Mostrar el registro sencillo del ítem

Árboles de ataque en la evaluación económica de las inversiones en ciberseguridad

dc.contributor.authorCarlos Enrique, Rosero Cerón
dc.coverage.spatialBogotá D,C. : Escuela Superior de Guerra “General Rafael Reyes Prieto”2022
dc.date.accessioned2024-07-25T16:55:35Z
dc.date.available2024-07-25T16:55:35Z
dc.date.issued2022-08-31
dc.date.submitted2024-06-24
dc.identifier.citationAPAes_ES
dc.identifier.urihttps://hdl.handle.net/20.500.14205/11153
dc.description.abstractDado que los ciberataques suponen una gran amenaza para las organizaciones, es necesario adoptar medidas de seguridad para proteger las redes y la información. La defensa contra estos ataques requiere importantes recursos e inversiones por parte de las organizaciones. Para los gerentes no les importa si se requiere un IPS/ IDS, un WAF, o un SIEM; lo que ellos necesitan evaluar es la relación costo/beneficio de dicha decisión. El nivel de riesgo residual después de implementar una contramedida debería ser criterio fundamental que oriente las inversiones de ciberseguridad. El no contar con una metodología sencilla para calcular el riesgo mitigado y su impacto en la expectativa de pérdida anual (ALE) que cada contramedida introduce en el eco sistema de ciberseguridad, lleva a los gerentes de IT a especular sobre la relación costo/beneficio de las inversiones. El modelo propuesto en este trabajo de grado usa los Árboles de Ataque para diagramar de forma sencilla y visual cómo se podrían llevar a cabo los diferentes escenarios de un ciberataque. Además, registra la interacción que se da entre el defensor y atacante, a través de variables de comportamiento que determinan la probabilidad de un ataque y el riesgo percibido. Esto permite estimar el riesgo mitigado después de implementar una contramedida. Con base en es esta información se priorizan las inversiones calculando el retorno de inversión de cada una de ellas (ROSI). La metodología propuesta, permite también estimar la predisposición que tienen las diferentes organizaciones a invertir en ciberseguridad, dependiendo del perfil de riesgo (tolerancia al riesgo).es_ES
dc.description.abstractAs cyber-attacks threaten organizations, it is necessary to adopt security measures to protect networks and information. Defending against these attacks demands significant resources and investments from organizations. For managers, it is irrelevant whether an IPS/ IDS, a WAF, or a SIEM is required; what they need to evaluate is the cost/benefit ratio of such a decision. The level of residual risk after implementing a countermeasure should be a fundamental criterion guiding cybersecurity investments. Not having a simple methodology to calculate the mitigated risk and its impact on the annual loss expectation (ALE) that each countermeasure introduces in the cybersecurity eco-system, leads IT managers to speculate on the cost/benefit ratio of the investments. The model proposed in this project uses Attack Trees to diagram, in a simple and visual way, how the different scenarios of a cyber-attack could be carried out. In addition, it registers the interaction between the defender and the attacker, through behavioral variables that determine the probability of an attack and risk perceived. This allows estimating the mitigated risk after implementing a countermeasure. Based on this information, investments are prioritized by calculating the return of investment for each one of them (ROSI). The proposed methodology also allows to estimate the predisposition of the different organizations to invest in cybersecurity, depending on the risk profile (risk tolerance).es_ES
dc.description.sponsorshipEscuela Superior de Guerraes_ES
dc.description.tableofcontentsINTRODUCCIÓN -- Formulación del problema -- Pregunta de investigación -- Objetivo general -- Objetivos específicos -- CAPITULO I Modelado de Amenazas -- Definición de Modelado de Amenazas -- Caracterización del atacante y de un ataque. -- Tipos de Análisis de Modelamiento de Amenazas -- Tipos de Metodologías de Modelamiento de Amenazas centradas en el atacante -- CAPITULO II Ataques Cibernéticos que ha Sufrido las Universidades -- Problemas que Enfrenta las Universidades por la Falta de un Sistema de Ciberseguridad -- Informes de Ataques Cibernéticos en las Universidades de Colombia -- Tipos de Ataques Cibernéticos más Comunes en las Universidades -- Casos de Ataques Cibernéticos que ha Sufrido las Diferentes Universidades – CAPITULO III Metodologías que Analizan el Costo y Beneficio de las Inversiones en Ciberseguridad -- Análisis Cuantitativo -- Análisis Cualitativo -- Importancia del Análisis Cuantitativo y Cualitativo para las Organizaciones -- Estimación del riesgo utilizando Árboles de ataques -- Descripción del proceso de análisis económico de inversiones usando Árboles de ataque -- Caso de uso -- CAPITULO IV -- Conclusiones -- Referenciases_ES
dc.format.mimetypeapplication/pdfes_ES
dc.language.isospaes_ES
dc.rights.urihttp://creativecommons.org/publicdomain/zero/1.0/*
dc.titleÁrboles de ataque en la evaluación económica de las inversiones en ciberseguridades_ES
dcterms.bibliographicCitation“Las 7 fases de un ciberataque ¿Las conoces?”. Colombia: Instituto Nacional de Ciberseguridad. http://www.belt.es/expertos/CIP_report_final_es_fnl_lores.pdfJiménez, A. (2020).es_ES
dcterms.bibliographicCitationAlbanese, D. (2012). Análisis y evaluación de riesgos: aplicación de una matriz de riesgo en el marco de un plan de prevención contra el lavado de activos.es_ES
dcterms.bibliographicCitationAlberts C, Dorofee A, Steve J. “Introduction to OCTAVE Approach, Software Engineering Institute, Carnegie Mellon University, Pittsburg .PA-2003 “es_ES
dcterms.bibliographicCitationAlemán Novoa, H., y Rodríguez Barrera C. (2015). “Metodologías para el análisis de riesgos en los sgsi”. Publicaciones e Investigación 9:73.es_ES
dcterms.bibliographicCitationAlquiler de botnets (2010). “Chinese Botnet Herders Offer 'Commercial' DDoS Services” Recuperado de: http://blog.executivebiz.com/2010/09/chinese-botnet herders-offer-commercial-DDoS- services/es_ES
dcterms.bibliographicCitationAlquiler de botnets (s.f). Botnet DDoS Attacks. Recuperado de: http://www.incapsula.com/DDoS/DDoS-attacks/botnet-DDoSes_ES
dcterms.bibliographicCitationAlquiler de botnets. (2012). DDoS for hire services offering to ‘take down your competitor’s web sites’ going mainstream. Recuperado de: http://blog.webroot.com/2012/06/06/DDoS-for-hire-services-offering-to-take down-your- competitors-web-sites-going-mainstream/es_ES
dcterms.bibliographicCitationAnchundia, C. (2017). Ciberseguridad en los sistemas de información de las universidades. Revista Científica Dominio de las Ciencias, 3(2), 200-217.es_ES
dcterms.bibliographicCitationAngulo, C (2020) Modelo para Medir el retorno sobre la inversión en seguridad informática y de la información – ROSI. Universidad Nacional Abierta y a Distanciaes_ES
dcterms.bibliographicCitationBaker, S., Waterman, S. & Ivanov, G. (S.f). En el punto de mira las infraestructurases_ES
dcterms.bibliographicCitationBarba Olivares, G. (2017). “Modelado de Amenazas, una Técnica de Análisis y Gestión de Riesgo Asociado a Software y Aplicaciones”. Universidad Piloto de Colombia 1–12.es_ES
dcterms.bibliographicCitationBarrios, D, Del Rio, E y Esguerra Estarita, F. (2006). Guía para implementación de seguridad en aplicaciones web y de escritorio basada en tecnologías.net. Universidad Tecnológica de Bolívar.es_ES
dcterms.bibliographicCitationBehara, R., Huang, C. Derrick; and Hu, Qing. (2007) "A System Dynamics Model of Information Security Investments". ECIS 2007 Proceedings. 177.es_ES
dcterms.bibliographicCitationBella, G. Bistarelli S. Peretti, P. et. (2007) “Augmented Risk Analysis”.es_ES
dcterms.bibliographicCitationBetancourt, R., Monroy, P. C. & Davila, J. C. (2015). Implementación de sistemas de control de la información en el Sena regional Tolima. Trabajo de grado. Institución Universitaria Politécnico Grancolombiano, Bogotá.es_ES
dcterms.bibliographicCitationBistarelli, Fioravanti & Peretti (2006) Defense trees for economic evaluation of security investments. Universit`a degli Studi “G. d’Annunzioes_ES
dcterms.bibliographicCitationBodeau, D, y Graubart, R. (2013). “Characterizing effects on the cyber adversary”. Mitre Technical Report Mtr130432 (November).es_ES
dcterms.bibliographicCitationBodeau, D., Mccollum, C. & Fox, D. (2018). Cyber Threat Modeling: Survey, Assessment, and Representative Framework.es_ES
dcterms.bibliographicCitationBoldt, M., Carlsson, B. & Jacobsson, A. (2010). Explorando los efectos de spyware. Revista Científica, 1(2), 1- 9.es_ES
dcterms.bibliographicCitationBrunner, J., Tedesco, J. C. & Aylwin, M. (2003). Las nuevas tecnologías y el futuro de la educación. Colombia: Grupo Editor.es_ES
dcterms.bibliographicCitationCaballero A (2013) Information security essentials for IT managers: Protecting mission-critical systems. Managing Information Security, 2nd Editiones_ES
dcterms.bibliographicCitationCabeza, M. Cabrita, E. (2006). Análisis de riesgo cuantitativo de procesos: clave de la planificación estratégica.es_ES
dcterms.bibliographicCitationCano, J. (2016). Fraude de informático: Viejos trucos nuevos entornos. (1ª. ed.). Colombia: Editorial Acis.es_ES
dcterms.bibliographicCitationCastellaro, M., Romaniz, S. & Ramos, J. C. (2013). ¿Qué hay respecto a atender a la Seguridad durante el desarrollo de sistemas de información? Revista de la Universidad Tecnológica Nacional, 2(2), 1 – 12. Recuperado de http://conaiisi.unsl.edu.ar/2013/147-486-1-DR.pdfes_ES
dcterms.bibliographicCitationCastellaro, M., Romaniz, S. & Ramos, J. C. y Gaspoz, I. (2016). “Aplicar el Modelo de Amenazas para incluir la Seguridad en el Modelado de Sistemas”. V Congreso Iberoamericano de Seguridad Informática-CIBSI (July):16.es_ES
dcterms.bibliographicCitationCastro, J. Porras, L. (2020). Riesgos Residuales.es_ES
dcterms.bibliographicCitationCole E (2013) Advanced Persistent Threat Understanding the Danger and How to Protect Your Organization. 225 Wyman Street, Waltham, MA 02451, USAes_ES
dcterms.bibliographicCitationConrad, Misenar & Feldma, (2014) Eleventh hour CISSP: study guidees_ES
dcterms.bibliographicCitationDadkhah, M., Ciobotaru, A. M., Davarpanah, M. & Barati, E. (2014). Una introducción a los keyloggers indetectables con pruebas experimentales. Revista Internacional de Redes de Computadores y Seguridad de las Comunicaciones, 4(3), 1- 5.es_ES
dcterms.bibliographicCitationDonoso, Y. (2018). El reto de los cambios tecnológicos como base de las transformaciones. Revista Forosisis de la Universidad de los Andes, 8(2), 1- 64.es_ES
dcterms.bibliographicCitationDzarma, Abdulkadi & Idama, (2015) Risk Management of Some Machines in Centre for Equipment Maintenance and Industrial Training (CEMIT) in Modibbo Adama University of Technology, Yolaes_ES
dcterms.bibliographicCitationEchaiz, J. & Ardenghi, J. (2015). Detección de spoofing en paquetes IP. Revista Científica, 2(2), 1- 5.es_ES
dcterms.bibliographicCitationEsplandiu, J. (2017). Cuadernos de seguridad: Seguridad en los centros universitarios. (1ª. ed.). Colombia: Editorial Ediciones S.A.S.es_ES
dcterms.bibliographicCitationEstrada, C. (2017). “Modelado de un ataque con Árboles de Ataque - Sothis”. Recuperado el 16 de septiembre de 2020 (https://www.sothis.tech/modelado ataque-Árboles-ataque/).es_ES
dcterms.bibliographicCitationGonzález, M. (2014). Fraudes en internet y estafa informática. Trabajo de grado. Universidad de Oviedo. España.es_ES
dcterms.bibliographicCitationGregg, M. (2007) “CISA Exam Prep: Certified information systems auditor. (1ª. ed.).”es_ES
dcterms.bibliographicCitationGros, B. (2015). Pensar sobre la educación desde una concepción sistémico cibernético. Revista Teoría de la Educación, 8(2), 81-94es_ES
dcterms.bibliographicCitationGuigui, R. Salas, H. (2012). El valor presente neto en riesgo - Una nueva medida fundamental para la aceptación o rechazo de proyectos de inversión.es_ES
dcterms.bibliographicCitationHaque & Keffeler, and T. Atkison. (2017) “An Evolutionary Approach of Attack Graphs and Attack Trees: A Survey of Attack Modeling”. in The International Conference on Security and Management (SAM),es_ES
dcterms.bibliographicCitationHathaway M, et al (2018) Gestión del riesgo: Cibernético nacional. White paper series Edición 2es_ES
dcterms.bibliographicCitationHernandez, A. Cornejo, D. Callis, E. (2006). Utilización del Método de Arboles de Eventos para Evaluar la Seguridad de Instalaciones Radiactivas.es_ES
dcterms.bibliographicCitationHerraez, F. Acuña, L. (2009). El Análisis Modal de Fallos y Efectos: una primera aproximación a su aplicación en la industria del aserrado de la madera en rollo.es_ES
dcterms.bibliographicCitationHoltsnider & Jaffe (2012) IT Manager's Handbook: Getting your new job done. Third Edition https://aisel.aisnet.org/ecis2007/177es_ES
dcterms.bibliographicCitationInforme MCAFEE CIBERGURRA (s.f): http://www.belt.es/expertos/CIP_report_final_es_fnl_lores.pdfes_ES
dcterms.bibliographicCitationKaspersky 2020: Ataques DoDS. Ataques DDoS en el primer trimestre de 2020 | Securelistes_ES
dcterms.bibliographicCitationKaspersky. (2016). Boletín de seguridad de Kaspersky 2016: Historia del año: la revolución del ransomware. USA: Infortec.es_ES
dcterms.bibliographicCitationKaspersky. (2018). Boletín de seguridad Kaspersky: Kaspersky Lab predicciones sobre amenazas para el 2018. USA: Infortec.es_ES
dcterms.bibliographicCitationKaspersky. (2020). Boletín de seguridad Kaspersky: Kaspersky Lab predicciones sobre amenazas para el 20. USA: Infortec.es_ES
dcterms.bibliographicCitationKumar, A & Fatema (2014) A Quantitative Measurement Methodology for calculating Risk related to Information Securityes_ES
dcterms.bibliographicCitationL. Martin. (2015) “Gaining the Advantage: Applying Cyber Kill Chain Methodology to Network Defense”. Lockheed Martin Corporation,es_ES
dcterms.bibliographicCitationLeón, C. A. & Bonilla, M. A. (2017). Análisis de ataques informáticos mediante honeypots para el apoyo de actividades académicas en la Universidad Distrital Francisco José de Caldas. Proyecto de Grado para optar por el título de ingeniero en telemática. Universidad Distrital Francisco José de Caldas, Bogotá D.C.es_ES
dcterms.bibliographicCitationLopera, L. H. (2020). Cibercultura crítica universitaria: el poder de transformar la sociedad informatizada Una propuesta desde el enfoque de las pedagogías decoloniales para orientar la formación crítica universitaria en la era digital. Trabajo de grado para optar al título de magister en educación. Universidad de Antioquia, Bogotá D.C.es_ES
dcterms.bibliographicCitationMagar, A. (2016). “State-of-the-Art in Cyber Threat Models and Methodologies”. Sphyma Security (March).es_ES
dcterms.bibliographicCitationMirkovic Jelena, Reiher Peter, (2004). A taxonomy of DDoS attack and DDoS Defense mechanismses_ES
dcterms.bibliographicCitationMoncayo, D. (2014) Modelo de evaluación de riesgos en activos de tic’s para pequeñas y medianas empresas del sector automotrizes_ES
dcterms.bibliographicCitationMontealegre, S. (2018). “Análisis relación costo/beneficio de la implementación del proyecto de renovación tecnológica (pri ii) en el grupo empresarial coomeva usando el modelo total cost of ownership (tco)”.es_ES
dcterms.bibliographicCitationMuñoz, M., Salazar, S. & Yang, P. (2016). Seguridad de la información: ARP Spoofing. Trabajo de grado. Universidad Técnica Federico Santa María. Chile.es_ES
dcterms.bibliographicCitationNiño, Y. (2015) Importancia de la implementación del concepto de ciberseguridad organizacional en las organizaciones tipo PYMESes_ES
dcterms.bibliographicCitationOchoa, M. (2019). Análisis cualitativo y cuantitativo de los riesgos que influyen en el cronograma y el presupuesto.es_ES
dcterms.bibliographicCitationOosthuizen, R., Pretorius, L., Mouton, F., Molekoa, M. (2019) Cyber security investment cost-benefit investigation using system dynamics modellinges_ES
dcterms.bibliographicCitationOsborne M (2006) How to cheat at managing information security: Jargon, principles, and conceptses_ES
dcterms.bibliographicCitationPlaza, J. A. (2019). “¿Rompiendo la Cadena del Cyber Kill Chain?” Articulo para materia Sistemas Cibernéticos. Escuela Superior de Guerra. Bogotá, Colombia.es_ES
dcterms.bibliographicCitationPols, Paul. 2017. The Unified Kill Chain Designing a Unified Kill Chain for analyzing, comparing and defending against cyber-attacks.es_ES
dcterms.bibliographicCitationPorras, H. (2018). Supercomputación, el camino hacia la independencia tecnológica. Revista Forosisis de la Universidad de los Andes, 8(2), 1- 64.es_ES
dcterms.bibliographicCitationPuga, M (2019) VAN y TIR. Universidad Arturo Prat del Estado de Chile. Chilees_ES
dcterms.bibliographicCitationQuiroga, M. (2018). 2Seguridad (Resiliencia) en el ciclo de vida del software. (1ª. ed.).” Colombia: Ediciones SASes_ES
dcterms.bibliographicCitationRamírez, R. (2017). Entendiendo los Ciber-Ataques - Parte I. The Cyber-Kill Chain.es_ES
dcterms.bibliographicCitationRamón, J. (2016). Nuevo espacio de educación superior en ciberdefensa en el ámbito internacional. Revista Formación, 2(120), 116- 118.es_ES
dcterms.bibliographicCitationReguant, M. Torrado M. (2016). El método Delphi.es_ES
dcterms.bibliographicCitationReza Esmaeili, S., & Soltani Esterabadi, A. (2019). Attack Analysis Methodologies Attack Analysis Methodologies in the Automotive Industry., Master’s Thesis, Chalbers University – Sweden: Attack Analysis Methodologies in the Automotive Industries.es_ES
dcterms.bibliographicCitationRosenquist M (2008) Defense in Depth Strategy Optimizes Securityes_ES
dcterms.bibliographicCitationRoumani M, et al (2015) Value Analysis of Cyber Security Based on Attack Types.es_ES
dcterms.bibliographicCitationSaitta, Paul, Brenda Larcom, y Michael Eddington. 2005. Trike v.1 Methodology Document [Draft].es_ES
dcterms.bibliographicCitationSánchez, G. (2011). Delitos en internet: clases de fraudes y estafas y las medidas para prevenirlos. España: Editorial Universidad Complutense de Madrid.es_ES
dcterms.bibliographicCitationSastoque, D. & Botero, R. (2015). Técnicas de detección y control de phishing. Revista Cuaderno Activa, 7(2), 75-81.es_ES
dcterms.bibliographicCitationSchneiera, B. (2019). “Árboles de ataque. Revista la Academia, 1(1), 1-4.”es_ES
dcterms.bibliographicCitationSerrano, Cristhian (2021). https://www.lafm.com.co/tecnologia/como-se-produjo el-ciberataque-universidad-el-bosque-y-quienes-afectaes_ES
dcterms.bibliographicCitationSonnenreich W, et al (2005) Return on Security Investment (ROSI): A Practical Quantitative Modeles_ES
dcterms.bibliographicCitationTerry Ingoldsby. (2021) Attack Tree-based Threat Risk Analysises_ES
dcterms.bibliographicCitationTünnermannos, C. (2003). La universidad ante los retos del siglo XXI. (1ª. ed.). Mérida, México: Ediciones de la Universidad Autónoma de Yucatán.es_ES
dcterms.bibliographicCitationUcedaveles T. & Morana M. (2015) “Risk Centric Threat Modeling: Process for Attack Simulation and Threat Analysis”. Indianápolis, Indiana, John Wiley & Sons Inc.,es_ES
dcterms.bibliographicCitationVargas, M. Zubieta, A. (2017). Diseño del sistema de gestión de seguridad de la información (SGSI) en la empresa T&S. Comp. Tecnología y Servicios S.A.S., en los procesos de apoyo, misionales y estratégicos, basado en la norma ICONTEC ISO 27001:2013.es_ES
dcterms.bibliographicCitationVilla S (2018) IMPACTO DEL RIESGO CIBERNÉTICO EN EL SEGMENTO MIPYMEes_ES
dcterms.bibliographicCitationVivanco Muñoz, P. E., Cortez Vásquez, A., & Bustamante Olivera, V. H. (2011). La seguridad de la información. Revista De investigación De Sistemas E Informática, 8(1), 25–30. Recuperado a partir de https://revistasinvestigacion.unmsm.edu.pe/index.php/sistem/article/view/4992.es_ES
dcterms.bibliographicCitationVoroncovs, Aleksejs. 2016. “Investigation of tool-based modeling techniques for safety and security critical systems”.es_ES
dcterms.bibliographicCitationYanes, J. (2018). Las TIC y la crisis de la educación algunas claves para su comprensión. (1ª. ed.). Colombia: Editorial Biblioteca Digital Virtual Educa.es_ES
dcterms.bibliographicCitationYAQOOB et al (2019). Framework for Calculating Return on Security Investment (ROSI) for Security-Oriented Organizationses_ES
dcterms.bibliographicCitationYépez, J., Alvarado, J., Ortiz, M. & Acosta, N. (2017). Análisis y prevención del Ransomware en la Universidad de Guayaquil. Espirales Revista Multidisciplinaria de Investigación, 1(11), 68 – 72.es_ES
dcterms.bibliographicCitationYohai, A. S. (2019). Informe de las tendencias del cibercrimen en Colombia en Colombia (2019- 2020). Bogotá, Colombia: Cámara Colombiana de Informática y Telecomunicaciones CCIT.es_ES
datacite.rightshttp://purl.org/coar/access_right/c_16eces_ES
oaire.resourcetypehttp://purl.org/coar/resource_type/c_6501es_ES
oaire.versionhttp://purl.org/coar/version/c_b1a7d7d4d402bccees_ES
dc.audiencePúblico generales_ES
dc.contributor.tutorOspina Navas, Jaider. MSC, ING.
dc.identifier.instnameEscuela Superior de Guerra "General Rafael Reyes Prieto"es_ES
dc.identifier.reponameRepositorio ESDEGes_ES
dc.publisher.disciplineMaestría en Ciberseguridad y Ciberdefensaes_ES
dc.publisher.placeBogotáes_ES
dc.relation.citationEdition164 hojases_ES
dc.rights.accessrightsinfo:eu-repo/semantics/restrictedAccesses_ES
dc.rights.ccCC0 1.0 Universal*
dc.subject.keywordsRiesgoses_ES
dc.subject.keywordsALEes_ES
dc.subject.keywordsCosto/beneficioes_ES
dc.subject.keywordsCiberseguridades_ES
dc.subject.keywordsÁrboles de ataquees_ES
dc.subject.keywordsROSIes_ES
dc.subject.keywordsTolerancia al riesgoes_ES
dc.type.driverinfo:eu-repo/semantics/doctoralThesises_ES
dc.type.hasversioninfo:eu-repo/semantics/draftes_ES
dc.type.spaTesises_ES


Ficheros en el ítem

Thumbnail
Nombre:
VF MONOGRAFIA ARBOLES DE ...
Tamaño:
3.722Mb
Formato:
PDF
Ver/
Thumbnail
Nombre:
license_rdf
Tamaño:
701bytes
Formato:
application/rdf+xml
Ver/

Este ítem aparece en la(s) siguiente(s) colección(ones)

Mostrar el registro sencillo del ítem

http://creativecommons.org/publicdomain/zero/1.0/
Excepto si se señala otra cosa, la licencia del ítem se describe como http://creativecommons.org/publicdomain/zero/1.0/