Descripción
El análisis y la gestión de riesgos conllevan métodos tanto cualitativos como cuantitativos. Los métodos cuantitativos utilizados en el análisis de riesgos se basan en gran medida en sólidos métodos estadísticos y en la simulación de Montecarlo. La realización de análisis de riesgos cuantitativos y su comunicación se ha vuelto crucial en la Ciberseguridad, que afecta a todos los sectores, incluido el financiero. De hecho, los riesgos de Ciberseguridad se incluyen dentro de los "riesgos operativos" en el sector financiero.
En cuanto a la seguridad de la información, la metodología FAIR desarrollada por el Open Group se ha convertido en un estándar para el análisis de riesgos de ciberseguridad. FAIR utiliza distribuciones triangulares y PERT (Program Evaluation and Review Techniques) para simular y evaluar el impacto (pérdida) basándose en las aportaciones de los expertos. Sin embargo, pueden utilizarse otras distribuciones y métodos para analizar los riesgos, por ejemplo, distribuciones lognormales basadas en intervalos de probabilidad, entre otras.
En este trabajo, presentamos una aplicación shiny para la simulación de pérdidas en ciberseguridad, que permite al usuario elegir entre utilizar la metodología FAIR, o modificaciones de la misma, como diferentes distribuciones de probabilidad, o modificaciones sobre la ontología FAIR. El análisis estadístico de los resultados de la simulación se muestra mediante tablas y gráficos interactivos. Desde la propia aplicación, se puede generar automáticamente un informe y descargarlo para su uso posterior. El informe se genera en html, docx o pdf mediante una plantilla de documento quarto. La app también es útil para enseñar Análisis de Riesgos en cursos de grado y posgrado sobre ciberseguridad.
El trabajo futuro incluye añadir más distribuciones de probabilidad, como distribuciones de valores extremos, y publicar la aplicación como paquete en CRAN.
| Afiliación (del autor) | Universidad Rey Juan Carlos |
|---|
