El Instituto para la Protección de la Infraestructura de la Información (I3P) es un consorcio de instituciones nacionales de seguridad cibernética, que incluye centros de investigación académica, laboratorios del gobierno federal de EE . UU . Y organizaciones sin fines de lucro , todos los cuales tienen una experiencia de larga data y ampliamente reconocida en investigación y desarrollo de seguridad cibernética ( I + D). El I3P es administrado por la Universidad George Washington , que alberga un pequeño personal administrativo que supervisa y ayuda a dirigir las actividades del consorcio. [1]
Abreviatura | I3P |
---|---|
Fundado | 2002 |
Tipo | Instituto de Investigación |
Enfocar | protección de infraestructura crítica de seguridad informática |
Localización | |
Orígenes | Universidad de Dartmouth |
Gente clave | Diana L. Burley, directora ejecutiva Martin N. Wybourne, directora emérita |
Sitio web | http://www.thei3p.org |
El I3P coordina y financia la investigación de ciberseguridad relacionada con la protección de infraestructura crítica y organiza talleres de alto impacto que reúnen a líderes del sector público y privado. [2] [3] El I3P aporta una perspectiva multidisciplinaria y multiinstitucional a problemas complejos y difíciles, y trabaja en colaboración con las partes interesadas en la búsqueda de soluciones. Desde su fundación en 2002, [4] más de 100 investigadores de una amplia variedad de disciplinas y antecedentes han trabajado juntos para comprender y mitigar mejor los riesgos críticos en el campo de la seguridad cibernética.
Historia
El I3P nació después de varias evaluaciones gubernamentales de la susceptibilidad de la infraestructura de información de EE . UU . A fallas catastróficas. El primer estudio, publicado en 1998 por el Consejo de Asesores en Ciencia y Tecnología del Presidente de los Estados Unidos (PCAST), recomendó que se formara una organización no gubernamental para abordar los problemas de seguridad cibernética nacional. Estudios posteriores, realizados por el Instituto de Análisis de Defensa, así como un documento técnico elaborado conjuntamente por el Consejo de Seguridad Nacional y la Oficina de Política Científica y Tecnológica, coincidieron con la evaluación de PCAST, afirmando la necesidad de una organización dedicada a proteger los problemas críticos de la nación. Infraestructuras. [4]
En 2002, el I3P se fundó en Dartmouth College a través de una subvención del gobierno federal. [2] Martin Wybourne presidió el I3P de 2003 a 2015. Desde sus inicios, el I3P ha:
- coordinó un programa nacional de investigación y desarrollo de seguridad cibernética
- Construyó puentes de información y de investigación entre las partes interesadas académicas, industriales y gubernamentales.
- tecnologías desarrolladas y entregadas para abordar una serie de vulnerabilidades
Los fondos para el I3P provienen de varias fuentes, incluido el Departamento de Seguridad Nacional (DHS), el Instituto Nacional de Estándares y Tecnología (NIST) y la Fundación Nacional de Ciencias (NSF). [5]
Instituciones miembros
El consorcio I3P consta de 18 centros de investigación académica, 5 laboratorios nacionales y 3 organizaciones de investigación sin fines de lucro. [6]
- Universidad de Binghamton
- Carnegie Mellon University, H. John Heinz III College of Public Policy and Management
- Universidad Carnegie Mellon, Instituto de Ingeniería de Software
- Universidad de Dartmouth
- Universidad George Mason
- Universidad George Washington
- Instituto de Tecnología de Georgia
- Laboratorio Nacional de Idaho
- Universidad de Indiana
- Universidad Johns Hopkins
- Laboratorio Nacional Lawrence Berkeley
- Corporación MITRE
- Universidad de Nueva York
- Laboratorio Nacional Oak Ridge
- Laboratorio Nacional del Noroeste del Pacífico
- Universidad de Purdue
- Corporación RAND
- Laboratorios Nacionales Sandia
- SRI Internacional
- Universidad de California, Berkeley
- Universidad de California, Davis
- Universidad de Idaho
- Universidad de Illinois
- Universidad de Massachusetts, Amherst
- Universidad de Tulsa
- Universidad de Virginia
Cada institución miembro designa a un representante primario y secundario para asistir a las reuniones regulares del consorcio. [7]
Áreas de investigación
Proyectos de investigación 2011-2014
Educación Tecnológica Avanzada
El I3P se ha asociado con el Community College System of New Hampshire (CCSNH) en un proyecto educativo, "Ciberseguridad en la industria de la salud: adaptación e implementación del plan de estudios". Financiado por el programa de Educación Tecnológica Avanzada (ATE) de la National Science Foundation (NSF), el objetivo del proyecto es producir técnicos bien calificados para atender las necesidades de tecnología de la información de la atención médica en las zonas rurales del norte de Nueva Inglaterra.
Mejorando los CSIRT
El I3P lanzó un proyecto llamado "Mejora de las habilidades, la dinámica y la eficacia del CSIRT". Este esfuerzo, financiado por la Dirección de Ciencia y Tecnología del Departamento de Seguridad Nacional, tiene como objetivo explorar lo que hace y sostiene un buen CSIRT. Los resultados deberían ayudar a las organizaciones a garantizar que sus CSIRT alcancen su máximo potencial y se conviertan en una herramienta invaluable para proteger la infraestructura cibernética. El equipo interdisciplinario que trabaja en el nuevo proyecto incluirá investigadores comerciales y de seguridad cibernética de Dartmouth College, psicólogos organizacionales de la Universidad George Mason e investigadores y profesionales de Hewlett-Packard.
Seguridad utilizable
En abril de 2011, I3P convocó un taller patrocinado por NIST que examinaba el desafío de integrar la seguridad y la usabilidad en el diseño y desarrollo de software. Una de las varias recomendaciones del taller fue el desarrollo de estudios de casos para mostrar a los desarrolladores de software cómo se ha integrado la seguridad utilizable en el proceso de desarrollo de software de una organización. En consecuencia, el I3P ha comenzado un Proyecto de seguridad utilizable. Usando una metodología de estudio uniforme, el proyecto documentará la seguridad utilizable en tres organizaciones diferentes. Los resultados se utilizarán para comprender cómo se abordaron los problemas clave de seguridad utilizables, para enseñar a los desarrolladores sobre las soluciones y para permitir que otros investigadores realicen estudios comparables.
El intercambio de información
La Infraestructura Crítica de la nación está bajo la amenaza de un ciberataque hoy como nunca antes. La principal respuesta a la amenaza cibernética que enfrenta el país es un mayor intercambio de información. Tradicionalmente, las agencias almacenan datos en bases de datos y la información no está disponible para otras personas que podrían beneficiarse de ella. La administración Obama dejó en claro que esta estrategia no funcionará: los datos deben estar disponibles para compartir. La forma preferida de hacer esto sería utilizando una nube, donde numerosas agencias gubernamentales almacenarían información, y la información estaría disponible para todos los que tengan las credenciales adecuadas. Este modelo tiene enormes beneficios adicionales, pero ¿cuáles son los riesgos asociados? Investigadores de RAND y la Universidad de Virginia asumieron el desafío de responder esa pregunta en nuestro Proyecto de intercambio de información.
Proyectos de investigación 2010-2011
Privacidad en la era digital
Investigadores de cinco instituciones académicas I3P están comprometidos en un gran esfuerzo para comprender la privacidad en la era digital. En el transcurso de 18 meses, este proyecto de investigación tomará una mirada multidisciplinaria a la privacidad, examinando los roles del comportamiento humano, la exposición de datos y la expresión de políticas en la forma en que las personas comprenden y protegen su privacidad. [8]
Aprovechar el comportamiento humano para reducir el riesgo de seguridad cibernética
Este proyecto aporta una lente de las ciencias del comportamiento a la seguridad, examinando la interfaz entre los seres humanos y las computadoras a través de un conjunto de estudios empíricos rigurosos. El proyecto multidisciplinario reúne a científicos sociales y profesionales de seguridad de la información para iluminar las complejidades de las percepciones, cogniciones y sesgos humanos, y cómo estos impactan la seguridad informática. El objetivo del proyecto es aprovechar estos nuevos conocimientos de una manera que produzca sistemas y procesos más seguros. [9]
Proyectos de investigación 2008-2009
Mejor seguridad a través de precios de riesgo
Los investigadores de I3P en este proyecto han examinado formas de cuantificar el riesgo cibernético explorando el potencial de un sistema de puntuación de múltiples factores, análogo a la puntuación de riesgo en el sector de seguros. En general, el trabajo toma en cuenta los dos determinantes clave del riesgo cibernético: tecnologías que reducen la probabilidad de ataque y capacidades internas para responder a ataques exitosos o potenciales. [10]
Proyectos de investigación 2007-2009
Investigación sobre supervivencia y recuperación de sistemas de control de procesos
Este proyecto se basa en un proyecto I3P anterior en seguridad de sistemas de control para desarrollar estrategias para mejorar la resistencia del sistema de control y permitir una rápida recuperación en caso de un ciberataque exitoso. [11]
Justificación empresarial de la seguridad cibernética
Este proyecto, una rama de un estudio anterior sobre la economía de la seguridad, aborda el desafío de la toma de decisiones corporativas cuando se trata de invertir en seguridad cibernética. Intentó responder preguntas como, "¿Cuánto se necesita?" "¿Cuánto es suficiente?" "¿Y cómo se mide el retorno de la inversión?" El estudio incluye una investigación de las estrategias de inversión, incluidos los riesgos y vulnerabilidades, las interdependencias de la cadena de suministro y las soluciones tecnológicas. [12]
Salvaguardar la identidad digital
De alcance multidisciplinario, este proyecto aborda la seguridad de las identidades digitales, enfatizando el desarrollo de enfoques técnicos para la gestión de identidades digitales que también satisfagan necesidades políticas, sociales y legales. El trabajo se ha centrado principalmente en los dos sectores para los que la privacidad y la protección de la identidad son primordiales: servicios financieros y atención médica. [13]
Amenaza interna
Este proyecto aborda la necesidad de detectar, monitorear y prevenir ataques internos, que pueden causar graves daños a una organización. Los investigadores han realizado un análisis sistemático de las amenazas internas, que aborda los desafíos técnicos pero también tiene en cuenta las dimensiones éticas, legales y económicas. [14]
Informe de seguridad cibernética del Senado de EE. UU.
El I3P entregó un informe titulado Retos nacionales de investigación y desarrollo en seguridad cibernética: una perspectiva de la industria, académica y gubernamental, [15] a los senadores estadounidenses Joseph Lieberman y Susan Collins el 18 de febrero de 2009. El informe refleja el hallazgo de tres foros organizados por el I3P en 2008 [16] [17] que reunió a expertos de alto nivel de la industria, el gobierno y el mundo académico para identificar oportunidades de I + D que impulsarían la investigación en seguridad cibernética en los próximos cinco a diez años. El informe contiene recomendaciones específicas para la investigación de tecnología y políticas que reflejan las aportaciones de los participantes y también las preocupaciones de los sectores público y privado.
Talleres de trabajo
El I3P se conecta e interactúa con las partes interesadas a través de talleres y otras actividades de divulgación que a menudo se llevan a cabo en asociación con otras organizaciones. Los talleres abarcan una variedad de temas, algunos directamente relacionados con los proyectos de investigación de I3P; otros que están destinados a reunir a las personas adecuadas para probar un desafío fundamental particularmente difícil, como la ingeniería de sistemas seguros o el desarrollo de la fuerza laboral. [18]
Programa de becas posdoctorales
El I3P patrocinó un programa de becas de investigación postdoctoral de 2004 a 2011 que proporciona fondos para un año de investigación en una institución miembro de I3P. Estos premios competitivos se otorgaron de acuerdo con el mérito del trabajo propuesto, la medida en que el trabajo propuesto exploró conceptos creativos y originales y el impacto potencial del tema en la infraestructura de información de Estados Unidos. Se esperaba que los posibles solicitantes abordaran un área central de la investigación de seguridad cibernética, incluida la informática confiable, la gestión de la seguridad empresarial, la ingeniería de sistemas seguros, la respuesta y recuperación de redes, la gestión de identidades y análisis forense, la informática inalámbrica y las métricas, así como los aspectos legales, políticos y económicos. dimensiones de seguridad. [3]
Referencias
- ^ Gente
- ^ a b "Acerca de" . thei3p.org . Consultado el 6 de octubre de 2015 .
- ^ a b "Iniciativas" . thei3p.org . Consultado el 6 de octubre de 2015 .
- ^ a b "Historia" . thei3p.org . Consultado el 6 de octubre de 2015 .
- ^ "Historia" . thei3p.org . Consultado el 6 de octubre de 2015 .
- ^ "Instituciones miembros" . www.thei3p.org . Consultado el 6 de octubre de 2015 .
- ^ "Instituto para la protección de la infraestructura de la información (I3P) | Representantes de los miembros" . www.thei3p.org . Consultado el 6 de octubre de 2015 .
- ^ "Políticas de privacidad, percepciones y compensaciones" (PDF) . Thei3p.org. Archivado desde el original (PDF) el 20 de marzo de 2012 . Consultado el 26 de febrero de 2015 .
- ^ "Proyecto de comportamiento humano" . Thei3p.org. Archivado desde el original el 1 de marzo de 2012 . Consultado el 2 de septiembre de 2013 .
- ^ "Mejor seguridad a través de precios de riesgo" . Thei3p.org. Archivado desde el original el 1 de marzo de 2012 . Consultado el 2 de septiembre de 2013 .
- ^ "Supervivencia y Recuperación de Sistemas de Control de Procesos" . Thei3p.org. Archivado desde el original el 15 de enero de 2015 . Consultado el 2 de septiembre de 2013 .
- ^ "Justificación empresarial de la seguridad cibernética" . Thei3p.org. Archivado desde el original el 1 de marzo de 2012 . Consultado el 2 de septiembre de 2013 .
- ^ "Salvaguardando la identidad digital" . Thei3p.org. Archivado desde el original el 1 de marzo de 2012 . Consultado el 2 de septiembre de 2013 .
- ^ "Comportamiento humano, amenazas internas y conciencia" . Thei3p.org. Archivado desde el original el 14 de agosto de 2013 . Consultado el 2 de septiembre de 2013 .
- ^ "Informe del Senado" . Thei3p.org . Consultado el 2 de septiembre de 2013 .
- ^ Oltsik, Jon (3 de marzo de 2009). "Una semana de ciberseguridad ocupada en Washington | Seguridad y privacidad - CNET News" . News.cnet.com . Consultado el 2 de septiembre de 2013 .
- ^ "Informe del Instituto de Dartmouth para la protección de la infraestructura de la información (I3P) hace recomendaciones de investigación de seguridad cibernética" . Dartmouth.edu. 2010-06-07 . Consultado el 2 de septiembre de 2013 .
- ^ "Noticias y eventos" . thei3p.org . Consultado el 6 de octubre de 2015 .
enlaces externos
- Página web oficial