Gestión y evaluación holística de la ciberseguridad en el sector público

Abstract

La tesis aborda el desarrollo de un modelo para gestionar la ciberseguridad en el Sector Público, centrándose en niveles tácticos y operativos con una perspectiva holística. La creciente digitalización ha aumentado la dependencia del ciberespacio, difuminando los límites organizativos y requiriendo una mayor participación en la ciberseguridad de empleados y entidades de la cadena de suministro. Las amenazas evolucionan, lo que exige enfoques integrados de seguridad. Los marcos actuales de ciberseguridad se centran en niveles estratégicos y carecen de detalles procedimentales para niveles tácticos y operativos, generando implementaciones dispares y vacíos que dificultan la gestión efectiva. Además, las métricas existentes no son útiles para todos los niveles, limitando la capacidad de evaluar y adaptar las acciones de ciberseguridad. El modelo propuesto es independiente del marco estratégico utilizado, facilitando una gestión holística y coordinada de la ciberseguridad en todos los niveles. Utiliza algoritmos evolutivos de optimización multicriterio para mejorar la toma de decisiones y proporciona métricas coherentes y homogéneas en toda la organización. También aborda las particularidades del Sector Público, como la externalización y la necesidad de atraer talento, ofreciendo mecanismos para la contratación de servicios de ciberseguridad y la capacitación de equipos multidisciplinares. En resumen, la tesis presenta un modelo adaptable que complementa los marcos estratégicos existentes, proporcionando visibilidad y herramientas para mejorar la ciberseguridad en el Sector Público. Este modelo facilita la identificación de requisitos multidisciplinarios y eleva la concienciación sobre la ciberseguridad, permitiendo una acción conjunta y eficaz.

The thesis addresses the development of a model for managing cybersecurity in the Public Sector, focusing on tactical and operational levels with a holistic perspective. Increasing digitalisation has led to a greater dependence on cyberspace, blurring organisational boundaries and necessitating greater involvement in cybersecurity from employees and entities within the supply chain. Evolving threats demand integrated security approaches. Current cybersecurity frameworks primarily focus on strategic levels and lack procedural details for tactical and operational levels, resulting in disparate implementations and gaps that hinder effective management. Additionally, existing metrics are not useful across all levels, limiting the ability to assess and adapt cybersecurity measures. The proposed model is independent of the strategic framework in use, facilitating holistic and coordinated cybersecurity management across all levels. It employs evolutionary multi-criteria optimisation algorithms to enhance decision-making and provides consistent and uniform metrics throughout the organisation. The thesis also addresses the specificities of the Public Sector, such as outsourcing and the need to attract talent, offering mechanisms for contracting cybersecurity services and training multidisciplinary teams. In summary, the thesis presents an adaptable model that complements existing strategic frameworks, providing visibility and tools to improve cybersecurity in the Public Sector. This model facilitates the identification of multidisciplinary cybersecurity requirements and raises awareness, enabling coordinated and effective action.