST. De esta manera, definimos las siguientes
funciones:
- Identificar
- Controlar
- Comunicar
- Proteger
- Detectar
- Responder
- Recuperar
- Mejorar
Figura 7. Modelo de madurez propuesto
4.3 Populate
Se establecieron las capacidades o enfoques a medir: ciberseguridad, seguridad en la nube

y privacidad. Asimismo, están las funciones con las que mediremos estas capacidades.
Ahora necesitamos poblar el modelo. Para ello, tomamos como guía los marcos de trabajo
obtenidos del benchmark realizado. En base a ellos, podemos definir los controles finales,
que a su vez estarán divididos en dominios y que estos, a su vez, pertenecen a cada función
ya definida.
Cabe resaltar que, para la definición de los controles, se tomó en cuenta que algunos
controles podrían ser repetidos, incluidos en otros controles, ambiguos y con diferente
alcance. Por ello, y como parte de la propuesta de valor, se siguieron los siguientes pasos
para la definición de estos:
1- Parafraseo de controles al estándar seleccionado para el modelo.

2- Filtración de controles según los factores de evaluación seleccionados para
los niveles de madurez.
3- Cruce de controles entre los marcos de trabajo seleccionados, tomando en
cuenta las tres capacidades. Esto es con el objetivo de disminuir la
cantidad y aumentar el valor de la medición final.
4- Ordenamiento de los controles por dominio.
5- Mapeo de controles por capacidad.
Tabla 15. Controles
Controles
Controles
Controles de de
FUNCION DOMINIO CONTROL de
Ciberseguridad Seguridad
Privacidad
Cloud
ID.GA-1: Los
sistemas,
aplicaciones,
dispositivos y
plataformas
(internos o
externos) existentes
en la organización
se encuentran X X X
inventariados.
Además, en dicho
inventario se
identificarán y
IDENTIFICAR Gestión de clasificarán los
(ID) Activos (GA) sistemas que
procesen datos
personales
ID.GA-2: Los flujos
de datos de la
organización y los
medios de
comunicación por
los cuales se X X
transmiten se
encuentran
identificados,
registrados y
actualizados
ID.GA-3: Los
activos de la
organización (p.e
hardware, software,
dispositivos,
personal, entre
X X
otros) se priorizan
dependiendo de su
criticidad y de la
clasificación de
información que
transmiten
ID.GA-4: Las
funciones de
ciberseguridad de la
organización son
establecidas
X
teniendo en cuenta
la segregación de
las mismas, tanto
para el personal
interno y externo
ID.EO-1: La
organización
identifica y
establece sus
Entorno y
objetivos X X
Contexto
organizacionales
Organizacional
(gestión, operativos,
(EO)
técnicos y de
privacidad)
ID.EO-2: La
X X
organización
identifica los
amenazas de
seguridad de
información
internos y externos
que puedan afectar
su infraestructura
crítica y su SGSI
ID.EO-3: La
organización
identifica y registra
los servicios críticos
X X
y sus dependencias
(internas y externas)
que soportan las
funciones esenciales
ID.EO-4: La
organización
establece los límites
de resiliencia de sus
servicios y
funciones críticas
considerando en sus
X X
escenarios los
diferentes estados
en los que estos se
puedan encontrar
(p.e. en operación
normal, bajo ataque
o en recuperación)
ID.GO-1: La
Gobierno de
organización posee X X
Seguridad,
mecanismos para
Privacidad y establecer, mantener
Cloud (GO) y difundir políticas,
normas y
procedimientos de
ciberseguridad y
privacidad
ID.GO-2: La
organización
gestiona y controla
los roles de
ciberseguridad y
privacidad X X X
relacionados a las
responsabilidades
de seguridad de su
personal y de
terceros
ID.GO-3: La
organización
identifica e
implementa los
X X
controles
normativos de
ciberseguridad y
privacidad
ID.GR-1: La
organización
Gestión de determina el apetito
Riesgos de y la tolerancia al
X X
Seguridad y riesgo mediante un
Privacidad (GR) análisis en el que se
tiene en cuenta el
entorno empresarial,
la infraestructura
crítica de la
compañía y el
entorno en el que se
procesan los datos
personales
ID.GR-2: La
organización
identifica y
documenta las
vulnerabilidades de
los activos de
información
X X
internos y externos.
Asimismo, clasifica
los activos
vulnerables que
procesan
información
personal
ID.GR-3: La
organización
identifica y
documenta las
amenazas y los
X X
riesgos asociados,
incluyendo las de
acciones de datos,
tanto internos como
externos
ID.GR-4: La
organización realiza X
una Evaluación de
Impacto de
Protección de Datos
(DPIA) en sistemas,
aplicaciones y
servicios para
evaluar las posibles
implicaciones de
privacidad
ID.GR-5: La
organización
determina los
riesgos basados en
la probabilidad y el
impacto, por acceso
no autorizado, uso, X X
divulgación,
interrupción,
modificación o
destrucción de los
sistemas y datos
confidenciales
ID.GR-6: La
organización realiza
una nueva
evaluación de
riesgos cuando los
procesos y/o flujos X
de información de
los sistemas y
servicios de la
compañía son
modificados
ID.GR-7: La
organización
identifica y prioriza
sus respuestas al
riesgo. De esta X
manera posee
mecanismos para
remediar los riesgos
a un nivel aceptable.
ID.GR-8: La
organización posee
mecanismos para
facilitar la
implementación de
procesos de gestión
de riesgos los cuales X
son establecidos en
base a un análisis y
comunicados y
aceptados por los
actores de la
compañía
ID.RT-1: La
organización
identifica, establece,
evalua y acuerda los X X X
Gestión de
procesos y controles
Riesgos de
de gestión de
Proveedores y
terceros
Terceros (RT)
ID.RT-2: La
organización
X X
identifica, prioriza y
evalua a sus
proveedores y
socios externos
mediante un
proceso de
evaluación de
riesgos y debida
diligencia antes de
realizar un acuerdo
comercial
ID.RT-3: La
organización
establece acuerdos
con sus proveedores
y socios externos
mediante contratos
para asegurar el
X X X
cumplimiento y
alineamiento de
estos con el
programa de
seguridad
cibernética de la
organización
ID.RT-4: La
auditorias a sus
proveedores y
socios externos para X X X
verificar el
cumplimiento del
programa de
seguridad
cibernética de la
organización
ID.RT-5: La
organización y sus
proveedores y
socios externos
establecen medios X X
de comunicación y
canales de contacto
con las partes
interesadas
CT.PD-1: La
organización posee
procesos para
autorizar y
mantener el
X X
procesamiento de
datos personales, así
como para revocar
el mismo, prevía
colección de este
Procesamiento
CONTROLAR CT.PD-2: La
de Datos
(CT) organización posee
Personales (PD)
procesos que le
permiten revisar,
transferir,
intercambiar y
X X
divulgar datos
personales en todo
momento,
dependiendo de las
necesidades
organizacionales y
regulatorias o
solicitudes por parte
del titular de los
datos
CT.PD-3: La
organización posee
procesos que le
permiten controlar
que la información
X X
personal recopilada
sea utilizada solo
para los fines
establecidos con el
titular de los datos
CT.PD-4: La
organización posee
procesos para
confirmar la
precisión y
relevancia de la
X X
información
personal
recolectada,
garantizando la
integridad de la
misma
CT.PD-5: La
organización posee
procesos para
permitir al titular de X X
los datos acceder a
su información
personal
almacenada en sus
sistemas
CT.PD-6: La
organización posee
procesos para
identificar y
documentar el
motivo por el cual X X
la información
personal es
recopilada,
utilizada, copiada y
almacenada
CT.PD-7: La
organización posee
procesos para
modificar o corregir
la información
personal inexacta
mantenida por la
organización, así X X
como para difundir
dichas
modificaciones
dentro de la
organización a otros
usuarios de dicha
información
CT.PD-8: La
organización posee
procesos para X X
eliminar los datos
personales de un
individuo, de forma
tal que no sea
posible la
recuperación de los
mismos, al
momento de recibir
dicha solicitud por
parte del titular de
los datos
CM.TP-1: La
organización posee
procesos de
transparencia acerca
X X
de sus prácticas de
privacidad y
procesamiento de
datos personales
CM.TP-2: La
organización posee
procesos para
COMUNICAR Transparencia y comunicar sus
X X
(CM) Privacidad (TP) prácticas de
privacidad y
procesamiento de
datos personales
CM.TP-3: La
organización posee
procesos para
comunicar de
X X
manera formal a los
individuos que su
información
personal será
recolectada,
especificando su
autoridad para la
recolección, la
obligatoriedad del
titular de los datos
de proporcionar la
información, el
propósito de la
recolección y el
posible
compartimiento de
dicha información
CM.TP-4: La
organización posee
procesos para
recibir y responder
consultas y
X X
reclamos por parte
del titular de los
datos respecto a sus
prácticas de
privacidad
CM.TP-5: La
organización posee
procesos para
comunicar a los
individuos
X X
afectados si su
información
personal ha sido
corregida o
modificada
CM.TP-6: La
organización posee
procesos para
comunicar a los
individuos
X X
afectados si su
información
personal ha
eliminada de sus
sistemas
PR.IA-1: La
organización
controla la emisión,
administración,
verificación y
revocación de
X X X
identidades y
credenciales para
todos los
dipositivos,
Gestión de
usuarios y procesos
PROTEGER Identidad,
autorizados
(PR) Autenticación y
PR.IA-2: La
Acceso (IA)
organización define
y establece la
separación de
X X
funciones (SoD)
para prevenir
posibles actividades
fraudulentas
PR.IA-3: La
organización X X X
verifica y vincula
las identidades a
credenciales, así
como también las
valida durante las
interacciones
PR.IA-4: La
organización utiliza
el pricipio de menor
funcionalidad para X X
proporcionar solo
las capacidades
esenciales
PR.IA-5: La
organización limita
el acceso a los
sistemas,
aplicaciones,
objetos de datos y
datos
X X X
(confidenciales o no
confidenciales) solo
a aquellas personas
cuyas funciones
requieren el
aprovisionamiento
de dicho acceso
PR.IA-6: La
mecanismos de
autenticación para X X
los usuarios,
dispositivos,
aplicaciones,
sistemas, entre
otros. Estos
mecanismos de
autenticación serán
protegidos de
acuerdo a la
sensibilidad de la
información a la
cual permitan el
acceso.
PR.IA-7: La
organización
mantiene un
inventario de todas
las cuentas con
privilegios
administrativos y
X X
privilegios de
acceso a datos
personales
existentes en la
Compañía y valida
la autorización de la
mismas
PR.IA-8: La
organización
implementa
mecanismos de
doble factor de X X X
autenticación para
el acceso de los
usuarios con
privilegios
administrativos
(locales y de red) y
privilegios de
acceso a datos
personales.
Asimismo,
mantiene un registro
de todas las
acciones realizadas
por dicha cuenta
durante su sesión y
el motivo de las
mismas
PR.IA-9: La
organización
implementa
mecanismos de
doble factor de
autenticación para X
el acceso de
terceros o para el
acceso a los
sistemas críticos de
la Compañía
PR.IA-10: La
organización
cambia los
identificadores y
nombres por defecto X
de todas sus
credenciales y
sistemas, utilizando
estándares para el
renombrado de los
mismos. Asimismo,
se mantendrá un
estándar único que
permita identificar a
terceros
(proveedores) y
usuarios
administradores
PR.IA-11: La
organización
controla que las
nuevas contraseñas
asignadas cumplan
con los requisitos de
longitud,
complejidad y reuso
para garantizar la
seguridad de las
mismas. Asimismo,
X X
asigna una
periodicidad de
cambio obligatoria
permitiendo que los
usuarios puedan
cambiar sus
contraseñas cuando
lo consideren
necesario o cuando
dicha periodicidad
máxima se cumpla
PR.IA-12: La
X
organización
controla que no
existan contraseñas
no encriptadas o
estáticas
almacenadas en
aplicaciones o en el
código fuente
(scripts)
PR.IA-13: La
organización
deshabilita o
elimina las cuentas
temporales y de
emergencia una vez X
finalizado el
período de tiempo
definido al
momento de su
creación
PR.IA-14: La
organización
deshabilita o
elimina las cuentas
X
inactivas después de
un período de
tiempo definido por
la Compañía
PR.IA-15: La
organización
deshabilita o
X
elimina las cuentas
que no puedan ser
asociadas a un
individuo o a un
proceso de negocio
PR.IA-16: La
organización
deshabilita el acceso
a los sistemas y
X X
aplicaciones al
finalizar el empleo
de un colaborador
de manera oportuna
PR.IA-17: La
organización asigna
a los usuarios
administradores una
cuenta para la
ejecución de
X
actividades
privilegiadas y una
cuenta para realizar
las funciones que no
requieran el uso de
dichos privilegios
PR.IA-18: La
e implementa un
límite de inicios de
sesión fallidos
X X X
después del cual la
cuenta es bloqueada
durante un periodo
de tiempo definido
por la Compañía
PR.IA-19: La
el número de
X X
sesiones
simultáneas de una
misma cuenta
PR.IA-20: La
organización
implementa
controles de
autenticación para
el acceso de los
clientes a productos X
o servicios de la
Compañía,
aplicando
mecanismos más
robustos de acuerdo
al riesgo
PR.RH-1: La
organización cuenta
con mecanismos
para recuperar sus X X
activos al finalizar
Recursos el empleo de un
Humanos y colaborador
Concientización PR.RH-2: La
(RH) organización
controla que todos
los puestos de X
trabajo relacionados
con la seguridad
sean cubiertos por
personas calificadas
que tengan cuenten
con habilidades
necesarias para el
desarrollo de sus
funciones
PR.RH-3: La
y establece un
código de conducta
a seguir por todos
sus colaboradores, X X X
así como las
consecuencias en
caso de
incumplimiento del
mismo
PR.RH-4: La
organización exige
el cumplimiento de
acuerdos de
confidencialidad
(NDA) que reflejen
la necesidad de X X X
proteger los datos
confidenciales y los
detalles operativos,
a sus colaboradores
y terceros
(proveedores)
PR.RH-5: La
organización realiza X X
una verificación de
antecedentes a todos
los candidatos a
empleo, así como a
los terceros
(proveedores). Esta
revisión será
proporcional a la
clasificación de
datos a los cuales el
personal contratado
podrá acceder
PR.RH-6: La
organización posee
una cultura de
awareness
relacionada a la
ciberseguridad,
X
recibiendo e
intercambiando
información de
diversas fuentes de
inteligencia de
amenazas
PR.RH-7: La
organización
informa y capacita a
todos los usuarios
(internos y X X X
externos) con
respecto a la
seguridad de la
información
PR.RH-8: La
organización
informa y capacita a
todos los usuarios
(internos y
externos) que
puedan acceder a
sistemas que
X X X
procesan,
almacenan o
transmiten
información
confidencial con
respecto a
privacidad y manejo
de datos personales
PR.SD-1: La
organización
gestiona
formalmente los
activos de
información durante
X X X
la eliminación de
Encriptación y datos del mismo,
Seguridad de asegurándose que
Datos (SD) estos no sean
recuperables de
ninguna manera
PR.SD-2: La
organización
restringe el acceso X X
de los
administradores de
bases de datos para
evitar la descarga o
transmisión no
autorizada de datos
confidenciales
PR.SD-3: La
organización
determina,
documenta,
implementa y revisa
los registros de
auditoría. X X
Asimismo, restringe
el acceso a los
mismos para evitar
la manipulación de
los datos del
registro
PR.SD-4: La
organización
controla la creación,
distribución,
modificación y
eliminación de las
llaves criptográficas
X X
para proteger la
confidencialidad,
integridad y
disponibilidad de
dichas llaves
(simétricas o
asimétricas)
PR.SD-5: La
organización posee
mecanismos para
garantizar la
disponibilidad de la X
información en caso
de pérdida de las
llaves criptográficas
por los usuarios
PR.SD-6: La
organización asocia
sus llaves
criptográficas con
X X
propietarios
identificables
(llaves vinculadas
con identidades)
PR.SD-7: La
organización
custodia sus llaves
criptográficas y no
las almacena en la X X
nube, restringiendo
el acceso a las
mismas solo a
personal autorizado
PR.SD-8: La
organización
encripta los datos
confidenciales y X X X
contraseñas
almacenadas en los
servidores y bases
de datos para
asegurar la
confidencialidad e
integridad de los
mismos
PR.SD-9: La
organización
encripta los datos
confidenciales y
contraseñas en uso
X X X
(en memoria) para
asegurar la
confidencialidad e
integridad de los
mismos
PR.SD-10: La
organización
encripta los datos
confidenciales y
contraseñas
almacenadas en las
estaciones de
X X X
trabajo, laptops y
dispositivos
removibles para
asegurar la
confidencialidad e
integridad de los
mismos
PR.SD-11: La
organización
X X X
encripta los datos
confidenciales y
contraseñas
almacenadas en los
dispositivos móviles
para asegurar la
confidencialidad e
integridad de los
mismos
PR.SD-12: La
con mecanismos de
encriptación y
protocolos de
seguridad para
proteger los datos X X X
confidenciales y
contraseñas durante
el tránsito de la
información a través
de redes públicas o
externas
PR.SD-13: La
con mecanismos de
encriptación y
protocolos de
seguridad para
X X X
proteger los datos
confidenciales y
contraseñas durante
el tránsito de la
información a través
de la red interna o
por las interfaces de
los sistemas
PR.SD-14: La
con mecanismos de
encriptación y
protocolos de
seguridad para
X X X
proteger los datos
confidenciales y
contraseñas en
tránsito por
mensajes o correos
electrónicos
PR.SD-15: La
organización
clasifica todos sus
datos y objetos de
datos por el tipo,
valor, sensibilidad y
criticidad del mismo
para la Compañía. X X X
Asimismo, aplica
técnicas de
enmascaramiento a
la información
confidencial que se
muestra o se
imprime
PR.CR-1: La
Continuidad y
organización cuenta X
Respaldos de
con un centro de
Información almacenamiento
(CR) alterno con los
mecanismos
necesarios para
permitir el
almacenamiento y
la recuperación de
la información
PR.CR-2: La
organización
mantiene separado
(tanto física como
X X
logicamente) el
centro de
almacenamiento
alterno del primario
PR.CR-3: La
respaldos de datos,
software e imágenes
del sistema, de X X
manera recurrente,
para garantizar la
disponibilidad de
los datos
PR.CR-4: La
pruebas de
integridad a los
X X
respaldos de
información de sus
sistemas y
aplicaciones
PR.CR-5: La
organización cifra la
información de
respaldo con la
finalidad de evitar X X
la filtración o
modificación no
autorizada de la
misma
PR.CR-6: La
y establece periodos
de retención de su
X X
información de
acuerdo a la
normativa existente
o a sus necesidades
PR.GV-1: La
escaneos que le
permiten identificar X X
y remediar las
vulnerabilidades
Gestión de oportunamente
Vulnerabilidades PR.GV-2: La
y Parches (GV) organización realiza
pruebas de
penetración en
X X
sistemas y
aplicaciones web
con la finalidad de
realizar el
aseguramiento de
sus sistemas
PR.GV-3: La
organización
despliega parches y
actualizaciones de
software para todos X X
los sistemas
operativos,
aplicaciones y
firmware existentes
PR.ED-1: La
organización
restringe la
ejecución de tareas
y procesos
administrativos por
parte de usuarios no X
autorizados o que
no posean
Seguridad de privilegios en los
Dispositivos sistemas, máquinas
Informáticos y virtuales y
Móviles (ED) endpoints
PR.ED-2: La
organización
restringe la
instalación de
aplicaciones no X X
aprobadas/riesgosas
y la ejecución de
código en los
sistemas, máquinas
virtuales y
endpoints
PR.ED-3: La
organización ha
implementado
mecanismos para
detectar e informar
cambios no
autorizados a los
archivos y
configuraciones de
los sistemas,
máquinas virtuales
y endpoints.
Asimismo, se X X
restringen y
controlan
estrictamente los
programas y
utilitarios que
puedan anular los
controles de
seguridad de los
sistemas, máquinas
virtuales,
aplicaciones y
objetos
PR.ED-4: La
organización ha
implementado
X
mecanismos para
desconectar o
prohibir la
activación remota
de los sistemas,
máquinas virtuales
y endpoints a
excepción de los
que se encuentren
autorizados
PR.ED-5: La
organización
modifica o
deshabilita los
puertos de conexión
innecesarios o X
dispositivos de
entrada/salida en los
sistemas, máquinas
virtuales y
endpoints
PR.ED-6: La
organización
implementa
soluciones antivirus
y antimalware en
X X X
los sistemas,
máquinas virtuales,
endpoints y
de la Compañía
PR.ED-7: La
organización
mantiene un control X X
de acceso sobre los
para hacer cumplir
los requisitos para
la conexión de estos
a la red de la
Compañía
PR.ED-8: La
organización puede
realizar el borrado
de forma remota de X X
la información
almacenada en los
PR.ED-9: La
organización puede
restringir o limitar
la conexión y
acceso de los X
personales a
sistemas y redes de
la Compañía
PR.ED-10: La
organización
restringe la
instalación de
aplicaciones no X X
aprobadas/riesgosas
y la ejecución de
código en los
PR.ED-11: La
organización valida X X
los parches de
seguridad y
actualizaciones en
los dispositivos
móviles, previa
conexión con la red
o sistemas de la
Compañía
PR.ED-12: La
organización
restringe la
capacidad de evadir
los controles de
X X
seguridad
integrados en los
(p.e. jailbreak o
rooting)
PR.ED-13: La
organización
configura los
dispositivos móviles X X
para que cuenten
con un bloqueo de
pantalla automático
PR.ED-14: La
organización
restringe la
capacidad de los
usuarios para X X
cambiar las
configuraciones de
seguridad y
autenticación
establecidas en los
PR.ED-15: La
organización
controla que los
cambios de sistema
operativo,
aplicaciones,
actualizaciones y
X X
parches en los
endpoints y
sigan el flujo de
cambios
establecidos por la
Compañía
PR.SR-1: La
organización
segmenta lógica o
X X
físicamente las
redes de la
Compañía
PR.SR-2: La
Seguridad organización
Perimetral y de implementa y
Redes (SR) administra una red
X
para invitados la
cual se encuentra
segregada de la red
principal
PR.SR-3: La
organización limita X X
el número de
conexiones externas
que un sistema
puede aceptar de
manera simultánea
PR.SR-4: La
organización
restringe y controla
estrictamente los
programas y
X X
utilitarios que
puedan anular los
controles de
seguridad de la red
de la Compañía
PR.SR-5: La
organización diseña,
implementa y revisa
las configuraciones
de los firewall y X X
routers para
restringir las
conexiones entre
redes no confiables
PR.SR-6: La
organización puede
evitar o limitar los
efectos de los X
ataques de
denegación de
servicio
PR.SR-7: La
organización X
deniega el tráfico de
red de manera
predeterminada,
solo permitiendo el
tráfico por
excepción
PR.SR-8: La
con mecanismos
que evitan que los
datos cifrados pasen X
por alto los
mecanismos de
verificación de
contenido
PR.SR-9: La
con mecanismos
para limitar y
verificar los X
archivos que se
encuentren
contenidos dentro
de otros
PR.SR-10: La
organización
restringe la
conexión directa de
sistemas críticos a
X X
una red externa sin
el uso de una
tecnología de
protección definida
por la Compañía
PR.SR-11: La
con sistemas de
X
detección /
prevención de
intrusos (IDS / IPS)
PR.SR-12: La
organización
configura la zona
desmilitarizada
X
(DMZ) para separar
las redes públicas o
no confiables de las
redes confiables.
PR.SR-13: La
organización
restringe la
transmisión de
datos confidenciales X X
no protegidos por
tecnologías de
mensajería
personales
PR.SR-14: La
organización dirige
todos los accesos
remotos hacia
X
puntos de control de
acceso
administrados y
seguros (p.e: VPN)
PR.SR-15: La
X X
con mecanismos de
encriptación para
proteger la
confidencialidad e
integridad de los
accesos remotos
PR.SR-16: La
organización
implementa
mecanismos de X X
doble factor de
autenticación para
los accesos remotos
PR.SR-17: La
organización cierra
la sesión de los
usuarios conectados
de manera remota,
X X
al final de la sesión
o después de un
período de
inactividad definido
por la Compañía
PR.SR-18: La
organización
monitorea el acceso
no autorizado a las X X
redes inalámbricas y
controla el uso de
las mismas
PR.SR-19: La
organización cuenta X X
con mecanismos de
autenticación y
encriptación para
proteger el acceso a
las redes
inalámbricas
PR.SR-20: La
las comunicaciones
inalámbricas a los X
límites físicos
controlados por la
Compañía
PR.SR-21: La
con mecanismos de
prevención de
pérdida de datos X X
(DLP) para proteger
la información
confidencial de la
Compañía
PR.SR-22: La
organización filtra
el contenido de
internet para limitar
la capacidad de los
X
usuarios para
conectarse a
contenido riesgoso
o no aprobado por
la Compañía
PR.SR-23: La
X
con mecanismos de
control de acceso a
la red (NAC) para
detectar dispositivos
no autorizados y
deshabilitar el
acceso a la red
PR.SR-24: La
organización valida
las actualizaciones y
parches de
X X
seguridad de todos
los dispositivos
antes de otorgarles
acceso a la red
PR.FA-1: La
organización
controla el acceso
físico a las X X
instalaciones y
oficinas de la
Compañía
PR.FA-2: La
Seguridad Física
organización limita,
y Ambiental
controla y
(FA)
monitorea el acceso
X X
físico a las áreas
catalogadas como
seguras o
restringidas
PR.FA-3: La
organización posee X X
mecanismos de
control para
autorizar el acceso
físico a las
instalaciones en
función de la
posición o el rol del
individuo
PR.DS-1: La
organización
identifica al inicio
del Ciclo de Vida de
Desarrollo Seguro
(SDLC), y
posteriormente X
controla, las
funciones, puertos,
protocolos y
servicios que
utilizará para el
Desarrollo desarrollo
Seguro (DS) PR.DS-2: La
organización
custodia la
propiedad
intelectual y el X
código de fuente de
sus sistemas y
aplicaciones en
producción
PR.DS-3: La
organización
X X
restringe el acceso
al código fuente
solo a personal
autorizado y con el
principio de mínimo
privilegio
PR.DS-4: La
organización
identifica las
vulnerabilidades
mediante análisis de
código estático o X
dinámico y las
mitiga como parte
del desarrollo
seguro de sistemas
y aplicaciones
PR.DS-5: La
organización firma
digitalmente los
archivos ejecutables
y los scripts del X
código fuente para
garantizar la
integridad del
mismo
PR.GC-1: La
organización
restringe los
Gestión de cambios y
X X
Cambios (GC) restauraciones no
autorizadas, a
menos que se
reciban las
aprobaciones
necesarias
PR.GC-2: La
organización prueba
los cambios en un
entorno no
productivo antes de X
que los cambios se
implementen en un
entorno de
producción.
PR.GC-3: La
organización
analiza y mitiga los
posibles impactos
de seguridad que X
puedan suceder
producto de la
implementación de
un cambio
PR.GC-4: La
organización
mantiene separados
sus entornos de X X
desarrollo y pruebas
del entorno de
producción
PR.GC-5: La
organización
controla y ofusca la
X X
información
sensible cuando está
se encuentra en
ambientes no
productivos,
producto del
proceso de un
cambio o una
restauración
PR.CC-1: La
organización
desarrolla e
implementa
configuraciones de
líneas base seguras
para el hardening de
sus distintas
plataformas
tecnológicas,
X
aplicando
configuraciones
Gestión de más restrictivas de
Configuración acuerdo a la
(CC) criticidad.
Asimismo, controla
y aprueba las
excepciones a las
configuraciones
estandarizadas
PR.CC-2: La
organización
controla que los
sistemas cumplan X
con lo establecido
en las líneas base de
configuración
previo acceso a la
red de la Compañía
PR.CC-3: La
organización
verifica de forma
periódica la X
integridad del
hardware, software
y firmware
PR.CC-4: La
organización
actualiza las
configuraciones de
líneas base seguras
de acuerdo al
descubrimiento de X
nuevas
vulnerabilidades
que puedan afectar
sus distintas
plataformas
tecnológicas
PR.CC-5: La
organización
reemplaza los
sistemas cuando el
desarrollador, el
vendedor o el X
fabricante ya no
proveen soporte
para los
componentes del
mismo
PR.SC-1: La
organización
controla la
ubicación del
procesamiento /
almacenamiento en
la nube en función X X
de sus necesidades
comerciales, así
como de sus
obligaciones
reglamentarias y
contractuales
PR.SC-2: La
organización posee
mecanismos para
Seguridad Cloud
garantizar la X X
(SC)
interoperabilidad
segura entre
componentes
PR.SC-3: La
organización posee
mecanismos para
garantizar la
X X
integridad de las
imágenes de
máquinas virtuales
(VM Images)
PR.SC-4: La
organización
acuerda con el X X
proveedor el uso de
plataformas de
virtualización
reconocidas y
formatos estándares
PR.SC-5: La
organización
controla que los
proveedores de
servicios en la nube
usen protocolos X X
seguros para la
importación,
exportación y
administración de
sus datos
PR.SC-6: La
y gestiona de
manera segura el
X X
almacenamiento de
datos confidenciales
en proveedores de
nube pública
PR.SC-7: La
organización
controla que sus
activos sean
administrados de
forma tal que el X X
acceso se encuentre
completamente
segmentado de otros
usuarios clientes del
proveedor
PR.SC-8: La
organización
controla que el
acceso
administrativo a los
hipervisores este
restringido solo a
personal autorizado
con el principio de
mínimo privilegio y
X X
que cuente con
controles
adicionales (p.e.
autenticación de
doble factor,
registros de
auditoría activos,
filtrado por
dirección IP, entre
otros)
DE.AE-1: La
organización
establece y
gestiona una base
de referencia para
X
operaciones de red
DETECTAR Análisis de
y flujo de datos
(DE) Eventos (AE)
esperados para los
usuarios y sistemas
de información
DE.AE-2: La
organización X
analiza los eventos
detectados para
comprender su
impacto, los
objetivos y métodos
de ataque
DE.AE-3: La
organización
recopila y analiza
los datos de los
eventos desde
múltiples fuentes y
X
sensores,
recopilando los
registros
relacionados a
seguridad de
manera centralizada
DE.AE-4: La
la recopilación de
información
personal en los
registros de
X
auditoría a los
elementos
establecidos en la
evaluación de
riesgos de
privacidad
DE.AE-5: La
organización
X
protege la
información
personal recopilada
en los registros de
auditoría
DE.AE-6: La
organización
configura sus
sistemas para usar
relojes internos
sincronizados a una
X
fuente autorizada
para generar marcas
de tiempo
estandarizadas para
los registros de
auditoría
DE.AE-7: La
organización
gestiona y
monitorea los
X
incidentes con el
objetivo de
establecer un plan
de respuesta
DE.MC-1: La
un monitoreo del
entorno físico, de la
Monitoreo red y de la actividad
X
Continuo (MC) del personal para
detectar posibles
eventos de
seguridad
cibernética
DE.MC-2: La
mecanismos para
X
detectar código
malicioso y código
móvil no autorizado
DE.MC-3: La
mecanismos para
detectar, controlar y
X
gestionar la
protección contra
spam y correos
infectados
DE.MC-4: La
un monitoreo de la
actividad de los
proveedores de
X X X
servicios externos
para detectar
posibles eventos de
seguridad
cibernética
DE.MC-5: La
un monitoreo del
personal,
X
conexiones,
dispositivos y
software no
autorizados
DE.MC-6: La
un monitoreo de las
configuraciones de
los sistemas para
X
deshabilitar
funciones, puertos,
protocolos o
servicios no seguros
o innecesarios
DE.MC-7: La
un monitoreo sobre
las cuentas que han X
sido desactivadas
por intentos de uso
no autorizados
DE.MC-8: La
un monitoreo de las
acciones de los
usuarios con
privilegios X X
administrativos y de
los usuarios que
poseen privilegios
de acceso a datos
personales
DE.PD-1: La
organización prueba
Procesos de
sus procesos de X
Detección (PD)
detección para
garantizar que
cumplen con todos
los requisitos
aplicables
DE.PD-2: Los
análisis y reportes
con la información
de la detección de
eventos son X
correlacionados
para mejorar las
capacidades de
detección
DE.PD-3: La
organización
sanitiza y prueba los
sistemas y equipos X
en los cuales se
haya detectado una
anomalía
DE.PD-4: La
ejercicios de "red
team" para simular
intentos de ataque y
de compromiso de X
los sistemas y
aplicaciones para
verificar y mejorar
sus procesos de
detección
DE.PD-5: La
organización X
establece un plan de
mejora de los
procesos de
detección en los
sistemas de
información
RE.PL-1: El plan de
respuesta a
incidentes y sus
respectivos
procesos y
procedimientos son X
ejecutados durante o
después de un
incidente de
seguridad o
privacidad
RE.PL-2: El plan de
gestión de crisis y
RESPONDER Planificación sus respectivos
(RE) (PL) protocolos de
activación son
X
ejecutados de
acuerdo a la
criticidad e impacto
del incidente o
privacidad
RE.PL-3: El plan de
respuesta a
incidentes y el plan
de gestión de crisis X
son probados y los
colaboradores son
entrenados para
ejecutar sus roles
efectivamente
RE.PL-4: La
organización integra
e involucra a sus
proveedores y
socios externos en X X
las pruebas y
planificación de la
respuesta ante
incidentes
RE.PL-5: El plan y
los mecanismos de
respuesta a
incidentes incluyen
los procesos X X
relacionados a
información
confidencial y
personal (PI)
RE.CO-1: La
organización
establece un equipo
integrado de
representantes de
Comunicación ciberseguridad,
X X
(CO) privacidad, TI y de
negocio que
aborden las
operaciones de
respuesta a
incidentes de
seguridad y
privacidad
RE.CO-2: La
organización
reporta los
incidentes de
seguridad y
privacidad en base a
criterios
establecidos a
distintos actores.
Internamente, de
acuerdo a lo
establecido en el
plan de respuesta a X X
incidentes, al
personal de
respuesta a
incidentes y titular
del banco de datos
personales de la
organización (en
caso sea necesario)
y externamente, a
las autoridades
reguladoras y las
partes afectadas
RE.CO-3: La
organización
comparte la X
información con
interesados externos
de manera
voluntaria para
mejorar la
concientización de
seguridad en el
sector
RE.AN-1: La
organización
investiga las
notificaciones y
alertas de los X
sistemas de
detección y las
tecnologías de
seguridad
RE.AN-2: La
indicadores
específicos de
Análisis (AN)
compromiso (IoC)
que permiten X X
comprender el
impacto potencial
de los incidentes de
seguridad y las
fugas de datos
RE.AN-3: La
análisis forenses
X X
manteniendo la
integridad de la
cadena de custodia
durante todo el
proceso
RE.AN-4: La
organización
categoriza los
incidentes de
X
seguridad y las
fugas de datos de
acuerdo al plan de
respuesta ejecutado
RE.AN-5: La
organización recibe
y analiza las
vulnerabilidades X X
descubiertas desde
fuentes internas y
externas
RE.CM-1: La
organización
contiene los
X X
incidentes de
seguridad y
privacidad
RE.CM-2: La
Contención y
organización mitiga
Mitigación
los incidentes de X X
(CM)
seguridad y
privacidad
RE.CM-3: La
actividades de threat X
hunting para mitigar
proactivamente las
nuevas
vulnerabilidades y
amenazas de forma
continua, así como
para garantizar que
los activos estén
protegidos contra
ataques conocidos
RE.AP-1: La
e implementa una
base de
conocimiento de
lecciones
aprendidas producto
del análisis y la
resolución de
incidentes de
seguridad y
Actividades privacidad que X
Post-Incidente permita mejorar la
(AP) estrategia y
efectividad del
proceso de
respuesta de
incidentes de
seguridad para
reducir la
probabilidad o el
impacto de
incidentes futuros
RE.AP-2: La
X
organización
sanitiza y prueba los
sistemas y equipos
afectados por el
incidente de
seguridad para
garantizar que el
uso de los mismos
es seguro, previo
reaprovisionamiento
de estos
RE.AP-3: La
e implementa las
capacidades de
investigación post-
incidente con la
finalidad de X
identificar y
solucionar la causa
raíz de la misma,
protegiéndose de la
materialización de
futuros ataques
RC.RV-1: El plan
de recuperación y
sus respectivos
procesos son
RECUPERAR Recuperación
ejecutados durante o X
(RC) (RV)
después de un
incidente de
seguridad o
privacidad
RC.RV-2: El plan
de recuperación es
probado
X
periódicamente para
verificar su
efectividad
RC.RV-3: La
organización integra
e involucra a sus
proveedores y
socios externos en X X
las pruebas y en la
planificación de
recuperación ante
incidentes
RC.RV-4: La
organización posee
capacidades de
"failover" para
mantener la
X
disponibilidad de
los servicios críticos
haciendo los
sistemas tolerantes a
fallos
RC.RV-5: La
organización
reanuda todas las
funciones
X
comerciales dentro
de los objetivos de
tiempo de
recuperación (RTO)
establecidos en el
plan de
recuperación
RC.RV-6: La
organización
gestiona y coordina
sus planes de
contingencia
internos con los
planes de X X
contingencia de sus
proveedores y
terceros para
garantizar una
recuperación más
eficiente
RC.CO-1: La
organización
coordina y
comunica sus
actividades de
recuperación con
los interesados
X
internos y externos
Comunicación
(p.e. reguladores,
(CO)
proveedores,
afectados, equipos
de respuesta
externos, entre
otros)
RC.CO-2: La
organización X
gestiona sus
relaciones públicas
y repara su
reputación después
de la ocurrencia del
incidente de
seguridad o
privacidad
ME.CA-1: La
organización
controla el
cumplimiento de los
controles
recomendados, X
realizando un
seguimiento de las
observaciones
encontradas de
forma semestral
ME.CA-2: La
MEJORAR Cumplimiento y organización realiza
(ME) Auditoría (CA) auditorías para
garantizar el
cumplimiento del
Estándar de
Seguridad de Datos
para la Industria de X
Tarjetas de Pago
(PCI DSS) hasta
que se obtienen
resultados
aprobatorios o se
resuelven todas las
observaciones
ME.CA-3: La
auditorías para
garantizar el
cumplimiento de los
controles
X X
normativos
aplicables en el
sector financiero,
así como la Ley de
Protección de Datos
Personales del Perú
4.4 Test
Una vez definido el modelo de madurez con sus respectivos controles, dominios y
funciones, se procede a realizar una matriz que contenga todo lo definido y trabajado. Se
procede a enviar la matriz a determinada empresa del sector financiero. De esta manera,
se evaluó el modelo en su totalidad.
Tabla 16. Característica del contacto
Organización Empresa A Empresa B

Tipo de organización Asociación de servicios Asociación de
financieros servicios financieros
Propuesta de valor Brindar seguros a personas Brindar productos
naturales y jurídicas financieros a personas
según sus necesidades
Cantidad de empleados Más de 500 000 Más de 700 000
Cargo del contacto Analista de Seguridad de Coordinador de
Información Seguridad de
Información
Para realizar correctamente la evaluación, tomamos como referencia la encuesta

propuesta por Salah (2014). De todas maneras, se realizaron ajustes y se agregaron
algunos criterios, con el objetivo de que la evaluación se ajuste mucho mejor a nuestra
propuesta. En la tabla 17 se encuentra la encuesta realizada.
Tabla 17. Encuesta de validación
Muy en Ligeramente Ni en Ligeramente Muy de

Criterio desacuerdo en desacuerdo de acuerdo acuerdo
desacuerdo ni de
acuerdo
Niveles de
madurez
Los niveles de
madurez son
suficientes para
representar todas
las etapas de
madurez de los
dominios
(Suficiencia)
La descripción de
cada nivel es
precisa, lo cual
permite distinguir
cada nivel de
madurez
(Precisión)
Procesos y
prácticas
(controles)
Los procesos y
prácticas son
relevantes para el
dominio
(relevancia)
Los procesos y
prácticas cubren
todos los aspectos
que impactan /
involucran en el
dominio
(precisión)
Los procesos y
prácticas son
claramente
distintos
(integridad)
Los procesos y
prácticas están
correctamente
asignados a su
respectivo nivel
de madurez
(precisión)
Los procesos y
prácticas están
orientados
correctamente a
los enfoques de
ciberseguridad,
seguridad cloud y
privacidad
(alcance)
Modelo de
madurez
Comprensibilidad
Los niveles de
madurez son
entendibles
Las pautas de
evaluación son
comprensibles
La división por
enfoque (3) es
representada y
entendible
Facilidad de uso
El esquema de
puntuación es
fácil de usar
Las pautas de
evaluación son
fáciles de usar
Los resultados
por enfoque (3)
son entendibles
Utilidad y
practicidad
El modelo de
madurez es útil
para realizar
evaluaciones
El modelo de
madurez es
práctico para su
uso en la industria
De esta manera, cada afirmación está relacionada a una métrica de validación, las cuales
se detallan en la siguiente tabla.
Tabla 18. Métricas de evaluación
Métrica Descripción Cálculo

El modelo muestra el Suma promedio de los
número necesario de resultados obtenidos
Suficiencia niveles para permitir la relacionados a Suficiencia.
mejora continua del
análisis de datos.
El modelo muestra Suma promedio de los
Precisión claramente los niveles y resultados obtenidos
criterios de evaluación relacionados a Precisión.
evitando confusiones.
Las características Suma promedio de los
mencionadas en los niveles resultados obtenidos
Relevancia y controles son relacionados a Relevancia
consistentes con la
búsqueda para mejorar la
seguridad.
El modelo muestra Suma Promedio de los
Integridad controles de medición resultados obtenidos
independientes que no se relacionados a Integridad
repiten.
El modelo cubre mucho o Suma promedio de los
todo lo relacionado con la resultados obtenidos
Alcance seguridad en el ciber relacionados a Alcance.
espacio, nube y de la
privacidad.
Entendimiento El lenguaje utilizado en el Suma promedio de los
modelo es fácil de entender resultados obtenidos
y no requiere explicaciones relacionados a
detalladas. Entendimiento.
El modelo es simple para Suma promedio de los
el uso de cualquier parte resultados obtenidos
interesada que busque
Facilidad de uso tener una mayor relacionados a Facilidad de
visibilidad del nivel de uso.
madurez de su área u
organización en
ciberseguridad.
El modelo puede ser Suma promedio de los
Utilidad y practicidad utilizado para lograr resultados obtenidos
mayores beneficios para la relacionados a Utilidad y
organización. Factibilidad.
4.5 Deploy
El modelo de madurez propuesto se puso a prueba en la empresa B, teniendo como

alcance uno de los procesos seleccionados de nuestro modelo. Para ello se preparó un
plan de trabajo que seguimos para realizar de manera correcta la validación e
implementación.
Figura 8. Plan de trabajo de validación

 Para poder realizar la implementación se desarrolló una herramienta de
diagnóstico en donde se encuentran todos los controles definidos como parte de
nuestra propuesta y, donde es posible definir el cumplimiento de cada control y
su nivel de madurez de acuerdo con los factores de evaluación definidos.
Figura 9. Inicio de herramienta
Figura 10. Niveles de madurez de herramienta

Figura 11. Matriz de controles integrados
Figura 12. Resultados de evaluación
Figura 13. Reportería de herramienta

 Se envió una copia de la herramienta un miembro del equipo de seguridad de
información de la empresa B, con el objetivo de evaluar el proceso de “Gestión
de Riesgos de Seguridad y Privacidad”.
Tabla 19. Proceso a evaluar
Existencia
Nivel de
FUNCION DOMINIO CONTROL del
Madurez
Control
ID.GR-1: La
organización
determina el
apetito y la
tolerancia al
riesgo mediante
un análisis en el
que se tiene en
cuenta el
Gestión de
entorno
Riesgos de
empresarial, la
IDENTIFICAR Seguridad
infraestructura
(ID) y
crítica de la
Privacidad
compañía y el
(GR)
entorno en el
que se procesan
los datos
personales
ID.GR-2: La
organización
identifica y
documenta las
vulnerabilidades
de los activos
de información
internos y
externos.
Asimismo,
clasifica los
activos
vulnerables que
procesan
información
personal
ID.GR-3: La
organización
identifica y
documenta las
amenazas y los
riesgos
asociados,
incluyendo las
de acciones de
datos, tanto
internos como
externos
ID.GR-4: La
organización
realiza una
Evaluación de
Impacto de
Protección de
Datos (DPIA)
en sistemas,
aplicaciones y
servicios para
evaluar las
posibles
implicaciones
de privacidad
ID.GR-5: La
organización
determina los
riesgos basados
en la
probabilidad y
el impacto, por
acceso no
autorizado, uso,
divulgación,
interrupción,
modificación o
destrucción de
los sistemas y
datos
confidenciales
ID.GR-6: La
organización
realiza una
nueva
evaluación de
riesgos cuando
los procesos y/o
flujos de
información de
los sistemas y
servicios de la
compañía son
modificados
ID.GR-7: La
organización
identifica y
prioriza sus
respuestas al
riesgo. De esta
manera posee
mecanismos
para remediar
los riesgos a un
nivel aceptable.
ID.GR-8: La
organización
posee
mecanismos
para facilitar la
implementación
de procesos de
gestión de
riesgos los
cuales son
establecidos en
base a un
análisis y
comunicados y
aceptados por
los actores de la
compañía
 Una vez obtenidos los resultados y el nivel de madurez definido para el proceso
mencionado, se realiza un análisis de brechas y se definen oportunidades de
mejora.
Figura 14. Análisis de brechas
 Finalmente se genera un informe final, el cual contiene el detalle de la revisión

realizada, resultados finales, así como también las iniciativas de mejora
propuestas.
4.6 Maintain
Con el objetivo de mantener adecuadamente, se elaboró un plan de continuidad:
1. Objetivo
El objetivo del presente documento es brindar un plan de continuidad cuyo

propósito es garantizar la vigencia del modelo de madurez de ciberseguridad
cloud para el sector financiero y su permanencia en la organización en la que se
utilice.
2. Beneficios
 Poder utilizar el modelo de madurez evitando su obsolescencia.

 Promover la mejora continua de toda la organización en términos de
ciberseguridad de manera gradual.
 Mejorar el proceso de diagnóstico tomando en cuenta las necesidades de la
organización y los estándares de ciberseguridad emergentes.
 Contar con información histórica que permita medir el progreso en el tiempo del
nivel de ciberseguridad en la organización.
 Poder personalizar el contenido y alcance del modelo de madurez y adecuarlo
según las necesidades y objetivos específicos de cada organización.
3. Gestión de cambios
a. Actividades de cambio
En base a los resultados obtenidos y como propuesta inicial,

recomendamos las siguientes actividades que representan el camino que
creemos que nuestro modelo debe seguir.
• Al ser un modelo de madurez para el sector financiero, se puede
considerar agregar cumplimiento del estándar PCI para identificar qué
activos procesan información de tarjetas. Al menos podría considerarse en
los controles de Gestión de Activos.
• Expandir el alcance del modelo orientándolo también al sector
Retail.
• Alinear los controles con la ISO 27001, con el objetivo de mejorar
el alcance de medición, ya que es de cumplimiento obligatorio para
muchas entidades del sector financiero también.
b. Metodología
Para poder realizar alguno de los cambios propuestos o cualquier adicional

en el futuro, es necesario modificar o agregar controles, dominios o
funciones. Por ello, se recomienda seguir los siguientes pasos para la
adecuada modificación del modelo:
1. Selección de los frameworks a utilizar

2. Selección y definición de los controles, dominios y funciones por
agregar
3. Adecuación de la declaración de los controles al estándar
seleccionado para el modelo
4. Filtración de los controles según los factores de evaluación
seleccionados para el nivel de madurez
5. Cruce y/o integración de los controles tomando en cuenta las tres
capacidades
6. Agrupamiento de los controles por dominio y funciones existentes
7. Actualización de herramienta según cambio realizados
4. Recomendaciones
Para garantizar un correcto aseguramiento de la continuidad del modelo,

se recomienda contar con los siguientes recursos:
 Se recomienda almacenar la información relevante con respecto a los

procesos de ciberseguridad. Si es posible en un base de datos. Priorizar
los siguientes:
 Políticas relacionadas
 Roles y responsables del proceso
 Alcance en la organización
 Existencia de reportes
 Nivel de automatización
 Se debe contar las versiones actualizadas del software utilizado, en

especial de las herramientas de Microsoft Office, con el objetivo de que
la herramienta de diagnóstico pueda ser actualizada y mejorada con los
beneficios de nuevas funcionalidades, siguiendo las necesidades del
negocio.
 Con el objetivo de hacer más sencillo la personalización del modelo, se

podría implementar la herramienta de diagnóstico en un ambiente web.
De esta manera, futuras actualizaciones serán más rápidas y dedicarán
menos esfuerzo.
Capítulo 5. Resultado del proyecto
En base a lo detallado en el desarrollo del proyecto, detallaremos los resultados obtenidos

en la validación e implementación del modelo propuesto en las dos empresas. Primero se
validó el modelo en su totalidad mediante una encuesta que contiene métricas de
evaluación. Luego se realizó un diagnóstico de un proceso específico con la herramienta
para validar la efectividad del modelo.
5.1. Resultados de validación

Para evaluar el modelo en su totalidad se definió ocho métricas. Estas fueron evaluadas
en un rango de 1 a 5, siendo el valor más bajo “muy desacuerdo” y el más alto “muy de
acuerdo”.
5.1.1. Resultados de empresa A
Tabla 20. Resultados de encuesta en empresa A

desacuerdo ni de
acuerdo
Niveles de
madurez
Los niveles de
madurez son
suficientes para
representar todas
X
las etapas de
madurez de los
dominios
(Suficiencia)
La descripción de
cada nivel es X
precisa, lo cual
permite distinguir
cada nivel de
madurez
(Precisión)
Procesos y
prácticas
(controles)
Los procesos y
prácticas son
relevantes para el X
dominio
(relevancia)
Los procesos y
prácticas cubren
todos los aspectos
que impactan / X
involucran en el
dominio
(precisión)
Los procesos y
prácticas son
claramente X
distintos
(integridad)
Los procesos y
prácticas están
correctamente
asignados a su X
respectivo nivel
de madurez
(precisión)
Los procesos y
X
prácticas están
orientados
correctamente a
los enfoques de
ciberseguridad,
seguridad cloud y
privacidad
(alcance)
Modelo de
madurez
Comprensibilidad
Los niveles de
madurez son X
entendibles
Las pautas de
evaluación son X
comprensibles
La división por
enfoque (3) es
X
representada y
entendible
Facilidad de uso
El esquema de
puntuación es X
fácil de usar
Las pautas de
evaluación son X
fáciles de usar
Los resultados
por enfoque (3) X
son entendibles
Utilidad y
practicidad
El modelo de
madurez es útil
X
para realizar
evaluaciones
El modelo de
madurez es
X
práctico para su
uso en la industria
5.1.2. Resultados de empresa B

Tabla 21. Resultados de encuesta en empresa B

desacuerdo ni de
acuerdo
Niveles de
madurez
Los niveles de
madurez son
suficientes para
representar todas
X
las etapas de
madurez de los
dominios
(Suficiencia)
La descripción de
cada nivel es
precisa, lo cual X
permite distinguir
cada nivel de
madurez
(Precisión)
Procesos y
prácticas
(controles)
Los procesos y
prácticas son
relevantes para el X
dominio
(relevancia)
Los procesos y
prácticas cubren
todos los aspectos
que impactan / X
involucran en el
dominio
(precisión)
Los procesos y
prácticas son
claramente X
distintos
(integridad)
Los procesos y
prácticas están
correctamente
asignados a su X
respectivo nivel
de madurez
(precisión)
Los procesos y
prácticas están
X
orientados
correctamente a
los enfoques de
ciberseguridad,
seguridad cloud y
privacidad
(alcance)
Modelo de
madurez
Comprensibilidad
Los niveles de
madurez son X
entendibles
Las pautas de
evaluación son X
comprensibles
La división por
enfoque (3) es
X
representada y
entendible
Facilidad de uso
El esquema de
puntuación es X
fácil de usar
Las pautas de
evaluación son X
fáciles de usar
Los resultados
por enfoque (3) X
son entendibles
Utilidad y
practicidad
El modelo de
X
madurez es útil
para realizar
evaluaciones
El modelo de
madurez es
X
práctico para su
uso en la industria
Tomando como referencia los resultados obtenidos, se ordenaron por métrica y se realizó
un promedio de los valores, en el caso sea necesario. De esta manera, se obtuvieron los
siguientes resultados finales:
Tabla 22. Resumen de encuesta
Puntuación
Métrica
Empresa A Empresa B
Suficiencia 5 4
Precisión 4.5 4
Relevancia 5 4
Integridad 4 4
Alcance 4.5 4
Entendimiento 5 4
Utilidad 5 4
Facilidad de
4.5 4
uso
5.2. Resultados del diagnóstico
Para medir la efectividad del modelo y su implementación, se evaluó ocho controles de
seguridad, pertenecientes al dominio escogido, solo en la empresa B.
Tabla 23. Resultados de diagnóstico
Existencia
Nivel de
FUNCION DOMINIO CONTROL del
Madurez
Control
ID.GR-1: La
organización
determina el
apetito y la
tolerancia al
riesgo mediante
Gestión de un análisis en el
Riesgos de que se tiene en
IDENTIFICAR Seguridad cuenta el
SI 4
(ID) y entorno
Privacidad empresarial, la
(GR) infraestructura
crítica de la
compañía y el
entorno en el
que se procesan
los datos
personales
ID.GR-2: La
organización
identifica y
documenta las
vulnerabilidades
de los activos
de información
internos y SI
3
externos.
Asimismo,
clasifica los
activos
vulnerables que
procesan
información
personal
ID.GR-3: La
organización
identifica y
documenta las
amenazas y los
riesgos
SI 3
asociados,
incluyendo las
de acciones de
datos, tanto
internos como
externos
ID.GR-4: La
organización
realiza una
Evaluación de
Impacto de
Protección de
Datos (DPIA)
SI 3
en sistemas,
aplicaciones y
servicios para
evaluar las
posibles
implicaciones
de privacidad
ID.GR-5: La
organización
determina los
riesgos basados
en la
probabilidad y
el impacto, por
acceso no
SI 3
autorizado, uso,
divulgación,
interrupción,
modificación o
destrucción de
los sistemas y
datos
confidenciales
ID.GR-6: La
organización
realiza una
nueva
evaluación de
riesgos cuando
los procesos y/o SI 4
flujos de
información de
los sistemas y
servicios de la
compañía son
modificados
ID.GR-7: La
organización
identifica y
prioriza sus
respuestas al
riesgo. De esta SI 4
manera posee
mecanismos
para remediar
los riesgos a un
nivel aceptable.
ID.GR-8: La
organización
posee
mecanismos
para facilitar la SI 4
implementación
de procesos de
gestión de
riesgos los
cuales son
establecidos en
base a un
análisis y
comunicados y
aceptados por
los actores de la
compañía
Capítulo 6. Gestión del proyecto
Este capítulo detalla la documentación realizada dentro del desarrollo del proyecto
de acuerdo con la metodología PMBOK 5ta Edición, escogida para la gestión de
este proyecto.
Gestión del alcance
El alcance del proyecto abarcará el cumplimiento de los objetivos propuestos en

este documento a lo largo de los dos ciclos académicos (32 semanas). Estos ciclos
son correspondientes a los cursos de Taller de Proyecto I (2019-02) y Taller de
Proyecto II (2020-01).
Asimismo, el presente proyecto consiste en la implementación de un modelo de

madurez de ciberseguridad cloud para entidades financieras basado en privacidad
y normativas locales, que permita que las entidades financieras puedan realizar
comparaciones en base a su estado actual y el modelo propuesto.
Gestión del tiempo
En esta sección se detallarán las actividades realizadas según la planificación de

trabajo propuesta al inicio del proyecto.
Figura 4. Cronograma del Proyecto. Elaboración propia
Gestión de los recursos humanos
Los roles desempeñados en el presente proyecto se detallan a continuación, así

como el personal que cubrieron dichos roles. De acuerdo al Plan de Gestión de
Recursos Humanos, se cumplieron de manera satisfactoria cada una de las
responsabilidades asignadas.
Figura 5. Organigrama del proyecto. Elaboración propia.

Gestión de las comunicaciones
En este punto se describe como se gestionaron las comunicaciones dentro del proyecto y los inconvenientes surgidos.
Contenido Responsable de Método de comunicación

Información Para su entrega a los Frecuencia Código de
elaborarlo a utilizar
requerida Stakeholders EDT
asociado
Inicio del - Documento digital
- Asesor Cliente
Proyecto Información sobre el (Word)
- Profesor
inicio del proyecto, que Jorge Gutierrez - Reuniones Una sola 1.1.
Gerente
puede ser visto en el Paul Necochea presenciales vez 1
- Comité de
Project Charter - Correo electrónico
Proyectos
de la UPC
Planificación Documentos de - Asesor Cliente

- Documento digital
del Proyecto Gestión del Proyecto: - Profesor
Jorge Gutierrez Una sola
(Word)
Gerente 1.2
 Gestión del Alcance vez
Paul Necochea - Reuniones
 Gestión del Tiempo - Comité de
presenciales
 Gestión de Calidad Proyectos
 Gestión de RRHH - Correo electrónico
 Gestión de de la UPC
Comunicaciones
 Gestión de Riesgos
 Matriz de
trazabilidad de
requerimientos
 Matriz de riesgos
 Registro de
interesados
 Matriz RAM
 Diccionario EDT
Plan de trabajo
Estado del  Estado de los - Documento digital

- Asesor Cliente
Proyecto entregables (Word)
Jorge Gutierrez - Profesor
mediante - Reuniones - Sem
Gerente 1.3
avances. Paul Necochea presenciales anal
- Comité de
 Memoria del - Correo electrónico
Proyectos
proyecto de la UPC
 Diseño del
modelo
propuesto
 Análisis de los
modelos
Coordinación Información de las - Documento digital

- Asesor Cliente
del Proyecto reuniones que (Word)
Jorge Gutierrez - Profesor
- Reuniones - Sem 1.2.
establecerán durante el
Gerente
2
desarrollo del proyecto Paul Necochea presenciales anal
- Comité de
- Correo electrónico
Actas de Reunión Proyectos
de la UPC
Cierre del - Documento digital
Resultados y - Asesor Cliente
Proyecto (Word)
comunicación sobre el Jorge Gutierrez - Profesor Una
- Reuniones
Gerente sola 1.5
cierre del proyecto.
Paul Necochea presenciales
- Comité de vez
Acta de aprobación - Correo electrónico
Proyectos
de la UPC
Gestión de los riesgos
Los riesgos enfrentados durante el desarrollo del proyecto fueron los siguientes:
Riesgo Probabilidad Impacto Estrategia de mitigación
Cambios en el Media Muy Alto Se realizará un

alcance del seguimiento de los
proyecto avances de manera
periódica
Negación por parte Media Muy Alto Se mantendrán contactos

de la empresa de contingencia en caso
seleccionada a de que la empresa decida
brindar retirarse.
información
Cancelación de las Media Muy Alto Se acordarán las reuniones

reuniones por parte durante la semana,
del asesor cliente avisando oportunamente
al profesor.
Cumplimiento en Baja Alto Se dedicará tiempos extras

la entrega de los para cerrar los
documentos de documentos pendientes.
acuerdo al
cronograma
Coordinación Baja Alto Se mantendrá un diálogo

limitada entre el constante, presencial y no
Jefe de Proyecto y presencial, sobre el
el Jefe de proyecto.
Investigación
Pérdida de la Baja Mu Se establecerá un
información y repositorio donde se
recopilada Alt almacenará dicha la
o información.
Lecciones aprendidas
- Trabajo en equipo
- Trabajo bajo presión
- Scrum
- Trabajo con recursos
Conclusiones
Con respecto al desarrollo del proyecto, podemos concluir que existen distintas
formas para realizar un modelo de madurez, debido a la existencia de diferentes
metodologías enfocadas en diferentes capacidades. Sin embargo, se escogió la
más adecuada a nuestra propuesta. De esta manera, se propuso un modelo de
madurez que integra las capacidades de ciberseguridad, seguridad en la nube y
privacidad, centrado en las organizaciones financieras. Adicionalmente, se
desarrolló una herramienta de diagnóstico, la cual contiene el modelo propuesto,
y que tiene por objetivo ayudar a las empresas a realizar un diagnóstico de su nivel
de madurez actual de una manera más práctica y sencilla.
Con respecto a su validación, los resultados de los criterios evaluados en dos
empresas indicaron un nivel de aceptación promedio del modelo de 4.3 en un
rango de calificación de 1 a 5, lo cual indica que la construcción y los
componentes utilizados en nuestro modelo cumplen con los estándares definidos
por revisores expertos (Salah, 2014), por lo que puede ser replicable en otras
empresas del mismo sector. Además, dependiendo de los productos financieros
de cada organización, el modelo podría adaptarse y evolucionar en versiones
posteriores, mediante la adición o modificación de controles y dominios de
acuerdo con las necesidades de cada entidad.
Esto a su vez, nos ayuda a concluir que nuestro modelo podrá seguir siendo
mejorado gracias a un plan de continuidad desarrollado y esto puede llevar a
trabajos posteriores que utilicen nuestra propuesta como guía en el futuro.
Recomendaciones
Teniendo en cuenta los resultados obtenidos, se recomienda lo siguiente:
 Con el objetivo de hacer más sencillo la personalización del modelo, se podría

implementar la herramienta de diagnóstico en un ambiente web. De esta manera,
futuras actualizaciones serán más rápidas y dedicarán menos esfuerzo.
 Al ser un modelo de madurez para el sector financiero, se puede considerar
agregar cumplimiento del estándar PCI para identificar qué activos procesan
información de tarjetas. De esta manera, podría considerarse en los controles de
Gestión de Activos, como parte de una siguiente versión del modelo.
 Expandir el alcance del modelo orientándolo también al sector Retail.
 Alinear los controles con la ISO 27001, con el objetivo de mejorar el alcance de
medición, ya que es de cumplimiento obligatorio para muchas entidades del sector
financiero también.
Glosario
● Modelo de Madurez
Un modelo de madurez es definido por la Universidad de Carnegie Mellon como
“un modelo de evaluación de procesos de una organización” (Carnegie Mellon
University, 1987). Su función principal es la de medir el estado actual de la
organización en un ámbito en específico (capacidades, seguridad, etc.),
permitiendo el autoanálisis y la definición del estado de madurez a alcanzar. Esto
último permite oportunidades de mejora y de optimización de los procesos
relacionados, así como permite que los requerimientos se encuentren alineados
con las estrategias del negocio. Además, permite iniciar un ciclo de mejora y
evolución secuencial y continua, de acuerdo con las necesidades de la empresa.
● Ciberseguridad
The International Telecommunication Union (ITU) define Ciberseguridad como

"la colección de herramientas, políticas, conceptos de seguridad, salvaguardas de
seguridad, directrices, enfoques de gestión de riesgos, acciones, capacitaciones,
mejores prácticas, garantías y tecnologías que se pueden utilizar para proteger el
entorno cibernético, la organización y los activos de los usuarios".
● Computación en la nube
Según la RAE en su octava acepción, la computación en la nube es un "Espacio

de almacenamiento y procesamiento de datos y archivos ubicado en internet, al
que puede acceder el usuario desde cualquier dispositivo”.
● Privacidad de datos
La privacidad de la información o privacidad de datos se refiere a la relación entre

la tecnología y el derecho legal o la expectativa pública de privacidad en la
recopilación y el intercambio de datos. En el caso de la privacidad financiera, el
objetivo es proteger la información sobre las transacciones financieras de una
persona, siendo importante para evitar el fraude, el robo de identidad u otros
crímenes.
● Sector Financiero
El sistema financiero es un conjunto de instituciones, entidades públicas y

privadas y cajas de ahorro que se encargan de canalizar el ahorro de los
prestamistas y dar seguridad en los movimientos de dinero y a los propios sistemas
de pago, permitiendo el desarrollo de todas aquellas transacciones, que impliquen
el uso de dinero, entre personas, empresas y organizaciones.
Bibliografía
 WORLD BANK. (2018). Financial Sector. [En línea] Disponible:

https://www.bancomundial.org/es/topic/financialsector/overview
 ASBANC. (2019). Boletín Mensual. [En línea] Disponible:

https://www.asbanc.com.pe/Publicaciones/BOLETIN_MENSUAL_ENE
RO_2019.pdf
 FINEXTRA. (2015). Invigorating Banking. [En línea] Disponible:

https://www.finextra.com/finextra-
downloads/surveys/documents/1c36241f-0e5a-490d-a439-
4d97656212c4/invigorating%20banking.pdf
 M. Paulk, W. Curtis, M. Chrissis & C. Weber (1993). Capability Maturity

Model for Software. [En línea] Disponible:
http://resources.sei.cmu.edu/library/asset-view.cfm?AssetID=11955
 N. T. Le & D. B. Hoang (2016) Can maturity models support cyber

security? 2016 IEEE 35th International Performance Computing and
Communications Conference (IPCCC) pp. 1-7. doi:
10.1109/PCCC.2016.7820663
 N.T. Le, D.B. Hoang. (2017). Capability Maturity Model and Metrics
Framework for Cyber Cloud Security. Scalable Computing: Practice and
Experience, vol. 18, 277-290. doi:
https://doi.org/10.12694/scpe.v18i4.1329
 Rea-Guamán & D. Sanchez-Garcia, J. San Feliu, Tomas & Calvo-

Manzano. (2017). Maturity models in cybersecurity: A systematic review.
2017 12th Iberian Conference on Information Systems and Technologies,
pp. 1-6. Doi: 10.23919/CISTI.2017.7975865.
 T. De Bruin, R. Freeze, U. Kulkarni & M. Rosemann (2005).
Understanding the Main Phases of Developing a Maturity Assessment
Model. Australasian Conference on Information Systems.
 F. Ghaffari & A. Arabsorkhi (2018) A New Adaptive Cyber-security

Capability Maturity Model. 2018 9th International Symposium on
Telecommunications (IST), pp. 298-304. doi:
10.1109/ISTEL.2018.8661018
 M. R. D. Silva et al. (2014) A Privacy Maturity Model for Cloud Storage

Services. 2014 IEEE 7th International Conference on Cloud Computing.
pp. 944-945. doi: 10.1109/CLOUD.2014.135
 J. Rubio, R. Roman, J. Lopez (2018) Analysis of Cybersecurity Threats in

Industry 4.0: The Case of Intrusion Detection. Critical Information
Infrastructures Security, vol 10707, pp. 119-130. Doi:
https://doi.org/10.1007/978-3-319-99843-5_11
 G. Cheng, Y. Li, Z. Gao & X. Liu (2017) Cloud data governance maturity
model. 2017 8th IEEE International Conference on Software Engineering
and Service Science (ICSESS), pp. 517-520. doi:
10.1109/ICSESS.2017.8342968
 Di Giulio, R. Sprabery, C. Kamhoua, K. Kwiat, R. H. Campbell & M. N.

Bashir (2017) Cloud Standards in Comparison: Are New Security
Frameworks Improving Cloud Security? 2017 IEEE 10th International
Conference on Cloud Computing, pp. 50-57. doi:
10.1109/CLOUD.2017.16
 Rea-Guaman, T. San Feliu, J. Calvo-Manzano & I. Sanchez-Garcia (2017)

Comparative Study of Cybersecurity Capability Maturity Models.
Software Process Improvement and Capability Determination:
Communications in Computer and Information Science, vol 770. Doi:
https://doi.org/10.1007/978-3-319-67383-7_8
 W. Miron, & K. Muita (2014). Cybersecurity Capability Maturity Models

for Providers of Critical Infrastructure.
 Kumar, H. Samalia & P. Verma (2017) Exploring suitability of cloud

computing for small and medium-sized enterprises in India. Journal of
Small Business and Enterprise Development, vol. 24 No. 4, pp. 814-
832. Doi: https://doi.org/10.1108/JSBED-01-2017-0002
 G. Tontini, L. Castro de Carvalho, N. Schlindwein & V. Tomarevski

(2016) Maturity model of procurement and supply management in small
and medium- size enterprises: A benchmarking of hospitals and metal-
mechanic companies. International Journal of Quality and Service
Sciences, vol. 8. Doi: 0.1108/JSBED-01-2017-0002
 Salah, R. Paige & P. Cairns (2014) An Evaluation Template for Expert

Review of Maturity Models. Product-Focused Software Process
Improvement, vol 8892, pp. 318-32. Doi: 10.1007/978-3-319-13835-0_31
 García, L. Calle, C. Raymundo, F. Domínguez & J. M. Moguerza (2018)

Personal data protection maturity model for the micro financial sector in
Peru. 2018 4th International Conference on Computer and Technology
Applications (ICCTA), pp. 20-24. doi: 10.1109/CATA.2018.8398649
 T. Eneken (2017) Privacy online: up, close and personal. Health and
Technology, vol. 7, pp. 489-499. Doi: https://doi.org/10.1007/s12553-
017-0197-z
 Karokola, S. Kowalski & L. Yngström (2011) Secure e-government

services: Towards a framework for integrating it security services into e-
government maturity models. 2011 Information Security for South Africa,
pp. 1-9. doi: 10.1109/ISSA.2011.6027525
 Barclay (2014) Sustainable security advantage in a changing environment:

The Cybersecurity Capability Maturity Model (CM2). Proceedings of the
2014 ITU kaleidoscope academic conference: Living in a converged world
- Impossible without standards?, pp. 275-282. doi:
10.1109/Kaleidoscope.2014.6858466
 Yilmaz, C. Eda & A. Huseyin (2015) A Case Analysis on the Focus the
Maturity Models and Information Technologies. Procedia Economics and
Finance, vol. 19, pp. 208-216. Doi: https://doi.org/10.1016/S2212-
5671(15)00022-2
 Yigit Ozkan B., Spruit M. (2019) A Questionnaire Model for

Cybersecurity Maturity Assessment of Critical Infrastructures. In:
Fournaris A., Lampropoulos K., Marín Tordera E. (eds) Information and
Operational Technology Security Systems. IOSec 2018. Lecture Notes in
Computer Science, vol 11398.
 Anastacio, G. & Patrick, W. (2018) “Maturity models and safety culture:

A critical review” Safety Science. Vol. 105, pp. 192-211. Doi:
https://doi.org/10.1016/j.ssci.2018.02.017
 P. Jay, A. Esther & C. Erika (2015) Cibersecurity Extensions to Project

Management Maturity Models for Critical Infrastructure Projects.
Technology Innovation Managemente Review, vol 5, pp. 26-34. Doi:
10.22215/timreview/904
 S. Almuhammadi & M. Alsaleh (2017) Information Security Maturity

Model for NIST Cyber Security Framework. Information Security
Maturity Model for Nist Cyber Security Framework, pp. 51-62. Doi:
10.5121/csit.2017.70305
 SBS (2009) Circular SBS G-140 2009. [En línea] Disponible:

https://intranet2.sbs.gob.pe/dv_int_cn/249/v1.0/Adjuntos/g-140-
2009.c.pdf
 NIST (2018) Framework for Improving Critical Infrastructure

Cybersecurity. [En línea] Disponible:
https://www.nist.gov/system/files/documents/2018/05/03/framework-
version-1.1-overview.pdf
 NIST (2014) Security and Privacy Controls for Federal Information

Systems and Organizations. [En línea] Disponible:
https://www.nist.gov/publications/security-and-privacy-controls-federal-
information-systems-and-organizations-including-0
 ISACA (2018) IT CONTROL OBJETIVES. [En línea] Disponible:

https://www.isaca.org/chapters2/kampala/newsandannouncements/Docu
ments/IT%20contro%20objectives%20for%20Cloud%20computing.pdf
 Ministerio de justicia (2011) LEY_29733 Protección de Datos Personales
– Directiva. [En línea] Disponible:
http://www.pcm.gob.pe/transparencia/Resol_ministeriales/2011/ley-
29733.pdf
 Kaspersky (2018) What is Cyber Security? [En línea] Disponible:

https://www.kaspersky.com/resource-center/definitions/what-is-cyber-
security
 GARTNER. (2019). Forecast Analysis: Public Cloud Services,

Worldwide, 2Q19 Update. Recuperado de:
https://www.gartner.com/en/newsroom/press-releases/2019-11-13-
gartner-forecasts-worldwide-public-cloud-revenue-to-grow-17-percent-
in-2020
Anexo A – WASC
ENSAYO 1 para alinear el trabajo final con la competencia de “Ciudadanía”
El presente proyecto tiene como objetivo proponer un modelo de madurez que integre las
prácticas de ciberseguridad, privacidad y cloud que permita a las entidades financieras
medir de manera integrada el estado actual de sus capacidades y así, poder protegerse de
forma más completa contra los ciberataques, mejorando la toma de decisiones. Asimismo,
la necesidad que buscamos atender tiene un gran impacto en la sociedad actual en nuestro
país, ya que estas entidades financieras son parte importante de la economías de los
ciudadanos. Por ello, a continuación, se explicará cómo la propuesta de nuestro proyecto
tiene un impacto importante en la ciudadanía.
La ciudadanía se basa en el respeto de los derechos y deberes entre las personas que viven
en una sociedad y la responsabilidad que se debe tener por los actos que involucran a
otras personas. En cuanto a nuestro proyecto, el manejo de la información ayuda a las
empresas a tomar decisiones, pero uno de los desafíos de las empresas hoy en día es poder
administrar y proteger los activos de información con los que cuentan, esto para garantizar
datos generalmente comprensibles, correctos, completos, seguros y detectables. Hoy en
día, el papel que desempeñan las entidades financieras es fundamental para la mejora del
dinamismo económico existente, lo cual se evidencia en crecimiento año tras año de la
banca en el país. Sin embargo, al tomar las entidades financieras una mayor importancia
y relevancia, sus responsabilidades también crecen. Una de ellas es proveer un entorno
seguro a sus clientes para que estas puedan efectuar sus transacciones, no solo porque es
una medida exigida por el ente regulador en el país, sino porque también mejora la
percepción de los clientes hacia la entidad y aumenta la confianza. Sin embargo, el
cibercrimen es una actividad que afecta a estas entidades todos los años y esto tiende a
repercutir en los clientes. Por ejemplo, un ataque cibernético puede dejar a varios clientes
sin dinero en sus cuentas bancarias. Esto es un claro ejemplo de cómo no se debe ejercer
la ciudadanía, ya que no se está respetando el derecho de la propiedad intelectual de los
datos, así como tampoco se está tomando responsabilidad por los actos realizados. Tener
una visión mejor integrada de la seguridad para las entidades ayudaría a mapear de mejor
manera las deficiencias actuales y mejorar en base ellas. De este modo, no solo se
protegen ellos mismos, sino que a los ciudadanos y sus propiedades intelectuales.
De esta manera, se concluye que el proyecto que se está desarrollando tiene un impacto
importante en la ciudadanía en nuestro país. Asimismo, desde una perspectiva moral,
estamos proponiendo una solución basada en el respeto que considera la diversidad de
contextos sociales (pymes) para atacar una situación que afecta los derechos de las
personas y la convivencia humana.
ENSAYO 2 para alinear el trabajo final con la competencia de “Ciudadanía”
El proyecto desarrollado se titula “Modelo de Madurez de Ciberseguridad para el sector

financiero”, el cual consiste en la creación de un modelo mida el nivel de madurez de una
organización integrando las prácticas de Ciberseguridad, Cloud y Privacidad. Es
importante mencionar que, a lo largo del desarrollo del proyecto, a través de reuniones,
consultas y demás actividades que involucran a todos los interesados en el desarrollo de
nuestro proyecto, se ha observado que todas las decisiones que hemos tomado han
influido en la convivencia humana, en el marco del respeto de los derechos y deberes
ciudadanos.
En base a lo anteriormente mencionado, el presente trabajo se enfoca en lograr el bien

común, debido a que no solamente les permite a las organizaciones robustecer sus
capacidades de defensa frente a ciberataques, sino que al mismo tiempo permite que el
entorno de seguridad por el cual se procesan las transacciones financieras sea mucho más
óptimo. De esta manera, se puede lograr aumentar la confianza de los clientes en las
entidades financieras al sentir que la seguridad proveída a sus transacciones es la más
adecuada y cumple con los estándares internacionales.
Asimismo, es necesario mencionar que el proyecto fue realizado desde un punto de vista
ético y moral, debido a que el presente proyecto y todos los recursos de información y
tecnologías utilizadas para su realización han sido y serán obtenidas de manera legal,
cumpliendo con los principios de la ética.
Además, un punto importante a mencionar es el pluralismo al realizar el desarrollo del

proyecto, ya que contamos con la retroalimentación y experiencia tanto de nuestro
Profesor Asesor Cliente, como de nuestro Profesor Asesor Cliente, los cuales amplían
nuestra perspectiva y fomentan la participación de todos los actores del proyecto. Cabe
resaltar que también se ha tenido en cuenta en todo momento el principio de diversidad,
ya que todas las opiniones fueron tomadas en cuenta por igual, sin discriminación alguna
por edad, religión, sexo, etc.
De acuerdo con lo mencionado al inicio del presente documento, se mantuvo en todo

momento en cuenta los derechos y deberes ciudadanos. Para esto se trabajó manteniendo
condiciones equitativas entre los jefes de proyecto, tomando en cuenta la libertad de
expresión y de opinión. Asimismo, para garantizar el cumplimiento de deberes, se
repartieron las actividades realizadas entre todos los miembros del equipo de trabajo del
proyecto y se asignaron fechas límites, garantizando de esta manera el cumplimiento de
todas las actividades.
Asimismo, una vez realizado el proyecto, se tuvo la validación de entidades financieras

sobre la capacidad del modelo propuesto para velar y asegurar los derechos y deberes
ciudadanos, mediante el diagnóstico de ciberseguridad sobre el estado actual de los
procesos que involucran el manejo de datos personales y críticos, que podrían afectar a
todas las personas involucradas en la organización, tanto internas como externas.
Finalmente, es necesario recalcar que durante todo el desarrollo del proyecto se

mantuvieron las cualidades antes mencionadas con el objetivo de mejorar la convivencia
entre todos los actores del proyecto, garantizando el cumplimiento de sus derechos y
deberes, manteniendo una comunicación activa y de esta forma mejorando la efectividad
y eficiencia en el mismo. Lo anteriormente mencionado son buenas prácticas que se
deberían de practicar en cualquier tipo de proyecto con el objetivo de lograr un proyecto
mucho más sólido. Y de la misma manera, se tuvo en cuenta estas prácticas al momento
al definir los controles de medición en nuestro modelo propuesto.
ENSAYO 1 para alinear el trabajo final con la competencia de “Comunicación
escrita”
forma más completa contra los ciberataques, mejorando la toma de decisiones. A
continuación, se procederá a explicar lo que abarca cada uno de los capítulos del
documento de la Memoria del Proyecto.
El primer capítulo de la memoria describirá el proyecto, contemplará la problemática del

mismo, cuál será la solución que resolverá dicha problemática, los objetivos generales y
específicos, los indicadores para el cumplimiento de los objetivos. Asimismo, se
contemplará la planificación del proyecto relacionado al alcance, la gestión del tiempo,
la gestión de los recursos humanos, el plan de comunicaciones, y la gestión de riesgos
presente en el proyecto.
El segundo capítulo evidenciará el cumplimiento de cada uno de los Student Outcomes

de la carrera de Ingeniería de Sistemas de Información definidos por la acreditadora
ABET, así como las competencias WASC definidas por la acreditadora WASC Senior
College and University Commission (WSCUC), mediante los entregables contemplados
dentro del proyecto.
El tercer capítulo contemplará los principales conceptos relacionados al proyecto para el

entendimiento del mismo. Se mostrará la definición de seguridad de la información,
ciberseguridad, seguridad en la nube, privacidad y sus aplicaciones, así como algunos
conceptos relacionados a la integración de estas.
El cuarto capítulo describirá el desarrollo del modelo de madurez de ciberseguridad cloud.

Asimismo, se detallará la metodología realizada para llegar al resultado final del proyecto.
De esta manera se distribuyó de la siguiente manera: 1. Alcance, 2. Diseño, 3. Ejecución,
4. Testeo, 5. Despliegue y 6. Mantenimiento.
El quinto capítulo mostrará los resultados luego de implementado el modelo de madurez

de ciberseguridad cloud para el sector financiero, así como la validación del modelo por
parte de expertos en seguridad de la información. Los resultados fueron obtenidos gracias
a la participación de dos empresas pertenecientes al sector financiero. Primero se realizó
una validación del modelo en su totalidad mediante una encuesta y luego se escogió un
proceso para el diagnóstico respectivo. Finalmente se presentaron actividades de mejora
para las empresas analizadas.
El sexto capítulo describirá la gestión del proyecto durante los dos ciclos de Taller de
Proyectos, se describe la gestión del tiempo, la gestión de los recursos humanos, la gestión
de las comunicaciones, la gestión de los riesgos en la ejecución del proyecto, los cuales
también se encuentran reflejados en los documentos de gestión del proyecto. Asimismo,
se aprecian las lecciones aprendidas del mismo.
En conclusión, la correcta comunicación escrita nos permite ordenar de una mejor manera
el proyecto que se busca implementar a nivel de documentación. Esto lo podemos apreciar
en la separación del proyecto por capítulos con el objetivo de un mejor entendimiento de
este.
ENSAYO 2 para alinear el trabajo final con la competencia de “Comunicación
escrita”
El proyecto desarrollado se titula “Modelo de Madurez de Ciberseguridad para el Sector

Financiero”, el cual consiste en la creación de un modelo mida el nivel de madurez de
una organización integrando los dominios de Ciberseguridad y Cloud. Es importante
mencionar que, a lo largo del desarrollo del proyecto, se han desarrollado informes,
capítulos y documentos que fomentaban el desarrollo de la competencia de Comunicación
Escrita.
En base a lo anteriormente mencionado, durante la realización del presente proyecto se

trabajó siempre teniendo en cuenta a la audiencia y el contexto hacia el cual nos
dirigíamos, siendo este un contexto formal, compuesto por una audiencia académica,
teniendo como objetivo principal que el mensaje comunicado sea entendido por todas las
partes.
Asimismo, otra de las dimensiones tomadas en cuenta es la organización y estructura del

texto presentado, ya que siempre se tuvo en cuenta que estos deberían de mantener una
estructura entendible y que de esta manera las ideas presentadas en todos los documentos
sean claras y presenten coherencia entre sí.
Además, un punto importante a mencionar es el desarrollo del contenido, el cual se dio

con suficientes ideas, ejemplos y datos que permitan sustentar las ideas centrales.
Cabe recalcar que se revisó cada ejemplo y dato presentado para verificar su alineamiento
con la idea central.
Adicionalmente, cabe resaltar que la memoria del proyecto está ordenada por capítulos
en seis capítulos principales: 1. Definición del proyecto, 2. Logros Student Outcomes, 3.
Marco teórico, 4. Desarrollo del proyecto, 5. Resultado del proyecto y 6. Gestión del
proyecto.
Finalmente, la ortografía y puntuación utilizados en los textos desarrollados a lo largo del

transcurso del proyecto mantuvieron las convenciones de ortografía y puntuación,
haciendo uso de una gramática adecuada, con un léxico variado y acorde al contexto en
el cual nos encontramos, con el objetivo de presentar un texto mucho más claro y
entendible para cualquier audiencia, sea esta técnica o no.
ENSAYO 1 para alinear el trabajo final con la competencia de “Comunicación oral”
continuación, se explicará la comunicación que se realiza durante la realización del
proyecto, así como también las exposiciones que son necesarias para el entendimiento de
la idea del proyecto.
Para que el proyecto en cuestión pueda desarrollarse de la mejor manera, es necesario

contar con el apoyo de dos roles importantes, el profesor gerente y el profesor cliente. La
comunicación que ellos deben ser constante y se les debe presentar las ideas sobre la
investigación que se realiza, con el objetivo de permitir que el proyecto sea moldeado de
la mejor manera. Es por ello por lo que todas las semanas se realizan reuniones con ellos
para presentar avances sobre la investigación de los frameworks y controles de
ciberseguridad, seguridad en la nube y privacidad con el objetivo de desarrollar el modelo
de madurez. En cuanto a las exposiciones, durante la semana tres se presenta un avance
bastante preliminar de la investigación realizada hasta el momento, que sirve para
identificar que por lo menos se tenga claro de lo que se va a investigar. En otras palabras,
en qué se basará el objetivo uno del proyecto. Luego están las exposiciones parcial y final,
que evalúan los objetivo uno y dos del proyecto. Para realizar con éxito estas
evaluaciones, se debe tener la capacidad comunicar el objetivo del proyecto de la manera
adecuada. Después de todo, son las validaciones más importantes para asegurar que se
está realizando un adecuado proyecto y que los profesores gerentes y clientes están
realizando un adecuado trabajo. Asimismo, debido a la coyuntura actual que nos afecta,
la comunicación oral se ha visto como la herramienta principal en la culminación del
proyecto, enfocándose más en videollamadas incluyendo así a las reuniones definidas
durante el cronograma y las exposiciones.
De esta manera podemos concluir que, para el adecuado desarrollo del proyecto, una de
las competencias más importantes es la comunicación oral. La documentación para el
proyecto es sumamente importante, pero si no se logra comunicar de manera correcta
durante las exposiciones o en las reuniones con los profesores clientes y gerentes, el
desarrollo del proyecto se verá afectado o complicado.
ENSAYO 2 para alinear el trabajo final con la competencia de “Comunicación oral”
El proyecto desarrollado en el transcurso del curso “Taller de Proyecto I” se titula

“Modelo de Madurez de Ciberseguridad en Entornos Cloud para el Sector Financiero”,
el cual consiste en la creación de un modelo mida el nivel de madurez de una organización
integrando los dominios de Ciberseguridad y Cloud. Es importante mencionar que, a lo
largo del desarrollo del proyecto, a través de reuniones, exposiciones y sustentaciones
realizadas de acuerdo al avance del proyecto, se ha buscado mejorar cada vez más la
competencia de Comunicación Oral.
En base a lo anteriormente mencionado, durante la realización del presente trabajo, así

como en las exposiciones realizadas, se buscó siempre organizar el mensaje a comunicar,
dándole una estructura adecuada, con coherencia y cohesión de acuerdo al contenido del
proyecto.
Asimismo, otra de las dimensiones tomadas en cuenta es el desarrollo de una idea central,
que fue una pieza clave para lograr comunicarnos en las exposiciones y reuniones
realizadas. Esta idea permitía englobar todo el contenido del proyecto realizado, para
posteriormente agregar ideas secundarias que funcionen como soporte de la idea central.
Además, un punto importante a mencionar es el uso adecuado de los aspectos no verbales

en la comunicación, manteniendo especial cuidado en las posturas, gestos y vocalización,
aspectos que denotan una mayor seguridad y dominio de la comunicación oral.
Los aspectos verbales, por consiguiente, tuvieron el resultado esperado logrando

transmitir de manera efectiva las ideas clave que teníamos en mente relacionadas al
contenido del proyecto. Es importante mencionar, que dicha comunicación se realizó con
palabras técnicas de grado académico acordes a la formalidad de la situación y que
demuestran un conocimiento específico en el tema del proyecto.
Finalmente, como recursos materiales de soporte se realizaron presentaciones,

diapositivas, imágenes y fuentes de información visuales que permitían que nuestra
comunicación tanto verbal como no verbal fuera mucho más efectiva, logrando que esta
sea clara y concisa. Todo lo mencionado anteriormente se vio reforzado debido a la
coyuntura actual que viene afectando al país. La capacidad de comunicación oral durante
el proyecto se vio fortalecida debido a la exclusividad de comunicación por llamada o
videollamada. De esta manera, no solo nosotros sino todos los stakholders del proyecto
pudieron mejorar en esta capacidad.
ENSAYO 1 para alinear el trabajo final con la competencia de “Manejo de la
información”
forma más completa contra los ciberataques, mejorando la toma de decisiones. Por ello,
a continuación, se explicará la importancia del manejo correcto de la información en
nuestro proyecto.
Todo comienza por identificar el problema o necesidad que se busca solucionar con el
proyecto a desarrollar. Teniendo en cuenta que la problemática debe ser parte del contexto
actual de la sociedad del Perú, es necesario analizar el sector actual donde se encuentra el
posible problema. Es importante tener en cuenta que todo proyecto está destinado a un
sector, desde que el proyecto es asignado. Para identificar correctamente la problemática
es posible buscar información en periódicos, encuestas, reportes y hasta realizar
entrevistas con actores del sector en cuestión. En nuestro caso nos enfocamos en el sector
financiero. La necesidad identificada es que, a pesar del riesgo latente del cibercrimen,
actualmente solo existen frameworks que evalúan la madurez de las prácticas de
ciberseguridad, privacidad y cloud de manera independiente o poco específica, lo cual
impide que las organizaciones puedan evaluar sus prácticas de manera holística. Esto
limita a las empresas la protección contra ciberataques, exponiéndose a pérdidas
económicas por los mismos y a multas regulatorias debido al incumplimiento de
normativas locales de ciberseguridad y privacidad. Para el resto del proyecto se procede
a buscar información sobre los frameworks, modelos, controles, entre otros, que nos
ayudarán a dar forma a nuestra solución final. Para ello es necesario identificar qué
información te puede servir o no, qué fuente es permitida o tiene el suficiente prestigio
para poder ser recurrida, realizar comparaciones o benchmarks de los frameworks,
procesos, modelos, etc. que serán utilizadas en nuestra solución final. En nuestro caso se
ha realizado un análisis comparativo de los frameworks y modelos de madurez de
ciberseguridad, seguridad en la nube y privacidad actuales, para que de tal forma podamos
obtener los controles adecuados y podamos construir un mejor modelo de madurez. En
continuación, se realizó una investigación de metodologías para realizar una validación
de nuestra propuesta de la mejor manera posible. Es por ello por lo que se encontraron y
definieron métricas, herramientas, tipos de reportería, y criterios de evaluación para
evidenciar la aplicabilidad y eficiencia de nuestro modelo. Por último, se gestionó
información de dos empresas de manera confidencial con el único objetivo de obtener
resultados cuantitativos. Todo esto fue realizado previa comunicación y con las actas de
reunión y conformidad necesarias.
En conclusión, podemos afirmar que el manejo de la información para un proyecto tiene

que ser lo más detallado posible y basado en un razonamiento que tenga como objetivo
solucionar un problema identificado previamente. Asimismo, la información debe ser
manejada de manera ética y responsable.
ENSAYO 2 para alinear el trabajo final con la competencia de “Manejo de la
información”
El proyecto desarrollado se titula “Modelo de Madurez de Ciberseguridad Cloud para el

Sector Financiero”, el cual consiste en la creación de un modelo mida el nivel de madurez
de una organización integrando los dominios de Ciberseguridad y Cloud. Es importante
mencionar que, a lo largo del desarrollo del proyecto, se realizaron diversas
investigaciones y análisis para el desarrollo de los objetivos del proyecto, tomando en
cuenta diversas fuentes de información confiables, con el objetivo de obtener un
conocimiento más profundo acerca del tema que íbamos a desarrollar.

trabajó siempre teniendo en cuenta la necesidad de realizar una investigación. Este punto
se tuvo en cuenta desde el inicio del desarrollo del proyecto, ya que lo planteamos como
parte de uno de los objetivos del mismo. Para esto se realizó la lectura de diferentes
fuentes de información, los cuales sirvieron tanto para la contextualización de la
problemática del proyecto, como para el análisis realizado previo al diseño de la solución.
Asimismo, otra de las dimensiones tomadas en cuenta es la selección y evaluación de las

fuentes de información, ya que siempre se tuvo en cuenta que estas deberían de ser fuentes
confiables, formales y con una alta reputación en el medio académico, siempre buscando
la información que se encuentre más alineada al tema de nuestro proyecto y que sea
reciente y pertinente de acuerdo a la constante evolución de las tecnologías.
Además, un punto importante a mencionar es el uso de la información investigada con el

objetivo de darle solución a los problemas existentes dentro del proyecto. Este punto en
específico fue clave para lograr proponer una solución adecuada al problema existente
como es la falta de integración de los modelos de madurez que faciliten la toma de
decisiones de las organizaciones en el entorno de ciberseguridad y tecnologías cloud.
Cabe resaltar también que la información una vez recopilada fue evaluada para validar su
autenticidad, solidez y validez, con el objetivo de lograr utilizarla como una fuente
confiable que nos permita realizar el análisis previo a nuestro propio diseño.
De la misma manera, se manejó información confidencial obtenida por empresas

financieras con el objetivo de realizar una adecuada validación de nuestro modelo
propuesto. Asimismo, para el proceso de diagnóstico y evaluación, se investigó
metodologías que se adecuaran mejor a nuestra propuesta. Con la información obtenida
se definieron criterios y métricas que finalmente las entidades contactadas calificarían
según su criterio. Todo el proceso se acompañó con actas de conformidad para asegurar
el adecuado manejo de la información de ambas partes.
Finalmente, toda la información recopilada fue referenciada de manera adecuada de

acuerdo a las Normas APA. De esta forma, se respetó el uso de la información investigada
por otros autores, dándoles el respectivo reconocimiento por la investigación realizada,
de manera ética.
ENSAYO 1 para alinear el trabajo final con la competencia de “Pensamiento
crítico”
continuación, se explicará cómo el pensamiento crítico es factor importante en el
desarrollo del proyecto.
Para comenzar con el proyecto es necesario analizar el contexto o sector en el que el

proyecto se va a realizar. Debemos tener en cuenta las problemáticas que aquejan a la
sociedad y priorizar cuál es la más importante y por qué. Una parte importante del
proyecto es la búsqueda de papers relacionados a nuestra propuesta pensada, y digo
pensada, porque es a raíz de esa búsqueda que nuestra propuesta va a tomar forma. Se
debe explorar todas las ideas, analizar cada una, especificar qué extraemos de cada una y
tomar una conclusión. De esta manera, estamos evaluando y cuestionando la información.
Para el diseño de la solución ya identificada es necesario también realizar una selección
crítica de lo que se va a implementar, teniendo en cuenta las repercusiones en el contexto.
Para el caso de nuestro proyecto, primero fue necesario analizar la realidad actual del
sector de financiero, tanto a nivel internacional como a nivel nacional. Luego de evaluar
los posibles problemas y necesidades, se define a los ataques cibernéticos y la necesidad
de las entidades financieras de tener una evaluación integrada de su situación actual, como
principal incidente que aqueja a las entidades financieras en el Perú. Asimismo, para la
solución, se analizaron modelos de madurez, frameworks y leyes y directivas actuales.
Además, el proceso de creación del modelo de madurez se realizó bajo una metodología,
de tal manera que se tuviera claro los entregables a lo largo del proyecto. De la misma
manera, se tomó como referencia una encuesta de evaluación de modelos de madurez
desarrollada por expertos; a la cual se realizó una modificación para poder adaptarla a las
cualidades de nuestra propuesta, así como también se agregaron criterios orientados al
sector definido en nuestro alcance. Por último, luego de realizar el diagnóstico en uno de
los procesos de las empresas contactadas, se definieron actividades de mejora con
respecto al nivel de madurez actual obtenido, con el objetivo de que la organización puedo
alcanzar el siguiente nivel.
En conclusión, podemos afirmar que el pensamiento crítico es muy importante para la
toma de decisiones a lo largo del desarrollo del proyecto. Esto lo podemos evidenciar en
el análisis de los papers y la selección de los más importantes para nuestra propuesta para
que de esta manera el proyecto tome forma hasta la presentación final.
crítico”

integrando los dominios de Ciberseguridad y Cloud. Asimismo, una vez identificado
claramente el problema, este se evaluó de manera exhaustiva y críticamente, con la
finalidad de lograr llegar a una conclusión sólidamente justificada.

trabajó siempre teniendo en cuenta la importancia de la capacidad de explicación. Esto
nos permitió evaluar el problema y plantearlo de una manera clara y concisa, de forma
que nos permitiera proponer una solución mucho más acorde y alineada al problema
encontrado.
Además, un punto importante a mencionar es la evaluación y cuestionamiento de la

información, ya que la información encontrada fue analizada, de acuerdo con estadísticas
e información adicional relevante que permita sustentar la veracidad y exactitud del
problema encontrado.
Asimismo, otra de las dimensiones tomadas en cuenta es el análisis del contexto y los
supuestos, ya que se analizaron los diversos puntos de vista de los autores, de acuerdo al
contexto en el cual planteaban su solución. De esta manera, se evaluó cada una de estas
soluciones para buscar similitudes y diferencias con la nuestra, eligiendo los puntos más
relevantes, con el objetivo de brindar un valor agregado que pueda completar las
propuestas evaluadas. Todo esto nos permitió, plantear y sustentar nuestra postura de
manera adecuada, detallando los objetivos y expectativas de nuestro proyecto, y
sustentando nuestras elecciones de manera consistente de acuerdo con la información
relevante encontrada.
De la misma manera, se continuó con la validación del modelo propuesto. En esta ocasión
fue necesario definir criterios y métricas de evaluación que se adapten a nuestra
propuesta. Para ello, se tomó en cuenta una encuesta de evaluación de modelos de
madurez desarrollada por expertos, la cual se modificó y se añadieron las métricas
necesarias para la validación de nuestro modelo de acuerdo con el alcance definido. Por
último, luego del diagnóstico realizado en uno de los procesos de ciberseguridad de las
entidades contactadas, se establecieron actividades de mejora en base el nivel de madurez
obtenido, con el objetivo de que la organización pueda alcanzar el siguiente nivel de
madurez.
Finalmente, se formularon conclusiones que engloban lo investigado, encontrándose

alineadas a toda la información presentada y siempre teniendo en cuenta los aportes no
solo de nuestro punto de vista, sino también de la perspectiva de los otros autores.
innovador”
continuación, se explicará más fondo cuál es la propuesta de valor de nuestro proyecto.
Para entender de mejor manera la propuesta de valor de nuestro proyecto es necesario

conocer de mejor manera el contexto de la situación actual. Hoy en día, el papel que
desempeñan las entidades financieras es fundamental para la mejora del dinamismo
económico existente, lo cual se evidencia en crecimiento año tras año de la banca en el
país. Sin embargo, al tomar las entidades financieras una mayor importancia y relevancia,
sus responsabilidades también crecen. Una de ellas es proveer un entorno seguro a sus
clientes para que estas puedan efectuar sus transacciones, no solo porque es una medida
exigida por el ente regulador en el país, sino porque también mejora la percepción de los
clientes hacia la entidad y aumenta la confianza.
En ese sentido, como parte de un entorno seguro la entidad financiera debe de asegurar la
privacidad de los datos de los clientes y la seguridad de los mismos. Este es un reto cada
vez más urgente para las entidades bancarias debido a que la cantidad de ataques
informáticos aumenta y se vuelve más compleja con el paso del tiempo. Según la Encuesta
Global Sobre Delitos Económicos y Fraude, el cibercrimen es el segundo delito más
cometido a nivel mundial y el séptimo en el país. Enfocándonos en el sector bancario,
según el Reporte de Estado de la Ciberseguridad en el Sector Bancario en América Latina
y el Caribe (OEA, 2018) el 92% de las entidades bancarias manifiestan que identificaron
algún tipo de evento (ataques exitosos (37%) y ataques no exitosos (55%)).
Es importante mencionar también, que las entidades bancarias peruanas vienen

definiendo tendencias de transformación digital que incluyen desde banca predictiva
hasta la migración de datos al entorno cloud. En el caso del último, los servicios cloud le
permiten a las entidades bancarias poseer una infraestructura más escalable, flexible y
eficiente en costos. En el entorno internacional, de acuerdo al reporte “Invigorating
Banking” (Finextra Research, 2015) realizado a partir de una encuesta a 96 diferentes
entidades financieras en 38 países, cuatro de cada cinco bancos creen que deberán
reemplazar sus sistemas Core dentro de tres a cinco años, debido a que su sistema actual
ya no puede soportar sus necesidades. Un 89% estima que los bancos necesitarán
modernizar rápidamente sus procesos y sus Tecnologías de Información para evitar
perder cuota de mercado. Asimismo, un 88% opina que esa modernización deberá incluir
servicios basados en la nube como parte de la infraestructura. No obstante, una de las
principales contras son las vulnerabilidades que poseen este servicio y los ataques
cibernéticos que ha sufrido. Según la Encuesta Global de Seguridad de la Información
(Ernst & Young, 2018), las vulnerabilidades relacionadas con el uso de la computación
en la nube se encuentran dentro de las cinco con mayor exposición a los riesgos en los
últimos doce meses. Asimismo, según el Top 10 de OWASP, que investiga los diez
riesgos de seguridad más importantes en aplicaciones web (OWASP, 2017), la
configuración de seguridad incorrecta en los servicios en la nube es uno de los principales
riesgos encontrados.
Sin embargo, a pesar del riesgo latente del cibercrimen, actualmente solo existen
frameworks que evalúan la madurez de las prácticas de ciberseguridad, privacidad y cloud
de manera independiente o poco específica (N.T. Le, D.B. Hoang, 2017), lo cual impide
que las organizaciones puedan evaluar sus prácticas de manera holística. Esto limita a las
empresas la protección contra ciberataques, exponiéndose a pérdidas económicas por los
mismos y a multas regulatorias debido al incumplimiento de normativas locales de
ciberseguridad y privacidad.
Asimismo, los modelos revisados no presentan ningún conjunto de herramientas o

artefactos, lo que dificulta la evaluación de sus capacidades y conduce a la obtención de
resultados imprecisos. Por ello, se desarrolló una herramienta de medición para que las
organizaciones puedan diagnosticar su nivel de madurez actual, no aplicando
necesariamente la totalidad del modelo, sino evaluando los dominios y funciones que se
consideren pertinentes. De esta manera, la herramienta otorgará un resultado sin importar
el alcance evaluado mediante un reporte distribuido por nivel total, función y dominio.
En conclusión, las entidades financieras necesitan poder analizar sus procesos actuales de
una forma holística y no desperdiciar recursos haciéndolo por partes. Esto se debe a que
existen modelos de madurez que se enfocan en un ámbito por separado, obviamente con
la idea de ser lo más completo posible. Sin embargo, nuestra propuesta innovadora es la
de poder integrar tres ámbitos críticos en la seguridad y poder analizarlos en un solo
modelo de madurez sin descuidar la esencia de cada uno. Asimismo, la propuesta viene
acompañada de una herramienta de evaluación que permite a las entidades poder auto
evaluarse de una manera más práctica y sencilla.
innovador”

integrando los dominios de Ciberseguridad y Cloud. Es importante mencionar que la
propuesta del proyecto fue enfocada para que sea innovadora y que principalmente, logre
generar valor en las organizaciones que la utilicen.

trabajó siempre teniendo en cuenta la necesidad de reconocer tanto los problemas como
las oportunidades. Este punto se tuvo en cuenta desde el inicio del desarrollo del proyecto,
ya que, para lograr proponer un proyecto innovador, primero tuvimos que reconocer cual
era uno de los problemas que afectaba a las entidades financieras hoy en día. De esta
manera, una vez reconocido el problema, observamos las oportunidades de mejora
existentes y propusimos el presente proyecto como solución.
Asimismo, otra de las dimensiones tomadas en cuenta es la generación de soluciones

creativas, ya que el enfoque que le hemos dado al presente proyecto, es un enfoque
innovador que permite no solo evaluar las capacidades de ciberseguridad de una
organización, sino también las capacidades de seguridad en lo concerniente a las
tecnologías cloud que esta pueda utilizar, todo esto dentro del marco regulatorio local.
Además, un punto importante a mencionar es la planificación, ya que el proyecto fue

desarrollado en base a un cronograma, donde se encuentran listadas todas las actividades
a realizar. Cabe recalcar, que para el presente proyecto, se identificó el alcance, los riesgos
y se gestionaron los recursos y la calidad de los entregables, actividades que fueron
debidamente planificadas a lo largo de la realización del proyecto.
Finalmente, se evaluó la rentabilidad y viabilidad el proyecto, ya que, este no solo permite

mejorar la capacidad de toma de decisiones a nivel de toda la organización, lo cual
aumenta la eficiencia de los procesos de ciberseguridad, sino que también ayuda a
garantizar el cumplimiento del marco normativo local, evitando multas y pérdidas
económicas a las organizaciones. La rentabilidad mencionada anteriormente, así como la
capacidad de adaptarse a las necesidades de las entidades financieras hacen que el
proyecto sea viable.
ENSAYO 1 para alinear el trabajo final con la competencia de “Razonamiento
cuantitativo”
continuación, se explicará cómo el razonamiento cuantitativo se aplica en el desarrollo
del proyecto.
Para poder evidenciar que de verdad existe un problema o necesidad identificado en el

contexto que se está analizando, es mediante los números y estadísticas sobre el problema
en cuestión. Estos números y estadísticas deben ser interpretados de la mejor manera para
poder expresar correctamente el problema. Pudimos justificar nuestra necesidad o
problema debido a que el cibercrimen es el séptimo delito más cometido en el país
registrando pérdidas que alcanzan los US$ 4,782 millones; 9 de cada 10 bancos de
América Latina y el Caribe sufrieron incidentes cibernéticos; se incrementó en un 65%
los ataques a aplicaciones cloud en el primer trimestre del 2019 y la DGTAIPD impuso
115 sanciones por un monto total de S/ 3.7 MM entre el 2015 y el 2018. Asimismo, para
escoger los frameworks a utilizar por cada ámbito, es necesario comparar las mejores
opciones para el modelo. Para ello, se necesita realizar un benchmarking, en donde
realizamos un análisis cuantitativo teniendo en cuenta los valores numéricos que
otorgamos a cada opción para el modelo. Por otro lado, los resultados finales de la
evaluación de madurez se miden en base a números, por lo que podemos decir que el
proceso de definición del nivel de madurez de un proceso es un análisis cuantitativo. Por
último, los resultados finales obtenidos fueron en su totalidad cuantitativos, los cuales
ayudaron a definir el nivel de aceptación del modelo por empresas financieras, así como
también la efectividad del modelo mediante la obtención de un nivel de madurez en el
diagnóstico realizado.
En resumen, podemos afirmar que para poder tomar decisiones importantes siempre hay
que tener un respaldo de por medio. En este caso, la información cuantitativa es muy útil,
si es que la fuente es confiable claro. Gracias a esta información cuantitativa, es posible
calcular, razonar, emitir juicios y tomar decisiones de una manera mucho más precisa y
sencilla.
ENSAYO 2 para alinear el trabajo final con la competencia de “Razonamiento
cuantitativo”

integrando los dominios de Ciberseguridad y Cloud. Es importante mencionar que, para
sustentar toda la información analizada en el transcurso de la investigación, las cifras y
valores estadísticos han sido obtenidos de acuerdo a la investigación realizada por
organizaciones prestigiosas, ayudándonos a definir los caminos a seguir y dándole
sustento a nuestras decisiones a lo largo del proyecto.

trabajó siempre teniendo en cuenta la interpretación de la información obtenida. Esto se
evidencio, en el análisis de los valores cuantitativos obtenidos, relacionándolos con la
realidad de nuestro problema, para lograr determinar si estos valores eran acordes o no.
De esta manera, logramos seleccionar solamente las estadísticas y referencias que le
dieran valor a nuestro proyecto.
Asimismo, otra de las dimensiones tomadas en cuenta es la representación, en la cual

hemos expresado la problemática de nuestro proyecto de acuerdo con cifras y estadísticas
obtenidos de investigaciones y encuestas realizadas por empresas consultoras y
organizaciones prestigiosas. De esta manera, se logra cuantificar el impacto del problema
y se evidencia de mejor manera los beneficios que generaría la implementación de la
solución propuesta.
La siguiente dimensión tomada en cuenta, fue el cálculo, ya que al momento de

seleccionar los datos estadísticos encontrados se realizó la estimación de estos valores y
sus respectivos cálculos para lograr contextualizarlos de una mejor manera al entorno en
el cual vamos a desarrollar la propuesta. Además, cabe recalcar, que una vez realizado el
cálculo, se analizaron las cifras resultantes para evaluar su pertinencia y su coherencia
con el análisis realizado. De esta manera, en caso el análisis fuera efectivo, dicho dato
estadístico, nos permitiría establecer una conclusión adecuada y precisa.
Finalmente, se analizaron los valores cuantitativos resultantes de la validación de nuestro
modelo, los cuales nos ayudaron a definir un nivel de aceptación de nuestra propuesta en
el sector financiero, así como también medir la efectividad de esta.
Finalmente, las dimensiones de comunicación y argumentación fueron utilizadas, al

expresar los resultados de nuestro análisis de forma ordenada y coherente. Las
conclusiones obtenidas en los pasos previos fueron mostradas en este punto, con todas las
evidencias cuantitativas encontradas, con el objetivo principal de darle un sustento
adecuado a toda la investigación y validación realizada.
Anexo C – Costos y presupuestos
1.0 Introducción
1.1 Propósito
El objetivo de este plan de gestión de costos es definir la metodología mediante la cual

se administrarán los costos asociados con el Proyecto, los responsables de administrarlo,
la sustentación de los costos definidos y el retorno de inversión. Este plan es necesario
para asegurar el logro de los objetivos del proyecto cumpliendo con las restricciones
presupuestarias asignadas.
1.2 Alcance
El plan de gestión de costos para el proyecto incluye componentes de costos internos,

los cuales constan únicamente de contratación de personal para el diagnóstico de los
procesos de ciiberseguridad de la organización. No se consideran recursos tecnológicos
como hardware o software especializados, pues solo se requieren de ciertos archivos de
Excel y Word para realizar la tarea.
2.0 Costos Internos y Externos
2.1 Internal Support
Recurso Duración (horas) Costo (S/.)

Jefe de proyecto 280 16,800
Analista de negocio 200 6000
Analista de infraestructura 120 3000
Analista de seguridad 120 3000
informática
Analista de software 100 5000
Analista financiero 80 3200
Analista estadístico 80 3200
Costos de tecnología - 3000
Costos de transporte - 500
Costos de reuniones - 500
Costos de mejora - 10000
TOTAL 54200
3.0 Enfoque de gestión de costes
3.1 Indicadores de Costes
El costo promedio para invertir en una implementación de un modelo de madurez en una

organización del sector financiero es 80000, el cual sería nuestro beneficio. El costo
aproximado de nuestro proyecto es de 54200. Nuestro indicador principal de costo sería
ROI, el cual se calcula de la siguiente manera:
(BENEFICIO-COSTO)/COSTO = (80000-54200)/54200 = 47.6%
De esta manera, podemos afirmar que con la implementación de nuestro proyecto no solo
reforzamos los aspectos de ciberseguridad en la compañía, sino que también, en un plazo
de 6 de meses, podemos ahorrar casi un 50% invirtiendo en nuestro modelo de madurez.
Cabe destacar, que el modelo no asegura la ciberseguridad en un 100%, por lo que retorno
en inversión puede variar y hasta ser menor, pero, de todas maneras, sigue siendo positivo.
Anexo E – Estado del arte
 A New Adaptive Cyber-Security Capability Maturity Model
Problema que el autor del artículo científico desea resolver
Las organizaciones necesitan una evaluación de seguridad para garantizar

la seguridad de la información adecuada en su organización. La evaluación
de seguridad significa probar un sistema para determinar su cumplimiento
con un modelo de seguridad, estándar de seguridad o métricas específicas
y predefinidas.
Importancia del problema
La evaluación de seguridad puede permitir a la organización aumentar la

eficiencia y el rendimiento, ya que es muy importante en la gestión y
planificación de la organización. La evaluación de seguridad en las
organizaciones debe basarse en su nivel de seguridad y métricas
especificadas / apropiadas. El modelo de madurez se considera como una
de las herramientas estándar conocidas en evaluación de desempeño.
Estado del arte que hace el autor
Capability Maturity Model (CMM) fue introducido por primera vez por el
Software Engineering Institute (SEI) en la década de 1980 (M. Paulk,
2009). Hoy, todos los modelos de madurez se basan en este modelo de
madurez básico. Este modelo es un enfoque de mejora de procesos basado
en un modelo de proceso. El modelo de proceso es un conjunto
estructurado de operaciones y ejercicios que mejoran con el tiempo (M.
Paulk, C. Weber, S. Garcia, M. Chrissis y M. Bush, 1993).
El modelo de madurez de capacidad básica tiene cinco niveles de madurez
de proceso llamados inicial, repetible, desafiado, administrado y
optimizado. Este modelo evalúa cada proceso en estos cinco niveles con
base en las mejores prácticas y la eficiencia del proceso (P. Byrnes y M.
Phillips, 1996).
El modelo de madurez de seguridad intenta identificar mecanismos,
procesos y procedimientos para mejorar la seguridad de la organización y
proponer un método de progresión basado en niveles (Wikipedia, 2018).
Motivación del autor
La principal motivación del autor es proponer un nuevo modelo de

madurez, basado en las condiciones de seguridad de la información y
madurez tecnológica, examina diferentes modelos de madurez y revisando
la literatura de contenido, proponiendo un marco integral para definir los
criterios para evaluación de madurez organizacional. Con la importancia
de medir no solo la situación actual, sino lo que le hace falta y cual sería
lo deseable para la toma de decisiones gerenciales.
Descripción del aporte del autor
En este documento, basado en las condiciones de seguridad de la

información y madurez tecnológica, examinando diferentes modelos de
madurez y revisando la literatura de contenido, se propone un marco
integral para definir los criterios para evaluación de madurez
organizacional.
Este modelo muestra no solo la situación actual, sino también la situación

más cercana y deseable para los gerentes. Además, el modelo de madurez
determina la cantidad de progreso en función del conjunto de criterios
específicos. Dado que la seguridad se conoce como un proceso, no como
un producto, el modelo de madurez también se usa para medir el nivel de
seguridad de la organización. Hoy, debido a la creciente importancia de la
seguridad, la identificación de los factores que se pueden utilizar para
evaluar el nivel de seguridad cibernética es la capacidad que las
organizaciones están tratando de lograr.
Proceso para resolver el problema
En este artículo, para presentar un nuevo modelo de madurez de seguridad

cibernética, una revisión sistemática de la literatura -Fig. 2- Ha sido usado.
Una revisión sistemática de la literatura o una revisión sistemática es un
método que recopila datos de muchas fuentes para investigar y
comprender las diversas formas del espacio de revisión (Keele university,
2007).
Las razones más comunes para utilizar la revisión sistemática de la
literatura son [6]:
• Resumir la evidencia existente sobre un problema.
• Identificar cualquier brecha en la investigación actual.
• Proporcionar un marco / antecedentes para posicionar adecuadamente
nuevas actividades de investigación.
Después de identificar los criterios de madurez utilizando el método de
revisión sistemática de la literatura para evitar la ambigüedad y la
confusión, se han presentado un marco y una categorización integral.
Principal resultado
El modelo de madurez es una herramienta de planificación y mejora

continua que se presenta como un método de evaluación de desempeño
continuo y basado en niveles. Este mecanismo se utiliza como herramienta
de apoyo para la mejora continua de la seguridad cibernética. Dado que
los dominios y subdominios del modelo de madurez de seguridad
propuesto se han identificado con base en el análisis de varios modelos de
referencia, revisión sistemática de la literatura y en base a la opinión de
los expertos, puede usarse en muchas áreas diferentes de seguridad. Para
usar este modelo, necesitamos definir las características de madurez de la
capacidad de seguridad cibernética y determinar los parámetros de sus
representaciones. Las características de madurez se definen y documentan
con base en la revisión sistemática de la literatura. El uso del modelo de
madurez propuesto permite la evaluación precisa de la situación de
seguridad y permite a los gerentes mejorar su proceso de toma de
decisiones en diferentes dominios.
 A Privacy Maturity Model for Cloud Storage Services
Los autores del artículo científico lograron identificar que existen barreras
que limitan el despliegue de soluciones basadas en cloud para el
almacenamiento de datos. La principal barrera que lograron identificar fue
la falta de confianza de los usuarios relacionada a la seguridad y privacidad
de la información almacenada.
El problema identificado por los autores del presente artículo científico

resulta ser de importante relevancia debido a que limita la utilización del
servicio de almacenamiento de datos en la nube. Cabe recalcar que este
servicio ofrece múltiples y considerables ventajas para diferentes personas
y/o empresas, como vienen siendo la optimización de infraestructura de TI
o la activación y consumo de recursos únicamente a demanda por parte del
usuario.
Los autores, para fundamentar la posible solución del problema

identificado, realizaron un trabajo previo relacionado a la seguridad en los
servicios cloud. Para lograr este objetivo, debieron de entender conceptos
claves como: información sensible, estrategias para la protección de
acceso a información sensible y nivel de privacidad. Un dato sensible es
cualquier tipo de información personal, la cual, visualizada sin una
autorización apropiada puede generar inconvenientes al dueño de dicha
información (Allen, 2001). En relación a las estrategias para la protección
de acceso a la información sensible se suele utilizar la encriptación y para
los proveedores de servicios cloud el mayor desafío se encuentra en
asegurar que la data registrada ha sido correctamente encriptada. Una mala
estrategia de protección puede comprometer la privacidad de la
información a través de intrusos maliciosos. (Cloud Security Alliance,
2013). En relación a los niveles de privacidad de la información por parte
de los proveedores de servicio cloud, actualmente no hay encuentros
formales en los que se haga referencia a la segregación de accesos. Los
niveles de servicio acorados (SLA, por sus iniciales en inglés) hacen
énfasis en la disponibilidad de los recursos informáticos (al, 2013) pero
sin embargo no se focalizan en la gestión de la privacidad del servicio
ofrecido.
Las motivaciones de los autores del presente artículo científico se orientan

en garantizar, en base a su análisis e identificación de barreras, el
despliegue y/o la contratación de servicios basados en cloud, los cuales
ofrecen múltiples beneficios a las empresas que deseen contar con dicho
servicio. De esa forma permiten una mejor gestión de recursos
informáticos por parte de las empresas.
El principal aporte de los autores del presente artículo científico está

basado en la identificación de oportunidades de mejora (orientadas a la
seguridad de la información) de los servicios cloud. Resulta ser de gran
importancia debido que se analizaron las principales barreras que eran
motivo de rechazo de algunas empresas para la migración a servicios
cloud. Este estudio resulta útil para los proveedores de servicio cloud,
debido a que se pueden focalizar en la remediación de las vulnerabilidades
identificadas para la prestación de un mejor servicio.
 Analysis of cybersecurity threats in industry 4.0

El problema que el autor desea resolver son las nuevas amenazas de
seguridad generados por la industria 4.0.
La denominada cuarta revolución industrial (4.0) está siendo anunciado
por la integración de la comunicación tecnológica, tan novedoso como la
Internet de las cosas, virtualización, big data o el Cloud Computing a los
sistemas de control y automatización.
Mientras que la integración de TI y OT (tecnología operativa) obtiene

grandes beneficios, también ha facilita la aparición de varios vectores de
ataque de TI en los ecosistemas industriales. Se trata entonces de esperar
que el número y el impacto de estas amenazas de seguridad cibernética
también aumentarán en entornos industriales futuros. Sin embargo, el
autor resalta que, debido a la falta de análisis sobre este tema, es esencial
para estudiar y comprender las amenazas de seguridad cibernética
causadas por las tecnologías anteriormente mencionadas.

El autor Davies, R (2015), resalta que la industria de 4,0 se refiere a la
digitalización de todos los componentes dentro de la industria. Este
concepto no está maduro, debido a la falta de acuerdo sobre el conjunto de
tecnologías consideradas y los intereses diferentes de los actores
involucrados (por ejemplo, los investigadores, los comités de
normalización, gobiernos). Sin embargo, puede ser definido desde un
punto de vista técnico como la combinación de los procesos productivos
con las principales tecnologías de la información y las comunicaciones.
Esto permite que todos los elementos que conforman los procesos
productivos (proveedores, planta, distribuidores, incluso el propio
producto) se conecten digitalmente, proporcionando un valor altamente
integrado.
Por otro lado, en entornos industriales tradicionales, el procesamiento de
la información de infraestructura sigue la estructura piramidal reflejada
por esta norma. Uno de los objetivos de los investigadores en el campo de
la Industria 4.0 es analizar cómo cambiar esta pirámide a un modelo que
proporciona una manera más dinámica y reconfigurable, como se
representa en la ilustración 1 (Leitao, P.; Barbosa, J.; Papadopoulou,
M.E.Ch.; Venieris, I.S. – 2014).
Ilustración 1 - Pirámide ISA-95 y la evolución hacia la Industria 4.0.
Por último, el autor Xu, X (2012) señala que la computación en la nube

puede ser considerado como otro de los pilares de la Industria 4,0 para una
variedad de razones. Por un lado, de que realice los procedimientos de
análisis con los datos proporcionados por el proceso industrial, obtenidos
por los dispositivos IoT. Por otro lado, se proporciona soporte para la
delegación de procesos de producción y de control a la nube, permitiendo
nuevos procesos productivos (por ejemplo, producto cliente central
automatizado) y servicios innovadores tales como “de fabricación basado
en la nube”.

La motivación para realizar el estudio fue el análisis de la evolución de las
cuestiones de seguridad cibernética y los requisitos que deben ser
satisfechos por los mecanismos de defensa de detección de intrusos.
El autor proporcionó una visión general de las amenazas y los requisitos

que están relacionados con las tecnologías de apoyo y servicios
innovadores de la industria 4.0
El autor llevo a cabo un estudio de esta naturaleza, aplicando la siguiente
metodología: Primero, revisar las principales tecnologías con concepto de
la industria 4.0, la identificación de las amenazas de seguridad locales en
contra de esas áreas y sus vectores de ataque más representativos.
Después, de haber comprendido los problemas asociados a las tecnologías
de apoyo se centrará en las amenazas a la seguridad asociados a los
servicios más innovadores de la industria 4.0. Por último, se hizo uso de
los resultados anteriores para proporcionar una visión general de los
requisitos adicionales que deben cumplir en la detección de intrusos en
sistemas con el contexto de la industria del futuro.
Principal resultado
Los análisis realizados en este estudio han demostrado que las amenazas
de la Industria 4.0 son inherentemente más complejo que las amenazas que
se dirigen a entornos industriales tradicionales. Dado que las redes e
interacciones ya no tienen compartimento mentalizada, el ataque
incrementa la superficie no sólo en términos de entidades vulnerables, sino
también en términos de atacantes potenciales y estrategias de ataque (por
ejemplo, ataques de comportamiento). Además, como el número de
elementos y procesos de negocio aumentan, se adicionan la existencia de
elementos vulnerables. Por otra parte, las oportunidades de colaboración
también aumentan la cantidad de información que está disponible para un
adversario en caso de que controla una sección del sistema. Estas
amenazas tienen considerable influencia sobre cómo los sistemas de
detección de intrusos (IDS) se deben diseñar, implementar y administrar.
 Can maturity models support cyber security

El problema que el autor desea resolver son las definiciones, los ámbitos
del ciberespacio y la ciberseguridad que aún no están bien definidos.
En la actualidad se está viendo un ciberespacio con una rápida expansión
sin precedentes del espacio y sus elementos. Toda la información
interactiva se procesa e intercambia a través de este espacio. Claramente,
una seguridad cibernética bien construida es vital para garantizar la
seguridad del espacio cibernético.
Las definiciones, los ámbitos del ciberespacio y la ciberseguridad que aún
no están bien definidos dificultan el establecimiento de modelos y
mecanismos de seguridad sólidos para proteger este espacio.
Los autores Whitman, M. and H. Mattord (2013), definen que la seguridad
informática ha evolucionado mucho en las últimas décadas. Desde el
concepto fundamental de la seguridad, que se define como la calidad o el
estado de seguridad, estar libre de peligro. Por ejemplo, la seguridad
nacional puede ser conocido como un sistema de procesos de varias capas
que protegen soberano de un estado: sus activos, los recursos y las
personas contra todo tipo de crisis "nacionales". Por lo tanto, la seguridad
informática puede ser pensada como un sistema de procesos que protegen
los recursos del espacio cibernético.
Por otro lado, algunos usan el término "seguridad cibernética", pero otros
prefieren "seguridad de la información" o "seguridad de TI". Una de las
razones de este uso es que las personas consideran tanto el ciberespacio
como la ciberseguridad desde diferentes perspectivas. La definición de
ciberespacio ha cambiado considerablemente desde que Wiener definió la
cibernética en 1948 como "control y comunicación en el animal y la
máquina". En las últimas décadas, las organizaciones académicas se
centraron en los elementos tangibles en el ciberespacio cuando prestaron
más atención a los componentes de infraestructura de los sistemas de TI,
y en elementos intangibles como los datos o las aplicaciones dentro de
estos sistemas. Recientemente, el ciberespacio ha crecido para incluir
redes sociales, nubes, Internet de las cosas (IOT), ciudades inteligentes,
redes inteligentes y otros sistemas definidos por software. (Von Solms, R.
and J. Van Niekerk, 2013).
Por último, el autor Humphrey (1989) recomienda un modelo de madurez
de la capacidad para la evaluación de la calidad del software. Este modelo
básico ha sido adaptado para la seguridad cibernética para un número de
razones. En primer lugar, los modelos de seguridad basados en el modelo
de madurez de la capacidad se han aplicado con éxito razonable para
muchos campos como la informática, negocios. En segundo lugar, los
modelos de madurez proporcionan un proceso de gestión completa para la
seguridad cibernética. En tercer lugar, se pueden extender para cubrir
muchos aspectos de seguridad o dominios
La motivación para realizar el estudio fue responder la pregunta ¿Pueden
los modelos de madurez apoyar la seguridad cibernética?
El autor revisó y consolidó las definiciones de ciberespacio y
ciberseguridad. Identificó y definio tres elementos fundamentales del
ciberespacio: entidades reales y virtuales en el ciberespacio, la
infraestructura de información de interconexión que conecta y media estas
entidades, y la interacción entre entidades.
El autor primero proporciona una revisión de varias definiciones de
ciberespacio y ciberseguridad para determinar una comprensión común
del espacio y su seguridad. Luego, investiga los modelos de madurez de
seguridad existentes, enfocándose en sus características definitorias e
identificando sus fortalezas y debilidades. Finalmente, el autor discute y
sugiere medidas para un modelo de seguridad cibernética sólido y
aplicable.
Principal resultado
El nuevo modelo es utilizado no solo por la administración sino también
por expertos en seguridad y profesionales para evaluar el estado general
de seguridad de la organización, sistema y tomar medidas para fortalecer
las debilidades de cualquier aspecto específico del sistema identificado por
la evaluación. Se abordan tres cuestiones específicas: Primero, identifica
los niveles de madurez de la seguridad cibernética de cada dominio
arbitrario y subjetivo como resultado de la verificación de cumplimiento
(Un modelo de seguridad debería ser más que cumplimiento). En segundo
lugar, la mayoría de los modelos de madurez de seguridad cibernética se
deben basar en estándares internacionales de seguridad cibernética, como
la serie ISO27000 o NIST. Las prácticas de seguridad en estos estándares
se miden principalmente mediante métricas y procesos cualitativos. Las
métricas cuantitativas deben ser esenciales para cualquier evaluación de
seguridad. En tercer lugar, el modelo es flexible para abordar la dimensión
específica de un ciberespacio o extensible para tratar con ciberespacios
emergentes.
 Capability Maturity Model and Metrics Framework for Cyber Cloud

Security
Actualmente el ciberespacio está afectando todas las áreas de nuestra vida.

Asimismo, la seguridad es vital para el entorno de la nube. Existen varios
modelos y estándares de seguridad en la nube que tratan con las amenazas
de seguridad en la nube emergentes. Sin embargo, estos modelos son
principalmente reactivos en lugar de proactivos. Es decir, no proporcionan
medidas adecuadas para evaluar el estado general de seguridad de un
sistema en la nube
En las últimas décadas, las organizaciones académicas se centraron en los

elementos tangibles del ciberespacio prestando más atención a los
componentes de infraestructura de los sistemas de TI, y en elementos
intangibles como los datos o las aplicaciones dentro de estos sistemas. Sin
embargo, el ciberespacio ha crecido para incluir redes sociales, nubes,
Internet de las cosas (IOT)y redes inteligentes. Además, para proteger un
ciberespacio de numerosas amenazas de seguridad se han desarrollado
muchos modelos y estándares de seguridad. A pesar de ello, cada uno se
centra en un ángulo de seguridad especifico como: el riesgo, los activos,
la identificación, los componentes físicos, la red, la aplicación y los datos.
Son pocos modelos de seguridad que consideran la seguridad de un
sistema en conjunto. Cabe recalcar que una sola vulnerabilidad menor
puede derribar todo el sistema y existen miles de estas vulnerabilidades.
Uno de los estados del arte que mencionan los autores se basa en el artículo
“Management of Information Security” (Kindle Edition ,2013). En esta
investigación se ayuda a los lectores a convertirse en profesionales de la
gestión de seguridad de la información capaces de proteger los sistemas y
las redes de un mundo donde las amenazas emergentes y los ataques
siempre están presentes. Además, ofrece un enfoque estricto en los
aspectos ejecutivos y gerenciales clave de la seguridad de la información,
sin dejar de enfatizar los materiales importantes para reforzar los
conceptos claves.
Otro de los estados del arte que hacen referencia los autores es “Security
in the Cloud” (Clavister,2008). En la cual el autor explica que las mayores
preocupaciones sobre la computación en la nube son la seguridad y la
privacidad. Las compañías son cautelosas de entregar sus datos críticos a
otra compañía. Según una encuesta de IDCI, el 74% de los ejecutivos de
TI y los CIO mencionaron la seguridad como el principal desafío para
evitar su adopción del modelo de servicios en la nube información.
Con esta investigación, los autores quieren demostrar que en los últimos
años se han propuesto varios modelos de madurez de seguridad para la
gestión de seguridad general. Destacando el modelo de madurez de
capacidades para evaluar la calidad del software presentado en 1989 por
Humphrey. Este modelo básico se ha adaptado para la seguridad
cibernética y ha sido aplicado con éxitos razonables para muchos campos
como TI y negocios, ya que proporciona un proceso de gestión completo
para la seguridad cibernética. Asimismo, se puede ampliar para cubrir
muchos aspectos de seguridad o dominios entre ellos tenemos muchos
ciberespacios tradicionales importantes como el gobierno electrónico, el
comercio electrónico, la educación, la salud, entre otras. Sin embargo,
pocos se centran en la seguridad en la nube, a pesar de tener los mismos
beneficios mencionados anteriormente.
Los autores proponen un nuevo modelo de madurez de capacidades de

seguridad para un ciberespacio en la nube específicamente (Modelo de
madurez de capacidades de seguridad en la nube , CSCMM) con un nuevo
marco de métricas que permitirá no solo a los gerentes evaluar el estado
de seguridad del sistema en la nube para el proceso de toma de decisiones
sino también a los profesionales de seguridad para identificar brechas de
seguridad e implementar respuestas de seguridad de manera sistemática y
cuantitativa.
En primer lugar, se revisa el conocimiento sobre ciberseguridad, modelos

de seguridad en la nube y modelos de madurez de seguridad, ya que el
ciberespacio cubre elementos informáticos, recursos y la infraestructura
de interconexión. Sin embargo, no implica interacción entre estos
elementos. Diferentes países definen ciberespacio en un sentido limitado
por ejemplo para Australia la seguridad cibernética se refiere a la
seguridad de los sistemas de información y esto implica que el
ciberespacio se trata solo de sistemas informáticos y que muchos
elementos no están incluidos. Por otro lado, Canadá tiene otra estrategia
en la que el ciberespacio es el mundo electrónico creado por las redes
interconectadas de tecnología de información y la información en esas
redes. Es por ello que la definición de ciberespacio es diversa lo que lleva
a diferentes énfasis en las definiciones de ciberseguridad. Luego de un
análisis, se sugiere que un ciberespacio consta de 3 elementos clave:
entidad reales y virtuales, infraestructura de interconexión e internación
entre entidades a través de la infraestructura. Asimismo, la nube es un
ciberespacio particular basado en virtualización y los recursos
informáticos compartidos. Sin embargo, las nubes como infraestructuras
cibernéticas con tres modelos de servicio (IaaS, PaaS y SaaS), cuatro tipos
de nubes de implementación (Privado, Público, Híbrido y Comunitario)
enfrentan problemas de seguridad desafiantes. Según la encuesta de IDC,
el principal desafío para el 74% de los CIO en relación con la computación
en la nube es la seguridad (C. Clavister,2008). Es por ello que Cloud
Security Alliance (CSA) introdujo y desarrollo una guía de seguridad para
áreas críticas de enfoque en la computación en la nube. A pesar de los
beneficios de la guía, esta carece de guía de evaluación para cada dominio
y no consideran las métricas de seguridad para las prácticas de seguridad,
pero se le aplico el estándar ISO / IEC 27017 lo cual ayuda con la
implementación de controles de seguridad de información específicos de
la nube complementado la guía en los estándares ISO 27000 incluyendo
ISO / IEC 27018 sobre los aspectos de privacidad de la computación en la
nube, ISO / IEC 27031 sobre continuidad del negocio e ISO / IEC 27036-
4 sobre gestión de relaciones. Posteriormente, se estudió la seguridad
cibernética de manera integral desde una perspectiva de arriba hacia abajo
para producir un modelo de seguridad que les permita hace una evaluación
del nivel de seguridad general de la entidad que requiere protección.
Además, el modelo deberá permitirnos identificar las debilidades de la
entidad y las medidas apropiadas para enfrentarlas. Humphrey (W.S.
Humphrey,1995) recomendó que el CMM evalúe la calidad del software
y ayude a las organizaciones de software a mejorar la madurez de sus
procesos de software al evolucionar de procesos ad hoc y caóticos a
procesos de software maduros y disciplinados (Figura 1). Es por ello que
se eligió un modelo de madurez hibrido que es la combinación de las
mejores características de los modelos de progresión y madurez de
capacidad. Además, se utilizaron métricas para evaluar el nivel de un
estado de seguridad ya que nos permite una cuantificación de alguna
característica de un sistema o componente.
En segundo lugar, se desarrolló un modelo de madurez de capacidad de
seguridad de la nube (CSCMM) con dos dimensiones que incluyen el
dominio y el nivel de madurez como se puede observar en la Figura 2. La
primera dimensión presenta doce dominios de seguridad en la nube. Cada
dominio es un conjunto de prácticas de seguridad cibernética. Las
prácticas dentro de cada dominio son un logro de objetivos que especifican
para la seguridad en la nube. La segunda dimensión muestra cuatro niveles
de madurez que se aplican por separado a cada dominio. Los niveles de
madurez indican una progresión paralela de madurez: general y específico.
El modelo es en general y se puede adaptar a sus objetivos consistentes
con diferentes modelos de servicios en la nube (SaaS) e implementaciones
(Nube pública, privada e híbrida). Para el desarrollo del modelo se
investigó 14 modelos de seguridad incluidos cinco modelos tradicionales
y nueve de seguridad en la nube como se puede observar en la Figura 3.
Finalmente, para evaluar el nivel de madurez de CSCMM modelo en
general y un dominio en seguridad o una actividad de seguridad en
particular, se propone un marco de métricas de seguridad con los
siguientes pasos como se puede observar en la Figura 4.
Figura 1. Niveles de proceso del modelo de Madurez de Capacidades
(Humphrey 1989).
Figura 2. Arquitectura del Modelo CSCMM.
Figura 3. La aparición de dominios de seguridad en el modelo de

seguridad.
Figura 4. Diagrama del marco de métricas CSCMM.
Principal resultado
En conclusión, los autores propusieron un modelo de madurez de

capacidad de seguridad en la nube que incluye dominios de seguridad
específicos de la nube y proporciona una evaluación cuantitativa de la
seguridad general. Para apoyar la medición del nivel de madurez de
seguridad, se introdujo el marco de métricas de seguridad. Este marco
incluye métricas cuantitativas relevantes para una evaluación medible.
Asimismo, presenta una evaluación del equilibrio de la seguridad general
de una organización o sistema cualitativa y cuantitativamente. Para los
gerentes senior, CSCMM ofrece una evaluación de seguridad significativa
del estado de seguridad de su infraestructura para tomar decisiones sobre
el plan y la dirección del negocio. Además, para expertos en seguridad o
profesionales, CSCMM con sus métricas cuantitativas permite medidas
proactivas y acciones receptivas. También se sugirió futuras
investigaciones con métricas avanzadas que involucran a diversos
interesados y componentes de los sistemas de seguridad en la nube.
 Cloud data governance maturity model
Los autores del presente artículo científico indican que hoy en día gran
cantidad de organizaciones utilizan el servicio cloud para almacenar la
diferente información que manejan. Lograron identificar que, pese a que
la mayoría de las organizaciones utilizan este tipo de servicio, todavía no
se ha establecido un método que resulte confiable, realizable y de bajo
consumo de recursos para realizar evaluaciones de la madurez de la
gobernanza de datos de los servicios cloud.
Debido a las múltiples ventajas que ofrece el almacenamiento de

información en la nube hacen a las organizaciones optar por la
contratación de servicios cloud. El problema identificado por los autores
del presente artículo científico resulta ser de suma importancia porque el
no contar con un correcto método para la evaluación de una organización
en cuanto a la gestión de la información en la nube, no les permite
identificar cuáles son sus vulnerabilidades y amenazas, y por ende, no
poder proteger información importante de una forma correcta. La
sustracción de esta información puede generar múltiples efectos negativos
para la organización afectada.
Para la realización del presente artículo científico, los autores realizaron

un trabajo de investigación previa. Gracias a esa investigación
comprendieron que la computación basada en cloud, en los últimos años
se ha ido desarrollando y mejorando considerablemente (Bannerman,
2010). Adicional a ello, el despliegue e implementación de la tecnología
en las diferentes organizaciones generan múltiples ventajas (Sprovieri &
Vogler, 2015). Identificaron también que para gran cantidad de
organizaciones el despliegue de un servicio cloud, puede resultar un
inconveniente debido que generan preocupaciones en los mismos, como
son la seguridad, privacidad, perdida de la información y el riesgo de
cumplimiento (Al-Ruithe, Benkhelifa, & K.Hameed, 2016).
Comprendieron además que los modelos de madurez son herramientas
útiles que permiten identificar problemas en las organizaciones y que
permite encontrar las mejores soluciones para remediar las brechas y
problemas identificados (Becker & Knackstedt, 2009).
Los autores del presente artículo científico buscan una forma de poder
ayudar a las organizaciones que cuentan con servicios cloud, a obtener de
forma precisa, el nivel de seguridad actual que tiene su servicio, y poder
realizar nuevos controles o desarrolla estrategias para poder eliminar las
brechas identificadas o mitigar los riesgos.
El modelo propuesto en el presente artículo científico permitirá a las

diferentes organizaciones tener una evaluación completa del estado actual
de su gobernanza de datos en los servicios cloud. Una vez obtenido los
resultados, las organizaciones deben de tomar decisiones fundamentadas
para la eliminación de las brechas de seguridad identificadas. El modelo
propuesto se basa en 10 dominios. En la tabla 1, se pueden apreciar todos
los dominios considerados para la elaboración del modelo y como estos
deben ser aplicados a la organización. En la imagen 1 se pueden ver los
diferentes niveles de madurez para la gobernanza de datos cloud. En dicha
imagen se puede visualizar que se han determinado 5 niveles para este
modelo: Ausencia de gobernanza de datos cloud (Nivel 1), Gobernanza de
datos cloud inicial (Nivel 2), Gobernanza básica (Nivel 3), Gobernanza
Aceptable (Nivel 4), Gobernanza completa (Nivel 5). En el 1er nivel se
encuentran las organizaciones que no tienen conciencia de la importancia
de la gobernanza de datos y que no cuentan con políticas, estándares,
principios y procedimientos que permitan una buena gestión de la
información. En el 2do nivel se encuentran las organizaciones que
reconocen los problemas de la gobernanza de información y saben que
deben de identificarlas a la mayor brevedad posible. En el 3er nivel se
encuentran las organizaciones que tiene un conjunto de procesos
estandarizados y que son usados para establecer una correcta estructura de
gobernanza de datos cloud. En el 4to nivel, se encuentran las
organizaciones que tiene una estructura de gobernanza de datos cloud bien
definida, que han identificado a todos los involucrados en la prestación de
servicios y los roles y funciones que ellos deben de cumplir. En el último
nivel, se encuentran las organizaciones que tiene control de la gobernanza
de datos cloud, la cual se encuentra basada en las necesidades de la
organización, que monitorean la implementación del programa de
gobernanza de datos cloud, y que tienen conocimiento de todas las
amenazas que pueden afectar a su información. En la tabla 2, se pueden
ver los dominios y el nivel de madurez. Dicha tabla contiene información
de cómo establecer o determinar el nivel de cada organización según los
10 dominios trabajados previamente.
 Cloud standards in comparision
La creciente relevancia del aseguramiento de la información en la

computación en la nube ha obligado a los gobiernos y las partes
interesadas a centrar su atención en las certificaciones y estándares de
seguridad de la Tecnología de la Información (TI). La introducción de
nuevos marcos como FedRAMP en los EE. UU. Y C5 en Alemania tiene
como objetivo elevar el nivel de protección contra amenazas y
vulnerabilidades exclusivas de la computación en la nube. Sin embargo,
nuestros análisis exhaustivos y sistemáticos revelan que estos nuevos
estándares no traen un cambio radical en el ámbito de las certificaciones.
Los resultados también muestran que los estándares recientemente
desarrollados comparten gran parte de su base con estándares más antiguos
y consolidados, como el ISO / IEC 27001 y, por lo tanto, la necesidad de
determinar el valor agregado.
En la última década, el aseguramiento de la información en la computación

en la nube ha captado mucha atención de los gobiernos y la industria de la
Tecnología de la Información (TI). Se han dedicado cada vez más recursos
y esfuerzos a la lucha contra las ciber amenazas en entornos de nube. Por
un lado, la investigación de protección efectiva contra nuevas
vulnerabilidades ha forzado la creación de técnicas de seguridad
innovadoras. Por otro lado, para medir de manera efectiva el nivel de
seguridad garantizado por los proveedores de servicios en la nube (CSP),
lo que permite a los inquilinos en la nube evaluar al proveedor más
adecuado para sus necesidades de seguridad, se requiere la estandarización
de los procesos de certificación y certificación.
El trabajo de Cloud Security Alliance (CSA) (CSA,2016) también se basa

en la observación de los estándares existentes, pero va más allá de la
observación al crear un nuevo marco. CSA ha revisado los estándares
existentes desde 2008, recopilando los resultados en una matriz (matriz de
control de la nube) que relaciona los marcos existentes a través de una lista
de controles detallados de garantía de la nube. CSA cierra la brecha entre
la industria común y las normas gubernamentales al ofrecer su propio
marco de normas consolidadas. Del mismo modo, algunos estudios
promueven mejoras en el estado actual de la seguridad en la nube al
remodelar el marco analítico en torno a las evaluaciones de seguridad.
Sugieren la definición de métricas de seguridad caso por caso en lugar de
basarse en los marcos existentes (Bayuk, J.,2011) (System Security
Engineering, 2018) (Cloud Security Metrics, 2015) o limitan su alcance a
sugerir la insuficiencia de los estándares existentes que los consideran
incapaces de seguir el ritmo de la innovación y demasiado caro para las
pequeñas empresas, erosionando así la competencia (Sunyaev, A.,
Schneider, S., 2013).
Este documento aborda preguntas sobre si las nuevas certificaciones como

FedRAMP o C5 se suman a los requisitos existentes: ¿qué tan efectivas
son las medidas y los marcos de seguridad de TI basados en certificaciones
contra estos estándares? ¿Son los estándares más nuevos mejores que los
antiguos para proteger el aseguramiento de la información en entornos de
nube y, de ser así, cómo? ¿Vale la pena invertir en nuevos estándares de
seguridad en la nube en lugar de centrarse en la mejora de los antiguos?
Este documento tiene como objetivo responder a estas preguntas y definir
la efectividad de C5 y FedRAMP en comparación con ISO / IEC 27001
para abordar el aseguramiento de la información en la computación en la
nube. Los resultados de las observaciones aclaran el impacto de C5,
FedRAMP e ISO / IEC 27001 (en adelante, "ISO") en el vasto panorama
de los estándares de seguridad de TI.
Ofrecen una revisión exhaustiva y análisis de su integridad y adecuación.
Se señala los controles y dominios de control que faltan en los tres
estándares y sugieren su impacto en la garantía de la nube al mostrar cómo
las amenazas potenciales pueden explotar las medidas de seguridad que
faltan. Identifican debilidades en la gestión de recursos humanos y
medidas de seguridad móvil para dos marcos, y más amenazas potenciales
derivadas de lagunas en el acceso y la gestión de credenciales. Las
conclusiones pueden usarse para mejorar la efectividad de otras versiones
de estos marcos.
La metodología se basa en un análisis de tres pasos. Se recopiló e hizo

coincidir los controles en los tres estándares con un marco de terceros;
seleccionamos los controles faltantes más relevantes según su adecuación
para abordar las amenazas actuales; y analizamos los controles que faltan
en contexto, evaluando su efecto en el panorama de amenazas.
En el primer paso, recopilamos los controles en los tres marcos: C5,
FedRAMP e ISO, y los clasificamos según el requisito que prescriben a
los CSP. En el segundo paso de nuestro análisis, seleccionamos los
controles más relevantes en función de su impacto en los problemas
enumerados entre los Doce Traicioneros de CSA (Clous Secuyrity
Alliance) (T12). En el tercer paso, sacamos conclusiones de lo cuantitativo
(número de controles que faltan en la comparación) y resultados
cualitativos (tipo de controles y dominio de controles que faltan) de los
primeros dos pasos.
Principal resultado
En este estudio, se comparó los tres estándares con el soporte de un marco

de terceros para arrojar luz sobre la necesidad de un nuevo estándar para
definir los requisitos de seguridad en la nube. Se analizó las medidas más
sensibles a la seguridad que faltan en los tres estándares organizándolos
en un modelo de ataque. Se determinó que la ausencia de un solo control
podría generar múltiples amenazas, exponiendo brechas de seguridad en
los tres estándares.
Se obtuvo resultados importantes que destacan la insuficiencia de los tres
estándares para garantizar completamente la seguridad de la nube
mediante nuestro marco analítico. ISO, sin embargo, ha mostrado mejores
rendimientos en comparación con los otros dos. Se destaca la
complementariedad de los tres estándares: solo falta uno de los controles
que afectan al T12 en más de un estándar, mientras que los otros diez se
distribuyen entre ISO, FedRAMP y C5.
 Comparative Study of Cybersecurity Capability Maturity Models
En sus inicios, la ciberseguridad era relativamente simple ya que se

centraba en virus y códigos maliciosos. Hoy en día, se ha convertido en
una actividad compleja. Debido a ataques persistentes a gran escala que
permiten el acceso a redes corporativas internas, provocando pérdidas
económicas, robo de información crítica, perdida de servicios e incluso la
pérdida de imagen y prestigio de la empresa.
La ciberseguridad es un término ampliamente utilizado que habla sobre la

seguridad de los sistemas y datos, pero tiene varias definiciones. Según la
comunidad de seguridad de ESET [4], la ciberseguridad se define como
"protección de los activos de información, a través del tratamiento de
amenazas que ponen en riesgo la información que procesa, almacena y
transporta sistemas de información que están interconectados”. Por lo
tanto, es una disciplina que involucra tecnología, personas, información y
procesos para permitir operaciones seguras, que es logrado a través de la
implementación de las mejores prácticas de ciberseguridad. Ya que si no
se implementan medidas de protección apropiadas los atacantes
cibernéticos podrían atacar robando información crítica y provocando la
pérdida de prestigio de la entidad.
“Enterprise cybersecurity: How to build a successful cyberdefense
program against advanced threats” (Cyber Security Compliance and Risk
Management,2015). En esta investigación se menciona la ciberseguridad
empresarial permite a las organizaciones de todos los tamaños defenderse
con los programas de seguridad de próxima generación contra la creciente
amenaza de los ciberataques
Otro de los estados del arte que hacen referencia los autores es “Maturity
Models in Cybersecurity: a systematic review” (Iberian Conference on
Information Systems and Technologies,2017). En él se indica que la
ciberseguridad es un proceso que implica
prevención, detección y reacción o respuesta, y que debe incluir un
elemento de aprendizaje para la mejora continua del propio. Asimismo, se
identificó que hay varios modelos de madurez, pero muy pocos enfocados
en ciberseguridad.
Con esta investigación, los autores quieren demostrar la ciberseguridad es

un tema de actualidad y una de las principales preocupaciones de las
organizaciones, debido a la creciente incorporación tecnología en ellas
.Asimismo, se han desarrollado varios modelos de madurez de capacidad
de seguridad cibernética que permiten medir las capacidades de seguridad
cibernética de las organizaciones y posicionarlas en niveles diferentes para
que las organizaciones puedan mejorar sus prácticas de ciberseguridad.
En primer lugar, se identifican las principales diferencias, ventajas y

desventajas de los modelos de madurez más utilizados en los estudios de
investigación, a partir de la revisión sistemática (RS). En segundo lugar,
se presenta el concepto de modelo de madurez de capacidad de
ciberseguridad. En tercer lugar, se presenta la metodología de
investigación del estudio comparativo y las características para la
comparación de los modelos de madurez de la capacidad de
ciberseguridad. Asimismo, se muestra la descripción y estructura de los
modelos de madurez de la capacidad de ciberseguridad identificados en la
revisión sistemática. Finalmente se muestra los resultados obtenidos de la
comparación y las conclusiones obtenidas del estudio comparativo de los
modelos de madurez de la capacidad de seguridad cibernética.
En primer lugar, se define el modelo de madurez de capacidades (CMM)

que se refiere en general a un enfoque de mejora de procesos que se basa
en un modelo de proceso en donde este concepto también aplica a modelos
de capacidad de cibersegurida.Por lo tanto , un modelo de madurez de la
capacidad de seguridad cibernética proporciona un punto de referencia
mediante el cual una organización puede evaluar el nivel actual de
madurez de sus prácticas , procesos y establecer objetivos para mejorar la
seguridad cibernética. Además, para identificar los principales modelos de
madurez de la capacidad cibernética se realizó una revisión sistemática
relacionada con los modelos de madurez de la capacidad de la
ciberseguridad utilizados en artículos científicos. Se determino los
modelos de madurez de capacidad de ciberseguridad mas relevantes que
son: SSE-CMM( Modelo de madurez de capacidad de ingeniería de
seguridad de sistemas) , C2M2(Modelo de madurez de capacidad de
ciberseguridad), CCSMM(Comunidad Modelo de madurez de seguridad
cibernética), NICE(Iniciativa nacional para la educación en seguridad
cibernética- Modelo de madurez de capacidad).
En segundo lugar , de los resultados de la revisión sistemática anterior , se
identificaron los modelos de ciberseguridad mas relevantes : SSE-
CMM,C2M2.CCSMM y NICE.La metodología para poder realizar el
estudio comparativo de los modelos mencionados se ha basado en la
taxonomía de entornos de mejora de software propuesta por Halvoresn y
Conradi.Lo cual están compuesta por una lista de 25 características
relevantes para la comparación de marcos de mejora de procesos de
software, estas características se agrupan en 5 categorías que son : General
, Proceso, Organización, Calidad y Resultado como se puede observar en
la Figura 1.
Finalmente, se describieron los componentes principales y a la estructura
de los modelos de madurez centrados en la ciberseguridad y los que se
adaptaron que son: SSE-CMM, C2M2.CCSMM y NICE. Además, se
realizó una tabla que muestra el valor de las características para cada uno
de los 5 modelos elegidos como se puede observar en la Figura 2. Pero el
estudio comparativo selecciono a los modelos SSE-CMM y C2M2 por que
cubren todas las áreas de la organización, cubren los atributos de seguridad
(confidencialidad, integridad disponibilidad).
Figura 1. Taxonomía para comparar entornos de mejora de procesos de
Halvorsen y Conrad.
Figura 2. Comparación entre modelos de madurez de capacidad de
ciberseguridad.
Principal resultado
En conclusión, todos los modelos se pueden adaptar a diferentes tipos de

organizaciones. Sin embargo, se necesita un cierto nivel para la elección
ya que existen modelos como C2M2 y CCSMM que están diseñados para
implementarse junto con el marco NIST.El único modelo de madurez que
se centra en la seguridad cibernética y se actualiza es el C2M2.Asimismo,
se identificó que todos los modelos de madurez de la capacidad de
seguridad cibernética necesitan un nivel de personalización que se
implementara en una organización. Además, la mayoría de los modelos de
madurez de la capacidad de ciberseguridad se basan en la gestión de
riesgos de ciberseguridad, pero solo SSE-CMM y C2M2 miden la gestión
de riesgos de una manera específica.
 Cybersecurity Capability Maturity Models for Providers of Critical

Infrastructure
Actualmente los sistemas de generación y distribución de energía, las

redes de telecomunicaciones, las tuberías y las redes de control de tuberías,
las redes de control de transporte, las redes financieras y la tecnología de
información y comunicaciones (TIC) del gobierno se han convertido cada
vez más en un blanco de los cibernéticos. Sin embargo, los gerentes tienen
a su disposición controles y modelos para asegurar la tecnología de la
infraestructura, pero la insuficiente información y conocimiento sobre que
modelos son más apropiados para una situación específica es el problema.
Las infraestructuras críticas que hacen posible nuestra forma de vida son
cada vez más vulnerables a los ciberataques. Estas se definen como
sistemas necesarios para la seguridad y el bienestar de los ciudadanos.
Además, la interrupción de una o más infraestructuras criticas conlleva a
un costo humano y financiero, que a menudo es el punto de un ataque
cibernético. Asimismo, a medida que aumentan los tipos de conectividad
y los volúmenes de flujo de datos, aumenta el potencial de ciberataques
(Dunpont, 2013).
“Developing Maturity Models fot IT Management” (Business &
Information System Engineering,2009). En esta investigación se
menciona que en los últimos años se han desarrollado mas de cien modelos
de madurez para respaldar la gestión de TI, pero indican un grado de
arbitrariedad con respecto a sus procesos de desarrollo. Esto se debe por
la documentación incompleta de las metodologías aplicadas para el
desarrollo del modelo de madurez.
Otro de los estados del arte que hacen referencia los autores es “Inductive
Design of Matury Models: Applying the Rasch Algorithm for Design
Science Research” (Lecture Notes in Computer Science,2011). En él se
indica que los modelos de madurez carecen de una base sólida y se derican
de un método de diseño arbitrario. Es por ello que en este artículo se
presenta un método para la construcción de modelos de madurez que
aplica el algoritmo de Rash y el análisis de conglomerados como una base
metódica sólida.
Con esta investigación, los autores quieren demostrar que en la actualidad

el conjunto de herramientas de modelos de madurez de capacidad de
seguridad cibernética es insuficientemente maduro para abordar el alcance
y la magnitud de las amenazas cibernéticas que enfrenta la infraestructura
critica hoy en día. Sin embargo, el propósito de este artículo es examinar
los modelos actuales de madurez de seguridad cibernética y evaluar su
aplicabilidad a los proveedores de infraestructura criticas
interdependientes, como los gobiernos municipales.
En primer lugar, los autores proponen examinar las definiciones de

infraestructura crítica y los marcos regulatorios relacionados en la unión
europea, los Estados Unidos y Canadá. En segundo lugar, describir las
amenazas comunes a la infraestructura crítica y clasificar las
características de los modelos actuales de madurez de la capacidad de
seguridad cibernética y su aplicabilidad los operadores de infraestructura
crítica, especialmente a aquellos que tienen sistemas interdependientes
como municipio. Finalmente, se ofrece recomendaciones gerenciales para
emplear modelos de capacidades de seguridad cibernética, identificar
brechas en la literatura y destacas áreas para estudios posteriores.
Debido a una mayor conciencia de las amenazas a los constituyentes y los

marcos de cumplimiento a nivel del gobierno federal y de la industria, han
creado la necesidad de evaluar e informar infraestructura critica que utiliza
modelos de madurez de capacidades de seguridad cibernética. Es por ello
que se basan en 4 marcos como se puede observar en la Figura 1 para
reconocer las interdependencias de la infraestructura critica en función de
consideraciones geográficas y específicas que se requiere colaboración
para garantizar una respuesta adecuada a fallas criticas de infraestructura,
ya que , a medida que aumenta la complejidad y las interdependencias de
la infraestructura citica , los proveedores deben hacer frente a la creciente
vulnerabilidades de sus sistemas de gestión de amenazas cibernéticas. Y
así en lugar de listas de verificación simples, los gerentes ahora tienen
criterios bien definidos contra los cuales medir la madurez de su
preparación contra las amenazas cibernéticas (Debreceny, 2006;
Lahrmann et al., 2011; Siponen, 2002) con modelos como el Modelo de
Madurez de Capacidades de Ingeniería de Seguridad de Sistemas de la
Organización Internacional para la Estandarización (SSE-CMM), el
Modelo de Evaluación de Seguridad de la Información de Citigroup (CITI-
ISEM) y el Equipo de Respuesta a Emergencias Informáticas / CSO en
línea en la Universidad Carnegie Mellon (CERT / CSO) alrededor del
turno de la iniciativas del siglo XX a las modernas, como los estándares
actuales de la Organización Internacional de Normalización (ISO / IEC),
el marco de Ciberseguridad del Instituto Nacional de Estándares y
Tecnología (NIST), el Modelo de Madurez de Capacidad de
Ciberseguridad del Departamento de Energía de los Estados Unidos
(C2M2) y el Departamento de NICE-CMM de Homeland Security lanzado
en 2014. Estos modernos modelos de madurez de capacidad de
ciberseguridad que se puede observar en la Figura 2 proporcionan las
etapas para una evolución su camino hacia el desarrollo de políticas y
procesos para la seguridad y la presentación de informes sobre la
seguridad de la ciberseguridad de la infraestructura crítica.
Figura 1. Ejemplo de regulaciones y marcos de ciberseguridad.

Figura 2. Modelos de madurez de la capacidad de ciberseguridad para
infraestructura crítica.
Principal resultado
En la revisión de los modelos actuales de madurez de la capacidad de

ciberseguridad resalto que existen muchos modelos, pero ninguno esta
específicamente diseñado para abordar el escenario de un operador de
múltiples sistemas interdependientes. Es decir, se centran en
infraestructuras federales o subsectores específicos de la industria y todos
están en un alto nivel. Asimismo, la ausencia de un modelo de madurez de
capacidad de ciberseguridad para los gobiernos municipales brinda una
oportunidad para futuras investigaciones a expertos de la industria.
Finalmente, aunque los marcos regulatorios que se mostraron en la Figura
1 proporcionan definiciones claras de infraestructura crítica y la necesidad
de asegurarlos carecían de un enfoque en la adopción de modelos de
madurez de la capacidad cibernética.
 Exploring suitability of cloud
Varios estudios realizados por organismos de la industria india revelan que

la penetración y adopción de las TIC por parte de las PYME indias es
bastante baja (Confederación de la Industria India, 2015; FICCI, 2012;
NASSCOM, 2010). Las cinco principales barreras para la adopción de las
TIC por parte de las pymes de la India son el alto costo de las soluciones
de TIC, la falta de poder humano experimentado, el desconocimiento de
las TIC y sus beneficios, la seguridad de los datos y la privacidad, y la falta
de energía eléctrica y la infraestructura de telecomunicaciones (INTUIT y
Ministerio de MIPYME, Gobierno de la India, 2012). En tal escenario, la
computación en la nube puede llegar a ser un cambio de juego para muchas
pymes que están dispuestas a utilizar las TIC en la mayor medida posible
sin incurrir en una gran inversión inicial y también sin temor a quedar
atrapadas en una tecnología obsoleta. La computación en la nube permite
a los proveedores de servicios ofrecer infraestructura de TIC (software y
hardware) como una utilidad para los clientes finales (Buyya et al., 2009).
La computación en la nube puede ayudar a las PYME a reducir los costos

de adquisición y mantenimiento de las TIC, atraer nuevos clientes, mejorar
los flujos de efectivo, mantener la rentabilidad y volverse más ágiles
(Marston et al., 2011). Las PYMES que hasta ahora han invertido menos
en infraestructura de TIC, de hecho, son más adecuadas para adoptar y
usar la computación en la nube (Bhat, 2013).
Existen muy pocos estudios sobre la adopción y el uso de la computación

en la nube por parte de PYME en países en desarrollo como la India. Esto
requiere un mayor trabajo de investigación en el área de la adopción de
computación en la nube por parte de las PYME en economías en
desarrollo. En este estudio se intenta explorar la idoneidad de la
computación en la nube para las PYME en la India.
En varios estudios se analizan las cuestiones teóricas, técnicas y

relacionadas con los costos asociadas con la adopción de la computación
en la nube entre las organizaciones. Varios investigadores utilizan diversas
teorías probadas y existentes sobre la adopción de tecnología para
comprender la aceptación de nuevas tecnologías como la computación en
la nube a nivel individual y de empresa. Teorías como el Modelo de
Aceptación de Tecnología (TAM), la Teoría del Comportamiento
Planificado, la Teoría Unificada de la Aceptación y el Uso de la
Tecnología, la Difusión de la Innovación (DOI) y el marco de la
Tecnología-Organización-Medio Ambiente (TOE) encuentran
ampliaciones en la literatura revisada. La literatura también sugiere que,
para comprender mejor la adopción de nuevas tecnologías, se podría
utilizar colectivamente más de un modelo teórico (Oliveira et al., 2014).
Los factores relacionados con la adopción de la computación en la nube
por parte de empresas en un contexto de país en desarrollo son examinados
exhaustivamente por Senyo et al. (2016). Este estudio reveló un total de
tres factores, a saber, la facilidad de uso y la comodidad, la seguridad y la
privacidad, y la reducción de costos. Este estudio no ha tomado muchos
modelos teóricos existentes como TAM, TOE o DOI.
Seethamraju (2013) investiga la adopción de la aplicación ERP basada en

la computación en la nube por parte de las PYME. En este estudio se revela
que el bajo costo total de propiedad, los bajos costos de inversión inicial,
la posible disposición del proveedor para participar en la creación conjunta
de valor para los clientes, la mejora continua de las ofertas de productos y
los beneficios genéricos de implementar un ERP integrado.
Como el estudio actual intenta investigar la aceptación de la computación

en la nube a nivel de empresa, el uso del marco TOE y DOI está
justificado, ya que estos dos modelos se utilizan con frecuencia para
evaluar la adopción de varios tipos de nuevas tecnologías a nivel de
empresa (Zhu et al., 2006; Tsai et al., 2010; Ghobakhloo et al., 2011).
Debido a estas observaciones y considerando los modelos teóricos
relevantes (TOE y DOI), se han seleccionado siete factores de la literatura
para llevar a cabo el trabajo de investigación presentado.
La principal motivación del autor es apoyar a las pequeñas y medianas

empresas (PYMES) que desempeñan un papel importante en la economía
de muchos países en desarrollo al hacer importantes contribuciones a los
dominios de generación de empleo, producción industrial y exportaciones.
Las PYMES en los países en desarrollo, especialmente como la India,
también ayudan a disminuir varias disparidades regionales existentes al
aprovechar el crecimiento socioeconómico de las zonas rurales y
atrasadas. Según un informe anual de 2014-2015, publicado por el
Gobierno de la India, el Ministerio de Micro, Pequeñas y Medianas
Empresas (MIPYME), las PYME en la India proporcionan empleo a
alrededor de 80 millones de personas, contribuyen el 8 por ciento al PIB y
también constituyen 40 por ciento de la exportación total del país, por lo
tanto, es un buen motivo para realizar el estudio mencionado.
Se formuló un marco conceptual inicial sobre la base de los factores

identificados. El marco fue evaluado empíricamente basándose en una
muestra de 121 pymes de un área industrial prominente en la India. El
análisis factorial exploratorio reveló la existencia de cinco factores que
influyen en la adopción de la computación en la nube por parte de las
pymes, que incluyeron los beneficios percibidos, el apoyo de la
administración superior y la presión competitiva, las preocupaciones
percibidas, la seguridad y la privacidad, y la confiabilidad. El marco de
investigación inicial se modificó en consecuencia y las nuevas hipótesis
se postularon para reflejar los cambios.
Se espera que el estudio proporcione a las PYME una perspectiva de los

beneficios y desafíos reales asociados con la adopción de la computación
en la nube. El modelo puede ayudar a las PYMES a evaluar su preparación
para adoptar la computación en la nube y puede garantizar el resultado
exitoso de la adopción de la computación en la nube en las PYMES. Los
proveedores también se beneficiarán a través de una mejor comprensión
de los requisitos de las PYMES.
La revisión de la literatura se utiliza para identificar los beneficios,

desafíos y factores relacionados con el uso y la adopción de la
computación en la nube por parte de las PYME. Se desarrolló un marco
conceptual basado en los modelos teóricos existentes y los factores
identificados en la literatura. Se siguió una encuesta basada en el método
de cuestionario para recopilar datos de 121 pymes fabricantes en la India.
El marco conceptual se refinó mediante el análisis factorial y se utilizó el
análisis de regresión múltiple para probar las hipótesis.
Principal resultado
Los resultados indicaron que los beneficios percibidos, el apoyo de la

administración superior y la presión competitiva, y las preocupaciones
percibidas son los factores importantes que influyen en la intención de las
PYME de adoptar la computación en la nube. Estos hallazgos
complementan la literatura que evalúa la adopción de cloud computing por
parte de las organizaciones.
Inesperadamente, los factores como la seguridad, la privacidad y la
confiabilidad no se consideraron significativos en este estudio, lo que
puede reflejar la creciente madurez de los servicios de computación en la
nube.
El estudio ofrece algunas contribuciones útiles al creciente cuerpo de
conocimientos relacionados con la adopción de la computación en la nube
por parte de las PYME y ofrece beneficios a los investigadores,
responsables de políticas de TI, proveedores de servicios en la nube y
propietarios / gerentes de las PYME en sus esfuerzos por promover el uso
de la computación en la nube entre las pymes.
Los factores que se consideran significativos incluyen los beneficios
percibidos, el apoyo de la alta gerencia, la presión competitiva y las
preocupaciones percibidas. El modelo explicó el 73 por ciento de la
adopción de la computación en la nube.
 Maturity model of procurement
Para evaluar la madurez de la empresa en su conjunto, diferentes aspectos

o dimensiones, evalúe estas etapas de madurez. Estos aspectos son la
comprensión y la actitud de la gerencia, el estado de la organización, el
manejo de problemas, el costo de la calidad, las acciones de mejora y el
informe de características. El Software Engineering Institute desarrolló un
modelo de cinco niveles, conocido como Capability Maturity Model
(CMM), para el desarrollo de software. Este modelo guía la mejora del
proceso de desarrollo de software a través de prácticas de gestión óptimas.
Sin embargo, aunque se aplica ampliamente, el modelo tiene varias
limitaciones, especialmente para las pequeñas empresas.
Otro problema para implementar CMM en pequeñas empresas es que

muchas de las prácticas dentro de CMM no son aplicables a estas
organizaciones. Además, contactando a 274 organizaciones australianas,
encontraron que "las organizaciones pequeñas que no adoptan CMMI
tienden a decir que adoptarlo sería inviable". Por lo tanto, es necesario
desarrollar MMC alineados con el tamaño y los segmentos de las empresas
y con los cuales se miden los aspectos de la madurez.
Hoy en día, la competencia entre organizaciones es una realidad en todas

las áreas económicas. Esta competencia no ocurre solo entre empresas sino
también entre cadenas de suministro. Más específicamente, en los últimos
años, el volumen de compras (porcentaje del volumen de negocios total de
una organización) ha crecido sustancialmente. En estas circunstancias, un
mejor desempeño de la función de adquisición puede hacer una
contribución considerable al desempeño general de una empresa. La
mayor parte del costo de los bienes son materias primas, componentes y
servicios adquiridos. Por lo tanto, la eficiencia de adquisiciones y
suministros puede llevar a una ventaja competitiva sustancial.
Particularmente relacionados con los modelos de madurez en la gestión de

suministros, la mayoría ha trabajado en la gestión de la cadena en su
conjunto, con proveedores y clientes. Estos trabajos buscan identificar los
aspectos estratégicos de la gestión de la cadena de suministro, y se aplican
principalmente a grandes empresas que son capaces de gestionarlo de
manera integrada. Para las pequeñas empresas, la integración de esta
cadena es baja y difícil, siendo necesario primero mejorar la propia
madurez de la empresa. Además, los modelos de madurez de la gestión de
la cadena de suministro suelen estar relacionados con las empresas de
fabricación. Por lo tanto, desarrollar un modelo de madurez en la gestión
de adquisiciones y suministros para pequeñas y medianas empresas sigue
siendo un problema por resolver.
Uno de los aspectos es su nivel de madurez, que afecta el rendimiento de

una empresa (Batenburg y Versendaal, 2008). Según Becker et al. (2009):
[…] Un modelo de madurez consiste en una secuencia de niveles de
madurez para una clase de objetos. Representa una trayectoria de
evolución típica de estos objetos en forma de etapas discretas.
Normalmente, estos objetos son organizaciones o procesos.
Habiéndose expandido fuertemente en las últimas dos décadas, el

concepto de gestión de madurez surgió del concepto de gestión de calidad.
Basado en los principios de calidad, el primero en proponer un marco de
madurez fue Crosby (1979), en su libro Quality Is Free. La cuadrícula de
madurez de la gestión de la calidad (Crosby, 1979) describe cinco etapas
evolutivas de la adopción de prácticas de calidad: incertidumbre,
despertar, iluminación, sabiduría y certeza.
Basado en el modelo de Crosby, el Software Engineering Institute
desarrolló un modelo de cinco niveles, conocido como Capability Maturity
Model (CMM), para el desarrollo de software (Paulk et al., 1993). Este
modelo guía la mejora del proceso de desarrollo de software a través de
prácticas de gestión óptimas.
Según Schiele (2007), existe una relación altamente significativa entre el

nivel de madurez y los resultados de los esfuerzos de reducción de costos.
En este sentido, Foerstl et al. (2013) identifican cómo las diferentes
prácticas de adquisición tienen un impacto en el rendimiento de compra e,
indirectamente, en el rendimiento financiero. Paulraj et al. (2006), Schiele
(2007) y Batenburg y Versendaal (2008) encontraron que un nivel de
madurez más alto tiene un impacto positivo en el desempeño de la
organización.
Como lo muestra Koivisto (2013), el problema con los modelos que se han
desarrollado es que la mayoría de ellos son solo conceptuales y no están
completamente probados. Haciendo una revisión bibliográfica, Schweiger
(2014) muestra solo siete modelos que han sido probados empíricamente.
Por lo tanto, debemos explorar las aplicaciones prácticas de los modelos
de madurez, demostrando cómo las empresas pueden utilizar la
autoevaluación para mejorar su gestión.
Una de las principales motivaciones del autor, recae en innovar con un

modelo de madurez dedicado a las pequeñas y medianas empresas, que se
adapten a sus necesidades y que les permitan mejorar y organizar de una
manera adecuada sus procesos. Asimismo, busca que los modelos de
madurez no solo se enfoquen en empresas grandes, si no también, busquen
el desarrollo de la pequeñas y mediana empresas.
El propósito de este documento es presentar un instrumento práctico para

la autoevaluación de la madurez en los procesos de gestión de
adquisiciones y suministros, aplicable a pequeñas y medianas empresas,
así como mostrar cómo el uso de esta herramienta de evaluación puede
ayudar a las empresas para decidir qué mejorar en estos procesos.
Al presentar un útil instrumento de autoevaluación, este trabajo demuestra

que la medición del nivel de madurez y su evaluación comparativa con
otras compañías pueden ayudar a una empresa a decidir qué mejorar en
sus procesos de adquisición y gestión de materiales, mostrando cómo Un
sector económico puede entenderse mejor. Pocos estudios científicos
tienen una aplicación práctica para evaluar el grado de madurez de los
procesos de gestión de adquisiciones y suministros. Además, los autores
no encontraron otros artículos que presenten una comparación de
diferentes segmentos.
Sobre la base de un marco empírico y teórico, el instrumento desarrollado

mide la madurez de las actividades de gestión de adquisiciones y
suministros en cuatro procesos macro: gestión de materiales, proceso de
compra, proceso de evaluación de proveedores y proceso de planificación
de adquisiciones. Para probar el instrumento de autoevaluación, los
autores evaluaron la madurez de 48 hospitales y 37 empresas de
fabricación metalmecánica ubicadas en la región sur de Brasil.
Para mostrar cómo usar esta herramienta para decidir qué mejorar en los
procesos de adquisición y suministro, los autores realizaron un análisis
comparativo de un hospital y una empresa metalmecánica, en relación con
la muestra del mismo segmento.
Principal resultado
En este documento, se ha desarrollado un instrumento práctico para la

autoevaluación de la madurez de la gestión de adquisiciones y suministros,
aplicable a las pequeñas y medianas empresas. Este instrumento evalúa la
madurez de cuatro procesos macro: gestión de materiales, proceso de
compra, proceso de evaluación de proveedores y proceso de planificación
de adquisiciones. Para probar y mostrar cómo las empresas pueden usarlo
para evaluar y tomar medidas, se aplicó el instrumento a 48 hospitales y
37 compañías metalmecánicas ubicadas en la región sur de Brasil. Con las
pruebas estadísticas, los resultados muestran que el instrumento es
confiable para la aplicación práctica.
Las industrias metalmecánicas tienen una mayor madurez en el proceso de

compra que en los otros macro-procesos evaluados. En cuanto a los
hospitales, la gestión de los materiales es más madura que los otros tres
procesos macro.
Otro aspecto relevante para saber qué mejorar es que una compañía debe
comparar su nivel de madurez con otras compañías en su segmento y
tamaño de mercado específico. Mostrando la relevancia de la evaluación
comparativa, este documento presenta un análisis comparativo de un
hospital y una empresa metalmecánica con los otros en el mismo
segmento. Los resultados muestran más específicamente qué mejorar,
reduciendo los esfuerzos y los costos para mejorar la competitividad.
Entendemos que los investigadores deben permitir la difusión práctica del
conocimiento. Por lo tanto, para ayudar a los hospitales y las
organizaciones metalmecánicas a mejorar su nivel de madurez y ayudar a
los investigadores a usar y probar el instrumento desarrollado.
 Maturity Models in Cybersecurity a systematic review
Actualmente nuestro mundo se vuelve cada vez más interconectado y cada

vez más en línea, el daño que las amenazas cibernéticas pueden causar a
nuestro mundo cibernético está aumentando exponencialmente.
Para muchos de los usuarios en la edad adulta les es difícil recordar la vida
antes de las computadoras personales. Sin embargo, como el mundo en
línea se ha desarrollado aceleradamente, la capacidad de proteger el
mundo en línea ha tenido menos tiempo para desarrollarse y hoy en día
aún está madurando. Por lo tanto, cada semana o a diario se escucha y se
anuncia sobre violación de la seguridad cibernética como: tarjetas de
créditos robadas, empresas hackeadas, información personal
comprometida.
“A maturity model for part of the African Union Convention on Cyber
Security” (Science and Information Conference,2015). En esta
investigación se menciona la seguridad y protección de datos personales
fue aceptada en junio del 2014 por los Estados miembros de la UA. Sin
embargo, no existe un instrumento con el cual evaluar la posición actual
de seguridad cibernética. El autor define un instrumento que consiste en
un modelo de madurez para una parte de la convención y está destinado a
ayudar a los Estados Miembros de la Unión Africana para evaluar su
estado de seguridad cibernética.
Otro de los estados del arte que hacen referencia los autores es
“Assessment and Continuous Improvement of Information Security Based
on TQM and Business Excellence Principles” (Procedia Economics and
Finance,2015). En la cual el autor se centra en un enfoque para la
autoevaluación y la mejora continua de la seguridad de la información
basada en los conceptos y criterios fundamentales del modelo de
excelencia empresarial de la fundación europea para la gestión de calidad
(EFQM). Con el objetivo de resaltar el estado del arte con respecto a los
enfoques utilizados para la evaluación y la mejora continua de la seguridad
de la información. Además, proponer una metodología para la evaluación
y mejora continua de la seguridad de la información.
Con esta investigación, los autores quieren demostrar que en la actualidad

existen muchos modelos de madurez en ciberseguridad, pero es difícil
identificar cuáles son los principales e eficientes métodos de madurez en
ciberseguridad, ya que aun con tantos modelos de madurez en
ciberseguridad en el mercado los atacantes cibernéticos siguen vulnerando
las empresas.
En primer lugar, los autores proponen identificar cuáles son los principales
modelos de madurez en ciberseguridad utilizando una revisión sistemática
para un óptimo análisis. En segundo lugar, se define el concepto de modelo
de madurez y se presenta los detalles del proceso de revisión sistemática.
Finalmente, se analiza e interpreta los resultados de la revisión sistemática
y se informa de los resultados en base a los modelos de madurez en
ciberseguridad más utilizados.
En primer lugar, se define modelo de madurez en ciberseguridad como

conjunto de características, atributos, indicadores o patrones que presentan
la capacidad y la progresión de una disciplina en particular. Asimismo,
consideran la seguridad cibernética a través de diferentes áreas o
dimensiones. Sin embargo, cada dimensión no es necesariamente
independiente de las otras. Por lo tanto, proporciona un punto de referencia
con el que una organización puede evaluar el nivel actual de capacidad de
sus prácticas. Procesos, métodos y establecer objetivos para la mejora.
En segundo lugar, para la elección de los principales modelos de madurez
en ciberseguridad que existen en el mercado se utilizó la técnica de
revisión sistemática propuesta por Kitchenham (Kitchenham,2004). La
revisión sistemática es un proceso formal y verificable que el investigador
realiza para documentar el estado de conocimiento sobre un tema en
particular. Esta revisión sistemática incluye las siguientes actividades: A)
Identificar las necesidades para realizar la revisión sistemática, B)
Proponer protocolos de revisión, C) Llevar a cabo la revisión (identificar
los estudios primarios e evaluarlos), D) Analizar e interpretar los
resultados de la revisión sistemática, D) Informar de los resultados de la
revisión sistemática. Entre las principales actividades tenemos la actividad
de revisión, en este punto se muestra la búsqueda realizada de los artículos
en las bases de datos seleccionadas con las cadenas de búsquedas
predefinidas y los criterios de inclusión y exclusión como se puede
observar en la Figura 1 para luego seleccionar las fuentes de búsquedas
para los artículos correspondientes, se obtuvo el número de artículos y el
número de artículos primarios como se puede observar en la Figura 2.
Finalmente, se recopila la información y se analiza usando herramientas
de estadísticas para determinar la frecuencia del nombrado de los modelos
de madurez en ciberseguridad, los estudios fueron clasificados como:
modelos de madurez en ciberseguridad, modelos de madurez más
nombrados en los estudios y variantes de los modelos de madurez en
ciberseguridad. Asimismo, los estudios fueron clasificados en base a la
categorización de Petersen (Petersen,2008) como se puede observar en la
Figura 3
Figura 1. Criterios de Inclusión y Exclusión.
Figura 2. Distribución de los estudios por Fuente.
Figura 3. Distribución de los estudios por Fuente

Principal resultado
Los resultados de la revisión sistemática fueron:

 Modelos de Madurez en Ciberseguridad Utilizados en los Estudios (Figura 4)
Figura 4. Modelos de Madurez en Ciberseguridad Identificados.
 Frecuencia de Nombrado de los Modelos de Madurez en Ciberseguridad

(Figura5). Se puede observar que el más utilizados es el SSE-CMM que ha
sido adoptado para ciberseguridad. El SSE-CMM (Systems Security
Engineering Capability Maturity Mode)Origen de la Norma ISO/IEC
21827:2002.Es una de las normas más utilizadas internacionalmente en
relación con la definición e implantación de los procesos de seguridad, ya que
define en detalle los procesos que deben tenerse en cuenta en cualquier
organización que desea implantar un “Proceso Global de Seguridad”. Este
modelo es el más mencionado en los trabajos de investigación y es un modelo
aplicado a seguridad de la información, pero se ha acoplado en los diferentes
trabajos para abordar ciberseguridad
Figura 5. Frecuencia del nombrado de los Modelos de Madurez en
Ciberseguridad identificados por año.
 Personal data protection maturity model for the micro financial

sector in Peru
Los autores del presente artículo lograron identificar que hoy en día el
sector micro financiero es un elemento estratégico en la economía de los
países en vía de desarrollo debido que permite el crecimiento de la
economía. La apropiada gestión de los datos personales resulta ser uno de
los pilares para el correcto funcionamiento de las microfinanzas, debido
que permiten a los entes financieros, obtener datos e información de
calidad para la toma de decisiones y la mejor continua de los procesos.
El problema identificado por los autores del artículo científico resulta ser
sumamente relevante puesto que la mala gestión de la información de las
personas puede afectar seriamente a las diferentes actividades y procesos
que realizan los entes direccionados al sector micro financiero. Adicional
a ello cabe resaltar que la mala gestión de la información puede llegar a
generar denuncias y sanciones a los entes responsable.
Para poder modelar y probar el modelo propuesto, los autores del presente
artículo científico debieron de realizar un trabajo de investigación previo.
Un modelo de madurez evalúa las capacidades de las organizaciones en
determinadas disciplinas y las compara con estándares preestablecidos,
permitiendo de esa forma identificar vulnerabilidades, debilidades y
establecer procesos para la mejora continua. El modelo de Gobernanza de
Información se encuentra alineado a estándares ISO de gestión de datos,
registros, archivos y activos. (Proenca, Vieria, & Borbinha, 2016) El
Modelo de Seguridad de la Información financiera se encuentra agrupado
en 3 áreas que son gestión, operaciones y técnicas (Park, Choy, & Shon,
2014). El modelo de Evaluación cíclica de Seguridad de la Información
(Alencar Rigon, Merkle Westphall, Ricardo dos Santos, & Becker
Westphall, 2014) también fue contemplada para el diseño de este modelo
propuesto por los autores. El modelo de Gobernanza de Ciberseguridad se
encuentra orientado a las capacidades que una organización debe de
desarrollar para tener una gestión adecuada de seguridad de información
(Bruin & Solms, 2016)
La principal motivación de los autores del presente artículo científico es

presentar un modelo el cual permita a los diferentes entes financieros
obtener una mejor gestión de la información de las personas, garantizando
de esa forma un mejor servicio por parte de ellos y el cumplimiento de las
diferentes políticas, leyes y normativas relacionadas a la protección de los
datos personales del Perú.
El principal aporte de los autores del artículo científico es el desarrollo y

modelado de una arquitectura para una mejor protección de datos
personales por parte de las organizaciones que se encuentran orientadas al
sector micro financiero. Dicho modelo, también permite a las
organizaciones saber el nivel en el que se encuentran actualmente y que
procesos y controles implementar para mejorar su nivel de madurez.
Los autores del presente artículo científico para poder diseñar el modelo
de protección de datos personales para el sector micro financiero
realizaron 5 fases: Base, Modelos, Niveles de Madurez, Dominios y
Referencias y Criterios.
En la fase Base se realizó una comparativa de 5 modelos de madurez. En

la tabla 1, se puede apreciar los 5 modelos comparados y los diferentes
dominios aplicables para cada modelo. Se puede apreciar que todos los
modelos contemplan la seguridad de la información, que únicamente el
modelo de Evaluación cíclica de Seguridad de la Información no
contempla a la organización y que el modelo de gobernanza de
información contempla todos los modelos. En la tabla 2 se pueden apreciar
los diferentes modelos comparados y la definición de sus niveles de
madurez. De ella se puede ver que la gobernanza de Ciberseguridad no
cuenta con un nivel 1 y que combina los niveles 3 y 4. Por otro lado el
modelo de Seguridad de la información para SMEs, combina los niveles 1
y 2.
Tabla I.Matriz Comparativa de Modelos y Dominios
En la fase de Modelos, para el desarrollo del modelo y búsqueda de la

madurez de este, las organizaciones se dividieron en 3 partes: Inmaduras,
en las cuales se agrupan las organizaciones con conocimientos básicos de
protección de datos, Maduras, en la que las organizaciones tienen
actividades definidas para la protección de datos y, por último, Excelencia,
donde se encuentran las organizaciones que están preparadas para cambios
en actividades y que se encuentran en la mejora continua.
En la fase de Niveles de Madurez, se definieron 5 niveles:

Ninguno: Las organizaciones no tienen conocimiento alguno de la
protección de datos personales
Inicial: Las organizaciones tienen conocimiento sobre la protección de
datos y hacen esfuerzos para establecer procesos iniciales de protección
Definido: Las organizaciones cuentan con procesos definidos para la
protección de información
Gestionado: Los procesos relacionados a protección de datos son
gestionados de forma continua y correcta
Optimizado: Las organizaciones han adquirido un nivel de excelencia en
los procesos de protección de información.
En la fase de Dominios, se hicieron cuatro grupos (ver figura 1). En ella
se pueden apreciar los cuatro dominios identificados (Datos, Información,
Riesgos y Organización) y subcriterios asociados a ellos.
Figura 1. Dominios del Modelo Propuesto
En la fase de Referencias y Criterios, el modelo se hizo tratando de

encontrarse alineado a los estándares, regulaciones y recomendaciones
siguientes:
 Ley de Protección de Datos Personales
 Circular N° G-140:
 ISO 27002
 ISO 29100
 ISO 17944
Principal resultado
Se realizaron pruebas con 5 entidades orientadas al sector micro financiero

con la finalidad de determinar el nivel de madurez de las mismas en cuanto
a la protección de datos personales. En la tabla 3 se puede apreciar que la
organización E y la B fueron las que mayor y menor porcentaje obtuvieron
respectivamente. Se determinó que el nivel de madurez de la organización
E era Gestionada mientras que el nivel de la Organización B era Inicial.
En la tabla 4, se puede apreciar el resultado obtenido por dominio, en dicha
tabla se puede visualizar que la organización D cuenta con el mayor
porcentaje en Riesgos, y que la organización E cuenta con el mayor
porcentaje en Información, Seguridad y Organización.
Tabla 3. Resultados Generales
Tabla 4. Resultados por Dominio
 Privacy online up, close and personal

El problema que el autor desea resolver es la privacidad intensificada en
el contexto del desarrollo y la propagación de las tecnologías de la
información, su convergencia con las telecomunicaciones y la electrónica,
así como las tendencias sociotécnicas como los grandes datos, la nube e
Internet de las cosas (IoT).
En la era de la información, la administración de la protección de datos
personales se mezcla con las expectativas de acceso a la información, así
como con la sensación general de ciberseguridad (in). Si no se considera
adecuadamente el sistema de relaciones de procesamiento de datos, se
reduce fácilmente la protección de datos personales a garantías en la carta.
La complejidad de las transacciones de datos contemporáneas exige un
enfoque normativo sistémico y estructurado para la protección de datos
personales. Cualquier evaluación de las normas relevantes no debe aislarse
de los factores que determinan o condicionan su implementación. Como
la privacidad es un reclamo intrínsecamente subjetivo, hacer cumplir la
privacidad de los datos se basa en la participación personal del interesado
en la protección de sus datos.
La revista The Economist (2017) indica que las garantías normativas para
la protección de datos personales deben resistir la prueba del tiempo real
para garantizar la autodeterminación informativa en el contexto del
procesamiento de datos en línea y la toma de decisiones automatizada. En
el contexto de la modificación de todos los datos, la administración de la
protección de datos personales está intrínsecamente vinculada a las
expectativas sociales de acceso a información, así como el sentido general
de seguridad cibernética. La alineación adecuada de intereses y prácticas
en competencia es la premisa de un establecimiento funcional de derechos
humanos y libertad en línea. Así mismo, señala que, en caso de no
considerar adecuadamente el sistema de intercambio de datos, las
garantías de protección de datos personales siguen siendo garantías en la
carta.
Por otro lado, en la concepción angloamericana, las primeras demandas de
privacidad surgieron en la década de 1880, contra el impulso de publicidad
por parte de los actores corporativos. En los Estados Unidos, valores
prominentes del derecho ‘de inmunidad completa; El derecho a ser dejado
solo ha sido la soledad y la cobertura contra la publicidad de los medios,
el escrutinio del gobierno y la inviolabilidad de la propiedad privada. El
valor de la información está sujeto a la decisión de la persona que la
rechaza. Habiendo adquirido dimensiones administrativas y de seguridad
nacional con el tiempo, la legislación de privacidad de los Estados Unidos
sigue siendo muy fragmentada. (Cooley TM, 1880 and Warren, SD,
Brandéis, LD, 1890)
Por último, TikkEetal (2013) señala que, en países tecnológicamente
ambiciosos, los regímenes de protección de datos personales han surgido
recientemente como un mecanismo de apoyo para el crecimiento
económico esperado de una sociedad de TIC dinámica. Sin embargo,
incluso en jurisdicciones sin una economía importante de las TIC o una
impugnada libertad de información, las leyes de protección de datos
personales surgen en el contexto de las soluciones nacionales de
procesamiento automatizado de datos o como agendas de exportación,
como parte del desarrollo de capacidades. Es importante, en algunos casos
las garantías normativas para la protección de datos personales se pueden
rastrear hasta problemas de confidencialidad agrupados, a menudo en el
campo de los servicios financieros o la atención médica.
La motivación para realizar el estudio fue analizar la privacidad en línea,
estructura y la naturaleza de los riesgos de privacidad.

El autor proporcionó una visión general de la privacidad. La construcción
de las garantías de protección de datos personales es un proceso paso a
paso que hay que tener en cuenta las realidades sociales, económicos y
políticos de la jurisdicción a la mano. Como mínimo, en las jurisdicciones
que no tienen una fuerte cultura de protección de datos personales, las
preocupaciones de privacidad pueden dirigirse de manera efectiva en el
contexto de la confidencialidad, y cuando, se apoya modelos de negocio
particulares, tal vez, la banca, los seguros y la asistencia sanitaria en la
vanguardia
El autor llevo a cabo este estudio abordando primero las razones,
imperativos de procesamientos de datos tecnológicos y los intereses de los
actores. Luego, evaluó el marco de privacidad que ha evolucionado a lo
largo de varias décadas de desarrollo social y tecnológico. Por último,
examinó la participación individual como requisito previo de la ejecución
de privacidad.
Principal resultado
Los análisis realizados en este estudio han demostrado que la protesta
individual contra el concepto polígamo de la privacidad es fundamental
para el futuro del derecho a la privacidad. Sin la participación de personal,
la privacidad de datos se vuelve obsoleta y no se puede proporcionar con
eficacia por el gobierno, no importa cuán liberal, especialmente en Europa,
se espera que las mejoras recientes en la legislación de protección de datos
personales, para aumentar la transparencia sobre las violaciones de datos
y ampliar la superficie jurisdiccional de protesta. Reforzar los derechos de
las personas es uno de los pocos remedios potenciales en el mundo de las
relaciones de datos y de alimentación interconectados. En muchos casos,
la pregunta es acerca de la capacidad y la voluntad de los individuos para
perseguir a los derechos ya existentes (o reclamados de existir).
 Secure e-Government Services

El problema que el autor desea resolver son los servicios de seguridad
(técnicos y no técnicos) en las etapas críticas de madurez.
La dependencia de las tecnologías de la información y la comunicación
(TIC) para apoyar las operaciones centrales tanto del gobierno como del
sector privado está aumentando. Del mismo modo, la información crítica
de la organización se ha convertido en un activo estratégico clave en un
mundo competitivo. Sin embargo, el ritmo del avance de las TIC, como el
desarrollo, la implementación y el uso de infraestructuras de gobierno
electrónico1 es mucho más rápido que el desarrollo y la implementación
de servicios de seguridad, incluidos los técnicos y los no técnicos. Como
resultado, las organizaciones gubernamentales parecen sufrir los riesgos
de seguridad existentes y nuevos emergentes.

Los autores G. Karokola, & L. Yngström (2019-2010), indica que hay
varios modelos llamados “Modelos de madurez de administración
electrónica (eGMM)” desarrollados por organizaciones internacionales,
firmas consultoras, académicos e investigadores individuales con el
propósito de guiar y comparar la implementación y el servicio de sistemas
de gobierno electrónico por etapas. Una etapa de madurez en eGMM
refleja el nivel de madurez del gobierno electrónico; grado de complejidad
tecnológica; grado de sofisticación de sistemas; y el nivel de interacción
con los usuarios. Además, ofrece a los gobiernos la capacidad de medir el
progreso de la implementación del gobierno electrónico. Sin embargo, los
resultados de un análisis comparativo de eGMMs muestran que los
modelos fueron diseñados con los principales focos sobre funcionalidades.
Más bien miden la cantidad de implementación del gobierno electrónico y
la prestación de servicios que la calidad; por lo tanto, carecen de aspectos
de los servicios de seguridad (tanto técnicos como no técnicos).
Por otro lado, Fraunhofer (2011) indica que los ISMM se definen como la
colección estructurada de elementos de seguridad que describen diferentes
niveles de madurez en la organización. Los niveles de madurez están
destinados a describir diferentes niveles de tecnología y sofisticación de
seguridad que ayudan a las organizaciones a identificar y comprender
fácilmente las brechas de seguridad existentes; monitorear el progreso de
la implementación de seguridad, prácticas, políticas y calidad; y supervisar
la inversión en seguridad, la gestión y la auditoría organizacional. A pesar
de que estos modelos miden más bien la calidad que la cantidad de
servicios ofrecidos, también carecen de muchos servicios de seguridad no
técnicos.

La motivación para realizar el estudio fue integrar los servicios de
seguridad de TI en modelos de madurez de gobierno electrónico.

El autor propone un marco integral para integrar los servicios de seguridad
de TI en las etapas críticas de eGMM. Este marco es el resultado de
integrar los niveles críticos del modelo de madurez de seguridad de la
información (ISMM) en las etapas críticas del modelo de madurez del
gobierno electrónico (eGMM).

El autor utiliza la metodología de Sistemas Blandos (SSM) de
investigación científica adoptada de Checkland y Scholes. El documento
contribuye al conocimiento teórico y empírico de las siguientes maneras:
en primer lugar, presenta un nuevo enfoque que muestra cómo los
gobiernos pueden asegurar progresivamente sus servicios de gobierno
electrónico; en segundo lugar, describe los requisitos de seguridad
(técnicos y no técnicos) para las etapas críticas de madurez de eGMM; y
en tercer lugar, aumenta la conciencia y la comprensión de los gobiernos
y las partes interesadas, como profesionales, expertos y ciudadanos, sobre
la importancia de que los requisitos de seguridad se definan claramente
dentro de las etapas críticas de eGMM.
Principal resultado
Se desarrolló un marco integral para integrar los servicios de seguridad de
TI en las etapas críticas de eGMM que se muestran en la Ilustración 1. El
marco aborda aspectos de seguridad tanto técnicos como no técnicos,
asimismo, proporciona un enfoque mediante el cual la organización
gubernamental puede lograr servicios seguros de gobierno electrónico.
Ilustración 2 - Un marco simplificado mostrando procesos de flujo para
la Integración de Servicios de Seguridad de ISMM niveles críticos en
Etapas Críticas eGMM
 Sustainable security advantage in a changing environment The
Cybersecurity Capability Maturity Model (CM2)
El autor del presente artículo científico explica que hoy en día los avances
de la tecnología son constante y sumamente rápidos y la interacción que
tiene con las redes, resultan ser sumamente importantes para los países y
organizaciones con la finalidad de ganar ventajas de seguridad. Sin
embargo, no muchos países y organizaciones, en especial los que se
encuentran en vía de desarrollo, han sido capaces de abastecerse con los
conocimientos necesarios y suficientes para lograr ventajas de seguridad
en su entorno.
El problema identificado por el autor del presente artículo científico

resulta ser de suma importancia debido que las brechas de seguridad
presentes en las nuevas tecnologías en organizaciones y/o países en vías
de desarrollo, limitan de forma considerable la evolución de los mismos y
no permite una integración entre ellos y otras organizaciones de primer
nivel.
El autor del presente artículo científico para el diseño y modelado de su

solución tuvo que realizar un trabajo de investigación previo donde indagó
sobre la ciencia del diseño (DS, por sus iniciales en inglés). La
metodología de investigación DS involucra la creación y evaluación de
artefactos que pueden ser usados para resolver problemas ya identificados
en un ambiente. Cabe mencionar que el artefacto puede ser descrito como
una entidad u objeto, que cuenta con, o puede ser convertido en un material
existente, tal como un objeto artificial realizado (por ejemplo, un modelo)
o un proceso. (Hevner, March, Park, & Ram, 2004) En la figura 1, se puede
visualizar un flujo claro de todos los pasos o fases necesarias a realizar
para asegurar el éxito de la aplicación de la metodología DS. En ella se
puede visualizar 6 fases: identificación del problema, objetivos de
solución, diseño y desarrollo, demostración, evaluación y comunicación.
En la primera fase, se identifica el problema investigado y la justificación
del valor de la solución. En la segunda fase, basada en la fase anterior, se
establecen los objetivos de solución. En la tercera fase, de diseño y
desarrollo, se ven las soluciones o artefactos creados para direccionar la
salida de los pasos anteriores. En la cuarta fase, se explica cómo el
artefacto propuesto completa los objetivos o soluciona los problemas
identificados, además, se evidencia la utilidad y relevancia de la solución
propuesta (Gregor & Hevner, 2013). En la quinta fase, se realiza una
evaluación del desempeño de la solución propuesta para remediar el
problema o la amenaza identificada. Realiza la comparación de los
objetivos de solución establecidos en la fase 2, con los resultados reales
obtenidos. En la última fase, de comunicación, se reporta todo lo medible
relacionado al desempeño de la solución elegida. (Peffers, Tuunanen,
Rothenberger, & Chatterjee, 2007)
El autor del presente artículo científico tiene como objetivo proponer un

modelo que permita una mejor gestión de la seguridad para las
organizaciones y/o países en vía de desarrollo (remediando el principal
problema identificado), lo cual permita a estos países una mejor calidad
de vida para sus habitantes, una opción de desarrollo, mejora y evolución
y una integración cercana con otras organizaciones categorizadas de
primer nivel.
El autor del presente articulo científico presenta el Modelo de Madurez de

Capacidades de Ciberseguridad, el cual es un modelo que muestra fases
de lectura y preparación para la respuesta a posibles amenazas,
vulnerabilidades y avances tecnológicos que existen en el ambiente.
Para este modelo propuesto, se han considerado 2 criterios (Ventajas de
Seguridad y Capacidades y Niveles) esenciales los cuales permiten
obtener información del nivel de seguridad en la que se encuentra, en este
caso específico, una organización y/o país. En la imagen 2, se pueden
apreciar 5 factores que influencian directamente el modelo del autor. En
dicha imagen se pueden apreciar los factores de capacidades,
vulnerabilidades, amenazas y desarrollo tecnológico. El autor propone
que, para lograr una ventaja de seguridad sostenible, los países necesitan
construir dinámicamente sus capacidades y habilidades para contrarrestar
amenazas, vulnerabilidades y lograr avances tecnológicos. El factor de
desarrollo tecnológico sirve como una habilitador para futuros avances y
como una plataforma para nuevas amenazas y vulnerabilidades. El factor
relacionado al ambiente consiste en dinamismo debido a posibles eventos
como desarrollo tecnológico, cambios en normas sociales y otros factores.
En la imagen 3, se puede visualizar los diferentes niveles del modelo de
ciberseguridad propuesto por el autor de artículo científico. En dicha
imagen se puede observar que los niveles cuentan con un nombre y un
índice numérico (del 0 al 5, el cual nos da un total de 6 niveles). Los
niveles especificados para este modelo son: Indefinido, Inicial, Básico,
Definido, Dinámico y Optimizado. Las organizaciones que no cuenta con
procesos definidos y capacidades primarias inexistentes se encuentran en
el nivel 0. Las organizaciones con procesos desestructurados, pero con un
desarrollo tentativo de capacidades se encuentran en el nivel 1. En el nivel
2 se encuentran las organizaciones y países que cuentan con procesos no
estructurados, pero cuentan con capacidades reactivas y basadas en
amenazas. En el 3er nivel se encuentran las organizaciones que cuentan
con procesos formales estructurados y cuyas capacidades se encuentran
definidas en la mayoría de sus áreas. Las organizaciones con procesos
formales estructurados, cuyas capacidades son dinámicas y desarrolladas
en todas las áreas y emplean capacidades basadas en una estrategia se
encuentran en el 4to nivel. En el nivel más alto concebido para este modelo
se encuentran las organizaciones con procesos formales estructurados,
capacidades optimizadas y en mejora continua.

Gutierrez AJ

Cargado por

Copyright:

Formatos disponibles

Gutierrez AJ

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gutierrez AJ

Cargado por

Copyright:

Formatos disponibles

Modelo de madurez de ciberseguridad

cloud para el sector financiero

Item Type info:eu-repo/semantics/bachelorThesis

Authors Gutierrez Alayo, Jorge Enrique; Necochea Mendoza, Paul

Publisher Universidad Peruana de Ciencias Aplicadas (UPC)

Rights info:eu-repo/semantics/openAccess; Attribution-

Download date 12/11/2023 00:43:21

Item License http://creativecommons.org/licenses/by-nc-sa/4.0/

Link to Item http://hdl.handle.net/10757/660408

PROGRAMA ACADÉMICO DE INGENIERÍA DE SISTEMAS DE INFORMACIÓN

Modelo de madurez de ciberseguridad cloud para el sector financiero

Para optar el título profesional de Ingeniero de Sistemas de Información

Gutierrez Alayo, Jorge Enrique [0000-0002-9095-729X]

Necochea Mendoza, Paul Alejandro [0000-0002-5273-6058]

Vargas Medina, Jose Carlos [0000-0002-2101-5477]

Lima, julio de 2020

En este documento, proponemos un modelo de madurez de ciberseguridad para brindar

Palabras clave: ciberseguridad; privacidad; cloud, modelo de madurez; sector financiero

In this paper, we proposed a cybersecurity maturity model for providing services to

Keywords: cybersecurity; privacy; cloud; maturity model; financial sector

1.2. Dominio del problema................................................................................................. 10

1.3. Planteamiento de la solución ...................................................................................... 10

1.4. Objetivos del proyecto ................................................................................................ 11

1.4.1. Objetivo general .................................................................................................. 11

1.6. Planificación del proyecto ........................................................................................... 12

1.6.1. Plan de gestión del alcance ................................................................................. 12

1.7.1. Plan de gestión de comunicaciones ..................................................................... 14

1.9. Plan de gestión de recursos humanos ........................................................................ 19

1.10. Plan de gestión de cronograma................................................................................... 20

Capítulo 2. Logros Student Outcomes ........................................................................ 22

4.2 Design ............................................................................................................................... 37

4.3 Populate ............................................................................................................................. 55

4.4 Test .................................................................................................................................. 122

4.5 Deploy ............................................................................................................................. 127

4.6 Mantain ........................................................................................................................... 135

Capítulo 5. Resultado del proyecto ........................................................................... 138

5.1.1. Resultados de empresa A ........................................................................................ 138

Tabla 1 – Planteamiento del problema

Tabla 2 – Indicadores de éxito

Tabla 4 – Matriz de comunicaciones

Tabla 5 – Descripción de riesgos

Tabla 6 – Roles y responsabilidades

Tabla 10 – Marcos de trabajo, modelos de madurez y normativas analizadas para el

Tabla 11 – Benchmarking de ciberseguridad

Tabla 12 – Benchmarking se seguridad en la nube

Tabla 13 – Benchmarking de privacidad

Tabla 14 – Resultados de benchmarking

Tabla 16 – Característica del contacto

Tabla 17 – Encuesta de validación

Tabla 18 – Métricas de validación

Tabla 19 – Proceso a evaluar

Tabla 20 – Resultados de encuesta en empresa A

Tabla 21 – Resultados de encuesta en empresa B

Tabla 22 – Resumen de encuesta

Tabla 23 – Resultados de diagnóstico

Figura 1. Organización de recursos humanos

Figura 3. Proceso de metodología

Figura 4. Cronograma del proyecto

Figura 5. Organigrama del proyecto