Report.Rmd 5.12 KB
---
title: "ISO 27001 Effectiveness"
output: html_document
---

```{r setup, include=FALSE}
knitr::opts_chunk$set(echo = TRUE)
library(ISO27001effectiveness)
library(xlsx)
library(ggplot2)
library(dplyr)
library(countrycode)

source("./Main.R")
```

## Abstract

La creciente preocupación de muchas empresas con infraestructura IT crítica frente a ciberataques ha llevado a algunas de ellas a tomar medidas de seguridad como la creación de departamentos de Seguridad de la Información, llevar a cabo auditorías de seguridad y obtener certificaciones de seguridad entre otras.

El objetivo de este estudio es determinar, en la medida de lo posible, si conformar los sistemas de la empresa según la certificación ISO 27001 conlleva una merma en el número de ciberataques producidos.

## Datos analizados

La primera barrera a superar en este estudio es la obtención de datos directos sobre ciberataques en empresas, ya que en muchos de los ciberataques producidos no se dan a conocer los nombres de todas las empresas a las que estos afectan. No obstante, hemos optado por obtener datos más generalizados que nos permitan hacer un análisis, si bien no por empresa sino por país o sector, de la cuestión que se plantea. Desafortunadamente, esto compromete el análisis, ya que al generalizar los datos son muchos más los efectos que alteran los resultados de los datos analizados, ya que se incluye mayor cantidad de factores externos que este estudio no cubre.

Los datos que se han recogido para este estudio son:

* Lista de países y sectores profesionales que han obtenido certificación ISO 27001 (2007-2015) <http://www.iso.org/iso/iso_27001_iso_survey2015.xls>
* Lista de ciberataques producidos (con éxito) por país, sector profesional y tipo de ataque (2012-2016) <http://www.hackmageddon.com>

El análisis se realizará desde 2012 hasta 2015

## Análisis
Para minimizar los factores externos, se realizan dos tipos de análisis de los datos, contrastando los dos resultados y llegando a una conclusión si los resultados son congruentes o se halla una explacación que determine las incongruencias.

A continuación se muestran para cada uno de los años del estudio, los países que obtuvieron de media más certificaciones y los que de media sufrieron más ataques:

<!-- 

NOTA: Nos gustaría poner las figuras lado a lado, pero ocurría esto:
> grid.arrange(graph[3],graph[6],ncol=2)
Error in gList(list(list(data = list(Month = 1:12, Attacks = c(119L, 121L,  : 
  only 'grobs' allowed in "gList"
  
  
  -->

### 2012
```{r echo=FALSE}
graphs[1]
```

```{r echo=FALSE}
graphs[2]
```

### 2013
```{r echo=FALSE}
graphs[4]
```

```{r echo=FALSE}
graphs[5]
```

### 2014
```{r echo=FALSE}
graphs[7]
```

```{r echo=FALSE}
graphs[8]
```

### 2015
```{r echo=FALSE}
graphs[10]
```

```{r echo=FALSE}
graphs[11]
```

De los datos mostrados se pueden hacer diferentes observaciones:

* De 2014 a 2015, USA pasa de tener 654 a 1247 empresas con certificación ISO 27001, sin embargo la cifra de ciberataques se mantiene constante de 383 a 386 ataques recibidos. De 2013 a 2014 por ejemplo, pasa de recibir 505 a 383 ataques pese a sólo haber pasado de 566 a 654 empresas con dicha certificación.
* Japón tiene un número inusualmente alto de empresas con la ISO 27001, no obstante sufre una cantidad de ciberataques comparativa a la de Israel, que tiene muchas menos empresas con la certificación.

Ambas observaciones son de especial interés ya que ponen de relieve situaciones en las que de ser efectivo reformar los sistemas para cumplir la ISO 27001, debería poder apreciarse un efecto en la cantidad de ciberataques recibidos. En el caso de los USA, sólo podría explicarse mediante alguna de las siguientes hipótesis:

* Entre 2013 y 2014 se produjo un número especialmente alto de ciberataques a USA
* Se crean más empresas de las que logran certificarse, y además, sufren ataques antes de obtenerla

La primera hipótesis puede ser comprobada con los datos que disponemos. A continuación se muestra una línea temporal de ciberataques globales entre los años 2012 y 2015.

### 2012
```{r echo=FALSE}
graphs[3]
```

### 2013
```{r echo=FALSE}
graphs[6]
```

### 2014
```{r echo=FALSE}
graphs[9]
```

### 2015
```{r echo=FALSE}
graphs[12]
```

Observamos que se produjo lo contrario, bajó el número de ciberataques.

## Conclusiones
Por lo observado anteriormente, se puede concluir que:

* La cantidad de ciberataques que recibe un país no se mitiga por el número de empresas que han obtenido la certificación ISO 270001

Esto no lleva a concluir que obtener la certificación ISO 27001 no es efectiva para reducir el número de ciberataques, sino que probablemente dependa de factores externos ajenos a este estudio

## Trabajo futuro
Como trabajo futuro querríamos poder seguir en la línea de investigación acerca de los siguientes puntos:

* ¿Qué factores producen un aumento o recesión en la cantidad de ciberataques recibidos?
* ¿Qué sectores industriales reciben más ciberataques?
* ¿Cuáles de esos sectores son los que más certificaciones obtienen?

Creemos que la investigación de estas cuestiones puede dar más robustez a las conclusiones expuestas en este estudio.