El estado colombiano consiente de la complejidad del Ciberespacio y teniendo en cuenta la digitalización y la globalización mundial, donde cada día el uso de las tecnologías de la información y las comunicaciones es más necesaria para las actividades diarias en todas los aspectos, ha construido una estrategia de Ciberdefensa para el país, en la cual el Ejército Nacional debe adaptarse rápidamente al nuevo contexto con el fin de prepararse para posibles confrontaciones que intenten afectar la soberanía, la independencia, la integridad del territorio nacional y del orden constitucional.

La Ciberdefensa en Colombia inició para la Fuerzas Militares en el año 2011 con el documento CONPES 3701 "Lineamientos de política para la Ciberseguridad y Ciberdefensa" en el cual se estable la estrategia de Ciberdefensa para Colombia y se emiten los lineamientos para la política de Ciberseguridad y Ciberdefensa. Basados en esta estrategia se creó una comisión intersectorial conformada por el ColCERT de Colombia,  quien es el CERT de Colombia, el Centro cibernético Policial (CCP) y el Comando Conjunto cibernético de las Fuerzas Militares de Colombia, quienes son los encargados de liderar la Ciberdefensa y la Ciberseguridad del país. Con base en los  lineamientos del CONPES 3701, el Comando Conjunto Cibernético de las Fuerzas Militares de Colombia, lidera la creación de las Unidades de Ciberdefensa en cada una de las Fuerzas Militares, y así, para el año 2012 se inició la creación y montaje de la unidad de Ciberdefensa del Ejército Nacional de Colombia.

En 2016 el Departamento Nacional de Planeación (DNP) emite un nuevo documento CONPES 3854 "Política Nacional de Seguridad Digital" en el cual fortalece la seguridad digital del país y continua con la estrategia de Ciberdefensa para Colombia de acuerdo al CONPES 3701, al igual que con el  documento CONPES de seguridad digital más reciente, CONPES 3995 "Política Nacional de Confianza y Seguridad Digital". 

Ya con la Unidad de Ciberdefensa creada y teniendo en cuenta los documentos CONPES, los cuales incorporan la estrategia de Ciberdefensa y Ciberseguridad para Colombia y donde se enmarcan los lineamientos de Ciberdefensa y Ciberseguridad, el Ejército Nacional matricula unos proyectos ante el Departamento Nacional de Planeación (DNP) con el nombre de IMPLEMENTACIÓN UNIDAD DE CIBERDEFENSA EJERCITO y FORTALECIMIENTO DE LOS MEDIOS CIBERNÉTICOS DEL EJÉRCITO NACIONAL, con los cuales el Ejército Nacional inicia con el desarrollo de la capacidad de Ciberdefensa en el Ejército Nacional. 

En el desarrollo de la capacidad con el apoyo de tecnologías de seguridad para la protección de la infraestructura tecnológica militar, el Ejército Nacional comenzó a evidenciar los ataques cibernéticos que se reciben a diario buscando vulnerar la integridad, disponibilidad y confidencialidad de la información.

La unidad de Ciberdefensa del Ejército Nacional requiere la construcción de procesos definidos para la gestión de incidentes cibernéticos con el fin de facilitar la toma de decisiones y poder tomar cursos de acción para la priorización, investigación y respuesta de los incidente detectados o reportados, así mismo generar una retroalimentación basada en bases de conocimientos y lecciones aprendidas, que faciliten la evolución de la unidad de Ciberdefensa.

Diseñar e implementar el plan para la gestión de incidentes de seguridad para la unidad de Ciberdefensa del Ejército Nacional. La construcción de dicho plan requiere primero seleccionar un marco de ciberseguridad que permita incorporar procesos y buenas prácticas establecidas, así como guiar los procesos relacionados. 

Los marcos disponibles serán evaluados con base en el mismo conjunto de criterios. Uno de los criterios fundamentales es el soporte para diseñar un conjunto de actividades que lleven a lograr resultados específicos de ciberseguridad. Los marcos deben considerar funciones como:

• Identificar (Riesgo de ciberseguridad).
• Proteger (Asegurar la disponibilidad de servicios críticos).
• Detectar (Identificar la ocurrencia de un evento de ciberseguridad).
• Responder (tomar medidas con respecto a un incidente de ciberseguridad detectado).
• Recuperar (planes de resiliencia y restauración debido a incidentes de ciberseguridad).

Hoy día hay varios marcos disponibles: 

• Las publicaciones del NIST, proponen grupos de controles de seguridad diferentes para ayudar a las agencias y organizaciones federales de EE. UU. a gestionar sus incidentes.
• Los controles de seguridad críticos de CIS son independientes del tipo de industria y la geografía y proporcionan un enfoque basado en prioridades y bastante técnico para obtener resultados inmediatos de alto impacto.
• Las normas ISO 27k proponen un enfoque menos técnico y más basado en la gestión de riesgos que proporciona recomendaciones de mejores prácticas para empresas de todo tipo y tamaño (Security, n.d.)
• COBIT es un modelo que no aborda de manera completa la problemática de ciberseguridad, siendo su enfoque de gobierno de seguridad de TI, pero se ha forzado su uso por la sencillez y facilidad de su implementación (Rea-Guaman et al., 2017).

El marco de ciberseguridad del NIST se compone de un conjunto de controles y buenas prácticas de varias normas internacionales, como ISO/IEC 27001:2013, ISO/IEC 27002:2012, COBIT 5, CIS CSC, por tanto, las organizaciones pueden adaptar este marco de ciberseguridad según las necesidades y alcances que establezcan.

En el manejo de incidentes, que es donde enfocaremos el alcance de este proyecto, el marco de ciberseguridad del NIST ofrece una documentación muy completa, y aunque principalmente va orientada a las agencias y organizaciones federales americanas, puede implementarse en cualquier agencia u organización de cualquier país, y como vemos en las experiencias internacionales, los países que son potencia económica lo tienen como referencia de implementación en sus estrategias de ciberseguridad.

El marco de la NIST, dentro de las funciones, cuenta con guías para etapa de preparación para la gestión de incidentes, siendo esto un punto a favor para las organizaciones en cuanto a que los analistas de incidentes cuentan con las herramientas para trabajar, a diferencia de la norma ISO 27035 que no cuenta con la etapa de preparación. De igual forma el NIST maneja conceptos más técnicos para gestionar un incidente cibernético.

Criterios de evaluación del marco de ciberseguridad

Para la proceder con la elección del marco de seguridad más adecuado para la unidad de ciberdefensa del Ejército Nacional, es necesario tener en cuenta los criterios que determinarán la idónea adaptación y facilitación en el proceso de implantación, haciendo énfasis en los procedimientos de respuesta y manejo de incidentes de seguridad informática. En estos criterios se procura incluir fundamentos del ecosistema de ciberseguridad que ofrece cada marco de seguridad estudiado, incluyendo el direccionamiento que dan en cuanto a la adaptabilidad de la capacidad instalada actualmente, el panorama actual en ciberseguridad, los métodos para realizar tareas particulares en el contexto de la ciberseguridad, y las metodologías fundamentales para la gestión de riesgos y la evaluación de sistemas y procedimientos (Consortium, 2020), así como también se tendrá en cuenta el tiempo de actualización de cada norma, y los lineamientos que incluye en la gestión de incidentes.

• Adaptabilidad de la capacidad instalada: tiene que ver con los lineamientos que permitan medir el nivel de madurez y la postura de seguridad de la organización (Abdullahi Garba et al., 2020) para la implementación de los procedimientos de acuerdo con las capacidades de ciberseguridad.
• Métodos para realizar tareas en el contexto de la ciberseguridad: tiene que ver con la gestión de los diferentes tipos de datos, pero también a la protección de la infraestructura que contiene los datos y los métodos para intercambiar información con otros con el objetivo de prevenir incidentes cibernéticos en sus propias organizaciones. Cada uno establece un procedimiento o proceso que los equipos, las personas o la institución deben seguir o implementar para proteger de manera óptima los datos que poseen. Asegurarse de que esto se haga de manera coherente y fácil de completar debe garantizar que los datos permanezcan seguros (Consortium, 2020).
• Metodologías fundamentales para la gestión de riesgos: tiene que ver con las medidas de verificación en cuanto a qué tan bien se han implementado los procedimientos de ciberseguridad. Estos van desde simples verificaciones y pruebas de estrés hasta auditorías completas tanto de los sistemas físicos como de los procesos que previenen el ciberdelito a través de errores humanos.
• Actualizaciones: tiene que ver con la fecha de la última actualización publicada del estándar o marco de seguridad, y qué tan adaptada se encuentra al contexto actual en ciberseguridad.
• Lineamientos en gestión de incidentes: tiene ver con las etapas de detección y análisis de un incidente cibernético, con el fin de contenerlo, erradicarlo o recuperarlo, para salvaguardar la infraestructura tecnológica del Ejercito Nacional y preservar la integridad, confidencialidad y disponibilidad de la información de la institución.