Árboles de ataque en la evaluación económica de las inversiones en ciberseguridad

Abstract

Dado que los ciberataques suponen una gran amenaza para las organizaciones, es necesario adoptar medidas de seguridad para proteger las redes y la información. La defensa contra estos ataques requiere importantes recursos e inversiones por parte de las organizaciones. Para los gerentes no les importa si se requiere un IPS/ IDS, un WAF, o un SIEM; lo que ellos necesitan evaluar es la relación costo/beneficio de dicha decisión. El nivel de riesgo residual después de implementar una contramedida debería ser criterio fundamental que oriente las inversiones de ciberseguridad. El no contar con una metodología sencilla para calcular el riesgo mitigado y su impacto en la expectativa de pérdida anual (ALE) que cada contramedida introduce en el eco sistema de ciberseguridad, lleva a los gerentes de IT a especular sobre la relación costo/beneficio de las inversiones. El modelo propuesto en este trabajo de grado usa los Árboles de Ataque para diagramar de forma sencilla y visual cómo se podrían llevar a cabo los diferentes escenarios de un ciberataque. Además, registra la interacción que se da entre el defensor y atacante, a través de variables de comportamiento que determinan la probabilidad de un ataque y el riesgo percibido. Esto permite estimar el riesgo mitigado después de implementar una contramedida. Con base en es esta información se priorizan las inversiones calculando el retorno de inversión de cada una de ellas (ROSI). La metodología propuesta, permite también estimar la predisposición que tienen las diferentes organizaciones a invertir en ciberseguridad, dependiendo del perfil de riesgo (tolerancia al riesgo).

As cyber-attacks threaten organizations, it is necessary to adopt security measures to protect networks and information. Defending against these attacks demands significant resources and investments from organizations. For managers, it is irrelevant whether an IPS/ IDS, a WAF, or a SIEM is required; what they need to evaluate is the cost/benefit ratio of such a decision. The level of residual risk after implementing a countermeasure should be a fundamental criterion guiding cybersecurity investments. Not having a simple methodology to calculate the mitigated risk and its impact on the annual loss expectation (ALE) that each countermeasure introduces in the cybersecurity eco-system, leads IT managers to speculate on the cost/benefit ratio of the investments. The model proposed in this project uses Attack Trees to diagram, in a simple and visual way, how the different scenarios of a cyber-attack could be carried out. In addition, it registers the interaction between the defender and the attacker, through behavioral variables that determine the probability of an attack and risk perceived. This allows estimating the mitigated risk after implementing a countermeasure. Based on this information, investments are prioritized by calculating the return of investment for each one of them (ROSI). The proposed methodology also allows to estimate the predisposition of the different organizations to invest in cybersecurity, depending on the risk profile (risk tolerance).