Un Modelo de Componentes para la Evaluación de Riesgos de Ciberseguridad en Instituciones Públicas

Manuel Tupi

Un Modelo de Componentes para la Evaluación de Riesgos de Ciberseguridad en Instituciones Públicas

Manuel Tupi ^[1]
1. [1] Pontificia Universidad Católica del Perú
  
  Pontificia Universidad Católica del Perú
  
  Perú
Localización: RISTI: Revista Ibérica de Sistemas e Tecnologias de Informação, ISSN-e 1646-9895, Nº. Extra 77, 2025, págs. 11-27
Idioma: español
Títulos paralelos:
- A Component Model for Cybersecurity Risk Assessment in Public Institutions
Enlaces
- Texto completo (pdf)
Resumen
- español
  En la era digital, las instituciones públicas enfrentan crecientes desafíos en materia de ciberseguridad debido a la proliferación de amenazas cibernéticas, la digitalización de los servicios gubernamentales y el cumplimiento de normativas estrictas sobre protección de datos. La evaluación de riesgos cibernéticos (Cyber Risk Assessment) es un proceso crítico que permite a estas instituciones identificar vulnerabilidades, mitigar amenazas y fortalecer su postura de seguridad. Sin embargo, la falta de un modelo estructurado que integre estándares internacionales, marcos de gobierno de TI y mejores prácticas en gestión de riesgos limita la efectividad de las estrategias de protección. Los organismos reguladores han reconocido la importancia de la evaluación de riesgos cibernéticos en el sector público. Normativas como la ISO/IEC 27005:2022, que proporciona directrices para la gestión del riesgo de seguridad de la información, y el NIST Cybersecurity Framework (CSF) 2.0, que establece un enfoque basado en cinco funciones clave (Identificar, Proteger, Detectar, Responder y Recuperar), han servido como referencia para muchas organizaciones. Adicionalmente, marcos de gobernanza y gestión de riesgos de TI como RISK-IT 2.0 de ISACA e ITIL 4 ofrecen un enfoque estructurado para la alineación de la ciberseguridad con los objetivos estratégicos institucionales. Este artículo propone un modelo de componentes para la evaluación de riesgos cibernéticos en instituciones públicas, basado en el estado del arte, normas internacionales y marcos de gestión de TI. El modelo incorpora elementos tecnológicos, de gobernanza y de gestión para ofrecer una evaluación integral del riesgo.
- English
  In the digital era, public institutions face increasing cybersecurity challenges due to the proliferation of cyber threats, the digitization of government services and compliance with strict data protection regulations. Cyber Risk Assessment (Cyber Risk Assessment) is a critical process that enables these institutions to identify vulnerabilities, mitigate threats and strengthen their security posture. However, the lack of a structured model that integrates international standards, IT governance frameworks and best practices in risk management limits the effectiveness of protection strategies. Regulators have recognized the importance of cyber risk assessment in the public sector. Standards such as ISO/IEC 27005:2022, which provides guidelines for information security risk management, and the NIST Cybersecurity Framework (CSF) 2.0, which establishes an approach based on five key functions (Identify, Protect, Detect and Recover), have served as a reference for many organizations. Additionally, IT governance and risk management frameworks such as ISACA’s RISK-IT 2.0 and ITIL 4 provide a structured approach for aligning cybersecurity with organizational strategic objectives. This article proposes a component model for cyber risk assessment in public institutions, based on the state of the art, international standards and IT management frameworks. The model incorporates technological, governance and management elements to provide a comprehensive risk assessment.
Referencias bibliográficas
- Alshaikh, M. (2023). Hybrid models for cyber risk assessment in public institutions. Cybersecurity Journal, 28(3), 45-67.
- Ávila-Coello, A. A. (2024). Seguridad de la información en instituciones públicas: desafíos y buenas prácticas en el contexto ecuatoriano....
- AXELOS. (2019). ITIL 4: Managing Professional. AXELOS. Burrell, D. N. (2024). Understanding healthcare cybersecurity risk management complexity....
- Castillo, A., Bruzza, M., & Tupia, M. (2021). State of the art on the identification of unintentional cybersecurity threats by internal...
- Chen, Y., Patel, R., & Kim, S. (2024). Predictive threat modeling for proactive cybersecurity. Journal of Information Security, 32(1),...
- European Commission. (2023). General Data Protection Regulation (GDPR). https:// ec.europa.eu/info/law/law-topic/data-protection_en
- Freund, J., & Jones, J. (2020). Measuring and Managing Information Risk: A FAIR Approach. IT Risk Management Press.
- Gadepalli, S., Thompson, L., & Wang, X. (2024). Explainable AI in Cyber Risk Assessment: A Transparent Approach. Artificial Intelligence...
- International Organization for Standardization. (2019). ISO/IEC 22301:2019 - Security and resilience – Business continuity management systems...
- Information security, cybersecurity and privacy protection — Information security management systems — Requirements. ISO.
- International Organization for Standardization. (2022). ISO/IEC 27005:2022 - Information security risk management. ISO.
- International Organization for Standardization. (2023). ISO/IEC 27701:2023 - Privacy Information Management Systems. ISO.
- ISACA. (2019). COBIT 2019: Framework for Governance and Management of Enterprise IT. ISACA.
- ISACA. (2020). Risk IT Framework, 2nd Edition. ISACA.
- ISACA. (2023). RISK-IT 2.0: Managing IT Risk in the Public Sector. ISACA Publications.
- MITRE. (2023). MITRE ATT&CK Framework: A Comprehensive Threat Intelligence Model. https://attack.mitre.org/
- Mohd Amin, R., Khalid, H., & Yusof, N. (2022). Current Challenges in Cyber Risk Assessment: A Qualitative and Quantitative Approach. Journal...
- National Institute of Standards and Technology. (2012). Guide for Conducting Risk Assessments (NIST Special Publication 800-30 Rev. 1). U.S....
- National Institute of Standards and Technology. (2018). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1 (NIST Cybersecurity...
- National Institute of Standards and Technology. (2020a). Security and Privacy Controls for Information Systems and Organizations (NIST Special...
- National Institute of Standards and Technology. (2020b). Zero Trust Architecture (NIST Special Publication 800-207). U.S. Department of Commerce. National...
- Pérez, L., & Gómez, J. (2023). Lecciones del ataque de ransomware al Ministerio de
- Salud de Argentina en 2022. Revista de Ciberseguridad Pública, 15(2), 34-57.
- Ponemon Institute. (2022). Cost of a Data Breach Report 2022. IBM Security.
- Rosado, D. G., Sánchez, L. E., Varela Vaca, Á. J., Santos Olmo, A., Gómez López, M. T., Martínez Gasca, R., & Fernández Medina, E. (2024)....
- Rosenzweig, P. (2024). Dynamic Risk-Based Cybersecurity: Adapting to Evolving Threats. Government Cybersecurity Review, 29(1), 78-94.
- SANS Institute. (2021). Incident Response: Best Practices for Mitigating Cybersecurity Threats. SANS Institute.
- Wang, T., & Liu, J. (2024). Blockchain Applications in Cyber Risk Management: Ensuring Integrity and Transparency. Journal of Blockchain...
- Zhang, L., Carter, J., & Singh, R. (2023). Machine Learning in Cyber Risk Assessment: Predicting Vulnerabilities in Government Systems....

Mi Ágora

Selección

Opciones de artículo

Seleccionado

Opciones de compartir

Opciones de entorno

Sugerencia / Errata

Acceso de usuarios registrados

Un Modelo de Componentes para la Evaluación de Riesgos de Ciberseguridad en Instituciones Públicas

Pontificia Universidad Católica del Perú

Mi Ágora

Opciones de artículo

Opciones de compartir

Opciones de entorno