Ir al contenido

Documat

Resumen de Decision models for cybersecurity risk analysis

Aitor Couce Vieira

  • MOTIVACIÓN Nuestra sociedad está profundamente digitalizada. En algunas áreas, esto es un hecho desde hace décadas; e.g., los sistemas informáticos en empresas y administraciones públicas. En otros ámbitos la digitalización ésta emergiendo, como en el caso de los procesos industriales, que se ha acelerado en la última década. Esto ha traído nuevas amenazas de ciberseguridad que podrían poner en riesgo procesos industriales, la seguridad de los trabajadores o el entorno medioambiental. Es más, nuestra vida moderna depende cada vez más de las tecnologías digitales. Actuamos y nos relacionamos en multitud de ciberespacios y, por tanto, nos exponemos a riesgos psicológicos y sociales que pueden ser explotados por terceros maliciosos, como las campañas de noticias falsas y trolls, el ciberacoso o la exposición pública de datos personales.

    Por tanto, es vital estudiar estos riesgos digitales para entender qué son y cómo nos afectan. Para esto existen multitud de métodos (e.g., matrices de riesgo, bowties) que, sin embargo, encontramos insuficientes a la hora de cubrir ciertos aspectos que consideramos relevantes como, por ejemplo, el estudio de amenazas adversarias o la existencia de objetivos de distinta naturaleza (e.g., monetarios, derechos personales).

    OBJETIVOS Nuestro objetivo en esta Tesis es desarrollar modelos de análisis de riesgos en ciberseguridad que estudien aspectos no muy bien tratados por los métodos actuales más populares. Concretamente:

    (1) Modelos que analicen los riesgos durante incidentes, que difieren de un análisis de riesgos típico en que el analista estudia un incidente particular que está ocurriendo o que podrı́a ocurrir inmediatamente.

    (2) Modelos que analicen estratégicamente las amenazas adversarias, ya que, en ciberseguridad, los análisis de riesgos típicos generalmente no tienen en cuenta el comportamiento o motivaciones de las amenazas inteligentes.

    (3) Los riesgos digitales podrían causar impactos en la información, operativos, físicos o psicológicos. Esto requiere modelos que faciliten la toma de decisiones con objetivos múltiples de distinta naturaleza, valor e importancia para las partes involucradas.

    (4) La inclusión de la transferencia de riesgo, en particular los ciber seguros, en los análisis de riesgos en ciberseguridad, como complemento a los controles de seguridad preventivos y reactivos.

    RESULTADOS Después de introducir los temas tratados en la tesis, los siguientes dos capı́tulos se centran en el análisis de riesgos durante incidentes. El segundo capítulo presenta nuestro modelo general de análisis de riesgos durante incidentes (GIRA), que formaliza el proceso de dicho análisis mediante un diagrama de influencia. El tercer capitulo presenta una adaptación de GIRA para realizar un análisis rápido de riesgos en ciberseguridad, que denominamos CSIRA.

    El resto de modelos se centran en el marco temporal típico de los análisis de riesgos, i.e., la vida útil de un sistema o un número de años específico. Así, el cuarto capítulo presenta un modelo de asignación de recursos en ciberseguridad en una organización, incluyendo sus preferencias y actitudes frente al riesgo, la intencionalidad de las amenazas adversarias y las decisiones respecto a la adquisición de ciber seguros. En el capítulo cinco describimos un árbol de objetivos para ciberseguridad. El propósito es facilitar una identificación exhaustiva de los objetivos de una organización que pueden ser afectados por ciber riesgos. En el sexto capítulo presentamos varios modelos de análisis de riesgos en el contexto de los ciber seguros. El último capítulo discute las conclusiones de la Tesis.

    Los resultados de la investigación se han materializado en cuatro artículos.

    CONCLUSIONES La contribución de GIRA/CSIRA es un modelo de análisis de riesgos para situaciones de incidente con una representación matemática formal y fundamentado en una caracterización sintética, pero abarcadora, del concepto de incidente. Encontramos diferentes consideraciones que los métodos existentes no tratan de manera adecuada. Modelos como el bowtie no cubren aspectos relacionados con el valor (activos, impactos, evaluación del riesgo) y las matrices de riesgo llevan a análisis sobresimplificados que cualifican el riesgo de manera inadecuada. GIRA/CSIRA tienen en cuenta la cadena de sucesos sistémicos y los aspectos de valor que componen un riesgo. Por otro lado, como diagramas de influencia, son compatibles con métodos cuantitativos de análisis de riesgos y con la obtención de preferencias para la construcción de funciones de utilidad. Sin embargo, también hemos desarrollado métodos para facilitar un análisis de riesgo rápido.

    El marco para el análisis de riesgos en cibeseguridad contribuye al análisis de riesgos adversarios (ARA). Aplica modelos y aspectos existentes, pero integra el análisis adversario en la gestión de riesgos de ciberseguridad de la organización analizada, y aporta la descripción completa del procedimiento bajo el que se ha realizado y construido el estudio de riesgo. Este marco también incorpora los ciber seguros como componente del análisis del riesgo y sus particularidades (e.g., su dependencia de las medidas de seguridad implantadas, su influencia en el impacto monetario final de un ataque). Este es uno de los primeros modelos de análisis de riesgos en ciberseguridad que incluye ciber seguros y, que sepamos, el primero que integra amenazas adversarias y ciber seguros. Este marco se complementa con el árbol de objetivos para ciberseguridad, que facilita el trabajo de identificar y medir los diferentes objetivos en riesgo en el contexto de la ciberseguridad. Aportamos una lista genérica pero comprehensiva de los objetivos a tener en cuenta a la hora de crear una organización cibersegura. También definimos la manera de medir estos objetivos e integrarlos en funciones de utilidad.

    Este último marco ha sido parte del proyecto europeo de innovación CYBECO, bajo el programa H2020, centrado en el desarrollo de nuevas herramientas de análisis de riesgos en ciberseguridad. Durante 2018 y 2019 avanzamos en el desarrollo de algoritmos para implementar una herramienta informática de análisis de riesgos basada en nuestro modelo y su metodología de construcción. Estos avances también pueden ser replicados o adaptados a GIRA/CSIRA, ya que son modelos más sencillos que representan problemas de riesgos más simples. En el futuro también sería de interés la realización de investigaciones descriptivas usando los modelos anteriores, por ejemplo la elaboración de estudios de riesgos en empresas arquetípicas (e.g., PYMES), que podrían ser de interés para gobiernos o para compañías aseguradoras o de ciberseguridad.

Fundación Dialnet

Mi Documat