La información es un elemento sensible, crítico y valioso dentro del contexto de los procesos transaccionales y toma de decisiones de las personas jurídicas o naturales, por lo tanto, entendiéndose la información como el insumo o materia prima para la formalización de dichos procesos, se tiene que en principio esta posee un valor tácito, el cual cambia al vislumbrarse la probabilidad de materializarse un cambio, alteración o modificación no autorizada sobre ella, por ello se concibe abiertamente como un activo que merece ser asegurado.

La información es el resultado de la entrada, procesamiento y presentación de datos, para ello es necesario contar con un soporte o medio, el cual se encuentra enmarcado en una serie de activos denominados tecnologías de la información y la comunicación (TIC); teniendo en cuenta la constante evolución de las mismas, ellas se hacen complejas de administrar y gestionar cuando no se tiene en cuenta la seguridad de la información, ya que el presente puede terminar convirtiéndose en un contexto con un sinnúmero de vulnerabilidades, al generar un foco de atención de los delincuentes, quienes, al aprovecharlas, desencadenan un impacto negativo en el funcionamiento de los procesos del negocio.

La seguridad de la información es el proceso dinámico que permite identificar y minimizar la brecha existente entre las vulnerabilidades inherente a las TIC y el impacto generado luego de su aprovechamiento, pero ello exige a los encargados de su formalización un ejercicio de actualización constante, el cual se hace mediante la consulta de bases de datos especializadas en vulnerabilidades como el CVE (Common Vulnerabilities and Exposures) o de empresas consultoras como Deloitte, KPMG o compañías antivirus como Karspesky o Avira, entre otras. De manera adicional, existen entes normalizadores como el NIST (National Institute of Standards and Technology), ISACA (Information Systems Audit and Control Association - CoBIT), ISO (International Organization for Standardization – ISO 27001) y OGC (Office of Government Commerce - ITIL), entre otras, que regulan la implementación e implantación de la seguridad de la información mediante normas, estándares o frameworks basados en conceptos como gobierno y arquitectura de seguridad de la información, seguridad informática y de la información, análisis de riesgos, entre otros.

Por lo tanto, las fuentes para la consulta en seguridad de la información son numerosas para los expertos o interesados en el tema, por ello surge la inquietud de encontrar un punto central de consulta, que mediante datos actualizados ayude en la toma de decisiones en torno al tema. Para ello, una alternativa como fuente de información son los llamados observatorios de ciberseguridad (OCi), cuyo propósito es ser un centro de procesamiento de datos para analizar, investigar, validar y comunicar información relevante y actual referente a la ciberseguridad.

Este documento aborda la ciberseguridad desde la dinámica de sistemas como una perspectiva novedosa de análisis de sus elementos y relaciones, a la luz del funcionamiento de los objetivos de los observatorios de ciberseguridad con el fin entender, explicar y pronosticar su funcionamiento.

Para el desarrollo del marco referencial y conceptual se elabora un análisis del estado del arte de la ciberseguridad, de la dinámica de sistemas y de los observatorios, descripción que permite comprender el problema abordado y caracterizar los elementos que lo integran para, de esta manera, abordar el fenómeno objeto de estudio de forma inductiva, esto es, partiendo de las categorías conceptuales mencionadas, hasta llegar a definir los elementos que integran la seguridad del ciberespacio desde la perspectiva de la dinámica de sistemas, aplicada al objeto operacional de un OCi.

A partir de lo anterior, y atendiendo a la complejidad y cobertura de la ciberseguridad, se presenta inicialmente un modelo estructural del funcionamiento de la seguridad, concebido como el núcleo de un observatorio, en el cual se identifican las variables, elementos y las relaciones de sus componentes; luego, se esboza el modelo estructural del funcionamiento de los observatorios en este tema, del cual se realiza un análisis sistémico, con el fin de lograr que dicho modelo sirva como herramienta que permita medir o cuantificar la seguridad en el ciberespacio.

Para el desarrollo de la investigación que se presenta, las fuentes de información responden a frameworks, estándares o normas internacionales aplicables a la ciberseguridad, proferidas por agentes internacionales de reconocida autoridad como la Organización Internacional de Estándares (ISO), la Agencia de la Unión Europea para las Redes y la Seguridad de la Información (ENISA) y la Unión Internacional de Telecomunicaciones (UIT-T), (De Bruin & Von Solms, 2016), (Jaramillo, Cabrera, Abad, & Torres, 2015), así como también por teóricos de reconocida experiencia y desarrollo temático de la dinámica de sistemas, referidos a lo largo del trabajo como fuentes conceptuales.

Es necesario advertir que la propuesta y los resultados obtenidos sirven como base para futuras investigaciones a partir de las conclusiones y recomendaciones formuladas en el presente documento, sin desconocer las dificultades que una perspectiva de este nivel de innovación puede implicar para el desarrollo teórico y aplicado de la ciberseguridad desde la dinámica de sistemas, tales como fuentes especializadas y limitadas de información y desarrollo teórico, herramientas software con una usabilidad compleja que exigen una curva de aprendizaje significativa que deben considerarse a la hora de identificar y abordar problemas relacionados.

Finalmente, es importante destacar que los resultados obtenidos se traducen en beneficios académicos, teóricos y aplicados, en la medida en que permiten entender, explicar y pronosticar el funcionamiento de un observatorio de ciberseguridad a partir del MEOCi, lo que se espera, repercuta en aportes al estado de la ciencia y el conocimiento, así como en ideas para el desarrollo de los agentes involucrados en su objeto operacional, sin atender a especificaciones de su naturaleza o actividad económica.

Las fuentes de información en el área de la seguridad informática son variadas, y se encuentran diversas publicaciones en temas, tales como los códigos de buenas prácticas de seguridad, la gestión de tecnologías de la información, la gestión de riesgos, el gobierno de seguridad de la información, la arquitectura de seguridad de la información, la ciberseguridad, la ciberdefensa, entre otros. Cada uno de estos tópicos brinda pautas que permiten estructurar los requerimientos de seguridad de la información que ayudan en la toma de decisiones en torno al tema y han sido de gran apoyo para los interesados en el mismo. Teniendo en cuenta la variable tiempo y el gasto o esfuerzo en el proceso de búsqueda para llegar a la fuente de información adecuada, sería pertinente contar con un punto central de información para optimizar el proceso de búsqueda de la misma.

Los observatorios son vistos como entidades en las cuales se llevan a cabo acciones de análisis y estudios que permiten centralizar información y conocimiento. Se ha identificado, en el contexto internacional, la existencia de observatorios en el área de seguridad de la información o ciberseguridad, cuya misión es servir como fuente de insumos para la toma de decisiones en el área, al ser lugares donde se puede gestionar el conocimiento en ciberseguridad, ya sea en lo organizacional, regional, en un Estado, entre otros ámbitos.

Sin embargo, al revisar en fuentes bibliográficas especializadas (EBSCO, Science Direct, entre otras) se encontró que no se cuenta con estudios que permitan comparar, clasificar y organizar la información acerca de los observatorios en ciberseguridad. Por lo tanto, el estado del arte del presente proyecto servirá como el insumo para el desarrollo de la caracterización de los OCi a fin de identificar los patrones que gobiernan su funcionamiento; además, mediante la simulación con dinámica de sistemas, se contará con una herramienta que permitirá entender la complejidad de la relación de las variables que influyen en su funcionamiento, al contar con un modelo que facilite comprender, explicar y pronosticar el quehacer de los OCi.

En conclusión, se puede decir que es importante para los interesados en el área de seguridad de la información contar con un espacio que permita administrar y gestionar la actualización y consolidación de su conocimiento, a través del observatorio de ciberseguridad, pero al respecto de este surgen interrogantes tales como ¿quiénes lo conforman?, ¿cómo se sostiene?, ¿cuáles son sus fuentes de investigación?, ¿quién provee los datos para su análisis, validación y comunicación?, ¿cuáles son los criterios con los cuales analiza, valida y comunica?, ¿cómo es su estructura organizacional?, ¿qué indicadores y métricas genera?, ¿qué servicios ofrece?. En síntesis, los anteriores interrogantes sugieren la formulación de una pregunta general como objeto de estudio: ¿cuál es la caracterización de los observatorios en seguridad de la información? Además de dar cuenta de su estructura funcional con base en la identificación de patrones, es importante esclarecer la complejidad y la relación entre las variables y componentes de los OCi.

La metodología de investigación que se empleó para el desarrollo del proyecto conllevó a la realización de tres fases:

En esta fase se realizó una búsqueda documental o desk reseach de las fuentes primarias y secundarias que permitirían la identificación de los patrones que influyen en el funcionamiento de un observatorio de ciberseguridad, lo que conllevó a revisar el estado del arte de la seguridad en el ciberespacio, la definición de los elementos que la componen, el análisis de observatorios existentes en diversas áreas de conocimiento, así como también el entendimiento de su organización y la forma como sistematiza la información.

Para la definición de la metodología para el desarrollo de esta fase se propuso el estado del arte como

Para alcanzar el objetivo de esta fase, el desarrollo del estado del arte se realizó a partir de fuentes secundarias de información, es decir, se analizaron documentos escritos con base en el establecimiento de fichas analíticas, las cuales permitieron el desarrollo de la matriz de categorización de los observatorios de ciberseguridad.

La metodología común para el desarrollo de un estado del arte puede resumirse en los siguientes pasos (Vélez & Calvo, 2005):

En esta fase se utilizó la dinámica de sistemas con el fin de identificar y relacionar las variables que interactúan en los procesos de recolección, análisis, validación y publicación de información de los OCi. Se utilizaron los siguientes lenguajes de la dinámica de sistemas: prosa, diagrama de influencias, diagramas de flujo-nivel, ecuaciones y comportamientos.

En esta fase se realizó el montaje del modelo propuesto en herramientas de software de la dinámica de sistemas que permitieron evaluar la utilidad del mismo mediante la definición de escenarios e hipótesis, con el fin de validar los resultados y su funcionamiento. Para el desarrollo del modelo con dinámica de sistemas, se siguió la metodología propuesta por Javier Aracil, la cual puede resumirse en los siguientes pasos (1992):