El Instituto para la Protección de la Infraestructura de la Información (I3P) es un consorcio de instituciones nacionales de seguridad cibernética, que incluye centros de investigación académica, laboratorios del gobierno federal de los EE. UU. y organizaciones sin fines de lucro , todas las cuales tienen una experiencia de larga data y ampliamente reconocida en investigación y desarrollo (I+D) en seguridad cibernética. El I3P está administrado por la Universidad George Washington , que alberga un pequeño personal administrativo que supervisa y ayuda a dirigir las actividades del consorcio. [1]
El I3P coordina y financia investigaciones sobre ciberseguridad relacionadas con la protección de infraestructuras críticas y organiza talleres de alto impacto que reúnen a líderes de los sectores público y privado. [2] [3] El I3P aporta una perspectiva multidisciplinaria y multiinstitucional a problemas complejos y difíciles, y trabaja en colaboración con las partes interesadas en la búsqueda de soluciones. Desde su fundación en 2002, [4] más de 100 investigadores de una amplia variedad de disciplinas y antecedentes han trabajado juntos para comprender mejor y mitigar los riesgos críticos en el campo de la ciberseguridad.
El I3P nació a raíz de varias evaluaciones gubernamentales sobre la susceptibilidad de la infraestructura informática de Estados Unidos a fallos catastróficos. El primer estudio, publicado en 1998 por el Consejo de Asesores del Presidente de Estados Unidos sobre Ciencia y Tecnología (PCAST), recomendaba la creación de una organización no gubernamental para abordar cuestiones de ciberseguridad nacional. Estudios posteriores (del Instituto de Análisis de Defensa, así como un informe elaborado conjuntamente por el Consejo de Seguridad Nacional y la Oficina de Política Científica y Tecnológica) coincidieron con la evaluación del PCAST y afirmaron la necesidad de una organización dedicada a proteger las infraestructuras críticas del país. [4]
En 2002, el I3P se fundó en el Dartmouth College gracias a una subvención del gobierno federal. [2] Martin Wybourne presidió el I3P entre 2003 y 2015. Desde su creación, el I3P ha:
La financiación del I3P proviene de varias fuentes, entre ellas el Departamento de Seguridad Nacional (DHS), el Instituto Nacional de Normas y Tecnología (NIST) y la Fundación Nacional de Ciencias (NSF). [5]
El consorcio I3P está formado por 18 centros de investigación académica, 5 laboratorios nacionales y 3 organizaciones de investigación sin fines de lucro. [6]
Cada institución miembro designa un representante principal y secundario para asistir a las reuniones regulares del consorcio. [7]
El I3P se ha asociado con el Sistema de Colegios Comunitarios de New Hampshire (CCSNH) en un proyecto educativo, “Ciberseguridad en la industria de la salud: Adaptación e implementación del plan de estudios”. Financiado por el programa de Educación Tecnológica Avanzada (ATE) de la Fundación Nacional de Ciencias (NSF), el objetivo del proyecto es formar técnicos altamente calificados para atender las necesidades de tecnología de la información en el ámbito de la salud en las zonas rurales del norte de Nueva Inglaterra.
El I3P ha lanzado un proyecto denominado "Mejora de las habilidades, la dinámica y la eficacia de los CSIRT". Este esfuerzo, financiado por la Dirección de Ciencia y Tecnología del Departamento de Seguridad Nacional de los Estados Unidos , tiene como objetivo explorar qué hace que un CSIRT sea bueno y qué lo sostiene. Los resultados deberían ayudar a las organizaciones a garantizar que sus CSIRT alcancen su máximo potencial y se conviertan en herramientas invaluables para proteger la infraestructura cibernética. El equipo interdisciplinario que trabaja en el nuevo proyecto incluirá investigadores de ciberseguridad y empresariales del Dartmouth College, psicólogos organizacionales de la Universidad George Mason e investigadores y profesionales de Hewlett-Packard.
En abril de 2011, el I3P convocó un taller patrocinado por el NIST para examinar el desafío de integrar la seguridad y la usabilidad en el diseño y desarrollo de software. Una de las recomendaciones del taller fue el desarrollo de estudios de casos para mostrar a los desarrolladores de software cómo se ha integrado la seguridad usable en el proceso de desarrollo de software de una organización. En consecuencia, el I3P ha iniciado un Proyecto de Seguridad Usable. Utilizando una metodología de estudio uniforme, el proyecto documentará la seguridad usable en tres organizaciones diferentes. Los resultados se utilizarán para comprender cómo se abordaron los problemas clave de seguridad usable, para enseñar a los desarrolladores sobre las soluciones y para permitir que otros investigadores realicen estudios comparativos.
Hoy en día, la infraestructura crítica del país está bajo la amenaza de un ciberataque como nunca antes. La principal respuesta a la amenaza cibernética que enfrenta el país es un mayor intercambio de información. Tradicionalmente, las agencias almacenan datos en bases de datos, y la información no está fácilmente disponible para otros que podrían beneficiarse de ella. La administración Obama dejó en claro que esta estrategia no funcionará: los datos deben estar fácilmente disponibles para compartirse. La forma preferida de hacerlo sería mediante una nube, donde numerosas agencias gubernamentales almacenarían información, y la información estaría disponible para todos los que tuvieran las credenciales adecuadas. Este modelo tiene enormes beneficios adicionales, pero ¿cuáles son los riesgos asociados? Investigadores de RAND y la Universidad de Virginia asumieron el desafío de responder a esa pregunta en nuestro Proyecto de Intercambio de Información.
Investigadores de cinco instituciones académicas del I3P están realizando un esfuerzo amplio para comprender la privacidad en la era digital. A lo largo de 18 meses, este proyecto de investigación analizará la privacidad desde una perspectiva multidisciplinaria, examinando el papel que desempeñan la conducta humana, la exposición de datos y la expresión de políticas en la forma en que las personas comprenden y protegen su privacidad. [8]
Este proyecto aplica una perspectiva de las ciencias del comportamiento a la seguridad, examinando la interfaz entre los seres humanos y las computadoras a través de un conjunto de estudios empíricos rigurosos. El proyecto multidisciplinario reúne a científicos sociales y profesionales de la seguridad de la información para arrojar luz sobre las complejidades de las percepciones, cogniciones y sesgos humanos, y cómo estos afectan a la seguridad informática. El objetivo del proyecto es aprovechar estos nuevos conocimientos de una manera que produzca sistemas y procesos más seguros. [9]
Los investigadores del I3P que participan en este proyecto han examinado formas de cuantificar el riesgo cibernético explorando el potencial de un sistema de puntuación multifactorial, análogo a la puntuación de riesgo en el sector de los seguros. En general, el trabajo tiene en cuenta los dos determinantes clave del riesgo cibernético: las tecnologías que reducen la probabilidad de ataque y las capacidades internas para responder a ataques exitosos o potenciales. [10]
Este proyecto se basa en un proyecto anterior de I3P sobre seguridad de sistemas de control para desarrollar estrategias para mejorar la resiliencia de los sistemas de control y permitir una recuperación rápida en caso de un ciberataque exitoso. [11]
Este proyecto, una derivación de un estudio anterior sobre la economía de la seguridad, aborda el desafío de la toma de decisiones corporativas a la hora de invertir en ciberseguridad. Intentó responder a preguntas como “¿Cuánto se necesita?”, “¿Cuánto es suficiente?” y “¿Cómo se mide el retorno de la inversión?”. El estudio incluye una investigación de las estrategias de inversión, incluidos los riesgos y las vulnerabilidades, las interdependencias en la cadena de suministro y las soluciones tecnológicas. [12]
Este proyecto, de alcance multidisciplinario, aborda la seguridad de las identidades digitales, haciendo hincapié en el desarrollo de enfoques técnicos para gestionar las identidades digitales que también satisfagan las necesidades políticas, sociales y legales. El trabajo se ha centrado principalmente en los dos sectores para los que la privacidad y la protección de la identidad son primordiales: los servicios financieros y la atención sanitaria. [13]
Este proyecto aborda la necesidad de detectar, monitorear y prevenir ataques internos que pueden causar graves daños a una organización. Los investigadores han llevado a cabo un análisis sistemático de las amenazas internas que aborda los desafíos técnicos pero también tiene en cuenta las dimensiones éticas, legales y económicas. [14]
El 18 de febrero de 2009, el I3P presentó a los senadores estadounidenses Joseph Lieberman y Susan Collins un informe titulado National Cyber Security Research and Development Challenges: An Industry, Academic and Government Perspective [15]. El informe refleja las conclusiones de tres foros organizados por el I3P en 2008 [16] [17] que reunieron a expertos de alto nivel de la industria, el gobierno y el mundo académico para identificar oportunidades de I+D que harían avanzar la investigación sobre seguridad cibernética en los próximos cinco a diez años. El informe contiene recomendaciones específicas para la investigación tecnológica y de políticas que reflejan los aportes de los participantes y también las preocupaciones de los sectores público y privado.
El I3P se conecta con las partes interesadas y se relaciona con ellas a través de talleres y otras actividades de divulgación que suelen celebrarse en colaboración con otras organizaciones. Los talleres abarcan una variedad de temas, algunos directamente relacionados con los proyectos de investigación del I3P; otros tienen como objetivo reunir a las personas adecuadas para investigar un desafío fundamental particularmente difícil, como la ingeniería de sistemas de seguridad o el desarrollo de la fuerza laboral. [18]
El I3P patrocinó un programa de becas de investigación postdoctoral desde 2004 hasta 2011 que proporciona financiación para un año de investigación en una institución miembro del I3P. Estos premios competitivos se otorgaron de acuerdo con el mérito del trabajo propuesto, el grado en que el trabajo propuesto exploraba conceptos creativos y originales, y el impacto potencial del tema en la infraestructura de información de los EE. UU. Se esperaba que los posibles solicitantes abordaran un área central de investigación en seguridad cibernética, incluida la computación confiable, la gestión de seguridad empresarial, la ingeniería de sistemas seguros, la respuesta y recuperación de redes, la gestión de identidades y la ciencia forense, la computación inalámbrica y las métricas, así como las dimensiones legales, políticas y económicas de la seguridad. [3]