Los principales beneficios de las inversiones en ciberseguridad resultan de los ahorros de costos asociados con las infracciones cibernéticas que se evitan gracias a la inversión. Sin embargo, como ocurre con cualquier inversión, es importante comparar los beneficios con los costos al decidir cómo invertir. [1] El modelo Gordon-Loeb proporciona un marco valioso para determinar, en términos de costo-beneficio, la cantidad adecuada para invertir en actividades relacionadas con la ciberseguridad.
Los componentes básicos del modelo Gordon-Loeb son los siguientes:
Conjuntos de datos (información) de organizaciones que son vulnerables a los ciberataques. Esta vulnerabilidad, denotada como v ( 0 ≤ v ≤ 1 ), representa la probabilidad de que se produzca una violación de un conjunto de información específico en las condiciones actuales.
Si se viola un conjunto de información, el valor del conjunto de información representa la pérdida potencial (es decir, el costo de la violación) y puede expresarse como un valor monetario, denotado como L. Por lo tanto, vL es la pérdida esperada por una infracción cibernética antes de invertir en actividades adicionales de ciberseguridad.
Una inversión en ciberseguridad, denotada como z , reducirá v en función de la productividad de la inversión en ciberseguridad. La productividad de la inversión es lo que el modelo de Gordon-Loeb denomina función de probabilidad de violación de la seguridad.
Gordon y Loeb pudieron demostrar que, para dos clases amplias de funciones de probabilidad de violaciones de seguridad, el nivel óptimo de inversión en seguridad de la información, z* , no excedería aproximadamente el 37% de la pérdida esperada por una violación de seguridad. Más específicamente: z* ( v ) ≤ (1/ e ) vL .
Ejemplo :
Supongamos un valor de datos estimado de 1.000.000 € , con una probabilidad de ataque del 15 % y un 80 % de probabilidad de que un ataque tenga éxito.
En este caso, la pérdida potencial viene dada por el producto 1.000.000 € × 0,15 × 0,8 = 120.000 € .
Según Gordon y Loeb, la inversión de la empresa en seguridad no debería superar los 120.000 € × 0,37 = 44.000 € .
El modelo Gordon-Loeb fue publicado por primera vez por Lawrence A. Gordon y Martin P. Loeb en su artículo de 2002, en ACM Transactions on Information and System Security , titulado "The Economics of Information Security Investment" [2]. El artículo fue reimpreso en 2004 libro Economía de la seguridad de la información . [3] Gordon y Loeb son profesores de la Escuela de Negocios Robert H. Smith de la Universidad de Maryland .
El modelo Gordon-Loeb es uno de los modelos analíticos mejor aceptados para la economía de la ciberseguridad. [1] El modelo ha sido ampliamente mencionado en la literatura académica y profesional. [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] El modelo también ha sido probado empíricamente en varios entornos diferentes. La investigación de los matemáticos Marc Lelarge [14] y Yuliy Baryshnikov [15] generalizó los resultados del modelo Gordon-Loeb.
Sin embargo, las investigaciones siguientes demostraron que incluso dentro de los supuestos iniciales del modelo, algunas funciones de probabilidad de violación de seguridad deberían fijarse con no menos de la mitad de la pérdida esperada, contradiciendo la hipótesis de que el factor 1 /e era universal. Además, al utilizar otra matematización de los requisitos de Gordon-Loeb (más precisamente, que la segunda derivada de la función de pérdida no necesita ser continua), se pueden crear funciones de pérdida cuya fijación óptima cueste el 100% de la pérdida estimada. [18]
^ ab Kianpour, Mazaher; Kowalski, Stewart; Øverby, Harald (2021). "Comprensión sistemática de la economía de la ciberseguridad: una encuesta". Sostenibilidad . 13 (24): 13677. doi : 10.3390/su132413677 . hdl : 11250/2978306 .
^ Gordon, Lawrence A .; Loeb, Martin P. (noviembre de 2002). "La economía de la inversión en seguridad de la información". Transacciones ACM sobre Seguridad de la Información y Sistemas . 5 (4): 438–457. doi :10.1145/581271.581274. S2CID 1500788.
^ Gordon, Lawrence A .; Loeb, Martín P. (2004). "Economía de la inversión en seguridad de la información". En el campamento, L. Jean; Lewis, Stephen (eds.). Economía de la seguridad de la información. Avances en Seguridad de la Información. vol. 12. Boston, MA: Springer. doi :10.1007/1-4020-8090-5_9. ISBN978-1-4020-8089-0.
^ Kianpour, Mazaher; Raza, Shahid (2024). "Más que malware: desenmascarar el riesgo oculto de las normativas de ciberseguridad". Revisión de la legislación internacional sobre ciberseguridad . 5 : 169–212. doi : 10.1365/s43439-024-00111-7 . hdl : 11250/3116767 .
^ Matsuura, Kanta (23 de abril de 2008). "Espacio de productividad de la seguridad de la información en una extensión del modelo de inversión de Gordon-Loeb" (PDF) . Consultado el 30 de octubre de 2014 .
^ Willemson, enero (2006). "Sobre el modelo de Gordon & Loeb para la inversión en seguridad de la información" (PDF) .
^ Willemson, enero (2010). "Ampliación del modelo de Gordon y Loeb para la inversión en seguridad de la información". Conferencia Internacional 2010 sobre Disponibilidad, Confiabilidad y Seguridad . págs. 258–261. doi :10.1109/ARES.2010.37. ISBN978-1-4244-5879-0. S2CID 11526162.
^ Johnson, E. (2009). Gestión del riesgo de la información y economía de la seguridad. Saltador. pag. 99.ISBN9780387097626. Consultado el 30 de octubre de 2014 .
^ "El modelo de inversión Gordon-Loeb generalizado: múltiples amenazas y pérdidas por incumplimiento que dependen del tiempo durante un período de inversión". BibSonomía. Archivado desde el original el 17 de mayo de 2014 . Consultado el 30 de octubre de 2014 .
^ Su, Xiaomeng (15 de junio de 2006). "Una descripción general de los enfoques económicos para la gestión de la seguridad de la información" (PDF) . Consultado el 30 de octubre de 2014 .
^ Böhme, Rainer (29 de agosto de 2010). "Métricas de seguridad y modelos de inversión en seguridad" (PDF) . Instituto Internacional de Ciencias de la Computación, Berkeley, California. Archivado desde el original (PDF) el 17 de mayo de 2014 . Consultado el 30 de octubre de 2014 .
^ Sí, Ruyi (2014). "Un modelo económico de inversión en seguridad de la información". repositorio.ust.hk . Repositorio institucional de HKUST . Consultado el 30 de octubre de 2014 .
^ Kuramitsu, Kimio (21 de julio de 2005). "Un estudio de caso del modelo Gordon-Loop sobre inversiones óptimas en seguridad" 最適投資モデルに基づくセキュアシステム設計と事例研究 [Diseño de sistema seguro basado en un modelo de inversión óptimo y un estudio de caso].通信学会技術研究報告 = Informe técnico de Ice : 信学技報(en japonés). 105 (193). CiNii: 243–248. ISSN 0913-5685 . Consultado el 30 de octubre de 2014 .
^ Lelarge, Marc (diciembre de 2012). "Coordinación en juegos de seguridad de redes: un enfoque monótono de estática comparativa". Revista IEEE sobre áreas seleccionadas de las comunicaciones . 30 (11): 2210–9. arXiv : 1208.3994 . Código Bib : 2012arXiv1208.3994L. doi : 10.1109/jsac.2012.121213. S2CID 672650. Archivado desde el original el 14 de mayo de 2014 . Consultado el 13 de mayo de 2014 .
^ Baryshnikov, Yuliy (24 de febrero de 2012). "Inversión en seguridad de TI y regla 1/e de Gordon-Loeb" (PDF) . Consultado el 30 de octubre de 2014 .
^ Gordon, Lawrence A .; Loeb, Martin P. (26 de septiembre de 2011). "Es posible que esté librando batallas de seguridad equivocadas" . El periodico de Wall Street . Consultado el 9 de mayo de 2014 .
^ Palin, Adam (30 de mayo de 2013). "Los profesores de Maryland sopesan los riesgos cibernéticos". Tiempos financieros . Consultado el 9 de mayo de 2014 .
^ Willemson, enero (2006). "Sobre el modelo Gordon & Loeb para la inversión en seguridad de la información". WEIS .
