Árboles de ataque en la evaluación económica de las inversiones en ciberseguridad
Abstract
Dado que los ciberataques suponen una gran amenaza para las organizaciones, es necesario adoptar medidas
de seguridad para proteger las redes y la información. La defensa contra estos ataques requiere importantes
recursos e inversiones por parte de las organizaciones. Para los gerentes no les importa si se requiere un
IPS/ IDS, un WAF, o un SIEM; lo que ellos necesitan evaluar es la relación costo/beneficio de dicha
decisión. El nivel de riesgo residual después de implementar una contramedida debería ser criterio
fundamental que oriente las inversiones de ciberseguridad. El no contar con una metodología sencilla para
calcular el riesgo mitigado y su impacto en la expectativa de pérdida anual (ALE) que cada contramedida
introduce en el eco sistema de ciberseguridad, lleva a los gerentes de IT a especular sobre la relación
costo/beneficio de las inversiones. El modelo propuesto en este trabajo de grado usa los Árboles de Ataque
para diagramar de forma sencilla y visual cómo se podrían llevar a cabo los diferentes escenarios de un
ciberataque. Además, registra la interacción que se da entre el defensor y atacante, a través de variables de
comportamiento que determinan la probabilidad de un ataque y el riesgo percibido. Esto permite estimar el
riesgo mitigado después de implementar una contramedida. Con base en es esta información se priorizan
las inversiones calculando el retorno de inversión de cada una de ellas (ROSI). La metodología propuesta,
permite también estimar la predisposición que tienen las diferentes organizaciones a invertir en
ciberseguridad, dependiendo del perfil de riesgo (tolerancia al riesgo). As cyber-attacks threaten organizations, it is necessary to adopt security measures to protect networks and
information. Defending against these attacks demands significant resources and investments from
organizations. For managers, it is irrelevant whether an IPS/ IDS, a WAF, or a SIEM is required; what they
need to evaluate is the cost/benefit ratio of such a decision. The level of residual risk after implementing a
countermeasure should be a fundamental criterion guiding cybersecurity investments. Not having a simple
methodology to calculate the mitigated risk and its impact on the annual loss expectation (ALE) that each
countermeasure introduces in the cybersecurity eco-system, leads IT managers to speculate on the
cost/benefit ratio of the investments. The model proposed in this project uses Attack Trees to diagram, in a
simple and visual way, how the different scenarios of a cyber-attack could be carried out. In addition, it
registers the interaction between the defender and the attacker, through behavioral variables that determine
the probability of an attack and risk perceived. This allows estimating the mitigated risk after implementing
a countermeasure. Based on this information, investments are prioritized by calculating the return of
investment for each one of them (ROSI). The proposed methodology also allows to estimate the
predisposition of the different organizations to invest in cybersecurity, depending on the risk profile (risk
tolerance).
Matters
RiesgosCollections
The following license files are associated with this item: