Decision Models for Cybersecurity Risk Analysis

Abstract

Motivación Nuestra sociedad está profundamente digitalizada. En algunas áreas, esto es un hecho desde hace décadas; e.g., los sistemas informáticos en empresas y administraciones públicas. En otros ámbitos la digitalización está emergiendo, como en el caso de los procesos industriales, que se ha acelerado en la última década. Esto ha traído nuevas amenazas de ciberseguridad que podrían poner en riesgo procesos industriales, la seguridad de los trabajadores o el entorno medioambiental. De hecho las infraestructuras industriales ya han sido objetivo de sofisticados ciberataques, como Stuxnet o Shamoon, capaces de permanecer ocultos mientras realizan operaciones de sabotaje o espionaje. Otros paradigmas emergentes se enfrentan a riesgos ciber-físicos similares: e.g., el Internet de las Cosas, las ciudades inteligentes o los coches autónomos. En definitiva, la ciberseguridad en entornos expuestos a riesgos con consecuencias físicas es muy diferente a la ciberseguridad tradicional, centrada en la confidencialidad de la información y la privacidad. Es más, nuestra vida moderna depende cada vez más de las tecnologías digitales. Actuamos y nos relacionamos en multitud de ciberespacios y, por tanto, nos exponemos a riesgos psicológicos y sociales que pueden ser explotados por terceros maliciosos, como las campañas de noticias falsas y trolls, el ciberacoso o la exposición pública de datos personales. Por tanto, es vital estudiar estos riesgos digitales para entender qué son y cómo nos afectan. Para esto existen multitud de métodos (e.g., matrices de riesgo, bow-ties) que, sin embargo, encontramos insuficientes a la hora de cubrir ciertos aspectos que consideramos relevantes como, por ejemplo, el estudio de amenazas adversarias o la existencia de objetivos de distinta naturaleza (e.g., monetarios, derechos personales). Objetivos Nuestro objetivo en esta Tesis es desarrollar modelos de análisis de riesgos en ciberseguridad que estudien aspectos no muy bien tratados por los métodos actuales más populares. Concretamente: • Modelos que analicen los riesgos durante incidentes, que difieren de un análisis de riesgos típico en que el analista estudia un incidente particular que está ocurriendo o que podría ocurrir inmediatamente. • Modelos que analicen estratégicamente las amenazas adversarias, ya que, en ciberseguridad, los análisis de riesgos típicos generalmente no tienen en cuenta el comportamiento o motivaciones de las amenazas inteligentes. • Los riesgos digitales podrían causar impactos en la información, operativos, físicos o psicológicos. Esto requiere modelos que faciliten la toma de decisiones con objetivos múltiples de distinta naturaleza, valor e importancia para las partes involucradas. • La inclusión de la transferencia de riesgo, en particular los ciber seguros, en los análisis de riesgos en ciberseguridad, como complemento a los controles de seguridad preventivos y reactivos. Resultados Después de introducir los temas tratados en la tesis, los siguientes dos capítulos se centran en el análisis de riesgos durante incidentes. El segundo capítulo presenta nuestro modelo general de análisis de riesgos durante incidentes (GIRA), que formaliza el proceso de dicho análisis mediante un diagrama de influencia. Primero, exponemos las consideraciones que se han de tener en cuenta a la hora de analizar los riesgos durante un incidente. Seguimos con una caracterización de los componentes básicos que constituyen un incidente y de las relaciones entre ellos. Partiendo de esta caracterización, introducimos GIRA y las particularidades de sus componentes: exposición a la amenaza, respuesta al incidente, materialización del incidente, consecuencias en los sistemas, impactos en los activos, objetivos en riesgo y evaluación del riesgo. Acompañamos GIRA con ejemplos. También en presentarnos, brevemente, la formalización matemática de GIRA y versiones adicionales: simplificada, para múltiples partes involucradas y para sucesos inminentes y futuros. GIRA se sitúa al mismo nivel de generalidad que los conceptos de riesgo e incidente establecidos en las normas ISO 31000 e ISO 22300. El tercer capítulo presenta avances adicionales para GIRA y una adaptación para realizar un análisis rápido de riesgos en ciberseguridad. Presentamos un método simple de obtención cualitativa de probabilidades basado en la rareza del suceso (i.e., en función de si los diferentes sucesos en una cadena de sucesos son ciertos, posibles, raros o imposibles). Además, introducimos un mapa de categorías para entender las ramificaciones potenciales de los incidentes de ciberseguridad. Luego presentamos nuestro modelo para el análisis de riesgos durante incidentes de ciberseguridad (CSIRA) que es, básicamente, GIRA combinado con los previamente introducidos métodos de obtención y mapa de ramificaciones de incidentes de ciberseguridad. En la presentación de CSIRA también exponemos que para tomar la decisión sólo es necesario comparar los escenarios a los que conducen las distintas respuestas al incidente, sin la necesidad de obtener preferencias, típica en el uso de diagramas de influencia. El resto de modelos se centran en el marco temporal típico de los análisis de riesgos, i.e., la vida útil de un sistema o un número de años específico. Así, el cuarto capítulo presenta un modelo de asignación de recursos en ciberseguridad en una organización, incluyendo sus preferencias y actitudes frente al riesgo, la intencionalidad de las amenazas adversarias y las decisiones respecto a la adquisición de ciber seguros. La primera parte introduce diagramas de influencia, y su forma matemática, que describen diferentes modelos de análisis de riesgo. Empezando por una evaluación simple del rendimiento de un sistema, vamos añadiendo nuevos elementos al modelo: riesgo, mitigación del riesgo, transferencia del riesgo y análisis adversario.

La segunda parte reproduce un ejemplo completo en el que detallamos todos los aspectos del estudio de riesgos: descripción de la estructura del problema de riesgos, estudio de las creencias de la organización sobre los elementos que afectan al riesgo, estudio de sus preferencias, modelización del problema del atacante para predecir sus acciones y cálculo de la mejor cartera de controles y seguro para la organización. En el capítulo cinco describimos un árbol de objetivos para ciberseguridad. El propósito es facilitar una identificación exhaustiva de los objetivos de una organización que pueden ser afectados por ciber riesgos. En este contexto, es importante distinguir entre aquellos objetivos que pueden medirse en términos monetarios y aquellos que no pueden [o no deben] medirse en tales términos por ejemplo daños a personas. También exploramos como medir esos objetivos no monetarios (e.g., reputación, derechos personales, daños medioambientales). Finalizamos detallando cómo usar este árbol de objetivos para construir una función de utilidad multi-atributo. el contexto de los ciber seguros. También presentamos modelos para aseguradoras. En el primero, se decide qué reaseguro adquiere teniendo en cuenta los diferentes segmentos de compañías a las que está asegurando (e.g., PYMES, grandes empresas). En el segundo, la aseguradora decide si otorga o no un seguro a un cliente potencial.