Un Marco para el Análisis de Riesgos en Ciberseguridad

Resumen

Las ciberamenazas afectan a todo tipo de organizaciones, desde empresas privadas a administraciones públicas, incluyendo infraestructuras críticas. Para abordar esta compleja problemática, el análisis de riesgos aporta herramientas esenciales, gracias a las cuales las organizaciones pueden analizar las amenazas que les afectan, priorizar la defensa de sus activos y decidir qué contramedidas deben implantarse para reducir tales riesgos. Los métodos de análisis de riesgos están presenten en múltiples modelos de control, marcos de evaluación y compliance, así como en normativas internacionales. Sin embargo, en estos marcos, la parte relativa al análisis y tratamiento formal de los riesgos deja mucho que desear. Por ello, una vez se analicen las principales propuestas existentes en este campo, se propondrá un marco integral para el análisis de riesgos en ciberseguridad. En dicho marco se mostrará cómo estructurar un problema de análisis y gestión de riesgos para ciberseguridad, así como el proceso para identificar activos, amenazas y salvaguardas. Se evaluarán los impactos que tienen lugar sobre los activos, así como el valor de los mismos y los costes de las salvaguardas, planteando la cartera óptima de salvaguardas, en el sentido de maximizar la utilidad esperada. En el proceso global de modelización se evaluarán las amenazas no adversarias y las preferencias de la organización. Para la modelización de las amenazas adversarias se describirá el problema de decisión del atacante. Se mostrará un caso práctico de implantación del marco propuesto, comentando finalmente conclusiones y líneas futuras de investigación.