Convergence study and uncertainty assessment

En esta sección se procederá a generar los escenarios para poder evaluar las políticas propuestas para el problema de las amenazas internas de seguridad. Anteriormente en la fase de comportamiento del modelo se mostró de manera breve una gráfica (figura 11) en donde se representaba el comportamiento inicial del modelo según las representaciones matemáticas establecidas (sin la afectación de variables externas).

Sin embargo para que los directivos de una empresa u organización puedan tomar decisiones adecuadas es necesario poner a prueba ciertas políticas generadas para la disminución o eliminación de las amenazas internas de seguridad.

Esto se puede llevar a cabo a través de la interfase mostrada en la sección 5.1 que permite generar diversos escenarios o situaciones con el objetivo de poder observar los cambios que estas políticas puedan provocar al modelo, ya sean positivos o negativos sin tener la necesidad de que los altos directivos y tomadores de decisiones se arriesguen a llevarlas a cabo en la vida real, sino únicamente en el simulador, obteniendo de esa forma políticas de seguridad de la información adecuadas y adaptadas según las condiciones especificas reales.

Para poder crear estos escenarios se agregaron 4 variables externas o exógenas al modelo inicial: Cantidad de Motivos, Intensidad de las Acciones del Atacante (que representan parte de la situación problemática) e Inversión en Medidas de Seguridad y Cantidad de Controles Formales (estas últimas utilizadas como parte de las políticas generadas).

La inclusión de variables externas, provocó un cambio en el modelo y lo que se mostró en la figura 11 como comportamiento inicial pasó a llamarse condición problemática y como condición inicial quedó una representación del modelo afectado por las variables externas pero con los valores de estas en “0”.

Cabe aclarar que el modelo y las variables contempladas en este estudio son de carácter genérico y no pretenden abarcar a detalles las situaciones de cada organización o empresa, por lo que perfectamente pueden existir variables, escenarios y políticas no contempladas que pueden ser agregadas en trabajos futuros de forma más detallada y adaptados a una situación específica.

5.5.1 Escenario 1 “Inversión en Medidas de Seguridad”

En este escenario se utiliza una variable exógena denominada inversión en medidas de seguridad para observar el cambio que puede tener sobre la situación problemática del modelo.

Esta variable representa una inversión monetaria de parte de la empresa u organización para poder instalar una serie de elementos como programas antivirus, control de acceso, respaldos, programas para recuperación y auditoria que permitan poder aumentar significativamente su capacidad de detección de

Para poder realizar estos cambios, ésta variable se incluyó como parte de las barras de desplazamiento y se le estableció cuatro niveles de inversión expresados en términos porcentuales; a continuación se muestra el efecto de esta variable sobre la situación problemática del modelo.

Debido a que existen varias combinaciones que se pueden mostrar del efecto de esta variable, únicamente se mostrará la situación problemática y el efecto de la variable “Inversión en Medidas de Seguridad” sobre las variables principales de estudio.

Efecto de la Variable “Inversión en Medidas de Seguridad” sobre la variable Conformidad con las Acciones de los Empleados.

Como se puede ver en las figuras mostradas, si una empresa u organización aplica cierto nivel de inversión en medidas de seguridad, provocará un aumento en la capacidad de detección de la misma, lo cual provocará poder detectar mayor cantidad de acciones precursoras del atacante y como resultado la conformidad con las acciones de los empleados tenderá a disminuir según se puede ver en la tabla de resultados a un valor aproximado de 0.78

Efecto de la Variable “Inversión en Medidas de Seguridad” sobre la variable Motivación para Atacar.

Figura 29 Escenario 1. Inversión en seguridad sobre Motivación para atacar

De forma similar al caso anterior, la variable motivación para atacar de parte del atacante sufre una disminución relativa dado los niveles de inversión en medidas

situación problemática donde llego a alcanzar valores de 0.21 en los últimos meses.

Efecto de la Variable “Inversión en Medidas de Seguridad” sobre la variable Nivel de Seguridad.

Figura 30 Escenario 1. Inversión en seguridad sobre Nivel de Seguridad

El efecto de la inversión en medidas de seguridad sobre el nivel de seguridad, tiene un comportamiento de cambio similar, sin embargo en este caso el nivel de seguridad aumenta y no disminuye como en los casos anteriores. Cabe destacar que al aplicar un nivel de inversión provoca que exista un aumento en la percepción de riesgo del atacante por lo que este tiende a disminuir la intensidad de las acciones precursoras dando como resultado un aumento significativo de los niveles de seguridad a como se puede observar en la tabla de resultados.

Si bien es cierto se observa una disminución tomando en cuenta el periodo comprendido desde la condición inicial, esta disminuye en menor proporción a

como lo hace en la situación problemática lo cual se puede interpretar como un incremento en los niveles de seguridad.

Efecto de la Variable “Inversión en Medidas de Seguridad” sobre la variable Capacidad de Detección y Riesgo percibido por el Atacante.

Figura 31 Escenario 1. Inversión en seguridad sobre Capacidad de Detección

En las figuras mostradas se puede ver con claridad el efecto de aumento significativo que la variable inversión en medidas de seguridad tiene tanto en las variables capacidad de detección y riesgo percibido por el atacante. En el caso de la variable capacidad de detección aumenta de un valor de 0.09 en la situación problemática a 0.25 alcanzando un nivel que equivale a 50 % de la capacidad inicial que tenia la organización o empresa. De forma similar la

que existen muchas combinaciones que se pueden presentar, puede haber otra combinación de las barras de desplazamiento que provoquen un aumento en la variable riesgo percibido, aún mayor.

El propósito no es tanto reflejar el valor de aumento sino más bien el efecto de incremento que provoca la variable inversión en medidas de seguridad sobre la percepción de riesgo del atacante.

Según los resultados obtenidos con el escenario anterior, se puede observar que algunos valores no aumentan o disminuyen lo suficiente como para poder reflejar un cambio significativo, debido a eso se procederá a incluir un escenario numero dos en el cual se incluirá otra variable denominada controles formales que a como ya se ha dicho anteriormente tiene que el impacto de las políticas relacionadas con los aspectos organizacionales.

5.5.2 Escenario 2 “Inclusión de Controles Formales”

En este escenario además de la variable inversión en medidas de seguridad se utilizan dos variables adicionales denominadas: factor de incidencia en el ajuste del nivel de seguridad y controles formales. A la primera se le asignan valores específicos de acuerdo a como se cambien los valores de la variable controles formales que viene a ser la variable exógena.

En esta variable se incluyen aspectos organizacionales como separación de la seguridad de la organización de los departamentos de TI, la segregación correcta de las labores de seguridad, el diseño y control apropiado de la relación supervisor – empleado y evaluaciones, mecanismos de resolución de conflictos laborales, mecanismos de interrelación de ciertas áreas relacionadas con el problema.

Para poder realizar estos cambios esta variable se incluyó como parte de las barras de desplazamiento y se le estableció cuatro niveles de controles formales expresados en términos reales, de tal forma que provoquen una incidencia sobre el ajuste en el nivel de seguridad, a continuación se muestra el efecto de esta variable sobre la situación problemática del modelo.

Debido a que existen diferentes combinaciones que se pueden mostrar del efecto de esta variable, únicamente se mostrará la situación problemática y el efecto de la variable “Controles Formales” sobre las variables de estudio.

Efecto de la Variable “Controles Formales” sobre la variable Conformidad con las Acciones de los Empleados.

Figura 32 Escenario 2. Controles Formales sobre Conformidad de las Acciones

El efecto provocado por la variable inversión en medidas de seguridad en la empresa u organización provocó que la variable conformidad con las acciones precursoras del atacante haya disminuido permitiendo de esa forma que se estuviera más alerta y que se tomara la decisión de aplicar adicionalmente una serie de controles formales. La combinación de la inversión en medidas de seguridad con la inclusión de controles formales provoca que el atacante perciba mayor riesgo, disminuya la intensidad de las acciones precursoras y el nivel de conformidad de la empresa aumente (0.84), porque ahora si está atenta y puede

Efecto de la Variable “Controles Formales” sobre la variable Motivación para Atacar.

Figura 33 Escenario 2. Controles Formales sobre Motivación para Atacar

Al aplicar la variable controles formales en combinación con la variable inversión en medidas de seguridad, se puede apreciar una disminución considerable en la variable motivación para atacar. La disminución es tal que prácticamente llegan muy cerca de su valor inicial. La tabla de resultados muestra dos columnas que representan exactamente lo mismo, sin embargo se colocan de esa forma intencionalmente ya que el programa Ithink en el que se realizó la simulación, no muestra mas de dos decimales, dejando entrever que son los mismos valores, pero a como se puede apreciar en la segunda columna que refleja los mismos valores de la primera multiplicadas por 10, los valores son distintos aunque con una diferencia muy pequeña.

Efecto de la Variable “Controles Formales” sobre la variable Nivel de Seguridad.

Figura 34 Escenario 2. Controles Formales sobre Nivel de Seguridad

Al aplicar la variable controles formales en combinación con la variable inversión en medidas de seguridad, se puede apreciar una aumento en la variable nivel de seguridad aun mayor que la que se mostró en el escenario numero uno.

Como se puede ver en la tabla el valor de la variable nivel de seguridad aumentó a 0.24 en el ultimo mes con el escenario numero dos a diferencia de 0.15 con el escenario numero uno. Este aumento en el nivel de seguridad es muy importante para una empresa u organización ya que en gran medida ayuda a ser un punto de partida y un indicador tanto para la empresa como para las personas internas como externas del nivel de seguridad que existe en la misma,

lleven a mantener un cierto nivel que impida que ocurran o les afecte algún tipo de amenazas.

Efecto de la Variable “Controles Formales” sobre la variable Riesgo percibido por el Atacante.

Figura 35 Escenario 2. Controles Formales sobre Riesgo Percibido por el Atacante

Al aplicar la variable controles formales en combinación con la variable inversión en medidas de seguridad, se puede apreciar una aumento considerable en la variable percepción de riesgo del atacante a tal grado que regresa prácticamente a los niveles iniciales (0.69). En este escenario se puede apreciar que debido a las medidas impuestas y a pesar de que existen motivos para atacar el atacante no hará mucho por provocar algún tipo de incidencias dado que sabe que la empresa esta alerta y que puede descubrirlo con facilidad si se aventura a querer realizar algún tipo de amenazas.

Capítulo 6: Conclusiones y Recomendaciones