|
|
1
|
---
|
|
|
2
|
title: "Estudio sobre la efectividad de la certificación ISO 27001"
|
|
|
3
4
5
|
output:
html_document: default
pdf_document: default
|
|
|
6
7
|
---
|
|
|
8
|
```{r setup, include=TRUE, echo=FALSE, warning=FALSE, results='hide', message=FALSE ,cache=FALSE}
|
|
|
9
|
|
|
|
10
11
12
|
library(knitr)
knitr::opts_chunk$set(echo = FALSE)
|
|
|
13
14
|
knitr::opts_chunk$set(warning = FALSE)
knitr::opts_chunk$set(message = FALSE)
|
|
|
15
|
knitr::opts_chunk$set(cache = FALSE)
|
|
|
16
17
18
19
|
devtools::load_all(".")
```
|
|
|
20
|
```{r include=TRUE, results='hide', cache=TRUE}
|
|
|
21
|
source("./Main.R")
|
|
|
22
23
|
```
|
|
|
24
|
## Introducción
|
|
|
25
26
27
|
La creciente preocupación de muchas empresas con infraestructura IT crítica frente a ciberataques ha llevado a algunas de ellas a tomar medidas de seguridad como la creación de departamentos de Seguridad de la Información, llevar a cabo auditorías de seguridad y obtener certificaciones de seguridad entre otras.
|
|
|
28
|
El objetivo de este estudio es tratar de determinar, en la medida de lo posible, si conformar los sistemas de la empresa según la certificación ISO 27001 conlleva una disminución en el número de ciberataques producidos.
|
|
|
29
30
31
|
## Datos analizados
|
|
|
32
33
34
|
La primera barrera a superar en este estudio es la obtención de datos directos sobre ciberataques. No existe un repositorio oficial con todos los ciberataques producidos ya que en muchos de ellos no se dan a conocer los nombres de todas las empresas afectadas u otros datos relevantes sobre los mismos, por ello nos basaremos en los ataques reportados en una única web. Además, debido al cambio de formato de los datos de origen con los años, hemos optado por generalizar los datos lo que nos permitirá hacer un análisis por país, sector o tipo de ataque. Desafortunadamente, esto compromete el análisis, ya que al generalizar los datos son muchos más los efectos que podrian alteran los resultados, ya que existen mayor cantidad de factores externos que este estudio no cubre.
Respecto a los datos de certificaciones ISO 27001, proceden de la fuente oficial asi que se podría decir que son totalmente fiables.
|
|
|
35
36
37
38
39
40
|
Los datos que se han recogido para este estudio son:
* Lista de países y sectores profesionales que han obtenido certificación ISO 27001 (2007-2015) <http://www.iso.org/iso/iso_27001_iso_survey2015.xls>
* Lista de ciberataques producidos (con éxito) por país, sector profesional y tipo de ataque (2012-2016) <http://www.hackmageddon.com>
|
|
|
41
|
El análisis se realizará desde 2011 hasta 2016, teniendo en cuenta que los datos de las certificaciones realizadas en un año afectarán a los ataques del año siguiente, por lo tanto no se necesitarán datos de ciberataques en 2011 ni de certificaciones en 2016. Esto es una de las generalizaciones que antes comentabamos, ya que en realidad una certificación podría afectar a los datos de su mismo año, pero no disponemos de fechas exactas para poder cubrir esta relación.
|
|
|
42
|
|
|
|
43
|
### Procesado de los datos sobre certificaciones ISO 27001
|
|
|
44
|
|
|
|
45
|
De esta fuente se generan 3 data.frames diferentes, uno con las certificaciones por pais, otro con los web sites por pais y otro con las certificaciones por sector industrial. Aunque en este estudio solo emplearemos el primero y el último.
|
|
|
46
|
|
|
|
47
|
Para las certificaciones por país el resultado final es el siguiente:
|
|
|
48
|
|
|
|
49
50
|
```{r}
kable(head(Cert_PerCountry, 5))
|
|
|
51
52
|
```
|
|
|
53
|
El proceso para llegar hasta esta apariencia en ambos casos es muy parecido. En primer lugar se sustituyen NAs por ceros para evitar problemas durante la representación gráfica, luego se eliminan aquellas líneas que tengan vacio el campo _Country_ ya que no nos serian de utilidad. A continuación se estandarizan algunos nombres de paises para poder cruzar correctamente los datos con los códigos de dos caracteres especificacos en la ISO, y obtener de paso su continente mediante el package de R _countrycode_.
|
|
|
54
|
|
|
|
55
|
Para las certificaciones por sector industrial el resultado final es el siguiente:
|
|
|
56
|
|
|
|
57
58
|
```{r}
kable(head(Cert_PerSector, 5))
|
|
|
59
60
|
```
|
|
|
61
62
63
64
65
|
El procesado es parecido, aunque no se realiza toda la parte relativa al estandarizado de los nombres de los paises, en este caso se estandarizan los diferentes sectores industriales para poder cruzarlos con los datos de los ataques y se eliminan aquellas lineas con _INDUSTRIAL.SECTOR_ vacio.
### Procesado de los datos sobre ataques
Como comentabamos antes, aquí es donde encontramos el mayor problema, no existe un organismo que se dedique a mantener un repositorio con datos oficiales sobre ataques producidos. La fuente que escogimos proviene de la web y es administrada por _@paulsparrows_, consiste en reportes de la comunidad sobre ataques que se hayan hecho publicos, ademas con el paso de los años el formato en que se almacenaban los datos sobre dichos ataques ha evolucionado lo que nos provoca mayor complejidad a la hora de correlacionar los historicos de diferentes epocas.
|
|
|
66
|
|
|
|
67
68
69
70
|
El data.frame resultado tiene la siguiente apariencia:
```{r}
kable(head(Attacks, 5))
|
|
|
71
72
|
```
|
|
|
73
74
75
76
77
78
79
80
81
82
83
|
Para llegar hasta el fueron necesarios procesos algo más complejos, pero se resumen en los siguientes:
* Respecto al campo _Country_ se eliminaron NAs y se estandarizaron los valores para coincidir com el estandard ISO de dos caracteres. Además se ignoraron aquellos casos en los que no se pudo deducir el significado o no nos podia aportar nada: H, W, 14, EU, UN, TI y >1. TAmbién existian casos en los que una misma linea referenciaba a varios paises separados por saltos de linea o espacios en blanco, se desdoblaron dichas lineas en tantas como paises hubiera. Despues se procedió a cruzar con los nombres completos de pais y con sus continentes mediante el package _countrycode_.
* Respecto al campo _Date_ se eliminaron NAs, además las fechas venian almacenadas en formato númerico con diferentes origenes, por lo que nos tocó calcular el origen de cada uno de los diferentes ficheros mediante una calculadora de fechas.
* Respecto a los otros campos, se realizo una estandarización de los valores para poder cruzarlos correctamente con los datos de las certificaciones. Dicho proceso consistió en sacar todos los valores únicos en ambas fuentes y realizar equivalencias entre ellos. Los principales cambios se realizan en los campos _Attack.standar_ y _Target.standar_.
## Análisis
### Evolución general
|
|
|
84
|
En primer lugar, para poder intuir si este estudio tiene sentido, se observará la evolución temporal en general tanto de los ciberataques reportados como de las certificaciones realizadas en busca de patrones que puedan indicar una relación entre ambas evoluciones.
|
|
|
85
|
|
|
|
86
|
```{r fig.width=4.5, fig.height=4,out.extra='style="float:left"'}
|
|
|
87
88
89
90
91
92
|
General.Certs.Evol <- ISO27001effectiveness::GetCertsEvolution(Cert_PerCountry,
c(0.2, -0.7, 0, 0, 0.5),
c(-0.6, 1, 1.2, -0.5, 1.2),
25500, 1.45,
"2013", 20000, 0)
General.Certs.Evol[[1]]
|
|
|
93
|
```
|
|
|
94
|
```{r fig.width=4.5, fig.height=4}
|
|
|
95
96
97
98
99
100
|
General.Attacks.Evol <- ISO27001effectiveness::GetAttacksEvolution(Attacks,
c(0.5, 0, 0, -0.5, -0.5),
c(-0.5, -0.5, 1.5, 0, 0),
2000, -0.1,
"2014", 1700, -0.5)
General.Attacks.Evol[[1]]
|
|
|
101
102
|
```
|
|
|
103
104
105
|
Como se puede observar en las gráficas, el número de empresas que obtienen la certificación crece anualmente, mientras que el numero de ataques tiende a descender, aunque es un poco más inestable. Del año 2013 al 2014 el número de ataques se reduce drásticamente, esto puede deberse a un problema en la fuente de datos, ya que al depender directamente de un ser humano pueden existir intervalos en los que se hayan registrado menos datos (por problemas del administrador, como falta de tiempo o interes). Otra explicación plausible, si tenemos en cuenta que las certificaciones de un año afectan a los ataques del año siguiente, es que justo en el año 2013 se produjo una revisión de la certificación, produciendose la ISO 27001:2013 que sustituyó a su predecesora 27001:2005, los cambios realizados pueden consultarse en la [web oficial](http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54534). Por último, también podría influir la diferencia en numero de certificados expedidos, teniendo en cuenta el mismo desplazamiento que en el caso anterior, ya que los años en que mayor es la diferencia en certificaciones obtenidas (2013 y 2015) causan una bajada en el número de ataques al año siguiente, y viceversa.
No obstante, para simplificar este estudio, se tratará de analizar más las estimaciones de las gráficas y no tanto las irregularidades de las mismas. Para observar que dichas irregularidades no son tan importantes en realidad, a continuación se representa la evolución de los ataques mes a mes, aunque en el resto del análisis se empleará el año como unidad de tiempo ya que no disponemos de datos más precisos para las certificaciones.
|
|
|
106
|
|
|
|
107
|
```{r fig.width=9, fig.height=4}
|
|
|
108
|
ISO27001effectiveness::GetAttacksMonthEvolution(Attacks)
|
|
|
109
110
|
```
|
|
|
111
112
113
114
115
|
Podemos observar al aumentar la precisión en el eje X que los picos no eran en realidad tan graves en la fuente de datos como parecian.
También podemos observar que la tendencia de los ataques realmente tiene una pendiente más o menos negativa, aunque parece que asciende un poco en los ultimos meses.
Por último, aunque se puede observar que existen aproximaciones (como la del último gráfico) que se acercan mucho más a la función real que la lineal, para este estudio se utilizará por simplicidad.
|
|
|
116
117
118
|
### Evolución por tipo de ataque
|
|
|
119
|
Podría darse el caso de que la certificación tenga una efectividad mayor contra ciertas técnicas de ataque, y que dicha efectividad se camufle entre el resto de técnicas, por ello se contemplará el estudio individual de los diferentes tipos de ataques definidos en la fuente de datos. Existen multitud de ellos, por lo que el estudio se tendrá que centrar en una pequeña parte, los más frecuentes. Para llevar a cabo esta elección se representan a continuación aquellos que representan al menos un 1% del total de ataques producidos.
|
|
|
120
|
|
|
|
121
|
```{r fig.width=9, fig.height=5}
|
|
|
122
123
124
125
126
|
AttackTypePie <- ISO27001effectiveness::GetAttackTypePie(Attacks,
c(-2, 0, 3, 7, -3, -4, -4),
c(2, 3, 2.5, 0, -0.5, -0.3, 0.5))
AttackTypePie[[1]]
|
|
|
127
128
|
```
|
|
|
129
|
Como se puede observar en el gráfico anterior, la mayor parte de los ataques registrados en la fuente de datos emplean las siguientes técnicas, que serán las estudiadas a continuación:
|
|
|
130
|
|
|
|
131
|
* _Injection_: Cualquier tipo de inyección ya sea de código, SQL, etc.
|
|
|
132
|
|
|
|
133
|
* _Defacement_: Consiste en modificar la apariencia visual de una página web.
|
|
|
134
|
|
|
|
135
|
* _DDoS_: Trata de saturar un servicio mediante miles de conexiones para evitar que los usuarios legítimos puedan acceder con normalidad.
|
|
|
136
|
|
|
|
137
|
* _Account Hijacking_: Cuyo objetivo es obtener datos o credenciales de cuentas ajenas.
|
|
|
138
|
|
|
|
139
|
* _Malware_: Programas que se ejecutan en el sistema de la víctima para llevar a cabo actividades maliciosas.
|
|
|
140
|
|
|
|
141
142
143
|
* _DNS_: Ataques basados en los servidores DNS de la víctima, como el poisoning, que consigue retornar las IPs que no debería a ciertas peticiones.
* _Zero Day_: Son vulnerabilidades recien descubiertas para un servicio o protocolo. Pasa un tiempo hasta que se desarrollan parches o versiones que las corrijan.
|
|
|
144
145
|
```{r fig.width=9, fig.height=4}
|
|
|
146
147
148
|
AttackTypeEvolution <- ISO27001effectiveness::GetAttackTypeEvolution(Attacks, AttackTypePie[[2]])
AttackTypeEvolution[[1]]
|
|
|
149
150
|
```
|
|
|
151
|
Como se puede observar en la evolución temporal reflejada en el gráfico, existen ciertas técnicas que más o menos son constantes en el tiempo, y existen otras que tienen o podrían tener una tendencia con pendiente negativa clara. A continuación se representarán los ataques por separado junto con sus estimaciones lineales para observar qué tendencias tienen una pendiente negativa más clara.
|
|
|
152
153
|
```{r fig.width=3, fig.height=3,out.extra='style="float:left"'}
|
|
|
154
155
156
157
158
|
Injection <- GetAttackTypeSigleEvolution(AttackTypeEvolution[[2]], "Injection", "2014", 500, 0)
Injection[[1]]
slope_inj <- Injection[[2]]
|
|
|
159
160
|
```
```{r fig.width=3, fig.height=3,out.extra='style="float:left"'}
|
|
|
161
162
163
164
|
DDoS <- GetAttackTypeSigleEvolution(AttackTypeEvolution[[2]], "DDoS", "2014", 200, 0)
DDoS[[1]]
slope_dos <- DDoS[[2]]
|
|
|
165
166
|
```
```{r fig.width=3, fig.height=3}
|
|
|
167
168
169
170
|
Defacement <- GetAttackTypeSigleEvolution(AttackTypeEvolution[[2]], "Defacement", "2014", 150, 0.5)
Defacement[[1]]
slope_def <- Defacement[[2]]
|
|
|
171
172
|
```
```{r fig.width=3, fig.height=3,out.extra='style="float:left"'}
|
|
|
173
174
175
176
|
DNS <- GetAttackTypeSigleEvolution(AttackTypeEvolution[[2]], "DNS", "2014", 15, 0)
DNS[[1]]
slope_dns <- DNS[[2]]
|
|
|
177
178
|
```
```{r fig.width=3, fig.height=3,out.extra='style="float:left"'}
|
|
|
179
180
181
182
|
AH <- GetAttackTypeSigleEvolution(AttackTypeEvolution[[2]], "Account Hijacking", "2014", 110, 0.3)
AH[[1]]
slope_AH <- AH[[2]]
|
|
|
183
184
|
```
```{r fig.width=3, fig.height=3}
|
|
|
185
186
187
188
|
Malware <- GetAttackTypeSigleEvolution(AttackTypeEvolution[[2]], "Malware", "2014", 40, 0)
Malware[[1]]
slope_mal <- Malware[[2]]
|
|
|
189
190
191
192
|
```
Los tipos de ataque están ordenados por la pendiente de su tendencia, de menor a mayor, para reflejar cuáles están descendiendo más rápido y por lo tanto cuáles podrían reflejar mejor el aumento de certificaciones ISO27001 expedidas.
|
|
|
193
|
Tanto _Malware_ como _Account Hijacking_ tienen una tendencia con pendiente positiva, `r slope_mal` y `r slope_AH` respectivamente.
|
|
|
194
|
|
|
|
195
|
La tendencia con una mayor pendiente negativa es _Injection_ (`r slope_inj`), aunque también _DDoS_ (`r slope_dos`) y _Defacement_ (`r slope_def`), presentan unas tendencias con pendientes negativas.
|
|
|
196
|
|
|
|
197
|
Por otro lado tenemos _DNS_, cuya tendencia también tiene una pendiente negativa (`r slope_dns`), pero es muy moderada asi que podría considerarse estable y por lo tanto no conluyente para este estudio.
|
|
|
198
199
|
|
|
|
200
201
|
### Evolución geográfica
|
|
|
202
|
Este apartado estudiará la relación entre la certificación ISO 27001 y los ataques producidos, pero teniendo en cuenta la variable geográfica, ya que es posible que la certificación, aunque sea internacional, se implemente o funcione de una mejor o peor forma según la región. En primer lugar se generalizará por continente.
|
|
|
203
204
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
|
|
|
205
206
207
208
|
ContinentPies <- ISO27001effectiveness::GetContinentPie(Attacks,
c(-2.5, 0, 2, 0, -2.5),
c(1.4, 1, 0.5, 0.5, 0),
Cert_PerCountry,
|
|
|
209
210
|
c(-2.5, -2.5, 0, -1.5, -2.5),
c(-0.5, 1.9, 1, 0.25, 0.6))
|
|
|
211
|
|
|
|
212
|
ContinentPies[[2]]
|
|
|
213
214
|
```
```{r fig.width=4.5, fig.height=3}
|
|
|
215
|
ContinentPies[[1]]
|
|
|
216
217
|
```
|
|
|
218
219
220
|
Se puede observar a simple vista que los continentes que reciben más ataques, por lo que podría ser una cuestión lógica de superficie y/o intereses, son por orden: América, Asia y Europa. En cambio, los continentes que mas certificaciones ISO 27001 obtienen son los mismos, pero en distinto orden: Asia, Europa y América.
Tanto África como Oceania serán descartados en el resto del estudio ya que sus porcentajes no parecen relevantes.
|
|
|
221
222
|
```{r fig.width=4.5, fig.height=4,out.extra='style="float:left"'}
|
|
|
223
224
225
|
ContinentCertEvolution <- ISO27001effectiveness::GetContinentCertsEvolution(Cert_PerCountry, ContinentPies[[3]])
ContinentCertEvolution[[1]]
|
|
|
226
227
|
```
```{r fig.width=4.5, fig.height=4}
|
|
|
228
229
230
|
ContinentAttacksEvolution <- ISO27001effectiveness::GetContinentAttacksEvolution(Attacks, ContinentPies[[3]])
ContinentAttacksEvolution[[1]]
|
|
|
231
232
|
```
|
|
|
233
|
Se puede observar que en conjunto la pendiente de la tendencia de las certificaciones es creciente, mientras que la de los ataques es decreciente. No obstante, se procederá a comparar cada continente individualmente para poder observarlo con más precisión.
|
|
|
234
235
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
|
|
|
236
237
238
|
Ame_Cert <- GetContinentCertsSingleEvolution(ContinentCertEvolution[[2]], "Americas", "2013", 1400, 0.5)
Ame_Cert[[1]]
slope_Ame_Cert <- Ame_Cert[[2]]
|
|
|
239
240
|
```
```{r fig.width=4.5, fig.height=3}
|
|
|
241
242
243
|
Ame_Att <- GetContinentAttacksSigleEvolution(ContinentAttacksEvolution[[2]], "Americas", "2014", 850, 0)
Ame_Att[[1]]
slope_Ame_Att <- Ame_Att[[2]]
|
|
|
244
245
|
```
|
|
|
246
|
Para _América_, la pendiente de la tendencia en las certificaciones es `r slope_Ame_Cert`, mientras que la pendiente de los ataques es `r slope_Ame_Att`.
|
|
|
247
248
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
|
|
|
249
250
251
|
Asi_Cert <- GetContinentCertsSingleEvolution(ContinentCertEvolution[[2]], "Asia", "2013", 13500, 0.5)
Asi_Cert[[1]]
slope_Asi_Cert <- Asi_Cert[[2]]
|
|
|
252
253
|
```
```{r fig.width=4.5, fig.height=3}
|
|
|
254
255
256
|
Asi_Att <- GetContinentAttacksSigleEvolution(ContinentAttacksEvolution[[2]], "Asia", "2014", 400, 0)
Asi_Att[[1]]
slope_Asi_Att <- Asi_Att[[2]]
|
|
|
257
258
|
```
|
|
|
259
|
Para _Asia_, la pendiente de la tendencia en las certificaciones es `r slope_Asi_Cert`, mientras que la pendiente de los ataques es `r slope_Asi_Att`.
|
|
|
260
261
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
|
|
|
262
263
264
|
Eu_Cert <- GetContinentCertsSingleEvolution(ContinentCertEvolution[[2]], "Europe", "2013", 9500, 0.5)
Eu_Cert[[1]]
slope_Eu_Cert <- Eu_Cert[[2]]
|
|
|
265
266
|
```
```{r fig.width=4.5, fig.height=3}
|
|
|
267
268
269
|
Eu_Att <- GetContinentAttacksSigleEvolution(ContinentAttacksEvolution[[2]], "Europe", "2014", 375, 0)
Eu_Att[[1]]
slope_Eu_Att <- Eu_Att[[2]]
|
|
|
270
271
|
```
|
|
|
272
|
Para _Europa_, la pendiente de la tendencia en las certificaciones es `r slope_Eu_Cert`, mientras que la pendiente de los ataques es `r slope_Eu_Att`.
|
|
|
273
|
|
|
|
274
|
El análisis continuará estableciendo superficies geográficas más pequeñas, aumentando así la precisión, para poder observar lo que ocurre a nivel de paises. Se mostrarán a continuación los que superan aproximádamente un 2% de las certificaciones totales y el 1,5% para los ataques (porque _Estados Unidos_ recibe la gran mayoría y si no saldría solo), ya que la lista completa es demasiado extensa. Los nombres serán representados con los dos caracteres correspondientes al estándar ISO.
|
|
|
275
276
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
|
|
|
277
278
279
|
CountryCol <- GetCountriesCol(Attacks,0, 0.5,
Cert_PerCountry, 0, 0.5)
CountryCol[[2]]
|
|
|
280
281
|
```
```{r fig.width=4.5, fig.height=3}
|
|
|
282
|
CountryCol[[1]]
|
|
|
283
284
|
```
|
|
|
285
286
287
|
Como se puede observar, en la parte de certificaciones destaca de largo _Japón_ sobre los demás, que a su vez se encuentra bastante bajo en la lista de ataques. Y, de un modo totalmente contrario, en los ataques destaca _Estados Unidos_ por mucho, mientras que este mismo está muy bajo en certificaciones.
El estudio continuará en profundidad con el top 3 de paises en número de certificaciones y en número de ataques recibidos, aunque algunos de ellos coincidan.
|
|
|
288
|
|
|
|
289
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
|
|
|
290
291
292
293
294
295
|
US_Cert <- GetCountriesCertsSingleEvolution(Cert_PerCountry,
CountryCol[[3]][1],
"2013", 875, 0.5)
US_Cert[[1]]
slope_US_Cert <- US_Cert[[2]]
|
|
|
296
297
|
```
```{r fig.width=4.5, fig.height=3}
|
|
|
298
299
300
301
302
303
|
US_Att <- GetCountriesAttacksSingleEvolution(Attacks,
CountryCol[[3]][1],
"2014", 725, 0)
US_Att[[1]]
slope_US_Att <- US_Att[[2]]
|
|
|
304
305
|
```
|
|
|
306
|
La pendiente de la tendencia en los ataques para _`r CountryCol[[3]][1]`_ es `r slope_US_Att` mientras que la pendiente de las certificaciones es `r slope_US_Cert`.
|
|
|
307
308
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
|
|
|
309
310
311
312
313
314
|
GB_Cert <- GetCountriesCertsSingleEvolution(Cert_PerCountry,
CountryCol[[3]][2],
"2013", 2400, 0.5)
GB_Cert[[1]]
slope_GB_Cert <- GB_Cert[[2]]
|
|
|
315
316
|
```
```{r fig.width=4.5, fig.height=3}
|
|
|
317
318
319
320
321
322
|
GB_Att <- GetCountriesAttacksSingleEvolution(Attacks,
CountryCol[[3]][2],
"2014", 125, 0.5)
GB_Att[[1]]
slope_GB_Att <- GB_Att[[2]]
|
|
|
323
324
|
```
|
|
|
325
|
La pendiente de los ataques para _`r CountryCol[[3]][2]`_ es `r slope_GB_Att` mientras que la pendiente de las certificaciones es `r slope_GB_Cert`.
|
|
|
326
327
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
|
|
|
328
329
330
331
332
333
|
IN_Cert <- GetCountriesCertsSingleEvolution(Cert_PerCountry,
CountryCol[[3]][3],
"2013", 1875, -0.2)
IN_Cert[[1]]
slope_IN_Cert <- IN_Cert[[2]]
|
|
|
334
335
|
```
```{r fig.width=4.5, fig.height=3}
|
|
|
336
337
338
339
340
341
|
IN_Att <- GetCountriesAttacksSingleEvolution(Attacks,
CountryCol[[3]][3],
"2014", 60, -0.3)
IN_Att[[1]]
slope_IN_Att <- IN_Att[[2]]
|
|
|
342
343
|
```
|
|
|
344
|
La pendiente de los ataques para _`r CountryCol[[3]][3]`_ es `r slope_IN_Att` mientras que la pendiente de las certificaciones es `r slope_IN_Cert`.
|
|
|
345
346
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
|
|
|
347
348
349
350
351
352
|
JP_Cert <- GetCountriesCertsSingleEvolution(Cert_PerCountry,
CountryCol[[3]][4],
"2013", 7600, 1)
JP_Cert[[1]]
slope_JP_Cert <- JP_Cert[[2]]
|
|
|
353
354
|
```
```{r fig.width=4.5, fig.height=3}
|
|
|
355
356
357
358
359
360
|
JP_Att <- GetCountriesAttacksSingleEvolution(Attacks,
CountryCol[[3]][4],
"2014", 30, -0.5)
JP_Att[[1]]
slope_JP_Att <- JP_Att[[2]]
|
|
|
361
362
|
```
|
|
|
363
|
La pendiente de los ataques para _`r CountryCol[[3]][4]`_ es `r slope_JP_Att` mientras que la pendiente de las certificaciones es `r slope_JP_Cert`.
|
|
|
364
365
|
### Evolución geográfica y tipo de ataque
|
|
|
366
|
|
|
|
367
368
369
370
371
372
373
|
Hasta ahora se han analizado por separado el tipo de ataque y la localización geofráfica, pero la respuesta podría encontrarse en una combinación de las mismas. Para ello se analizarán los tipos de ataque reportados en el país con más certificaciones, _Japón_, y en el que más ataques recibe, _Estados Unidos_.
```{r fig.width=9, fig.height=4}
ISO27001effectiveness::GetContinentAttackCol(Attacks, "US", "JP")
```
Como se pudo apreciar en un apartado previo, la ISO 27001 parece especialmente efectiva contra las técnicas de _Defacement_, _DDoS_ e _Injection_, en los gráficos previos se puede observar que _Estados Unidos_ tiene un menor porcentaje de este tipo de ataques con respecto a _Japón_. Para valorarlo mejor se representará a continuación cómo evolucionan con el tiempo en ambos paises.
|
|
|
374
|
|
|
|
375
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
|
|
|
376
377
378
|
US_Att_Year <- ISO27001effectiveness::GetContinentAttackEvolution(Attacks, "US")
US_Att_Year[[1]]
|
|
|
379
380
|
```
```{r fig.width=4.5, fig.height=3}
|
|
|
381
382
|
JP_Att_Year <- ISO27001effectiveness::GetContinentAttackEvolution(Attacks, "JP")
JP_Att_Year[[1]]
|
|
|
383
|
```
|
|
|
384
|
|
|
|
385
|
Como se puede observar, en _Estados Unidos_ se presenta una tendencia mayor a recibir los tipos de ataques que parecen menos afectados por la ISO 27001, mientras que en _Japón_ parecen matenerse. Se representarán las tendecias para cada técnica en ambos paises.
|
|
|
386
387
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
|
|
|
388
389
390
391
392
393
|
US_dds_Year <- GetAttackTypeSigleEvolution(US_Att_Year[[2]],
"DDoS",
"2014",
75, 0)
US_dds_Year[[1]]
slope_US_dds <- US_dds_Year[[2]]
|
|
|
394
395
|
```
```{r fig.width=4.5, fig.height=3}
|
|
|
396
397
398
399
400
401
|
JP_dds_Year <- GetAttackTypeSigleEvolution(JP_Att_Year[[2]],
"DDoS",
"2014",
4.4, 0)
JP_dds_Year[[1]]
slope_JP_dds <- JP_dds_Year[[2]]
|
|
|
402
403
|
```
|
|
|
404
|
Para _DDoS_, la pendiente de la tendencia es menor en _Estados Unidos_(`r slope_US_dds`) que en _Japón_(`r slope_JP_dds`).
|
|
|
405
406
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
|
|
|
407
408
409
410
411
412
|
US_def_Year <- GetAttackTypeSigleEvolution(US_Att_Year[[2]],
"Defacement",
"2014",
46, 0)
US_def_Year[[1]]
slope_US_def <- US_def_Year[[2]]
|
|
|
413
414
|
```
```{r fig.width=4.5, fig.height=3}
|
|
|
415
416
417
418
419
420
|
JP_def_Year <- GetAttackTypeSigleEvolution(JP_Att_Year[[2]],
"Defacement",
"2014",
1.5, 0)
JP_def_Year[[1]]
slope_JP_def <- JP_def_Year[[2]]
|
|
|
421
422
|
```
|
|
|
423
|
Para _Defacement_, la pendiente de la tendencia es menor en _Estados Unidos_(`r slope_US_def`) que en _Japón_(`r slope_JP_def`), aunque es muy parecida.
|
|
|
424
|
|
|
|
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
US_inj_Year <- GetAttackTypeSigleEvolution(US_Att_Year[[2]],
"Injection",
"2014",
155, 0)
US_inj_Year[[1]]
slope_US_inj <- US_inj_Year[[2]]
```
```{r fig.width=4.5, fig.height=3}
JP_inj_Year <- GetAttackTypeSigleEvolution(JP_Att_Year[[2]],
"Injection",
"2014",
9, 0)
JP_inj_Year[[1]]
slope_JP_inj <- JP_inj_Year[[2]]
```
|
|
|
441
|
|
|
|
442
|
Para _Injection_, la pendiente de la tendencia es menor en _Estados Unidos_(`r slope_US_inj`) que en _Japón_(`r slope_JP_inj`).
|
|
|
443
|
|
|
|
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
|
```{r fig.width=4.5, fig.height=3,out.extra='style="float:left"'}
US_Oth_Year <- GetAttackTypeSigleEvolution(US_Att_Year[[2]],
"Otros",
"2014",
100, 0)
US_Oth_Year[[1]]
slope_US_Oth <- US_Oth_Year[[2]]
```
```{r fig.width=4.5, fig.height=3}
JP_Oth_Year <- GetAttackTypeSigleEvolution(JP_Att_Year[[2]],
"Otros",
3.5,
3.5, 0)
JP_Oth_Year[[1]]
slope_JP_Oth <- JP_Oth_Year[[2]]
```
|
|
|
460
|
|
|
|
461
|
Para _Otros_, la pendiente de la tendencia es mayor en _Estados Unidos_(`r slope_US_inj`) que en _Japón_(`r slope_JP_inj`).
|
|
|
462
463
464
465
466
467
|
## Conclusiones
## Trabajo futuro
|
|
|
468
|
Como trabajo futuro, el estudio podría seguir diversas líneas de investigación, resumidas en los siguientes puntos:
|
|
|
469
|
|
|
|
470
471
472
473
474
|
* Mejorar la fuente de datos de ciberataques. Una fuente cuya administración, recopilación y mantenimiento no dependiera de una sola persona y fuera más constante, homogenea y detallada.
* Conectar los datos sobre web sites certificados por pais que nos provee la fuente de datos de certificaciones.
* Homogenizar los nombres y conectar los datos sobre sectores industriales que nos proveen ambas fuentes.
* Investigación más a fondo de los cambios realizados sobre la norma 27001, como la 27001:2013, para relacionarlos con las irregularidades en las curvas de ataques.
* Incorporar nuevas variables que puedan afectar al estudio, como parches importantes u otras normas parecidas.
|
|
|
475
476
477
|
Creemos que la investigación de estas cuestiones puede dar más robustez a las conclusiones expuestas en este estudio.
|
