Modelo de Gordon-Loeb

Método para optimizar las inversiones en seguridad de la información

Nivel ideal de inversión en seguridad informática de la empresa, dados los rendimientos incrementales decrecientes

El modelo de Gordon-Loeb es un modelo económico que analiza el nivel óptimo de inversión en seguridad de la información .

Los beneficios de invertir en ciberseguridad se derivan de la reducción de los costos asociados a las infracciones cibernéticas . El modelo Gordon-Loeb proporciona un marco para determinar cuánto invertir en ciberseguridad, utilizando un enfoque costo-beneficio.

El modelo incluye los siguientes componentes clave:

• Datos organizacionales vulnerables a ciberataques, donde la vulnerabilidad se denota por v ( 0 ≤ v ≤ 1 ), que representa la probabilidad de que ocurra una violación en las condiciones actuales.

• La pérdida potencial derivada de una infracción, representada por L , que puede expresarse en términos monetarios. La pérdida esperada se calcula como vL antes de las inversiones adicionales en ciberseguridad.

• La inversión en ciberseguridad, denotada como z , reduce v en función de la eficacia de las medidas de seguridad, conocida como función de probabilidad de violación de seguridad.

Gordon y Loeb demostraron que el nivel óptimo de inversión en seguridad, z* , no supera el 37% de la pérdida esperada por una infracción. En concreto, z* ( v ) ≤ (1/ e ) vL .

Descripción general

Ejemplo : supongamos que el valor de los datos es de 1.000.000 € , con una probabilidad de ataque del 15 % y una probabilidad del 80 % de que se produzca una vulneración de seguridad. La pérdida potencial es de 1.000.000 €  ×  0,15  ×  0,8 = 120.000 € . Según el modelo de Gordon-Loeb, la inversión en seguridad de la empresa no debería superar los 120.000 €  ×  0,37 = 44.000 € .

El modelo fue introducido por primera vez por Lawrence A. Gordon y Martin P. Loeb en un artículo de 2002 publicado en ACM Transactions on Information and System Security , titulado "The Economics of Information Security Investment". ^[1] Fue reimpreso en el libro de 2004 Economics of Information Security . ^[2] Ambos autores son profesores de la Escuela de Negocios Robert H. Smith de la Universidad de Maryland .

El modelo es ampliamente considerado como una de las principales herramientas analíticas en la economía de la ciberseguridad. ^[3] Ha sido ampliamente referenciado en la literatura académica e industrial. ^{[4] [5] [6]} También ha sido probado en varios contextos por investigadores como Marc Lelarge ^[7] y Yuliy Baryshnikov. ^[8]

El modelo también ha sido cubierto por los principales medios de comunicación, incluidos The Wall Street Journal ^[9] y The Financial Times . ^[10]

Investigaciones posteriores han criticado los supuestos del modelo, sugiriendo que algunas funciones de violación de seguridad pueden requerir la reparación de no menos de la mitad de la pérdida esperada, lo que pone en tela de juicio la universalidad del factor 1/e . Formulaciones alternativas incluso proponen que algunas funciones de pérdida pueden justificar la inversión en la pérdida total estimada. ^[11]

Véase también

• Indicador de progreso genuino

Referencias

1. Gordon, Lawrence A. ; Loeb, Martin P. (noviembre de 2002). "La economía de la inversión en seguridad de la información". ACM Transactions on Information and System Security . 5 (4): 438–457. doi :10.1145/581271.581274. S2CID  1500788.
2. Gordon, Lawrence A .; Loeb, Martin P. (2004). "Economía de la inversión en seguridad de la información". En Camp, L. Jean; Lewis, Stephen (eds.). Economía de la seguridad de la información. Avances en seguridad de la información. Vol. 12. Boston, MA: Springer. doi :10.1007/1-4020-8090-5_9. ISBN 978-1-4020-8089-0.
3. Kianpour, Mazaher; Kowalski, Stewart; Øverby, Harald (2021). "Comprensión sistemática de la economía de la ciberseguridad: una encuesta". Sustainability . 13 (24): 13677. doi : 10.3390/su132413677 . hdl : 11250/2978306 .
4. Kianpour, Mazaher; Raza, Shahid (2024). "Más que malware: desenmascarando el riesgo oculto de las regulaciones de ciberseguridad". Revista Internacional de Derecho de la Ciberseguridad . 5 : 169–212. doi : 10.1365/s43439-024-00111-7 . hdl : 11250/3116767 .
5. Matsuura, Kanta (23 de abril de 2008). "Espacio de productividad de la seguridad de la información en una extensión del modelo de inversión de Gordon-Loeb" (PDF) . Consultado el 30 de octubre de 2014 .
6. Willemson, Jan (2006). "Sobre el modelo de Gordon y Loeb para la inversión en seguridad de la información" (PDF) .
7. Lelarge, Marc (diciembre de 2012). "Coordinación en juegos de seguridad de red: un enfoque estático comparativo monótono". IEEE Journal on Selected Areas in Communications . 30 (11): 2210–9. arXiv : 1208.3994 . Código Bibliográfico :2012arXiv1208.3994L. doi :10.1109/jsac.2012.121213. S2CID  672650. Archivado desde el original el 14 de mayo de 2014 . Consultado el 13 de mayo de 2014 .
8. Baryshnikov, Yuliy (24 de febrero de 2012). "IT Security Investment and Gordon-Loeb's 1/e Rule" (PDF) . Consultado el 30 de octubre de 2014 .
9. Gordon, Lawrence A.; Loeb , Martin P. (26 de septiembre de 2011). "Puede que esté librando las batallas de seguridad equivocadas" . The Wall Street Journal . Consultado el 9 de mayo de 2014 .
10. Palin, Adam (30 de mayo de 2013). "Profesores de Maryland sopesan los riesgos cibernéticos". Financial Times . Consultado el 9 de mayo de 2014 .
11. Willemson, Jan (2006). "Sobre el modelo Gordon&Loeb para la inversión en seguridad de la información". WEIS .