ACET (Automated Cybersecurity Evaluation Toolbox - NCUA) en el desarrollo de ICRE26: diseño de métricas, encuestas organizativas y evaluación GQM + PRAGMATIC.

Resumen de contenido:

Obra compuesta que define el posible interés por la aplicación del modelo objeto de análisis dentro un marco nacional de indicadores de ciberseguridad (ICRE26) con foco en España, pero vocación comparativa internacional. Integra un análisis de tendencias recientes sobre el tópico junto con una propuesta de familias de indicadores a nivel nacional para la gestión de la ciber-resiliencia y la continuidad de los negocios.

Sobre esta base analítica, la obra despliega dos kits principales:

1. Kit de encuesta organizativa:
• Modelo de encuesta integral para responsables de empresas y organismos, con bloques sobre contexto, gobierno, identificación y clasificación de debilidades, uso de listas CWE, indicadores internos, ciclo de vida de desarrollo, riesgos y cumplimiento, capacidades, tecnología y ROI.
• Guía metodológica de aplicación, codificación y análisis.
• Narrativa explicativa que contextualiza el cuestionario y enfatiza el paso de riesgos y vulnerabilidades aisladas a patrones de debilidades estructurales.
• Mapeo de preguntas a marcos normativos (ENS, ISO/IEC 27001/27002/27004, NIS2, ENISA).
• Plantilla de Excel para calcular el IGM y aproximaciones de ROI de iniciativas vinculadas al objeto de estudio.
• Plantilla de reporte ejecutivo (estructura de presentación tipo PowerPoint).
• README del kit, con instrucciones de uso, integración sectorial y advertencias metodológicas.
2. Marco integrativo GQM + PRAGMATIC:
• Definición de metas nacionales relacionadas con la reducción de debilidades, amenazas y vulnerabilidades, la mejora de detección y remediación, la integración de en regulación y gobierno, y el desarrollo de capacidades/cultura.
• Derivación de preguntas GQM (Goal‑Question‑Metric) que articulan la trazabilidad desde objetivos de alto nivel hasta cuestiones.
• Definición de un conjunto de métricas concretas.
• Evaluación de dichas métricas mediante los nueve criterios PRAGMATIC (Predictivo, Relevante, Accionable, Genuino, Significativo, Preciso, Oportuno, Independiente, Rentable), con una matriz cualitativa completa que permite seleccionar las métricas más sólidas y descartar indicadores de baja utilidad.
• Narrativa explicativa que sitúa GQM como mecanismo para evitar “métricas decorativas” y PRAGMATIC como filtro de honestidad y utilidad, reforzando la congruencia entre objetivos de política pública y datos técnicos.
• Plantilla de Excel extendida que integra el diccionario de métricas (con meta, pregunta y fuente), el cálculo del IGM, la puntuación PRAGMATIC por métrica y visualizaciones recomendadas.
• Plantilla de reporte ejecutivo donde cada gráfico conserva su genealogía GQM (meta‑pregunta‑métrica) y su valoración PRAGMATIC.
• README del kit GQM + PRAGMATIC como guía de implantación, personalización y mantenimiento.

Metodología:

Enfoque GQM (Goal‑Question‑Metric) aplicado a la medición de ciberseguridad y gestión de riesgos y gestión dedebilidades, amenazas y vulnerabilidades; metamodelo PRAGMATIC para evaluar la calidad de métricas; integración conceptual con marcos de referencia internacionales (CWE, CVE, CVSS, KEV, MIHW, informes ENISA, normas ISO/IEC 2700x, ENS, NIS2).

Público objetivo:

• Responsables de ciberseguridad (CISOs) y arquitectos de seguridad.
• Reguladores y organismos encargados de estrategias nacionales de ciberseguridad.
• CSIRTs nacionales y sectoriales.
• Investigadores, doctorandos y equipos de analítica interesados en métricas de ciberseguridad y gobernanza de vulnerabilidades.

Estado de publicación:

Manuscrito técnico no publicado formalmente, disponible conceptualmente como conjunto de archivos Markdown, docx y pdf, incluyendo plantillas operativas, susceptible de ser integrado en repositorios académicos o institucionales.

Financiación:

INCIBE y Unión Europea NextGenerationEU/PRTR, en el marco del Plan de Recuperación, Transformación y Resiliencia-Financiado por la Unión Europea-NextGenerationEU”.