Los grandes retos de la ciberseguridad

Desde sus principios, una de las preocupaciones fundamentales de la humanidad ha sido su seguridad, bien reflejada en la pir¨¢mide de motivaciones de Maslow. Inicialmente, la especie humana deb¨ªa protegerse de sus depredadores y de fen¨®menos meteorol¨®gicos y geol¨®gicos extremos. Con su progreso, ahora espera seguridad, adem¨¢s, frente a amenazas asociadas a fen¨®menos como el terrorismo, la energ¨ªa nuclear, o los accidentes a¨¦reos. Entre ellas, la ciberseguridad emerge de forma clara como amenaza principal.

En la actualidad, la gran mayor¨ªa de organizaciones, se ven impactadas de forma cr¨ªtica por ciberamenazas. Incluso los procesos electorales pueden verse afectados. Hace poco, la noticia del ataque del WannaCry inund¨® las p¨¢ginas de los peri¨®dicos. D¨ªas despu¨¦s, un art¨ªculo publicado en EL PA?S describ¨ªa c¨®mo los ciberataques a infraestructuras se han multiplicado en los dos ¨²ltimos a?os. El propio Mapa de Riesgos Globales, elaborado por el World Economic Forum, identifica entre las principales amenazas algunas referidas a ciberseguridad.

M¨¢s informaci¨®n

Espa?a ¡°gasta m¨¢s en vallas¡± que en ciberseguridad

Siete de cada 10 aplicaciones para m¨®viles comparten sus datos con otros proveedores

Las matem¨¢ticas pueden contribuir a desarrollar sociedades m¨¢s ciberseguras de diferentes maneras, por ejemplo, dise?ando modelos para la criptograf¨ªa, la biometr¨ªa de seguridad o la detecci¨®n de intrusos en redes. Otra manera es ayudando al dise?o y desarrollo de un mercado de seguros contra ciberamenazas. El an¨¢lisis de ciberriesgos permite cuantificar el nivel de riesgo, identificar las principales ciberamenazas y vulnerabilidades, as¨ª como las salvaguardas que debe implantar cada organizaci¨®n para reducir la materializaci¨®n de incidencias, reduciendo su verosimilitud y mitigando el impacto de las mismas. As¨ª, los impactos negativos de las amenazas pueden gestionarse reduci¨¦ndose al menor nivel posible.

Existen ya marcos de an¨¢lisis de riesgos en ciberseguridad, y para su evaluaci¨®n, control y cumplimiento, como el de la ISO27001. Sin embargo, se suelen basar en las denominadas matrices de riesgo, que asocian diferentes valores de riesgo a los posibles eventos, para su gesti¨®n que, aunque se usen con gran profusi¨®n, han recibido fuertes cr¨ªticas por diversos autores, pues conducen a soluciones que no terminan de ser ¨®ptimas, las llamadas asignaciones de recursos de seguridad sub¨®ptimas. Adem¨¢s, no suelen prestar atenci¨®n al hecho fundamental que algunas ciberamenazas son de naturaleza intencionada. Frente a ello, en el proyecto H2020 CYBECO, Supporting Cyberinsurance from a Behavioural Choice Perspective, se proponen nuevos modelos m¨¢s potentes, que incluir¨¢n m¨¦todos m¨¢s avanzados de an¨¢lisis de riesgos y de la econom¨ªa experimental y del comportamiento.

Desde principios de este siglo, el incremento del terrorismo a gran escala ha motivado la creaci¨®n de un nuevo campo: el an¨¢lisis de riesgo adversarios, que se enfatiza en la presencia de adversarios inteligentes

Como las empresas o individuos atacados no suelen compartir sus datos de ataques recibidos, hay una falta de datos sobre ciberriesgos. Para paliarlo, se propone la utilizaci¨®n de simulaci¨®n y de una t¨¦cnica llamada juicios estructurados de expertos. Para los modelos y simulaciones se considera no solo la existencia de ciberriesgos aleatorios, como la infecci¨®n fortuita con un virus, sino tambi¨¦n la de sucesos intencionados, asociados a la ciberdelincuencia y el ciberterrorismo, con ayuda del an¨¢lisis de riesgos adversarios. Adem¨¢s, se incluye el dise?o de instrumentos de transferencia de ciberriesgos, los llamados ciberseguros, que t¨ªmidamente comienzan su andar en Europa y son necesarios para crear un ciberespacio m¨¢s seguro, nuestro gran objetivo final.

Estas son algunas de las consideraciones necesarias para enfrentarnos a los nuevos riesgos que aparecen en Internet, y que permitir¨¢n adaptar la teor¨ªa del an¨¢lisis de riesgos, tan ¨²til a lo largo de la historia. Esta disciplina surgi¨® de la necesidad del sector de los seguros de hacer predicciones sobre los sucesos asegurados y sus consecuencias. Tras los ¨¦xitos en la II Guerra Mundial de la Investigaci¨®n Operativa, el an¨¢lisis de riesgos se vio fuertemente influenciado por las Ciencias de la Decisi¨®n. En los a?os setenta, la industria nuclear y militar y la ingenier¨ªa aeroespacial cimentaron el aumento de inter¨¦s por el an¨¢lisis de riesgos en el estudio de la seguridad en sistemas. Al inicio de los a?os ochenta, Stanley Kaplan y John Garrick hicieron un importante avance en la gesti¨®n de riesgos: una vez identificados y evaluados los mismos, es posible evitar ciertas p¨¦rdidas y minimizar el impacto de otras; as¨ª, el coste del riesgo puede gestionarse y reducirse a su nivel m¨ªnimo. Desde principios de este siglo, el incremento de acciones terroristas a gran escala ha motivado la creaci¨®n de un nuevo campo: el an¨¢lisis de riesgo adversarios, que pone el ¨¦nfasis en la presencia de adversarios inteligentes, combinando el an¨¢lisis de riesgos con aportaciones de disciplinas afines a la teor¨ªa de juegos y la econom¨ªa del comportamiento. Se trata ahora, pues, de adaptar todas estas ideas a la realidad del mundo digital.

David R¨ªos es AXA-ICMAT Chair y Numerario de la Real Academia de Ciencias.

Jos¨¦ Vila es responsable de la C¨¢tedra Devstat-Universidad de Valencia y Profesor Titular de la Universidad de Valencia.

Caf¨¦ y Teoremas es una secci¨®n dedicada a las matem¨¢ticas y al entorno en el que se crean, coordinado por el Instituto de Ciencias Matem¨¢ticas (ICMAT), en la que los investigadores y miembros del centro describen los ¨²ltimos avances de esta disciplina, comparten puntos de encuentro entre las matem¨¢ticas y otras expresiones sociales y culturales, y recuerdan a quienes marcaron su desarrollo y supieron transformar caf¨¦ en teoremas. El nombre evoca la definici¨®n del matem¨¢tico h¨²ngaro Alfred R¨¦nyi: ¡°Un matem¨¢tico es una m¨¢quina que transforma caf¨¦ en teoremas¡±.