stringtranslate.com

Instituto para la Protección de la Infraestructura de la Información

El Instituto para la Protección de la Infraestructura de la Información (I3P) es un consorcio de instituciones nacionales de seguridad cibernética, que incluye centros de investigación académica, laboratorios del gobierno federal de los EE. UU. y organizaciones sin fines de lucro , todas las cuales tienen una experiencia de larga data y ampliamente reconocida en investigación y desarrollo (I+D) en seguridad cibernética. El I3P está administrado por la Universidad George Washington , que alberga un pequeño personal administrativo que supervisa y ayuda a dirigir las actividades del consorcio. [1]

El I3P coordina y financia investigaciones sobre ciberseguridad relacionadas con la protección de infraestructuras críticas y organiza talleres de alto impacto que reúnen a líderes de los sectores público y privado. [2] [3] El I3P aporta una perspectiva multidisciplinaria y multiinstitucional a problemas complejos y difíciles, y trabaja en colaboración con las partes interesadas en la búsqueda de soluciones. Desde su fundación en 2002, [4] más de 100 investigadores de una amplia variedad de disciplinas y antecedentes han trabajado juntos para comprender mejor y mitigar los riesgos críticos en el campo de la ciberseguridad.

Historia

El I3P nació a raíz de varias evaluaciones gubernamentales sobre la susceptibilidad de la infraestructura informática de Estados Unidos a fallos catastróficos. El primer estudio, publicado en 1998 por el Consejo de Asesores del Presidente de Estados Unidos sobre Ciencia y Tecnología (PCAST), recomendaba la creación de una organización no gubernamental para abordar cuestiones de ciberseguridad nacional. Estudios posteriores (del Instituto de Análisis de Defensa, así como un informe elaborado conjuntamente por el Consejo de Seguridad Nacional y la Oficina de Política Científica y Tecnológica) coincidieron con la evaluación del PCAST ​​y afirmaron la necesidad de una organización dedicada a proteger las infraestructuras críticas del país. [4]

En 2002, el I3P se fundó en el Dartmouth College gracias a una subvención del gobierno federal. [2] Martin Wybourne presidió el I3P entre 2003 y 2015. Desde su creación, el I3P ha:

La financiación del I3P proviene de varias fuentes, entre ellas el Departamento de Seguridad Nacional (DHS), el Instituto Nacional de Normas y Tecnología (NIST) y la Fundación Nacional de Ciencias (NSF). [5]

Instituciones miembros

El consorcio I3P está formado por 18 centros de investigación académica, 5 laboratorios nacionales y 3 organizaciones de investigación sin fines de lucro. [6]

Cada institución miembro designa un representante principal y secundario para asistir a las reuniones regulares del consorcio. [7]

Áreas de investigación

Proyectos de investigación 2011-2014

Educación Tecnológica Avanzada

El I3P se ha asociado con el Sistema de Colegios Comunitarios de New Hampshire (CCSNH) en un proyecto educativo, “Ciberseguridad en la industria de la salud: Adaptación e implementación del plan de estudios”. Financiado por el programa de Educación Tecnológica Avanzada (ATE) de la Fundación Nacional de Ciencias (NSF), el objetivo del proyecto es formar técnicos altamente calificados para atender las necesidades de tecnología de la información en el ámbito de la salud en las zonas rurales del norte de Nueva Inglaterra.

Mejorando los CSIRT

El I3P ha lanzado un proyecto denominado "Mejora de las habilidades, la dinámica y la eficacia de los CSIRT". Este esfuerzo, financiado por la Dirección de Ciencia y Tecnología del Departamento de Seguridad Nacional de los Estados Unidos , tiene como objetivo explorar qué hace que un CSIRT sea bueno y qué lo sostiene. Los resultados deberían ayudar a las organizaciones a garantizar que sus CSIRT alcancen su máximo potencial y se conviertan en herramientas invaluables para proteger la infraestructura cibernética. El equipo interdisciplinario que trabaja en el nuevo proyecto incluirá investigadores de ciberseguridad y empresariales del Dartmouth College, psicólogos organizacionales de la Universidad George Mason e investigadores y profesionales de Hewlett-Packard.

Seguridad utilizable

En abril de 2011, el I3P convocó un taller patrocinado por el NIST para examinar el desafío de integrar la seguridad y la usabilidad en el diseño y desarrollo de software. Una de las recomendaciones del taller fue el desarrollo de estudios de casos para mostrar a los desarrolladores de software cómo se ha integrado la seguridad usable en el proceso de desarrollo de software de una organización. En consecuencia, el I3P ha iniciado un Proyecto de Seguridad Usable. Utilizando una metodología de estudio uniforme, el proyecto documentará la seguridad usable en tres organizaciones diferentes. Los resultados se utilizarán para comprender cómo se abordaron los problemas clave de seguridad usable, para enseñar a los desarrolladores sobre las soluciones y para permitir que otros investigadores realicen estudios comparativos.

Intercambio de información

Hoy en día, la infraestructura crítica del país está bajo la amenaza de un ciberataque como nunca antes. La principal respuesta a la amenaza cibernética que enfrenta el país es un mayor intercambio de información. Tradicionalmente, las agencias almacenan datos en bases de datos, y la información no está fácilmente disponible para otros que podrían beneficiarse de ella. La administración Obama dejó en claro que esta estrategia no funcionará: los datos deben estar fácilmente disponibles para compartirse. La forma preferida de hacerlo sería mediante una nube, donde numerosas agencias gubernamentales almacenarían información, y la información estaría disponible para todos los que tuvieran las credenciales adecuadas. Este modelo tiene enormes beneficios adicionales, pero ¿cuáles son los riesgos asociados? Investigadores de RAND y la Universidad de Virginia asumieron el desafío de responder a esa pregunta en nuestro Proyecto de Intercambio de Información.

Proyectos de investigación 2010-2011

La privacidad en la era digital

Investigadores de cinco instituciones académicas del I3P están realizando un esfuerzo amplio para comprender la privacidad en la era digital. A lo largo de 18 meses, este proyecto de investigación analizará la privacidad desde una perspectiva multidisciplinaria, examinando el papel que desempeñan la conducta humana, la exposición de datos y la expresión de políticas en la forma en que las personas comprenden y protegen su privacidad. [8]

Aprovechar el comportamiento humano para reducir los riesgos de ciberseguridad

Este proyecto aplica una perspectiva de las ciencias del comportamiento a la seguridad, examinando la interfaz entre los seres humanos y las computadoras a través de un conjunto de estudios empíricos rigurosos. El proyecto multidisciplinario reúne a científicos sociales y profesionales de la seguridad de la información para arrojar luz sobre las complejidades de las percepciones, cogniciones y sesgos humanos, y cómo estos afectan a la seguridad informática. El objetivo del proyecto es aprovechar estos nuevos conocimientos de una manera que produzca sistemas y procesos más seguros. [9]

Proyectos de investigación 2008-2009

Mayor seguridad mediante la fijación de precios de riesgo

Los investigadores del I3P que participan en este proyecto han examinado formas de cuantificar el riesgo cibernético explorando el potencial de un sistema de puntuación multifactorial, análogo a la puntuación de riesgo en el sector de los seguros. En general, el trabajo tiene en cuenta los dos determinantes clave del riesgo cibernético: las tecnologías que reducen la probabilidad de ataque y las capacidades internas para responder a ataques exitosos o potenciales. [10]

Proyectos de investigación 2007-2009

Investigación sobre supervivencia y recuperación de sistemas de control de procesos

Este proyecto se basa en un proyecto anterior de I3P sobre seguridad de sistemas de control para desarrollar estrategias para mejorar la resiliencia de los sistemas de control y permitir una recuperación rápida en caso de un ciberataque exitoso. [11]

Fundamento empresarial de la ciberseguridad

Este proyecto, una derivación de un estudio anterior sobre la economía de la seguridad, aborda el desafío de la toma de decisiones corporativas a la hora de invertir en ciberseguridad. Intentó responder a preguntas como “¿Cuánto se necesita?”, “¿Cuánto es suficiente?” y “¿Cómo se mide el retorno de la inversión?”. El estudio incluye una investigación de las estrategias de inversión, incluidos los riesgos y las vulnerabilidades, las interdependencias en la cadena de suministro y las soluciones tecnológicas. [12]

Salvaguardar la identidad digital

Este proyecto, de alcance multidisciplinario, aborda la seguridad de las identidades digitales, haciendo hincapié en el desarrollo de enfoques técnicos para gestionar las identidades digitales que también satisfagan las necesidades políticas, sociales y legales. El trabajo se ha centrado principalmente en los dos sectores para los que la privacidad y la protección de la identidad son primordiales: los servicios financieros y la atención sanitaria. [13]

Amenaza interna

Este proyecto aborda la necesidad de detectar, monitorear y prevenir ataques internos que pueden causar graves daños a una organización. Los investigadores han llevado a cabo un análisis sistemático de las amenazas internas que aborda los desafíos técnicos pero también tiene en cuenta las dimensiones éticas, legales y económicas. [14]

Informe sobre ciberseguridad del Senado de Estados Unidos

El 18 de febrero de 2009, el I3P presentó a los senadores estadounidenses Joseph Lieberman y Susan Collins un informe titulado National Cyber ​​Security Research and Development Challenges: An Industry, Academic and Government Perspective [15]. El informe refleja las conclusiones de tres foros organizados por el I3P en 2008 [16] [17] que reunieron a expertos de alto nivel de la industria, el gobierno y el mundo académico para identificar oportunidades de I+D que harían avanzar la investigación sobre seguridad cibernética en los próximos cinco a diez años. El informe contiene recomendaciones específicas para la investigación tecnológica y de políticas que reflejan los aportes de los participantes y también las preocupaciones de los sectores público y privado.

Talleres

El I3P se conecta con las partes interesadas y se relaciona con ellas a través de talleres y otras actividades de divulgación que suelen celebrarse en colaboración con otras organizaciones. Los talleres abarcan una variedad de temas, algunos directamente relacionados con los proyectos de investigación del I3P; otros tienen como objetivo reunir a las personas adecuadas para investigar un desafío fundamental particularmente difícil, como la ingeniería de sistemas de seguridad o el desarrollo de la fuerza laboral. [18]

Programa de becas postdoctorales

El I3P patrocinó un programa de becas de investigación postdoctoral desde 2004 hasta 2011 que proporciona financiación para un año de investigación en una institución miembro del I3P. Estos premios competitivos se otorgaron de acuerdo con el mérito del trabajo propuesto, el grado en que el trabajo propuesto exploraba conceptos creativos y originales, y el impacto potencial del tema en la infraestructura de información de los EE. UU. Se esperaba que los posibles solicitantes abordaran un área central de investigación en seguridad cibernética, incluida la computación confiable, la gestión de seguridad empresarial, la ingeniería de sistemas seguros, la respuesta y recuperación de redes, la gestión de identidades y la ciencia forense, la computación inalámbrica y las métricas, así como las dimensiones legales, políticas y económicas de la seguridad. [3]

Referencias

  1. ^ Gente
  2. ^ ab "Acerca de". thei3p.org. Archivado desde el original el 7 de octubre de 2015. Consultado el 6 de octubre de 2015 .
  3. ^ ab "Iniciativas". thei3p.org . Consultado el 6 de octubre de 2015 .
  4. ^ ab "Historia". thei3p.org . Consultado el 6 de octubre de 2015 .
  5. ^ "Historia". thei3p.org . Consultado el 6 de octubre de 2015 .
  6. ^ "Instituciones miembros". www.thei3p.org . Archivado desde el original el 2015-10-07 . Consultado el 2015-10-06 .
  7. ^ "Institute for Information Infrastructure Protection (I3P) | Member Representatives" (Instituto para la Protección de la Infraestructura de la Información (I3P) | Representantes de los miembros). www.thei3p.org . Archivado desde el original el 7 de octubre de 2015. Consultado el 6 de octubre de 2015 .
  8. ^ "Políticas de privacidad, percepciones y compensaciones" (PDF) . Thei3p.org. Archivado desde el original (PDF) el 20 de marzo de 2012 . Consultado el 26 de febrero de 2015 .
  9. ^ "Proyecto de comportamiento humano". Thei3p.org. Archivado desde el original el 1 de marzo de 2012. Consultado el 2 de septiembre de 2013 .
  10. ^ "Mejor seguridad mediante la fijación de precios de los riesgos". Thei3p.org. Archivado desde el original el 2012-03-01 . Consultado el 2013-09-02 .
  11. ^ "Capacidad de supervivencia y recuperación de los sistemas de control de procesos". Thei3p.org. Archivado desde el original el 15 de enero de 2015. Consultado el 2 de septiembre de 2013 .
  12. ^ "Fundamentos empresariales para la ciberseguridad". Thei3p.org. Archivado desde el original el 1 de marzo de 2012. Consultado el 2 de septiembre de 2013 .
  13. ^ "Protección de la identidad digital". Thei3p.org. Archivado desde el original el 1 de marzo de 2012. Consultado el 2 de septiembre de 2013 .
  14. ^ "Comportamiento humano, amenazas internas y concienciación". Thei3p.org. Archivado desde el original el 14 de agosto de 2013. Consultado el 2 de septiembre de 2013 .
  15. ^ "Informe del Senado". Thei3p.org. Archivado desde el original el 25 de octubre de 2012. Consultado el 2 de septiembre de 2013 .
  16. ^ Oltsik, Jon (3 de marzo de 2009). "Una semana intensa en materia de ciberseguridad en Washington | Seguridad y privacidad - CNET News". News.cnet.com . Consultado el 2 de septiembre de 2013 .
  17. ^ "Informe del Instituto de Protección de Infraestructura de Información (I3P) de Dartmouth hace recomendaciones para la investigación en materia de seguridad cibernética". Dartmouth.edu. 7 de junio de 2010. Archivado desde el original el 10 de octubre de 2012. Consultado el 2 de septiembre de 2013 .
  18. ^ "Noticias y eventos". thei3p.org. Archivado desde el original el 7 de octubre de 2015. Consultado el 6 de octubre de 2015 .

Enlaces externos