Decision Models for Cybersecurity Risk Analysis

Abstract

Motivaci´on Nuestra sociedad est´a profundamente digitalizada. En algunas ´areas, esto es un hecho desde hace d´ecadas; e.g., los sistemas inform´aticos en empresas y administraciones p´ ublicas. En otros ´ambitos la digitalizaci ´on ´esta emergiendo, como en el caso de los procesos industriales, que se ha acelerado en la ´ ultima d´ecada. Esto ha tra´ıdo nuevas amenazas de ciberseguridad que podr´ıan poner en riesgo procesos industriales, la seguridad de los trabajadores o el entorno medioambiental. De hecho las infraestructuras industriales ya han sido objetivo de sofisticados ciberataques, como Stuxnet o Shamoon, capaces de permanecer ocultos mientras realizan operaciones de sabotaje o espionaje. Otros paradigmas emergentes se enfrentan a riesgos ciber-f´ısicos similares: e.g., el Internet de las Cosas, las ciudades inteligentes o los coches aut´onomos. En definitiva, la ciberseguridad en entornos expuestos a riesgos con consecuencias f´ısicas es muy diferente a la ciberseguridad tradicional, centrada en la confidencialidad de la informaci´on y la privacidad. Es m´as, nuestra vida moderna depende cada vez m´as de las tecnolog´ıas digitales. Actuamos y nos relacionamos en multitud de ciberespacios y, por tanto, nos exponemos a riesgos psicol´ogicos y sociales que pueden ser explotados por terceros maliciosos, como las campa˜nas de noticias falsas y trolls, el ciber-acoso o la exposici´on p´ ublica de datos personales. Por tanto, es vital estudiar estos riesgos digitales para entender qu´e son y c´omo nos afectan. Para esto existen multitud de m´etodos (e.g., matrices de riesgo, bow-ties) que, sin embargo, encontramos insuficientes a la hora de cubrir ciertos aspectos que consideramos relevantes como, por ejemplo, el estudio de amenazas adversarias o la existencia de objetivos de distinta naturaleza (e.g., monetarios, derechos personales). Objetivos Nuestro objetivo en esta Tesis es desarrollar modelos de an´alisis de riesgos en ciberseguridad que estudien aspectos no muy bien tratados por los m´etodos actuales m´as populares. Concretamente: • Modelos que analicen los riesgos durante incidentes, que difieren de un an´alisis de riesgos t´ıpico en que el analista estudia un incidente particular que est´a ocurriendo o que podr´ıa ocurrir inmediatamente. • Modelos que analicen estrat´egicamente las amenazas adversarias, ya que, en ciberseguridad, los an´alisis de riesgos t´ıpicos generalmente no tienen en cuenta el comportamiento o motivaciones de las amenazas inteligentes. • Los riesgos digitales podr´ıan causar impactos en la informaci´on, operativos, f´ısicos o psicol´ogicos. Esto requiere modelos que faciliten la toma de decisiones con objetivos m´ ultiples de distinta naturaleza, valor e importancia para las partes involucradas. • La inclusi´on de la transferencia de riesgo, en particular los ciber seguros, en los an´alisis de riesgos en ciberseguridad, como complemento a los controles de seguridad preventivos y reactivos. Resultados Despu´es de introducir los temas tratados en la tesis, los siguientes dos cap´ıtulos se centran en el an´alisis de riesgos durante incidentes. El segundo cap´ıtulo presenta nuestro modelo general de an´alisis de riesgos durante incidentes (GIRA), que formaliza el proceso de dicho an´alisis mediante un diagrama de influencia. Primero, exponemos las consideraciones que se han de tener en cuenta a la hora de analizar los riesgos durante un incidente. Seguimos con una caracterizaci´on de los componentes b´asicos que constituyen un incidente y de las relaciones entre ellos. Partiendo de esta caracterizaci ´on, introducimos GIRA y las particularidades de sus componentes: exposici´on a la amenaza, respuesta al incidente, materializaci´on del incidente, consecuencias en los sistemas, impactos en los activos, objetivos en riesgo y evaluaci´on del riesgo. Acompa˜namos GIRA con ejemplos. Tambi ´en presentamos, brevemente, la formalizaci´on matem´atica de GIRA y versiones adicionales: simplificada, para m´ ultiples partes involucradas y para sucesos inminentes y futuros. GIRA se sit ´ua al mismo nivel de generalidad que los conceptos de riesgo e incidente establecidos en las normas ISO 31000 e ISO 22300. El tercer cap´ıtulo presenta avances adicionales para GIRA y una adaptaci ´on para realizar un an´alisis r´apido de riesgos en ciberseguridad. Presentamos un m´etodo simple de obtenci´on cualitativa de probabilidades basado en la rareza del suceso (i.e., en funci´on de si los diferentes sucesos en una cadena de sucesos son ciertos, posibles, raros o imposibles). Adem´as, introducimos un mapa de categor´ıas para entender las ramificaciones potenciales de los incidentes de ciberseguridad. Luego presentamos nuestro modelo para el an´alisis de riesgos durante incidentes de ciberseguridad (CSIRA) que es, b´asicamente, GIRA combinado con los previamente introducidos m´etodos de obtenci´on y mapa de ramificaciones de incidentes de ciberseguridad. En la presentaci´on de CSIRA tambi´en exponemos que para tomar la decisi ´on s ´olo es necesario comparar los escenarios a los que conducen las distintas respuestas al incidente, sin la necesidad de obtener preferencias, t´ıpica en el uso de diagramas de influencia. El resto de modelos se centran en el marco temporal t´ıpico de los an´alisis de riesgos, i.e., la vida ´ util de un sistema o un n´umero de a˜nos espec´ıfico. As´ı, el cuarto cap´ıtulo presenta un modelo de asignaci´on de recursos en ciberseguridad en una organizaci´on, incluyendo sus preferencias y actitudes frente al riesgo, la intencionalidad de las amenazas adversarias y las decisiones respecto a la adquisici´on de ciber seguros. La primera parte introduce diagramas de influencia, y su forma matem´atica, que describen diferentes modelos de an´alisis de riesgo. Empezando por una evaluaci´on simple del rendimiento de un sistema, vamos a˜nadiendo nuevos elementos al modelo: riesgo, mitigaci´on del riesgo, transferencia del riesgo y an´alisis adversario. La segunda parte reproduce un ejemplo completo en el que detallamos todos los aspectos del estudio de riesgos: descripci´on de la estructura del problema de riesgos, estudio de las creencias de la organizaci´on sobre los elementos que afectan al riesgo, estudio de sus preferencias, modelizaci ´on del problema del atacante para predecir sus acciones y c´alculo de la mejor cartera de controles y seguro para la organizaci´on. En el cap´ıtulo cinco describimos un arbol de objetivos para ciberseguridad. El prop´osito es facilitar una identificaci ´on exhaustiva de los objetivos de una organizaci´on que pueden ser afectados por ciber riesgos. En este contexto, es importante distinguir entre aquellos objetivos que pueden medirse en t´erminos monetarios y aquellos que no pueden [o no deben] medirse en tales t´erminos - por ejemplo da˜nos a personas. Tambi´en exploramos como medir esos objetivos no monetarios (e.g., reputaci´on, derechos personales, da˜nos medioambientales). Finalizamos detallando c´omo usar este arbol de objetivos para construir una funci´on de utilidad multi-atributo. el contexto de los ciber seguros. Tambi´en presentamos modelos para aseguradoras. En el primero, se decide qu´e reaseguro adquiere teniendo en cuenta los diferentes segmentos de compa˜n´ıas a las que est´a asegurando (e.g., PYMES, grandes empresas). En el segundo, la aseguradora decide si otorga o no un seguro a un cliente potencial.