Propuesta de manual de auditoría en ciberseguridad basado en el marco de trabajo NIST-Cybersecurity Framework y la Norma Técnica de Ciberseguridad del BCCR

Abstract

El presente Trabajo Final de Graduación tiene como objetivo principal desarrollar un Manual de Auditoría en ciberseguridad para el área de auditoría de TI, utilizando como referencia el marco de trabajo NIST - Cybersecurity Framework y la Norma Técnica - Requisitos de Ciberseguridad para Participar en el SINPE. La propuesta surge de la necesidad de tener un abordaje correcto para las auditorías de ciberseguridad porque las evaluaciones actuales carecen de un enfoque sistemático y de herramientas adecuadas, lo que dificulta la consistencia y claridad en la aplicación de controles. La investigación se basa en un enfoque cualitativo y emplea una metodología de investigación-acción, estructurada en varias fases. La primera fase consiste en un análisis de la situación actual del departamento de auditoría de TI, seguido de la identificación de los componentes relevantes del marco NIST - Cybersecurity Framework y la Norma Técnica - Requisitos de Ciberseguridad para Participar en el SINPE. Posteriormente, se elabora un Manual de Auditoría que establece directrices claras y procedimientos estandarizados para la ejecución de auditorías en ciberseguridad, facilita así la evaluación de riesgos y el cumplimiento normativo. El marco de trabajo NIST - Cybersecurity Framework proporciona un enfoque integral para la gestión de riesgos cibernéticos, mientras que la Norma Técnica - Requisitos de Ciberseguridad para Participar en el SINPE asegura el alineamiento con las regulaciones costarricenses. Estos marcos permiten establecer un conjunto de prácticas y criterios que los auditores deben seguir, lo que contribuye a la mejora continua del proceso de auditoría. Los resultados del estudio destacan la importancia de la capacitación del personal en el uso del manual y la herramienta de auditoría desarrollada. Además, se propone la creación de un repositorio centralizado de recursos de auditoría para mejorar el acceso a la información y la consulta de procedimientos, garantizando así un enfoque más eficiente en la evaluación de controles de ciberseguridad.

This Graduation Project's main objective is to develop a cybersecurity audit manual for the IT audit area, using the NIST Cybersecurity Framework and the Norma Técnica - Requisitos de Ciberseguridad para Participar en el SINPE as references. The proposal arises from the need for an appropriate approach to cybersecurity audits, as current evaluations lack a systematic approach and adequate tools, which complicates consistency and clarity in applying controls. The research is based on a qualitative approach and uses action-research methodology, structured in several phases. The first phase consists of an analysis of the current situation in the IT audit department, followed by the identification of relevant components from the NIST Cybersecurity Framework and the Norma Técnica - Requisitos de Ciberseguridad para Participar en el SINPE. Subsequently, an audit manual is developed, establishing clear guidelines and standardized procedures for conducting cybersecurity audits, thus facilitating risk assessment and regulatory compliance. The NIST Cybersecurity Framework provides a comprehensive approach to cyber risk management, while the Norma Técnica - Requisitos de Ciberseguridad para Participar en el SINPE ensures alignment with Costa Rican regulations. These frameworks help establish a set of practices and criteria that auditors must follow, contributing to the continuous improvement of the audit process. The study results highlight the importance of training staff in the use of the developed manual and audit tool. Additionally, the creation of a centralized audit resource repository is proposed to improve access to information and consultation of procedures, thus ensuring a more efficient approach to cybersecurity control evaluation.