Fecha

Nueva solución de ciberseguridad para adaptar los controles al riesgo real

Un equipo de investigación de la Universidad Rey Juan Carlos (URJC) ha lanzado una solución que permite adaptar los controles de seguridad que aplica una organización al riesgo real que se tiene en cada momento

La ciberseguridad pretende proteger activos frente a amenazas. Los controles de seguridad que protegen estos activos suelen actuar de forma demasiado rígida o demasiado laxa a la hora de proteger dominios complejos, heterogéneos o que operan con gran incertidumbre. Por ello, el equipo Cybersecurity Cluster de la URJC ha propuesto un modelo denominado RiAS (Risk-based Adaptive Security) basado en la adaptación de los controles de seguridad que aplica una organización al riesgo real que se tiene en cada momento.

Con el uso de esta solución las protecciones se irán adaptando al riesgo que se corre o que se desea correr a tiempo real. Según la investigadora Marta Beltrán, “la idea es tener protecciones o contramedidas dinámicas, que puedan reconfigurarse dinámicamente si el contexto cambia y si el propio control o el activo que protege varían”. También incluso en función del riesgo que la propia organización quiera asumir.

Arquitectura de tres capas

Para lograr este tipo de adaptación se propone una solución en tres capas. La primera capa es la de medida, que recoge datos sobre el contexto del control, así como sobre el control en sí mismo y el activo que protege. La segunda capa, por su parte, es la de decisión. Se basa en todos estos datos para decidir si es necesario realizar una adaptación del control o si, por el contrario, debe quedarse como está. Para tomar estas decisiones, los administradores de seguridad expresan con una semántica sencilla sus requisitos y objetivos mediante Reglas y Políticas. De esta forma, las decisiones se automatizan sin que apenas sea necesaria la intervención de operadores humanos.

Por último, la tercera capa es la de adaptación, que permite modificar el control si se ha decidido que es necesario realizar una adaptación. Esta modificación puede implicar un cambio en la ubicación del control, en su configuración, en su uso, etc.

El modelo RiAS se ha  validado en un caso de uso en el que se adapta de manera automática la configuración de un filtro de contenido web (WAF) que está protegiendo una aplicación de transmisión de vídeo, aunque los resultados obtenidos, publicados en la revista científica de alto impacto Computers & Security, apuntan, según la propia investigadora, a que la solución propuesta “se puede utilizar prácticamente con cualquier control y en cualquier tipo de contexto, ya que está definido de manera general y no para un tipo de control concreto”. 

Añadir nuevo comentario

El contenido de este campo se mantiene privado y no se mostrará públicamente.
Para el envío de comentarios, Ud. deberá rellenar todos los campos solicitados. Así mismo, le informamos que su nombre aparecerá publicado junto con su comentario, por lo que en caso que no quiera que se publique, le sugerimos introduzca un alias.

Normas de uso:

  • Las opiniones vertidas serán responsabilidad de su autor y en ningún caso de www.madrimasd.org,
  • No se admitirán comentarios contrarios a las leyes españolas o buen uso.
  • El administrador podrá eliminar comentarios no apropiados, intentando respetar siempre el derecho a la libertad de expresión.
CAPTCHA
Enter the characters shown in the image.
Esta pregunta es para probar si usted es un visitante humano o no y para evitar envíos automáticos de spam.