Tesis Doctoral leída en la Universidad Rey Juan Carlos de Madrid en 2015. Directores de la Tesis: Esperanza Marcos Martínez y Mario Piattini Velthuis
Las metodologías de análisis de riesgos de seguridad de la informacióntienen posibilidades de mejorar sus resultados incorporando en el proceso detoma de decisión la Teoría de Juegos.El empleo de la Teoría de Juegos permite identificar las variables queintegran la función de beneficio del atacante. Al conocer estas variables esposible identificar medidas de protección específicas que permitan reducir cadauna de las variables de la función de beneficio del atacante.Al utilizar Teoría de Juegos, el objetivo principal del análisis de riesgos noes reducir la pérdida de la víctima sino reducir el beneficio del atacante. Elobjetivo es que cada individuo desarrolle estrategias de defensa Darwinianas.En el proceso general de análisis de riesgos, el ciclo de vida paragestionar riesgos accidentales es distinto del que se necesita para gestionar losriesgos accidentales. En los riesgos accidentales se aplican modelos estándarde análisis de riesgos. En los riesgos intencionales se utiliza Teoría de Juegos.En este trabajo proponemos un modelo que incorpora Teoría de Juegoscomo elemento principal en los procesos del análisis y gestión de los riesgos dela seguridad de la información.Para desarrollar el modelo se crea una base de datos de incidentes sobrela que se toman decisiones de cuáles son los que con más probabilidad puedenocurrir a la entidad que esté haciendo el análisis. La probabilidad está basada enTeoría de Juegos. Los incidentes más probables son aquellos que maximizan beneficio al atacante y minimizan su riesgo. Luego en un mercado "libre" de ladelincuencia organizada, los incidentes que ya están ocurriendo son aquellosque maximizan el beneficio y minimizan el riesgo para el delincuente.Para analizar cada incidentes con más detalle se estructuran los mismosen dos fases. En la primera fase el delincuente quiere obtener los activos deinformación que utilizará en la segunda fase en el proceso de monetización.Cada conjunto de información tiene unas formas óptimas de monetización.Al analizar los ataques y organizarlos en patrones de ataques es posibleestructurar mejor la defensa de los mismos, organizándolos en patrones deseguridad. Un patrón de ataque puede mitigarse con uno, o varios, patrones dedefensa.Este método se está utilizando con éxito, al menos, en una gran instituciónfinanciera internacional.
