Este proyecto busca mejorar el gobierno de la seguridad de la información en una organización de investigación y desarrollo. La organización ya contaba con medidas de seguridad aisladas, como hardening de redes y medidas de programación segura, pero no contaba con una gestión organizada de la seguridad de la información. Esto plateaba un riesgo de seguridad para la organización puesto que desconocían si las medidas actuales cumplían con sus expectativas de seguridad, si existían brechas de seguridad que pudieran ser explotadas por un atacante o si estaban preparados para los restos de ciberseguridad que tecnologías emergentes como la inteligencia artificial o la computación cuántica representan. Adicionalmente, la organización a pesar de poseer cierto grado de independencia hace parte de una organización de mayor envergadura que tiene sus propias iniciativas y reglamentación de seguridad.

Teniendo en cuenta los objetivos que tiene la organización con el proyecto, su rol en investigación, desarrollo e innovación, además del marco legal y lineamientos a los que debe acogerse, hemos seleccionado el siguiente compendio de normas y metodologías para cubrir las necesidades específicas del caso. Siempre con el objetivo de brindar la mayor seguridad de la información y la gestión de esta. 

• Análisis de riesgos: Se usó de la metodología OCTAVE Allegro. Esta decisión se toma teniendo en cuenta el enfoque en los activos críticos de la organización y los riesgos asociados a los mismos. La metodología facilita enfocarse en los activos con más valor para la misión de la organización y realizar un análisis completo de estos considerando el conocimiento de los integrantes de la organización. 
• Análisis de vulnerabilidades: Se escoge la metodología STRIDE para el análisis y decisión de mitigación de las vulnerabilidades presentes en la organización permitiendo clasificar de forma clara y sistemática las amenazas según seis categorías fundamentales (Suplantación, Repudio, Divulgación de información, Denegación de servicio, Elevación de privilegios y Manipulación de datos), lo cual facilita una cobertura integral de los posibles vectores de ataque. 
• Diseño del DRP: Para realizar el diseño del DRP nos basaremos en la norma ISO 22301 en la cual se detallan las consideraciones necesarias para esta labor.
• Gobierno: Nos alinearemos con la norma ISO 27001 para estructurar las políticas y auditorías necesarias para complementar las que actualmente lleva a cabo la organización.
• Cumplimiento: El desarrollo del proyecto debe enmarcarse en las normas y leyes de la legislación nacional, organismos y el MINTIC y la institución a la que pertenece la organización, la Fuerza Aeroespacial Colombiana. 

La implementación de las metodologías, políticas y documentación que se tenia planteada fue completada de forma exitosa, lo cual representa un activo valioso para la organización al momento de continuar el trabajo con miras de alcanzar sus objetivos de mejora. Como se planteó en la solución, este proyecto solo es la primera fase del proyecto que busca solventar las debilidades que posee la organización en materia de seguridad de la información y gestión de esta.

Se completó el análisis de riesgos: recopilando los activos críticos, análisis de amenazas y riesgos, la clasificación de estos según la postura y apetito del riesgo de la organización. Con esta información se crearon y entregaron el plan de mitigación, plan de acciones y el plan de protección.

Adicionalmente, se dejan planteados los requerimientos financieros para la sostenibilidad del proyecto a largo plazo, así como los costos tentativos de la siguiente fase, que se enfocaría en la implementación de controles y las medidas de contingencia y continuidad planteadas en la documentación.

Para solventar algunos de los puntos más críticos listados en el plan de acciones se desarrollaron las siguientes pruebas de concepto:

• STRIDE con inteligencia artificial: Configuramos y probamos la herramienta de análisis de vulnerabilidades integrada con inteligencia artificial para generar el árbol de amenazas de la organización junto con el listado de vulnerabilidades a la que se encuentra expuesta actualmente. La herramienta hace uso de la API de ChatGPT cifrando las peticiones para que la información de la organización se mantenga anónima en todo el proceso.
• Deming: Configuramos y cargamos la información de la organización a la herramienta Deming para facilitar la gestión de la mejora continua dentro de la organización. La herramienta permite evaluar le estado actual de la organización con su estado actúa, visualizar las áreas que requieren mayor atención dentro de cinco aspectos y seleccionar fechar de vencimiento para la solución de estos problemas.
• Análisis DAST: A partir del levantamiento de información de la organización, se identifico que su enfoque DevSecOps requería de una herramienta DAST complementaria al análisis SAST que actualmente se encuentra implementado. Se seleccionaron dos herramientas open-source con el objetivo de no impactar el presupuesto de la organización, pero garantizando la calidad y el soporte de la herramienta. Se seleccionaron las herramientas Nikto y OWASP ZAP dentro de contenedores para facilitar su adopción y poder utilizarlas como servicios a demanda.