Cyber Resilience Operationalization Framework (CR-OF) for SMEs
Keywords: 
Cyber Resilience
Operationalization Framework
Cybersecurity
SMEs
Issue Date: 
5-Oct-2021
Defense Date: 
17-Sep-2021
Publisher: 
Servicio de Publicaciones. Universidad de Navarra
Citation: 
CARÍAS, Juan Francisco "Cyber Resilience Operationalization Framework (CR-OF) for SMEs." Hernantes Apezetxea, J. y Arrizabalaga Juaristi, S.(dirs.) Tesis doctoral. Universidad de Navarra, Pamplona, 2021
Abstract
The constantly evolving cyber threat landscape is a latent problem for today’s companies. This is especially true for the Small and Medium-sized Enterprises (SMEs) because they have limited resources to face the threats but, as a group, represent an extensive payload for cybercriminals to exploit. Moreover, the risk of cyber incidents is not only due to cybercriminals but can be evoked from multiple sources such as human error, system failure, etc. In any case, the costs of these cyber incidents are high and can considerably affect SMEs. On the other hand, the traditional cybersecurity approach of protecting against known threats cannot withstand the rapidly evolving technologies and threats. In this sense, this study claims that cyber resilience, a more holistic approach to cybersecurity, could help SMEs anticipate, detect, withstand, recover from and evolve after cyber incidents. However, to operationalize cyber resilience is not an easy task since it requires technical and strategical knowledge and experience for its broad scope, holistic and multidimensional nature. Although the current literature regarding the operationalization of cyber resilience has widely covered the actions and areas of knowledge (often called policies and domains) required to operationalize cyber resilience, their prioritization and specific implementation strategies are not clear. Moreover, the differences between the actions suggested among the authors require companies to select one approach and later prioritize these actions. Therefore, it requires decision capabilities, knowledge and experience to know what is best for the company. In SMEs, this knowledge and experience might not be present since in most cases cybersecurity is not the core of their business. Therefore, this study tries to facilitate the cyber resilience operationalization process for SMEs. To achieve the goal of aiding SMEs in cyber resilience operationalization, this study presents an operationalization framework to help them prioritize the required cyber resilience policies and develop effective strategies to implement them. For this, the study presents a classification with the essential cyber resilience domains and policies required to operationalize cyber resilience in SMEs. Once these policies have been established, it also presents an implementation order for effective a cyber resilience operationalization. Moreover, the study presents example progressions for each policy in a progression model in order for companies to be able to strategize how to implement and later improve the required policies. These results are combined into a self-assessment tool and simulation models that could be used by companies in their decision-making process in order to take into account the findings of this study when operationalizing cyber resilience.
El panorama de las ciberamenazas, en constante evolución, es un problema latente para las empresas actuales. Esto es especialmente cierto para las Pequeñas y Medianas Empresas (PYMEs) porque tienen recursos limitados para hacer frente a las amenazas pero, como grupo, representan un amplio mercado para que los ciberdelincuentes exploten. Además, el riesgo de incidentes cibernéticos no se debe únicamente a los ciberdelincuentes, sino que puede provenir de múltiples fuentes, como errores humanos, fallos del sistema, etc. En cualquier caso, los costes de estos ciber incidentes son elevados y pueden afectar considerablemente a las PYMEs. Por otra parte, el enfoque tradicional de ciberseguridad de protección contra las amenazas conocidas no puede resistir la rápida evolución de las tecnologías y las amenazas. En este sentido, este estudio afirma que la ciberresiliencia, un enfoque más holístico de la ciberseguridad, podría ayudar a las PYMEs a anticipar, detectar, resistir, recuperarse y evolucionar tras los ciberincidentes. Sin embargo, operacionalizar la ciberresiliencia no es una tarea fácil, ya que requiere conocimientos técnicos y estratégicos y experiencia por su amplio enfoque, su naturaleza holística y multidimensional. Aunque la literatura actual relativa a la operacionalización de la ciberresiliencia ha cubierto ampliamente las acciones y áreas de conocimiento (a menudo llamadas políticas y dominios) requeridas para operacionalizar la ciberresiliencia, su priorización y las estrategias específicas de implementación no están claras. Además, las diferencias entre las acciones sugeridas entre los distintos autores obligan a las empresas a seleccionar un enfoque y a priorizar posteriormente estas acciones. Por lo tanto, se requiere capacidad de decisión, conocimiento y experiencia para saber qué es lo mejor para la empresa. En las PYMES, estos conocimientos y experiencia pueden no estar presentes ya que en la mayoría de los casos la ciberseguridad no es el núcleo de su negocio. Por lo tanto, este estudio trata de facilitar el proceso de operacionalización de la ciberresiliencia para las PYMEs. Para lograr el objetivo de ayudar a las PYMEs en la operacionalización de la ciberresiliencia, este estudio presenta un marco de operacionalización para ayudarles a priorizar las políticas de ciberresiliencia necesarias y desarrollar estrategias efectivas para implementarlas. Para ello, el estudio presenta una clasificación con los dominios y políticas de ciberresiliencia esenciales para operacionalizar la ciberresiliencia en las PYMEs. Una vez establecidas estas políticas, también presenta un orden de implementación para una operacionalización efectiva de la ciberresiliencia. Además, el estudio presenta ejemplos de progresión para cada política en un modelo de progresión con el fin de que las empresas puedan elaborar estrategias para implementar y posteriormente mejorar las políticas requeridas. Estos resultados se combinan en una herramienta de autoevaluación y en modelos de simulación que podrían ser utilizados por las empresas en su proceso de toma de decisiones para tener en cuenta las conclusiones de este estudio a la hora de hacer operativa la ciberresiliencia.

Files in This Item:
Thumbnail
File
Juan Francisco Carías Alvarez.pdf
Description
Size
2.87 MB
Format
Adobe PDF


Statistics and impact
0 citas en
0 citas en

Items in Dadun are protected by copyright, with all rights reserved, unless otherwise indicated.