Tal como adelantaba en el post anterior, este verano he perdido bastante tiempo tratando de investigar sobre las posibles aplicaciones de las teorías de análisis de redes sociales a la seguridad de la información. Eran ideas que me rondaban hace años por la cabeza y que por fin he podido desarrollar y formalizar en un documento.
He tenido que estudiar conceptos de teoría de grafos y determinar qué criterios de medición de redes pueden ser relevantes a nuestro campo de estudio.
En teoría de redes sociales se da una premisa que es bastante importante y que sin embargo no es aplicable a seguridad de la información: todos los nodos son iguales. Sin embargo, cuando construimos un árbol de activos, según la naturaleza del elemento, su relevancia puede ser mayor. También, en redes sociales lo que se analiza es la fluidez de la comunicación entre nodos, mientras que lo que yo he pretendido estudiar son las relaciones de dependencia en materia de seguridad.
En fin, por no enrollarme mas os resumo el contenido del texto y adjunto un enlace para su descarga dado que lo he licenciado como Creative Common. Si me gustaría recibir vuestro feedback respecto a si véis viable que esta linea de trabajo pueda finalmente ser aplicada para la formalización de análisis de seguridad de la información. Una de mis conclusiones tras el estudio es que este tipo de análisis puede tener sentido en el estudio de la continuidad de negocio y en la protección de infraestructuras críticas, dado que permite identificar nodos que aíslan o mutilan la funcionalidad de la organización.
Abstract:
Las tecnologías de
la información son un elemento esencial para el funcionamiento de nuestra
sociedad y cada vez más muchas actividades y servicios dependen de la robustez,
fiabilidad y seguridad de los sistemas de información que dan soporte a
servicios tan esenciales como la sanidad, la educación, la defensa, la
Administración electrónica, etc. Por tanto, los sistemas de información son un
cimiento indispensable en el funcionamiento y desarrollo de nuestra civilización
moderna, la denominada sociedad de la información y el conocimiento.
Un axioma básico de
la seguridad de la información es el principio de cohesión que establece que
"la seguridad es tan fuerte como el más débil de sus eslabones". El
presente trabajo pretende aportar una nueva perspectiva en el estudio y
análisis de la seguridad desde un punto de vista estático y basado en modelos
matemáticos de la teoría de grafos que permitan identificar la presencia de
debilidades estructurales que pueden poner en riesgo el funcionamiento de los
sistemas de información por la propia arquitectura y conectividad de los
diferentes tipos de elementos que constituyen el sistema de información. Supone
extrapolar la aplicación de estas teorías en el análisis de redes sociales y
otras estructuras modeladas mediante grafos al área de seguridad de la
información con el objetivo de poder diagnosticar y reconocer potenciales
problemas derivados de las relaciones establecidas entre los elementos que
constituyen la Organización y los sistemas de información que dan soporte a
todos sus procesos. Esta nueva visión supone un complemento al análisis de
riesgos, la técnica habitualmente empleada en el estudio de los requisitos de
seguridad que necesita un sistema de información y donde se contempla además de
la estructura del sistema de información, el análisis de las amenazas posibles
y la posibilidad de que éstas se manifiesten determinando así el nivel de
riesgo a asumir.
Texto integro: Análisis topológico de sistemas de información.
4 comentarios:
Felicitaciones por tus notas, para el análisis de arboles existen metodologias de análisis de dependencias o algorítmico, que proponen algunas metodologías de gestión del riesgos como lo es magerit, el tema siempre va a radicaer en poder cuantificar su impacto y degradación, asociado a la radiación de su dependendia o relación. Javier Villarraga
Hola, el link a dropbox parece que se ha dañado, no está disponible el documento
Ya está arreglado y disponible para descarga.
Gracias por el aviso y un saludo.
Muchas gracias. Estoy investigando también esta cuestión.
Publicar un comentario