From 2ab0e00bbec2282d3ddacdc0b0b5607f2595d44b Mon Sep 17 00:00:00 2001 From: mituga93 Date: Tue, 27 Dec 2016 02:28:54 +0100 Subject: [PATCH] Redacting new report, improving graphs generation and defining Attack and sector standarization --- ISO27001effectiveness/Main.R | 2 +- ISO27001effectiveness/R/Hackmageddon_Parser.R | 8 ++++++++ ISO27001effectiveness/R/ISOSurvey_Parser.R | 6 +++--- ISO27001effectiveness/R/Libraries.R | 4 ++++ ISO27001effectiveness/R/ReportGraphs.R | 103 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++--------------------- ISO27001effectiveness/Report.Rmd | 131 +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++------------------------------------------------------------------ ISO27001effectiveness/Report.html | 310 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++---------------------------------------------------------------------------------------------- ISO27001effectiveness/Report_cache/html/__packages | 9 +++++++++ ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.RData | Bin 0 -> 2913 bytes ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.rdb | Bin 0 -> 59335 bytes ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.rdx | Bin 0 -> 198 bytes ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.RData | Bin 0 -> 2685 bytes ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.rdb | Bin 0 -> 54726 bytes ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.rdx | Bin 0 -> 198 bytes ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-4-1.png | Bin 0 -> 19998 bytes ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-4-2.png | Bin 0 -> 22899 bytes ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-5-1.png | Bin 0 -> 15908 bytes ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-5-2.png | Bin 0 -> 21742 bytes ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-6-1.png | Bin 0 -> 14403 bytes ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-7-1.png | Bin 0 -> 26136 bytes ISO27001effectiveness/data/hackmageddon/AttackTypeConfig.csv | 108 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ISO27001effectiveness/data/hackmageddon/Format1/1-15 October 2016 Cyber Attacks Timeline.xlsx | Bin 55507 -> 0 bytes ISO27001effectiveness/data/hackmageddon/Format1/16-31 October 2016 Cyber Attacks Timeline.xlsx | Bin 57203 -> 0 bytes ISO27001effectiveness/data/hackmageddon/Format3/1-15 rep Jul 2014 Cyber Attacks Timeline.xlsx | Bin 0 -> 502416 bytes ISO27001effectiveness_0.1.0.tar.gz | Bin 0 -> 20449010 bytes 25 files changed, 496 insertions(+), 185 deletions(-) create mode 100644 ISO27001effectiveness/R/Libraries.R create mode 100644 ISO27001effectiveness/Report_cache/html/__packages create mode 100644 ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.RData create mode 100644 ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.rdb create mode 100644 ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.rdx create mode 100644 ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.RData create mode 100644 ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.rdb create mode 100644 ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.rdx create mode 100644 ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-4-1.png create mode 100644 ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-4-2.png create mode 100644 ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-5-1.png create mode 100644 ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-5-2.png create mode 100644 ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-6-1.png create mode 100644 ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-7-1.png create mode 100644 ISO27001effectiveness/data/hackmageddon/AttackTypeConfig.csv delete mode 100644 ISO27001effectiveness/data/hackmageddon/Format1/1-15 October 2016 Cyber Attacks Timeline.xlsx delete mode 100644 ISO27001effectiveness/data/hackmageddon/Format1/16-31 October 2016 Cyber Attacks Timeline.xlsx create mode 100644 ISO27001effectiveness/data/hackmageddon/Format3/1-15 rep Jul 2014 Cyber Attacks Timeline.xlsx create mode 100644 ISO27001effectiveness_0.1.0.tar.gz diff --git a/ISO27001effectiveness/Main.R b/ISO27001effectiveness/Main.R index 17d59cc..9dbf74b 100644 --- a/ISO27001effectiveness/Main.R +++ b/ISO27001effectiveness/Main.R @@ -5,4 +5,4 @@ Cert_PerSector <- ISO27001effectiveness::GetISOSurveyCertsPerSector() Attacks <- ISO27001effectiveness::GetDefaultAttacksData() -graphs <- ISO27001effectiveness::GetReportGraphs(Cert_PerCountry,Attacks) +#graphs <- ISO27001effectiveness::GetReportGraphs(Cert_PerCountry,Attacks) diff --git a/ISO27001effectiveness/R/Hackmageddon_Parser.R b/ISO27001effectiveness/R/Hackmageddon_Parser.R index e0afb8c..9d65595 100644 --- a/ISO27001effectiveness/R/Hackmageddon_Parser.R +++ b/ISO27001effectiveness/R/Hackmageddon_Parser.R @@ -82,6 +82,14 @@ ProcessHMRaw <- function(dataset.raw, dateOffset){ #Format properly the date dataset$Date <- as.POSIXct(dataset$Date*86400, tz = "GMT", origin = dateOffset) + #Standar Attack type + + Attack.config <- read.csv("./data/hackmageddon/AttackTypeConfig.csv", header = FALSE, sep = ";") + Attack.config <- setNames(Attack.config, c("Attack", "Attack.standar")) + + dataset <- merge(x = dataset, y = Attack.config, by = "Attack", all.x = TRUE) + dataset <- subset(dataset, select = -c(Attack)) + dataset } diff --git a/ISO27001effectiveness/R/ISOSurvey_Parser.R b/ISO27001effectiveness/R/ISOSurvey_Parser.R index 09712cb..e8dc689 100644 --- a/ISO27001effectiveness/R/ISOSurvey_Parser.R +++ b/ISO27001effectiveness/R/ISOSurvey_Parser.R @@ -117,7 +117,7 @@ ProccesISOSurveyByCountryRaw <- function(dataset.raw, years){ GetISOSurveyCertsPerCountry <- function() { Cert_PerCountry <- ParseExcelFileRaw("./data/ISO/iso_27001_iso_survey2015_preprocessed.xlsx", 1) - Cert_PerCountry <- ProccesISOSurveyByCountryRaw(Cert_PerCountry, c("X2012", "X2013", "X2014", "X2015")) + Cert_PerCountry <- ProccesISOSurveyByCountryRaw(Cert_PerCountry, c("X2011", "X2012", "X2013", "X2014", "X2015")) Cert_PerCountry } @@ -132,7 +132,7 @@ GetISOSurveyCertsPerCountry <- function() { GetISOSurveySitesPerCountry <- function() { Sites_PerCountry <- ParseExcelFileRaw("./data/ISO/iso_27001_iso_survey2015_preprocessed.xlsx", 2) - Sites_PerCountry <- ProccesISOSurveyByCountryRaw(Sites_PerCountry, c( "X2012", "X2013", "X2014", "X2015")) + Sites_PerCountry <- ProccesISOSurveyByCountryRaw(Sites_PerCountry, c("X2011", "X2012", "X2013", "X2014", "X2015")) Sites_PerCountry } @@ -147,7 +147,7 @@ GetISOSurveySitesPerCountry <- function() { GetISOSurveyCertsPerSector <- function() { Cert_PerSector <- ParseExcelFileRaw("./data/ISO/iso_27001_iso_survey2015_preprocessed.xlsx", 3) - Cert_PerSector <- ProccesISOSurveyRaw(Cert_PerSector, c("X2012", "X2013", "X2014", "X2015")) + Cert_PerSector <- ProccesISOSurveyRaw(Cert_PerSector, c("X2011", "X2012", "X2013", "X2014", "X2015")) Cert_PerSector diff --git a/ISO27001effectiveness/R/Libraries.R b/ISO27001effectiveness/R/Libraries.R new file mode 100644 index 0000000..80ec13a --- /dev/null +++ b/ISO27001effectiveness/R/Libraries.R @@ -0,0 +1,4 @@ +library(xlsx) +library(ggplot2) +library(countrycode) +library(dplyr) diff --git a/ISO27001effectiveness/R/ReportGraphs.R b/ISO27001effectiveness/R/ReportGraphs.R index 0b058ac..6a0f784 100644 --- a/ISO27001effectiveness/R/ReportGraphs.R +++ b/ISO27001effectiveness/R/ReportGraphs.R @@ -1,3 +1,85 @@ +GetAttacksEvolution <- function(Attacks){ + + attacks.evol <- mutate(Attacks, Year = format(Attacks$Date, "%Y")) %>% group_by(Year) + attacks.evol <- as.data.frame(table(attacks.evol$Year)) + colnames(attacks.evol) <- c("Year","Attacks") + + graph1 <- ggplot2::qplot(main = "Cyberattacks evolution", + x = attacks.evol$Year, + y = attacks.evol$Attacks, + group = 1, + xlab = "Years", + ylab = "Attacks", + data = attacks.evol, + geom = "line") + + geom_point() + + geom_label(aes(label=attacks.evol$Attacks), + vjust=c(1.5, 0, 0, -0.5, -0.5), + hjust=c(0.5, -0.5, 1.5, 0, 0))+ + theme(plot.title = element_text(hjust = 0.5)) + + graph1 + +} + +GetCertsEvolution <- function(Certs){ + + Certs.evol <- data.frame(Year = c(2011, 2012, 2013, 2014, 2015), + Certs = c(sum(Certs$X2011), + sum(Certs$X2012), + sum(Certs$X2013), + sum(Certs$X2014), + sum(Certs$X2015))) + + graph1 <- ggplot2::qplot(main = "ISO 27001 evolution", + x = Certs.evol$Year, + y = Certs.evol$Certs, + group = 1, + xlab = "Years", + ylab = "Certifications", + data = Certs.evol, + geom = "line") + + geom_point() + + geom_label(aes(label=Certs.evol$Certs), + vjust=c(0.2, -0.7, 0, 0, 0.5), + hjust=c(-0.6, 1, 1.2, 1.2, 1.2))+ + theme(plot.title = element_text(hjust = 0.5)) + + graph1 + +} + + +GetAttacksMonthEvolution <- function(Attacks){ + + attacks.evol <- mutate(Attacks, Year = format(Attacks$Date, "%Y-%m")) %>% group_by(Year) + attacks.evol <- as.data.frame(table(attacks.evol$Year)) + colnames(attacks.evol) <- c("Year","Attacks") + + graph1 <- ggplot2::qplot(main = "Cyberattacks evolution", + x = attacks.evol$Year, + y = attacks.evol$Attacks, + group = 1, + xlab = "Months", + ylab = "Attacks", + data = attacks.evol, + geom = "line") + + geom_point() + + theme(plot.title = element_text(hjust = 0.5)) + + geom_smooth(method = 'loess') + + scale_x_discrete(labels = c("2012", "", "", "", "", "", "", "", "", "", "", "", + "2013", "", "", "", "", "", "", "", "", "", "", "", + "2014", "", "", "", "", "", "", "", "", "", "", "", + "2015", "", "", "", "", "", "", "", "", "", "", "", + "2016", "", "", "", "", "", "", "", "", "", "", "")) + + graph1 + +} + + + + GetBaseCertsGraph <- function(Cert_PerCountry, year){ graph1 <- ggplot2::qplot(main = "Countries with above average number of companies certified with 27001 (2012)", x = reorder(country_short,X2012), @@ -10,28 +92,7 @@ GetBaseCertsGraph <- function(Cert_PerCountry, year){ graph1 } -GetAttacksEvolution <- function(Attacks){ - attacks.range <- Attacks[Attacks$Date < "2016-01-01" & Attacks$Date >= "2012-01-01",] - - attacks.range$Year <- as.numeric(format(attacks.range$Date, "%Y")) - - attacks.range <- mutate(attacks.range, Year = format(attacks.range$Date, "%Y")) %>% group_by(Year) - attacks.range <- as.data.frame(table(attacks.range$Year)) - colnames(attacks.range) <- c("Year","Attacks") - - graph1 <- ggplot2::qplot(main = "Countries with above average number of companies certified with 27001 (2012)", - x = attacks.range$Year, - y = attacks.range$Attacks, - group = 1, - xlab = "Years", - ylab = "Number of attacks", - data = attacks.range, - geom = "line") + geom_point() + geom_smooth( method = lm, se = FALSE) - - graph1 - -} #' Return every graph used in the report file diff --git a/ISO27001effectiveness/Report.Rmd b/ISO27001effectiveness/Report.Rmd index 70bc41c..8bb86ec 100644 --- a/ISO27001effectiveness/Report.Rmd +++ b/ISO27001effectiveness/Report.Rmd @@ -1,89 +1,107 @@ --- -title: "ISO 27001 Effectiveness" +title: "Estudio sobre la efectividad de la certificación ISO 27001" output: html_document: default pdf_document: default --- -```{r setup, include=TRUE} -knitr::opts_chunk$set(echo = TRUE) -library(ISO27001effectiveness) -library(xlsx) -library(ggplot2) -library(dplyr) -library(countrycode) +```{r setup, include=TRUE, echo=FALSE, warning=FALSE, results='hide', message=FALSE} +library(knitr) + +knitr::opts_chunk$set(echo = FALSE) + +devtools::load_all(".") +``` + +```{r include=TRUE, warning=FALSE, results='hide', message=FALSE, cache=TRUE} source("./Main.R") ``` -## Abstract +## Introducción La creciente preocupación de muchas empresas con infraestructura IT crítica frente a ciberataques ha llevado a algunas de ellas a tomar medidas de seguridad como la creación de departamentos de Seguridad de la Información, llevar a cabo auditorías de seguridad y obtener certificaciones de seguridad entre otras. -El objetivo de este estudio es determinar, en la medida de lo posible, si conformar los sistemas de la empresa según la certificación ISO 27001 conlleva una merma en el número de ciberataques producidos. +El objetivo de este estudio es tratar de determinar, en la medida de lo posible, si conformar los sistemas de la empresa según la certificación ISO 27001 conlleva una disminución en el número de ciberataques producidos. ## Datos analizados -La primera barrera a superar en este estudio es la obtención de datos directos sobre ciberataques en empresas, ya que en muchos de los ciberataques producidos no se dan a conocer los nombres de todas las empresas a las que estos afectan. No obstante, hemos optado por obtener datos más generalizados que nos permitan hacer un análisis, si bien no por empresa sino por país o sector, de la cuestión que se plantea. Desafortunadamente, esto compromete el análisis, ya que al generalizar los datos son muchos más los efectos que alteran los resultados de los datos analizados, ya que se incluye mayor cantidad de factores externos que este estudio no cubre. +La primera barrera a superar en este estudio es la obtención de datos directos sobre ciberataques. No existe un repositorio oficial con todos los ciberataques producidos ya que en muchos de ellos no se dan a conocer los nombres de todas las empresas afectadas u otros datos relevantes sobre los mismos, por ello nos basaremos en los ataques reportados en una única web. Además, debido al cambio de formato de los datos de origen con los años, hemos optado por generalizar los datos lo que nos permitirá hacer un análisis por país, sector o tipo de ataque. Desafortunadamente, esto compromete el análisis, ya que al generalizar los datos son muchos más los efectos que podrian alteran los resultados, ya que existen mayor cantidad de factores externos que este estudio no cubre. + +Respecto a los datos de certificaciones ISO 27001, proceden de la fuente oficial asi que se podría decir que son totalmente fiables. Los datos que se han recogido para este estudio son: * Lista de países y sectores profesionales que han obtenido certificación ISO 27001 (2007-2015) * Lista de ciberataques producidos (con éxito) por país, sector profesional y tipo de ataque (2012-2016) -El análisis se realizará desde 2012 hasta 2015 +El análisis se realizará desde 2011 hasta 2016, teniendo en cuenta que los datos de las certificaciones realizadas en un año afectarán a los ataques del año siguiente, por lo tanto no se necesitarán datos de ciberataques en 2011 ni de certificaciones en 2016. Esto es una de las generalizaciones que antes comentabamos, ya que en realidad una certificación podría afectar a los datos de su mismo año, pero no disponemos de fechas exactas para poder cubrir esta relación. -## Análisis -Para minimizar los factores externos, se realizan dos tipos de análisis de los datos, contrastando los dos resultados y llegando a una conclusión si los resultados son congruentes o se halla una explacación que determine las incongruencias. - -A continuación se muestran para cada uno de los años del estudio, los países que obtuvieron de media más certificaciones y los que de media sufrieron más ataques: +### Procesado de los datos sobre certificaciones ISO 27001 - +Para las certificaciones por país el resultado final es el siguiente: -### 2012 -```{r echo=FALSE} -graphs[1] +```{r} +kable(head(Cert_PerCountry, 5)) ``` -```{r echo=FALSE} -graphs[2] -``` +El proceso para llegar hasta esta apariencia en ambos casos es muy parecido. En primer lugar se sustituyen NAs por ceros para evitar problemas durante la representación gráfica, luego se eliminan aquellas líneas que tengan vacio el campo _Country_ ya que no nos serian de utilidad. A continuación se estandarizan algunos nombres de paises para poder cruzar correctamente los datos con los códigos de dos caracteres especificacos en la ISO, y obtener de paso su continente mediante el package de R _countrycode_. -### 2013 -```{r echo=FALSE} -graphs[4] -``` +Para las certificaciones por sector industrial el resultado final es el siguiente: -```{r echo=FALSE} -graphs[5] +```{r} +kable(head(Cert_PerSector, 5)) ``` -### 2014 -```{r echo=FALSE} -graphs[7] -``` +El procesado es parecido, aunque no se realiza toda la parte relativa al estandarizado de los nombres de los paises, en este caso se estandarizan los diferentes sectores industriales para poder cruzarlos con los datos de los ataques y se eliminan aquellas lineas con _INDUSTRIAL.SECTOR_ vacio. + +### Procesado de los datos sobre ataques + +Como comentabamos antes, aquí es donde encontramos el mayor problema, no existe un organismo que se dedique a mantener un repositorio con datos oficiales sobre ataques producidos. La fuente que escogimos proviene de la web y es administrada por _@paulsparrows_, consiste en reportes de la comunidad sobre ataques que se hayan hecho publicos, ademas con el paso de los años el formato en que se almacenaban los datos sobre dichos ataques ha evolucionado lo que nos provoca mayor complejidad a la hora de correlacionar los historicos de diferentes epocas. -```{r echo=FALSE} -graphs[8] +El data.frame resultado tiene la siguiente apariencia: + +```{r} +kable(head(Attacks, 5)) ``` -### 2015 -```{r echo=FALSE} -graphs[10] +Para llegar hasta el fueron necesarios procesos algo más complejos, pero se resumen en los siguientes: + +* Respecto al campo _Country_ se eliminaron NAs y se estandarizaron los valores para coincidir com el estandard ISO de dos caracteres. Además se ignoraron aquellos casos en los que no se pudo deducir el significado o no nos podia aportar nada: H, W, 14, EU, UN, TI y >1. TAmbién existian casos en los que una misma linea referenciaba a varios paises separados por saltos de linea o espacios en blanco, se desdoblaron dichas lineas en tantas como paises hubiera. Despues se procedió a cruzar con los nombres completos de pais y con sus continentes mediante el package _countrycode_. +* Respecto al campo _Date_ se eliminaron NAs, además las fechas venian almacenadas en formato númerico con diferentes origenes, por lo que nos tocó calcular el origen de cada uno de los diferentes ficheros mediante una calculadora de fechas. +* Respecto a los otros campos, se realizo una estandarización de los valores para poder cruzarlos correctamente con los datos de las certificaciones. Dicho proceso consistió en sacar todos los valores únicos en ambas fuentes y realizar equivalencias entre ellos. Los principales cambios se realizan en los campos _Attack.standar_ y _Target.standar_. + + +## Análisis + +### Evolución general + +En primer lugar, para saber si este estudio tiene sentido, se observará la evolución temporal tanto de los ciberataques reportados como de las certificaciones realizadas en busca de patrones que puedan indicar una relación entre ambas evoluciones. + +```{r fig.width=4.5, fig.height=4,echo=FALSE,out.extra='style="float:left"'} +ISO27001effectiveness::GetCertsEvolution(Cert_PerCountry) +``` +```{r fig.width=4.5, fig.height=4,echo=FALSE} +ISO27001effectiveness::GetAttacksEvolution(Attacks) ``` -```{r echo=FALSE} -graphs[11] +Como se puede observar en las gráficas, el número de empresas que obtienen la certificación crece anualmente, mientras que el numero de ataques es un poco más inestable. Del año 2013 al 2014 el número de ataques se reduce drásticamente, esto puede deberse a un problema en la fuente de datos, ya que al depender directamente de un ser humano pueden existir intervalos en los que se hayan registrado menos datos (por problemas del administrador, como falta de tiempo o interes). Otra explicación plausible es que justo en el año 2013 se produjo una revisión de la certificación, produciendose la ISO 27001:2013 que sustituyó a su predecesora 27001:2005, los cambios realizados pueden consultarse en la [web oficial](http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54534). Para indagar un poco sobre este tema a continuación se representa la evolución de los ataques mes a mes, al aumentar la precisión en el eje X se puede observar mejor la tendencia y abstraernos un poco de esos errores humanos. + +```{r fig.width=9, fig.height=4,echo=FALSE} +ISO27001effectiveness::GetAttacksMonthEvolution(Attacks) ``` +Podemos observar que la tendencia de los ataques tiene una pendiente negativa, mas pronunciada en el momento en que se realiza una actualización de las normas (27001:2013) y que presenta algo parecido, aunque muy moderada, a una recuperación, pasado un periodo de tiempo. +También se podría relacionar la evolución de los ataques con la evolución de los certificados, si tenemos en cuenta el desplazamiento de un año para establecer la relación de causalidad. Por ejemplo podemos observar como los años en que menos crece el número de certificaciones (2012 y 2014), los ataques aumentan ligeramente en los años siguientes (2013 y 2015), mientras que en los años que mayor es el aumento de las mismas (2013 y 2015) la cantidad de ataques producidos disminuye para los años consecutivos (2014 y 2016). + +### Evolución por tipo de ataque + + + + + De los datos mostrados se pueden hacer diferentes observaciones: * De 2014 a 2015, USA pasa de tener 654 a 1247 empresas con certificación ISO 27001, sin embargo la cifra de ciberataques se mantiene constante de 383 a 386 ataques recibidos. De 2013 a 2014 por ejemplo, pasa de recibir 505 a 383 ataques pese a sólo haber pasado de 566 a 654 empresas con dicha certificación. @@ -96,25 +114,6 @@ Ambas observaciones son de especial interés ya que ponen de relieve situaciones La primera hipótesis puede ser comprobada con los datos que disponemos. A continuación se muestra una línea temporal de ciberataques globales entre los años 2012 y 2015. -### 2012 -```{r echo=FALSE} -graphs[3] -``` - -### 2013 -```{r echo=FALSE} -graphs[6] -``` - -### 2014 -```{r echo=FALSE} -graphs[9] -``` - -### 2015 -```{r echo=FALSE} -graphs[12] -``` Observamos que se produjo lo contrario, bajó el número de ciberataques. diff --git a/ISO27001effectiveness/Report.html b/ISO27001effectiveness/Report.html index 6df7420..616b26b 100644 --- a/ISO27001effectiveness/Report.html +++ b/ISO27001effectiveness/Report.html @@ -11,7 +11,7 @@ -ISO 27001 Effectiveness +Estudio sobre la efectividad de la certificación ISO 27001 @@ -115,92 +115,238 @@ $(document).ready(function () { -

ISO 27001 Effectiveness

+

Estudio sobre la efectividad de la certificación ISO 27001

-
knitr::opts_chunk$set(echo = TRUE)
-library(ISO27001effectiveness)
-library(xlsx)
-
## Loading required package: rJava
-
## Loading required package: xlsxjars
-
library(ggplot2)
-library(dplyr)
-
## 
-## Attaching package: 'dplyr'
-
## The following objects are masked from 'package:stats':
-## 
-##     filter, lag
-
## The following objects are masked from 'package:base':
-## 
-##     intersect, setdiff, setequal, union
-
library(countrycode)
-
-source("./Main.R")
-
## Scale for 'x' is already present. Adding another scale for 'x', which
-## will replace the existing scale.
-
## Scale for 'x' is already present. Adding another scale for 'x', which
-## will replace the existing scale.
-## Scale for 'x' is already present. Adding another scale for 'x', which
-## will replace the existing scale.
-## Scale for 'x' is already present. Adding another scale for 'x', which
-## will replace the existing scale.
-
-

Abstract

+
+

Introducción

La creciente preocupación de muchas empresas con infraestructura IT crítica frente a ciberataques ha llevado a algunas de ellas a tomar medidas de seguridad como la creación de departamentos de Seguridad de la Información, llevar a cabo auditorías de seguridad y obtener certificaciones de seguridad entre otras.

-

El objetivo de este estudio es determinar, en la medida de lo posible, si conformar los sistemas de la empresa según la certificación ISO 27001 conlleva una merma en el número de ciberataques producidos.

+

El objetivo de este estudio es tratar de determinar, en la medida de lo posible, si conformar los sistemas de la empresa según la certificación ISO 27001 conlleva una disminución en el número de ciberataques producidos.

Datos analizados

-

La primera barrera a superar en este estudio es la obtención de datos directos sobre ciberataques en empresas, ya que en muchos de los ciberataques producidos no se dan a conocer los nombres de todas las empresas a las que estos afectan. No obstante, hemos optado por obtener datos más generalizados que nos permitan hacer un análisis, si bien no por empresa sino por país o sector, de la cuestión que se plantea. Desafortunadamente, esto compromete el análisis, ya que al generalizar los datos son muchos más los efectos que alteran los resultados de los datos analizados, ya que se incluye mayor cantidad de factores externos que este estudio no cubre.

+

La primera barrera a superar en este estudio es la obtención de datos directos sobre ciberataques. No existe un repositorio oficial con todos los ciberataques producidos ya que en muchos de ellos no se dan a conocer los nombres de todas las empresas afectadas u otros datos relevantes sobre los mismos, por ello nos basaremos en los ataques reportados en una única web. Además, debido al cambio de formato de los datos de origen con los años, hemos optado por generalizar los datos lo que nos permitirá hacer un análisis por país, sector o tipo de ataque. Desafortunadamente, esto compromete el análisis, ya que al generalizar los datos son muchos más los efectos que podrian alteran los resultados, ya que existen mayor cantidad de factores externos que este estudio no cubre.

+

Respecto a los datos de certificaciones ISO 27001, proceden de la fuente oficial asi que se podría decir que son totalmente fiables.

Los datos que se han recogido para este estudio son:

-

El análisis se realizará desde 2012 hasta 2015

+

El análisis se realizará desde 2011 hasta 2016, teniendo en cuenta que los datos de las certificaciones realizadas en un año afectarán a los ataques del año siguiente, por lo tanto no se necesitarán datos de ciberataques en 2011 ni de certificaciones en 2016. Esto es una de las generalizaciones que antes comentabamos, ya que en realidad una certificación podría afectar a los datos de su mismo año, pero no disponemos de fechas exactas para poder cubrir esta relación.

+
+

Procesado de los datos sobre certificaciones ISO 27001

+

De esta fuente se generan 3 data.frames diferentes, uno con las certificaciones por pais, otro con los web sites por pais y otro con las certificaciones por sector industrial. Aunque en este estudio solo emplearemos el primero y el último.

+

Para las certificaciones por país el resultado final es el siguiente:

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CountryX2011X2012X2013X2014X2015country_shortContinent
Afghanistan50005AFAsia
Albania327822ALEurope
Algeria11200DZAfrica
Andorra00011ADEurope
Angola00000AOAfrica
+

El proceso para llegar hasta esta apariencia en ambos casos es muy parecido. En primer lugar se sustituyen NAs por ceros para evitar problemas durante la representación gráfica, luego se eliminan aquellas líneas que tengan vacio el campo Country ya que no nos serian de utilidad. A continuación se estandarizan algunos nombres de paises para poder cruzar correctamente los datos con los códigos de dos caracteres especificacos en la ISO, y obtener de paso su continente mediante el package de R countrycode.

+

Para las certificaciones por sector industrial el resultado final es el siguiente:

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
INDUSTRIAL.SECTORX2011X2012X2013X2014X2015
2Agriculture, fishing141313109
3Mining and quarrying123134258
4Food products, beverages and tobacco810241012
5Textiles and textile products21210410
6Leather and leather products51201
+

El procesado es parecido, aunque no se realiza toda la parte relativa al estandarizado de los nombres de los paises, en este caso se estandarizan los diferentes sectores industriales para poder cruzarlos con los datos de los ataques y se eliminan aquellas lineas con INDUSTRIAL.SECTOR vacio.

-
-

Análisis

-

Para minimizar los factores externos, se realizan dos tipos de análisis de los datos, contrastando los dos resultados y llegando a una conclusión si los resultados son congruentes o se halla una explacación que determine las incongruencias.

-

A continuación se muestran para cada uno de los años del estudio, los países que obtuvieron de media más certificaciones y los que de media sufrieron más ataques:

- -
-

2012

-
## [[1]]
-

-
## [[1]]
-

+
+

Procesado de los datos sobre ataques

+

Como comentabamos antes, aquí es donde encontramos el mayor problema, no existe un organismo que se dedique a mantener un repositorio con datos oficiales sobre ataques producidos. La fuente que escogimos proviene de la web y es administrada por _@paulsparrows_, consiste en reportes de la comunidad sobre ataques que se hayan hecho publicos, ademas con el paso de los años el formato en que se almacenaban los datos sobre dichos ataques ha evolucionado lo que nos provoca mayor complejidad a la hora de correlacionar los historicos de diferentes epocas.

+

El data.frame resultado tiene la siguiente apariencia:

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
CountryDateTargetCountry_largeContinentAttack.standar
AM2016-04-07GovernmentArmeniaAsiaAccount Hijacking
US2016-04-15GovernmentUnited StatesAmericasAccount Hijacking
US2016-04-13EducationUnited StatesAmericasAccount Hijacking
US2016-04-05HealthcareUnited StatesAmericasAccount Hijacking
US2016-04-04EducationUnited StatesAmericasAccount Hijacking
+

Para llegar hasta el fueron necesarios procesos algo más complejos, pero se resumen en los siguientes:

+
    +
  • Respecto al campo Country se eliminaron NAs y se estandarizaron los valores para coincidir com el estandard ISO de dos caracteres. Además se ignoraron aquellos casos en los que no se pudo deducir el significado o no nos podia aportar nada: H, W, 14, EU, UN, TI y >1. TAmbién existian casos en los que una misma linea referenciaba a varios paises separados por saltos de linea o espacios en blanco, se desdoblaron dichas lineas en tantas como paises hubiera. Despues se procedió a cruzar con los nombres completos de pais y con sus continentes mediante el package countrycode.
  • +
  • Respecto al campo Date se eliminaron NAs, además las fechas venian almacenadas en formato númerico con diferentes origenes, por lo que nos tocó calcular el origen de cada uno de los diferentes ficheros mediante una calculadora de fechas.
  • +
  • Respecto a los otros campos, se realizo una estandarización de los valores para poder cruzarlos correctamente con los datos de las certificaciones. Dicho proceso consistió en sacar todos los valores únicos en ambas fuentes y realizar equivalencias entre ellos. Los principales cambios se realizan en los campos Attack.standar y Target.standar.
  • +
-
-

2013

-
## [[1]]
-

-
## [[1]]
-

-
-

2014

-
## [[1]]
-

-
## [[1]]
-

+
+

Análisis

+
+

Evolución general

+

En primer lugar, para saber si este estudio tiene sentido, se observará la evolución temporal tanto de los ciberataques reportados como de las certificaciones realizadas en busca de patrones que puedan indicar una relación entre ambas evoluciones.

+

+

Como se puede observar en las gráficas, el número de empresas que obtienen la certificación crece anualmente, mientras que el numero de ataques es un poco más inestable. Del año 2013 al 2014 el número de ataques se reduce drásticamente, esto puede deberse a un problema en la fuente de datos, ya que al depender directamente de un ser humano pueden existir intervalos en los que se hayan registrado menos datos (por problemas del administrador, como falta de tiempo o interes). Otra explicación plausible es que justo en el año 2013 se produjo una revisión de la certificación, produciendose la ISO 27001:2013 que sustituyó a su predecesora 27001:2005, los cambios realizados pueden consultarse en la web oficial. Para indagar un poco sobre este tema a continuación se representa la evolución de los ataques mes a mes, al aumentar la precisión en el eje X se puede observar mejor la tendencia y abstraernos un poco de esos errores humanos.

+

+

Podemos observar que la tendencia de los ataques tiene una pendiente negativa, mas pronunciada en el momento en que se realiza una actualización de las normas (27001:2013) y que presenta algo parecido, aunque muy moderada, a una recuperación, pasado un periodo de tiempo. También se podría relacionar la evolución de los ataques con la evolución de los certificados, si tenemos en cuenta el desplazamiento de un año para establecer la relación de causalidad. Por ejemplo podemos observar como los años en que menos crece el número de certificaciones (2012 y 2014), los ataques aumentan ligeramente en los años siguientes (2013 y 2015), mientras que en los años que mayor es el aumento de las mismas (2013 y 2015) la cantidad de ataques producidos disminuye para los años consecutivos (2014 y 2016).

-
-

2015

-
## [[1]]
-

-
## [[1]]
-

+
+

Evolución por tipo de ataque

De los datos mostrados se pueden hacer diferentes observaciones:

  • De 2014 a 2015, USA pasa de tener 654 a 1247 empresas con certificación ISO 27001, sin embargo la cifra de ciberataques se mantiene constante de 383 a 386 ataques recibidos. De 2013 a 2014 por ejemplo, pasa de recibir 505 a 383 ataques pese a sólo haber pasado de 566 a 654 empresas con dicha certificación.
  • @@ -212,30 +358,6 @@ Error in gList(list(list(data = list(Month = 1:12, Attacks = c(119L, 121L, :
  • Se crean más empresas de las que logran certificarse, y además, sufren ataques antes de obtenerla

La primera hipótesis puede ser comprobada con los datos que disponemos. A continuación se muestra una línea temporal de ciberataques globales entre los años 2012 y 2015.

-
-
-

2012

-
## [[1]]
-
## `geom_smooth()` using method = 'loess'
-

-
-
-

2013

-
## [[1]]
-
## `geom_smooth()` using method = 'loess'
-

-
-
-

2014

-
## [[1]]
-
## `geom_smooth()` using method = 'loess'
-

-
-
-

2015

-
## [[1]]
-
## `geom_smooth()` using method = 'loess'
-

Observamos que se produjo lo contrario, bajó el número de ciberataques.

diff --git a/ISO27001effectiveness/Report_cache/html/__packages b/ISO27001effectiveness/Report_cache/html/__packages new file mode 100644 index 0000000..606e93b --- /dev/null +++ b/ISO27001effectiveness/Report_cache/html/__packages @@ -0,0 +1,9 @@ +base +knitr +rJava +xlsxjars +xlsx +ggplot2 +countrycode +dplyr +ISO27001effectiveness diff --git a/ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.RData b/ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.RData new file mode 100644 index 0000000..f60aca0 Binary files /dev/null and b/ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.RData differ diff --git a/ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.rdb b/ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.rdb new file mode 100644 index 0000000..54288bd Binary files /dev/null and b/ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.rdb differ diff --git a/ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.rdx b/ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.rdx new file mode 100644 index 0000000..2392b87 Binary files /dev/null and b/ISO27001effectiveness/Report_cache/html/setup_773ffa5c4c0d77e1adf7f868469220d3.rdx differ diff --git a/ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.RData b/ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.RData new file mode 100644 index 0000000..aba7420 Binary files /dev/null and b/ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.RData differ diff --git a/ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.rdb b/ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.rdb new file mode 100644 index 0000000..9681546 Binary files /dev/null and b/ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.rdb differ diff --git a/ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.rdx b/ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.rdx new file mode 100644 index 0000000..440a4f1 Binary files /dev/null and b/ISO27001effectiveness/Report_cache/html/unnamed-chunk-1_43e2926c645dcae693d576a7d71e251e.rdx differ diff --git a/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-4-1.png b/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-4-1.png new file mode 100644 index 0000000..48ad8ed Binary files /dev/null and b/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-4-1.png differ diff --git a/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-4-2.png b/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-4-2.png new file mode 100644 index 0000000..256c048 Binary files /dev/null and b/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-4-2.png differ diff --git a/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-5-1.png b/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-5-1.png new file mode 100644 index 0000000..8688608 Binary files /dev/null and b/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-5-1.png differ diff --git a/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-5-2.png b/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-5-2.png new file mode 100644 index 0000000..2894d78 Binary files /dev/null and b/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-5-2.png differ diff --git a/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-6-1.png b/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-6-1.png new file mode 100644 index 0000000..219c04f Binary files /dev/null and b/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-6-1.png differ diff --git a/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-7-1.png b/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-7-1.png new file mode 100644 index 0000000..29cba0d Binary files /dev/null and b/ISO27001effectiveness/Report_files/figure-html/unnamed-chunk-7-1.png differ diff --git a/ISO27001effectiveness/data/hackmageddon/AttackTypeConfig.csv b/ISO27001effectiveness/data/hackmageddon/AttackTypeConfig.csv new file mode 100644 index 0000000..e64c683 --- /dev/null +++ b/ISO27001effectiveness/data/hackmageddon/AttackTypeConfig.csv @@ -0,0 +1,108 @@ +HeartBleed Vulnerability;Vulnerability +Account Hijacking;Account Hijacking +Account Hijacking (via a third party vendor);Account Hijacking +Account Hijacking via Telegram Vulnerability;Account Hijacking +Apache Vulnerability;Web server +ATM Malware;ATM +Backdoor via Joomla plugin vulnerability;Web server +Banking Trojan;ATM +BGP Poisoning;Network +Bitcoin Software Vulnerability;Bitcoin +Bitcoin Vulnerability;Bitcoin +Botnet;Bots +Bots;Bots +Brute Force;Brute Force +Brute Force?;Brute Force +CMS Vulnerability;Web server +Code Backdoor;Vulnerability +Command Injection;Injection +Credential Stuffing;Account Hijacking +Cripto Currency Vulnerability;Bitcoin +DDoS;DDoS +Defacement;Defacement +Defacement;Defacement +Defacement DDoS;Defacement/DDoS +Defacement SQLi;Defacement/Injection +Defacement SQLi;Defacement/Injection +Defacement/DDoS;Defacement/DDoS +Directory Traversal Attack;Directory Traversal +DNS Cache Poisoning;DNS +DNS Hijacking;DNS +DNS Poisoning;DNS +DoS;DDoS +Electronic Device; +Exploited Undisclosed Vulnerability;0 day +Fraudulent Transaction;Bitcoin +FTP Vulnerability;FTP +GPS Spoofing;GPS +Heartbleed Vulnerability Exploit;Vulnerability +HTML redirection;Redirection +Iframe Injection;Injection +iFrame Redirection;Injection +ImageMagick Vulnerability;Vulnerability +injected iFrame;Injection +Jamming;DDoS +Joomla Vulnerability;Web server +LFI;Injection +LogMeIn Vulnerability;Vulnerability +Magento Vulnerability;Web server +Malicious App;Malware +Malicious Code Injection;Injection +Malicious iFrame;Malware +Malicious JS;Malware +Malicious JS Injection;Injection +Malicious JS injection;Injection +Malicious JS redirection;Redirection +Malicious PHP injection via Wordpress Vulnerability;Injection +Malicious Script Injection;Injection +Malvertising;Malware +Malvertising;Malware +Malware;Malware +Malware (FinFisher);Malware +Malware (Win32/Albatook);Malware +MITM;MITM +Mobile Interference;Mobile +Mobile Malware;Mobile +Mongo DB Vulnerability;DB +Outdated Joomla;Web server +PHP Backdoor;Web server +POS Malware;Malware +PoS Malware;Malware +PoS Malware?;Malware +Random Number Generator Vulnerability;Vulnerability +RDP Vulnerability;Vulnerability +Reverse ATM Attack;ATM +Road Sign Hacking; +Rootkit;Rootkit +SEO Poisoning;SEO Poisoning +Several Techniques; +Shellshock Vulnerability;Vulnerability +ShellShock Vulnerability;Vulnerability +Social Engineering;Social Engineering +SQLi;Injection +SQLi;Injection +SQLi (via vBulletin vulnerability);Injection +SQLi via Drupal vulnerability;Injection +SQLi?;Injection +Targeted Attack; +Targeted Attack; +Targeted Attack; +Unauthorized Access;Account Hijacking +Unauthorized Code;Account Hijacking +Unautorized Access;Account Hijacking +Undisclosed Vulnerability;0 day +Undisclosed Vulnerability in the e-commerce platform;0 day +Unknown; +Unknown; +Unknown (Payment Card Processing System Compromised); +Unknown (Unspecified Vulnerability);Vulnerability +Unknown 0-day;0 day +Unknown Malware;Malware +Unknown Vulnerability;Vulnerability +Unspecified Bug;Vulnerability +vBulletin Vulnerability;Vulnerability +Website Compromising;Web server +Wordpress Vulnerability;Vulnerability +XSS;Injection +Zimbra 0-day;0 day +Zimbra Vulnerability;Vulnerability diff --git a/ISO27001effectiveness/data/hackmageddon/Format1/1-15 October 2016 Cyber Attacks Timeline.xlsx b/ISO27001effectiveness/data/hackmageddon/Format1/1-15 October 2016 Cyber Attacks Timeline.xlsx deleted file mode 100644 index 292d0e5..0000000 Binary files a/ISO27001effectiveness/data/hackmageddon/Format1/1-15 October 2016 Cyber Attacks Timeline.xlsx and /dev/null differ diff --git a/ISO27001effectiveness/data/hackmageddon/Format1/16-31 October 2016 Cyber Attacks Timeline.xlsx b/ISO27001effectiveness/data/hackmageddon/Format1/16-31 October 2016 Cyber Attacks Timeline.xlsx deleted file mode 100644 index c0d1942..0000000 Binary files a/ISO27001effectiveness/data/hackmageddon/Format1/16-31 October 2016 Cyber Attacks Timeline.xlsx and /dev/null differ diff --git a/ISO27001effectiveness/data/hackmageddon/Format3/1-15 rep Jul 2014 Cyber Attacks Timeline.xlsx b/ISO27001effectiveness/data/hackmageddon/Format3/1-15 rep Jul 2014 Cyber Attacks Timeline.xlsx new file mode 100644 index 0000000..4b03b7d Binary files /dev/null and b/ISO27001effectiveness/data/hackmageddon/Format3/1-15 rep Jul 2014 Cyber Attacks Timeline.xlsx differ diff --git a/ISO27001effectiveness_0.1.0.tar.gz b/ISO27001effectiveness_0.1.0.tar.gz new file mode 100644 index 0000000..6314426 Binary files /dev/null and b/ISO27001effectiveness_0.1.0.tar.gz differ -- libgit2 0.22.2