miércoles, 16 de noviembre de 2011

Tratando de formalizar el análisis de seguridad sobre árboles de activos.

Tal como adelantaba en el post anterior, este verano he perdido bastante tiempo tratando de investigar sobre las posibles aplicaciones de las teorías de análisis de redes sociales a la seguridad de la información. Eran ideas que me rondaban hace años por la cabeza y que por fin he podido desarrollar y formalizar en un documento.
He tenido que estudiar conceptos de teoría de grafos y determinar qué criterios de medición de redes pueden ser relevantes a nuestro campo de estudio. 

En teoría de redes sociales se da una premisa que es bastante importante y que sin embargo no es aplicable a seguridad de la información: todos los nodos son iguales. Sin embargo, cuando construimos un árbol de activos, según la naturaleza del elemento, su relevancia puede ser mayor. También, en redes sociales lo que se analiza es la fluidez de la comunicación entre nodos, mientras que lo que yo he pretendido estudiar son las relaciones de dependencia en materia de seguridad.

En fin, por no enrollarme mas os resumo el contenido del texto y adjunto un enlace para su descarga dado que lo he licenciado como Creative Common. Si me gustaría recibir vuestro feedback respecto a si véis viable que esta linea de trabajo pueda finalmente ser aplicada para la formalización de análisis de seguridad de la información. Una de mis conclusiones tras el estudio es que este tipo de análisis puede tener sentido en el estudio de la continuidad de negocio y en la protección de infraestructuras críticas, dado que permite identificar nodos que aíslan o mutilan la funcionalidad de la organización.

Abstract:

Las tecnologías de la información son un elemento esencial para el funcionamiento de nuestra sociedad y cada vez más muchas actividades y servicios dependen de la robustez, fiabilidad y seguridad de los sistemas de información que dan soporte a servicios tan esenciales como la sanidad, la educación, la defensa, la Administración electrónica, etc. Por tanto, los sistemas de información son un cimiento indispensable en el funcionamiento y desarrollo de nuestra civilización moderna, la denominada sociedad de la información y el conocimiento.
Un axioma básico de la seguridad de la información es el principio de cohesión que establece que "la seguridad es tan fuerte como el más débil de sus eslabones". El presente trabajo pretende aportar una nueva perspectiva en el estudio y análisis de la seguridad desde un punto de vista estático y basado en modelos matemáticos de la teoría de grafos que permitan identificar la presencia de debilidades estructurales que pueden poner en riesgo el funcionamiento de los sistemas de información por la propia arquitectura y conectividad de los diferentes tipos de elementos que constituyen el sistema de información. Supone extrapolar la aplicación de estas teorías en el análisis de redes sociales y otras estructuras modeladas mediante grafos al área de seguridad de la información con el objetivo de poder diagnosticar y reconocer potenciales problemas derivados de las relaciones establecidas entre los elementos que constituyen la Organización y los sistemas de información que dan soporte a todos sus procesos. Esta nueva visión supone un complemento al análisis de riesgos, la técnica habitualmente empleada en el estudio de los requisitos de seguridad que necesita un sistema de información y donde se contempla además de la estructura del sistema de información, el análisis de las amenazas posibles y la posibilidad de que éstas se manifiesten determinando así el nivel de riesgo a asumir.


Texto integro: Análisis topológico de sistemas de información.

4 comentarios:

Anónimo dijo...

Felicitaciones por tus notas, para el análisis de arboles existen metodologias de análisis de dependencias o algorítmico, que proponen algunas metodologías de gestión del riesgos como lo es magerit, el tema siempre va a radicaer en poder cuantificar su impacto y degradación, asociado a la radiación de su dependendia o relación. Javier Villarraga

Anónimo dijo...

Hola, el link a dropbox parece que se ha dañado, no está disponible el documento

Javier Cao Avellaneda dijo...

Ya está arreglado y disponible para descarga.
Gracias por el aviso y un saludo.

Anónimo dijo...

Muchas gracias. Estoy investigando también esta cuestión.

 
;