![La ciberseguridad desde un punto de vista sistémico](https://elenbyte.com/wp-content/uploads/2022/03/cyberattack.jpg)
A medida que los componentes de las infraestructuras críticas, como las redes eléctricas, se vuelven más sofisticados, también dependen cada vez más de las redes digitales y de los sensores inteligentes para optimizar sus operaciones, y por tanto son más vulnerables a los ciberataques. En los últimos dos años, los ciberataques contra las infraestructuras críticas se han vuelto cada vez más complejos y perturbadores, provocando el cierre de los sistemas, interrumpiendo las operaciones o permitiendo a los atacantes controlar a distancia los sistemas afectados. Es importante destacar que las repercusiones de los ataques exitosos a los sistemas ciberfísicos críticos son de naturaleza multidimensional, lo que significa que los impactos no se limitan a las pérdidas sufridas por los operadores del sistema comprometido, sino también a las pérdidas económicas de otras partes que dependen de sus servicios, así como a la seguridad pública o a los riesgos medioambientales.
Según el estudio que se acaba de publicar en la revista Risk Analysis, esto hace que sea importante contar con una herramienta que distinga entre las distintas dimensiones de los ciberriesgos y que, además, permita diseñar medidas de seguridad que sean capaces de hacer el uso más eficiente de los recursos limitados. Los autores se proponen responder a dos preguntas principales a este respecto: En primer lugar, si es posible encontrar vulnerabilidades cuya explotación abra vías para varios escenarios de ataque; y en segundo lugar, si es posible aprovechar este conocimiento y desplegar contramedidas para proteger simultáneamente el sistema de varias amenazas.
Una de las formas de gestionar las ciberamenazas es realizar un análisis de los distintos escenarios de ataque a través de matrices de riesgo, priorizando los escenarios según su urgencia percibida (en función de sus probabilidades de ocurrencia y de la gravedad de los impactos potenciales), para luego abordarlos en orden hasta gastar todos los recursos disponibles para la ciberseguridad. Sin embargo, según los autores, este enfoque puede conducir a una asignación de recursos subóptima, dado que no se tienen en cuenta las posibles sinergias entre los distintos escenarios de ataque y entre las medidas de seguridad disponibles.
“Los marcos y los modelos de ciberseguridad existentes asumen la perspectiva del operador del sistema y apoyan su análisis coste-beneficio, es decir, el coste de las medidas de seguridad frente a las pérdidas potenciales en caso de un ciberataque exitoso. Sin embargo, este enfoque no es satisfactorio en el contexto de la seguridad de las infraestructuras críticas, donde los impactos potenciales son multidimensionales y pueden afectar a múltiples partes interesadas. Nos esforzamos por resolver este problema modelando explícitamente las múltiples dimensiones de impacto relevantes de los ciberataques exitosos”, explica el autor principal, Piotr Żebrowski, investigador del Grupo de Investigación de Modelado Exploratorio de Sistemas Humanos-Naturales del Programa de Análisis de Sistemas Avanzados del Instituto Internacional de Análisis de Sistemas Aplicados (IIASA).
Para superar esta carencia, los investigadores proponen un marco cuantitativo que presenta una imagen más holística del panorama de la ciberseguridad que abarca múltiples escenarios de ataque, permitiendo así una mejor apreciación de las vulnerabilidades. Para ello, el equipo desarrolló un modelo de red bayesiana que representa el panorama de ciberseguridad de un sistema. Este método ha ganado popularidad en los últimos años debido a su capacidad para describir los riesgos en términos probabilísticos e incorporar explícitamente el conocimiento previo sobre ellos en un modelo que puede utilizarse para supervisar la exposición a las ciberamenazas y permitir actualizaciones en tiempo real si se han explotado algunas vulnerabilidades.
Además de esto, los investigadores construyeron un modelo de optimización multiobjetivo sobre la red bayesiana que representa explícitamente múltiples dimensiones de los impactos potenciales de los ciberataques exitosos. El marco adopta una perspectiva más amplia que el análisis estándar de coste-beneficio y permite la formulación de objetivos de seguridad más matizados. El estudio también propone un algoritmo capaz de identificar un conjunto de carteras óptimas de medidas de seguridad que minimicen simultáneamente varios tipos de impactos esperados de ciberataques, satisfaciendo al mismo tiempo las restricciones presupuestarias y de otro tipo.
Los investigadores señalan que, aunque el uso de modelos como éste en ciberseguridad no es del todo desconocido, la aplicación práctica de tales modelos suele requerir un amplio estudio de las vulnerabilidades de los sistemas. En su estudio, el equipo sugiere, sin embargo, cómo puede construirse un modelo de este tipo basándose en un conjunto de árboles de ataque, que es una representación estándar de escenarios de ataque comúnmente utilizada por la industria en las evaluaciones de seguridad. Los investigadores demostraron su método con la ayuda de árboles de ataque fácilmente disponibles y presentados en evaluaciones de seguridad de redes eléctricas en Estados Unidos.
“Nuestro método ofrece la posibilidad de representar explícitamente y mitigar la exposición de las diferentes partes interesadas, además de los operadores del sistema, a las consecuencias de los ciberataques exitosos. Esto permite a las partes interesadas participar de forma significativa en la configuración de la ciberseguridad de las infraestructuras críticas”, señala Żebrowski.
En conclusión, los investigadores destacan que es importante tener una perspectiva sistémica en el tema de la ciberseguridad. Esto es crucial tanto para establecer un panorama más preciso de las ciberamenazas a las infraestructuras críticas como para la gestión eficiente e integradora de los sistemas importantes en interés de las múltiples partes interesadas.
[content-egg module=Youtube template=custom/simple]Lo más visto del mes en: Seguridad
![Laura Andrade](https://elenbyte.com/wp-content/uploads/2021/10/Laura-Andrade-100x100.jpg)
Laura Andrade
Laura Andrade es una periodista freelance especializada en la investigación de la electrónica de consumo, especialmente de smartphones, tabletas y ordenadores. Actualmente participa en varios proyectos en los que se ha encargado de escribir sobre lanzamientos de nuevos productos digitales, aplicaciones, sitios y servicios para publicaciones impresas o en línea. Está constantemente estudiando las últimas tecnologías para estar siempre al día.