CASANDRA. Metodología de Análisis y Gestión de Riesgos de Seguridad de la Información basada en Teoría de Juegos

dc.contributor.authorMoral Rubio, Santiago
dc.date.accessioned2016-02-19T08:39:10Z
dc.date.available2016-02-19T08:39:10Z
dc.date.issued2015
dc.descriptionTesis Doctoral leída en la Universidad Rey Juan Carlos de Madrid en 2015. Directores de la Tesis: Esperanza Marcos Martínez y Mario Piattini Velthuises
dc.description.abstractLas metodologías de análisis de riesgos de seguridad de la información tienen posibilidades de mejorar sus resultados incorporando en el proceso de toma de decisión la Teoría de Juegos. El empleo de la Teoría de Juegos permite identificar las variables que integran la función de beneficio del atacante. Al conocer estas variables es posible identificar medidas de protección específicas que permitan reducir cada una de las variables de la función de beneficio del atacante. Al utilizar Teoría de Juegos, el objetivo principal del análisis de riesgos no es reducir la pérdida de la víctima sino reducir el beneficio del atacante. El objetivo es que cada individuo desarrolle estrategias de defensa Darwinianas. En el proceso general de análisis de riesgos, el ciclo de vida para gestionar riesgos accidentales es distinto del que se necesita para gestionar los riesgos accidentales. En los riesgos accidentales se aplican modelos estándar de análisis de riesgos. En los riesgos intencionales se utiliza Teoría de Juegos. En este trabajo proponemos un modelo que incorpora Teoría de Juegos como elemento principal en los procesos del análisis y gestión de los riesgos de la seguridad de la información. Para desarrollar el modelo se crea una base de datos de incidentes sobre la que se toman decisiones de cuáles son los que con más probabilidad pueden ocurrir a la entidad que esté haciendo el análisis. La probabilidad está basada en Teoría de Juegos. Los incidentes más probables son aquellos que maximizan beneficio al atacante y minimizan su riesgo. Luego en un mercado "libre" de la delincuencia organizada, los incidentes que ya están ocurriendo son aquellos que maximizan el beneficio y minimizan el riesgo para el delincuente. Para analizar cada incidentes con más detalle se estructuran los mismos en dos fases. En la primera fase el delincuente quiere obtener los activos de información que utilizará en la segunda fase en el proceso de monetización. Cada conjunto de información tiene unas formas óptimas de monetización. Al analizar los ataques y organizarlos en patrones de ataques es posible estructurar mejor la defensa de los mismos, organizándolos en patrones de seguridad. Un patrón de ataque puede mitigarse con uno, o varios, patrones de defensa. Este método se está utilizando con éxito, al menos, en una gran institución financiera internacional.es
dc.identifier.urihttp://hdl.handle.net/10115/13658
dc.language.isospaes
dc.publisherUniversidad Rey Juan Carloses
dc.rightsAtribución-NoComercial-SinDerivadas 3.0 España*
dc.rights.accessRightsinfo:eu-repo/semantics/openAccesses
dc.rights.urihttp://creativecommons.org/licenses/by-nc-nd/3.0/es/*
dc.subjectInformáticaes
dc.subjectSeguridad de la Informaciónes
dc.subject.unesco3304 Tecnología de Los Ordenadoreses
dc.subject.unesco5309.04 Estructura del Mercadoes
dc.titleCASANDRA. Metodología de Análisis y Gestión de Riesgos de Seguridad de la Información basada en Teoría de Juegoses
dc.typeinfo:eu-repo/semantics/doctoralThesises

Archivos

Bloque original

Mostrando 1 - 1 de 1
Cargando...
Miniatura
Nombre:
Tesis Doctoral Santiago Moral Rubio.pdf
Tamaño:
15.03 MB
Formato:
Adobe Portable Document Format

Bloque de licencias

Mostrando 1 - 2 de 2
No hay miniatura disponible
Nombre:
license.txt
Tamaño:
2.77 KB
Formato:
Item-specific license agreed upon to submission
Descripción:
No hay miniatura disponible
Nombre:
Moral Rubio, Santiago.pdf
Tamaño:
603.11 KB
Formato:
Adobe Portable Document Format
Descripción:

Colecciones