EJEMPLOS DE ANÁLISIS DE ESCENARIOS DE RIESGO

16 Ataques lógicos
1602 Penetración de red

Título del escenario de riesgo Penetración de red

Categoría del escenario de 16 Ataques lógicos
riesgo
Referencia del escenario de 1602
riesgo
Escenario de riesgo
6OB FNQSFTB UJFOF VO TJUJP XFC QÞCMJDP, B USBWÏT EFM DVBM VO HSVQP EF IBDLFST EFSSJCB MPT TJTUFNBT EF OFHPDJP EF MB FNQSFTB. &TUP TF IBDF SPNQJFOEP FM QFSÓNFUSP EF SFE EF MB
FNQSFTB Z QFOFUSBOEP FO MB SFE, F JOUSPEVDJFOEP NBMXBSF RVF EFSSJCB MPT TFSWJEPSFT Z EFSJWB FO VO BUBRVF EF EFOFHBDJØO EF TFSWJDJP (%P4) RVF OJFHB B MPT VTVBSJPT FM BDDFTP B MBT
BQMJDBDJPOFT. -BT PQFSBDJPOFT OPSNBMFT EFM OFHPDJP TF JOUFSSVNQFO. -BT WFOUBT OP TF QVFEFO QSPDFTBS B USBWÏT EFM TJUJP XFC EF MB FNQSFTB, DBVTBOEP QÏSEJEBT EF JOHSFTPT Z
daños a la reputación.
Componentes del escenario de riesgo
Tipo de amenaza
La naturaleza del evento es un ataque DoS malicioso por parte de hackers, el cual derriba los servidores y niega a los usuarios el acceso a las aplicaciones y la información.
Agente
Los agentes que generan la amenaza que explota la vulnerabilidad son los hackers externos.
Evento
El evento es la interrupción EF MPT TFSWJDJPT EF 5* QBSB RVF MPT VTVBSJPT OP QVFEBO BDDFEFS B MBT BQMJDBDJPOFT F JOGPSNBDJØO, Z QPS MP UBOUP, MPT QSPDFTPT/MBT PQFSBDJPOFT EF OFHPDJP
OPSNBMFT TF JOUFSSVNQFO Z MBT WFOUBT OP TF QVFEFO QSPDFTBS B USBWÏT EFM TJUJP XFC EF MB FNQSFTB, DBVTBOEP QÏSEJEBT EF JOHSFTPT Z EB×PT B MB SFQVUBDJØO.
Activo/Recurso (causa)
&M BDUJWP/SFDVSTP RVF QSPWPDB FM JNQBDUP FO FM OFHPDJP TPO MBT personas, los hackers.
Activo/Recurso (efecto)
-PT BDUJWPT/SFDVSTPT BGFDUBEPT TPO QSJODJQBMNFOUF MBT PQFSBDJPOFT EF OFHPDJP interrumpidas. Sin embargo, dado que se niega el acceso a la
infraestructura de TI, la información y las aplicaciones también son afectadas.
Tiempo
La respuesta al ataque DoS es crítica para restaurar rápidamente el acceso a los sistemas de negocio y que las ventas se puedan reanudar. La duración es extensa porque
SFTUBVSBS FM TJUJP XFC PGJDJBM QVFEF UPNBS CBTUBOUF UJFNQP. -B EFUFDDJØO EFM FWFOUP FT inmediata, y el tiempo transcurrido entre el evento y la consecuencia es también inmediato.
Tipo de riesgo
)BCJMJUBDJØO EFM CFOFGJDJP/WBMPS EF 5* N/A
Entrega del proyecto y del programa de TI N/A
Entrega del servicio y operaciones de TI P Interrupción de los servicios de TI (y de negocios).

P Problemas de seguridad.
S Cuestiones de cumplimiento.
Posibles respuestas al riesgo
t Evitación del riesgo: //"
t Aceptación del riesgo: El consejo toma la decisión de que nadie está interesado en atacar a la empresa, "no nos sucederá a nosotros".
t Compartir/transferir el riesgo: Comprar un seguro de interrupción del negocio.
t Mitigación del riesgo: *OTUBMBS Z DPOGJHVSBS VO DPSUBGVFHPT (GJSFXBMM), SFGPS[BS/CBTUJPOBS FM TFSWJEPS Z BQMJDBS MPT QBSDIFT EF TFHVSJEBE BDUVBMJ[BEPT. %FTQMFHBS Z NPOJUPSJ[BS
BDUJWBNFOUF VO *%4. 5FOFS QSPDFEJNJFOUPT EF SFDVQFSBDJØO EF EFTBTUSFT FTUBCMFDJEPT QBSB SFTUBVSBS FM TJUJP XFC, TJ FT OFDFTBSJP.
Mitigación del Riesgo Usando Habilitadores de COBIT 5
Habilitador de principios, políticas y marco de trabajo
Efecto Efecto
en la en Control
Referencia Contribución a la respuesta frecuencia el impacto esencial
Política de seguridad de la Describir los arreglos de seguridad de la información dentro de la empresa. Alto Alto SÍ
información
Políticas y procedimientos Detallar las consecuencias técnicas de la política de seguridad de la información. Alto Alto SÍ
técnicos de seguridad
Principios de arquitectura Los requerimientos de seguridad de la información están integrados a la arquitectura Alto Alto SÍ
empresarial y se traducen a una arquitectura formal de seguridad de la información.
Política de continuidad del Validar la recuperación de información, servicios, aplicaciones e infraestructura. Bajo Alto SÍ
negocio y de recuperación de
desastres

229
ESCENARIOS DE RIESGO UTILIZANDO COBIT® 5 PARA RIESGOS

Habilitador del proceso

Efecto Efecto
Título en la en el Control Control
Referencia Descripción frecuencia impacto esencial esencial
DSS04.03 Desarrollar e implementar Desarrollar un plan de continuidad del negocio (BCP) Bajo Alto SÍ
una respuesta de basado en la estrategia que documenta los procedimientos
continuidad del negocio. y elementos de información que permiten a la empresa
continuar sus actividades críticas después de un incidente.
DSS05.01 1SPUFHFS DPOUSB NBMXBSF. Implementar y mantener medidas de prevención, detección Alto Medio SÍ
y corrección (especialmente parches de seguridad y anti-
NBMXBSF
actualizados) en toda la empresa para proteger los sistemas
de información y la tecnología contra virus, gusanos,
TQZXBSF, TQBN, FUD.
DSS05.02 Gestionar la seguridad de la Usar medidas de seguridad y procedimientos de gestión Medio Bajo NO
red y las conexiones. relacionados para proteger la información a través de todos
los métodos de conectividad.
DSS05.03 Gestionar la seguridad de Asegurarse que los terminales (p. ej., portátiles, computadora Alto Bajo SÍ
los terminales. de escritorio, servidor, móviles , y otros dispositivos o
TPGUXBSF EF SFE) FTUÏO BTFHVSBEPT B VO OJWFM JHVBM P TVQFSJPS
al de los requerimientos de seguridad definidos para la
información que procesen, almacenen o transmitan.
DSS05.07 Supervisar la infraestructura Usar herramientas de detección de intrusión, supervisar Bajo Medio NO
para detectar eventos la infraestructura para detectar accesos no autorizados y
relacionados con la asegurarse que los eventos se integren en la supervisión
seguridad. general de eventos y en los procedimientos de gestión de
incidentes.
Habilitador de estructuras organizacionales
Efecto Efecto
en el en el Control
Referencia Contribución a la respuesta frecuencia impacto esencial
Gerente de seguridad de la Implementar las medidas de seguridad. Alto Alto SÍ
información
Jefe de operaciones de TI Liderar al equipo de respuesta para restaurar el servicio de manera oportuna. Bajo Alto SÍ
Gestor del servicio En caso que los ataques tengan éxito, comunicarse con el usuario final y ayudar a gestionar Bajo Alto SÍ
la respuesta.
Director de Arquitectura de Diseñar medidas de seguridad. Alto Alto SÍ
Seguridad
Habilitador de cultura, ética y comportamiento
Efecto Efecto
en la en el Control
Referencia Contribución a la respuesta frecuencia impacto esencial
La seguridad de la información Evitar ataques lógicos. Alto Medio SÍ
se practica diariamente durante
las operaciones
Las personas respetan la Evitar ataques lógicos. Medio Bajo NO
importancia de las políticas y
los principios de seguridad de
la información
Las partes interesadas son Minimizar el impacto de ataques lógicos. Bajo Alto SÍ
conscientes de cómo identificar
y responder a amenazas a la
empresa
Habilitador de información
Efecto Efecto
en la en el Control
Referencia Contribución a la respuesta frecuencia impacto esencial
Acuerdos de nivel de servicio Detallar la acción a emprender en caso de ataque. Bajo Medio NO
(SLA)
Informes de información sobre Inteligencia sobre los tipos de ataques. Alto Medio SÍ
amenazas
Informes de supervisión Identificar los intentos de ataque, los eventos de amenaza, etc. Bajo Alto SÍ

230
 EJEMPLOS DE ANÁLISIS DE ESCENARIOS DE RIESGO

Habilitador de servicios, infraestructura y aplicaciones

Efecto Efecto
en la en el Control
Referencia Contribución a la respuesta frecuencia impacto esencial
$PSUBGVFHPT (GJSFXBMM) Evitar ataques lógicos exitosos. Alto Bajo SÍ
Gestión de eventos e 1SPQPSDJPOB BOÈMJTJT FO UJFNQP SFBM EF MBT BMFSUBT EF TFHVSJEBE HFOFSBEBT QPS FM IBSEXBSF Alto Alto SÍ
información de seguridad de red y las aplicaciones.
(SIEM)
Herramientas de gestión de Identificar las debilidades. Alto Medio SÍ
SFE/FTDÈOFSFT EF WVMOFSBCJMJEBE
Servicios de monitorización Notificación oportuna de amenazas potenciales. Bajo Alto SÍ
y alerta
Habilitador de personas, habilidades y competencias
Habilidades de seguridad de la Prevenir y reducir el impacto de los ataques lógicos. Alto Alto SÍ
información
Habilidades técnicas en TI $POGJHVSBS MB JOGSBFTUSVDUVSB EF 5*, DPNP DPSUBGVFHPT (GJSFXBMMT), DPNQPOFOUFT DSÓUJDPT EF MB Alto Alto SÍ
red, etc.
Indicadores clave de riesgo (KRIs) relacionados con las metas de TI
t (D4) 1PSDFOUBKF EF QSPDFTPT EF OFHPDJP DSÓUJDPT, TFSWJDJPT EF 5* Z QSPHSBNBT 5*$ FNQSFTBSJBMFT BDUJWBEPT Z DVCJFSUPT QPS MB FWBMVBDJØO EF SJFTHPT t
(D4) /ÞNFSP EF JODJEFOUFT TJHOJGJDBUJWPT SFMBDJPOBEPT DPO 5* RVF OP TF JEFOUJGJDBSPO FO MB FWBMVBDJØO EF SJFTHPT
t (D4) 1PSDFOUBKF EF MBT FWBMVBDJPOFT EF SJFTHP FNQSFTBSJBM, JODMVZFOEP FM SJFTHP SFMBDJPOBEP DPO MBT 5* t
(D4) 'SFDVFODJB EF BDUVBMJ[BDJØO EFM QFSGJM EF SJFTHP
t (D7) /ÞNFSP EF JOUFSSVQDJPOFT EFM OFHPDJP EFCJEP B JODJEFOUFT EF TFSWJDJPT EF 5*
t (1D) /ÞNFSP EF JODJEFOUFT EF TFHVSJEBE RVF DBVTBO QÏSEJEBT GJOBODJFSBT, JOUFSSVQDJØO EFM OFHPDJP P EFTDPODJFSUP QÞCMJDP t
(1D) /ÞNFSP EF TFSWJDJPT EF 5* DPO SFRVJTJUPT QFOEJFOUFT EF TFHVSJEBE
t (1D) 'SFDVFODJB EF FWBMVBDJPOFT EF TFHVSJEBE DPO SFTQFDUP B MPT FTUÈOEBSFT Z MBT HVÓBT NÈT SFDJFOUFT
t (14) /ÞNFSP EF JODJEFOUFT EF QSPDFTPT EF OFHPDJP DBVTBEPT QPS MB GBMUB EF EJTQPOJCJMJEBE EF JOGPSNBDJØO
Indicadores clave de riesgo (KRIs) relacionados con las metas del proceso
t (%44D4) 1PSDFOUBKF EF TFSWJDJPT EF 5* RVF TBUJTGBDFO MPT SFRVJTJUPT FO UJFNQP EF BDUJWJEBE
t (%44D4) /ÞNFSP EF TJTUFNBT FNQSFTBSJBMFT DSÓUJDPT OP DVCJFSUPT QPS FM QMBO EF DPOUJOVJEBE EFM OFHPDJP t
(%44D4) /ÞNFSP EF FKFSDJDJPT Z QSVFCBT RVF IBO BMDBO[BEP MPT PCKFUJWPT EF SFDVQFSBDJØO
t (%44D4) 'SFDVFODJB EF MBT QSVFCBT EF SFDVQFSBDJØO
t (%44DS) /ÞNFSP EF WVMOFSBCJMJEBEFT EFTDVCJFSUBT
t (%44DS) /ÞNFSP EF JOGSBDDJPOFT FO FM DPSUBGVFHPT (GJSFXBMM)
t (%44DS) 1PSDFOUBKF EF QFSTPOBT RVF SFDJCFO FOUSFOBNJFOUP EF DPODJFODJBDJØO SFMBDJPOBEP FO FM VTP EF UFSNJOBMFT t
(%44DS) /ÞNFSP EF JODJEFOUFT RVF JNQMJRVFO UFSNJOBMFT
t (%44DS) /ÞNFSP EF EJTQPTJUJWPT OP BVUPSJ[BEPT EFUFDUBEPT FO MB SFE P FO FM FOUPSOP EFM VTVBSJP GJOBM t
(%44DS) /ÞNFSP EF JODJEFOUFT SFMBDJPOBEPT DPO FM BDDFTP OP BVUPSJ[BEP B MB JOGPSNBDJØO

231