Ciclo OODA aplicado a la ciberdefensa

Desarrollo Caso práctico UD1

Ciclo OODA aplicado a la ciberdefensa

Fernando Alfonso Monroy Vargas

Profesor: Javier Bermejo Higuera

Escuela Superior de Guerra “General Rafael Reyes Prieto”

Diplomado Virtual Ciberseguridad y Ciberdefensa

Villavicencio

2019
Ciclo OODA aplicado a la ciberdefensa

Análisis del sistema CAESARS

1. Resumen de las funcionalidades del sistema CAESARS.

El sistema CAESARS esta basado la importancia del monitoreo permanente de la seguridad,

proporcionando estándares de automatización que guía a las organizaciones en la
implementación de un monitoreo continuo lo cual facilita la observación y análisis del estado
operativo del sistema, así mismo el apoyo en la toma de decisiones basados en la situación
actual y las expectativas que se tienen.

Actualmente podemos encontrar sistemas que brindan seguridad en forma automatizada con
la finalidad de monitorear y evaluar el riesgo, pero en forma independiente, este sistema
brinda un enfoque integrado, teniendo en cuenta la protección de extremo a extremo con lo
cual se puede evaluar el estado real de los activos de la información que se encuentran bajo
esta gestión; mantiene claras las líneas de seguridad de base con lo cual se puede evidenciar
el riesgo potencial del sistema actual. Asegura la asignación de responsabilidad de cada
sistema, con esto los administradores de seguridad podrán tomar las medidas o posiciones
adecuadas con el fin último de minimizar los riesgos.

Proporciona un medio para la supervisión de controles de seguridad que se encuentren

vigentes con lo cual se podrá tener en cuenta los aspectos que se deban mejorar con el fin de
fortalecer la postura de seguridad de la información. Este sistema recopila datos de múltiples
aplicaciones de supervisión de seguridad en un punto único presentando estos datos en una
manera fácil de entender, permite cada sección reconocer los problemas de seguridad de su
ámbito de control, podrá el personal evidenciar cuales son las vulnerabilidades mas altas y
corregirlas. Puede apoyar el desarrollo y la operación de sistemas similares para industrias o
entidades públicas que puedan ajustar sus arquitecturas y no limitarlas al uso de herramientas
Ciclo OODA aplicado a la ciberdefensa

por separado. Este sistema permite identificar espacios de riesgo dentro del uso de sus
propias herramientas y procesos.

En cuanto al análisis de riesgos CAESARS lo hace en dos procesos evaluando las

configuraciones propias del sistema como lo son el hardware, software, la red; teniendo en
cuenta los estándares predeterminados y segundo detectando la posibilidad de
vulnerabilidades conocidas.

Dentro de los usos de este sistema nos permite conocer en forma completa el sistema que
esta implementado en una organización, así como el adecuado manejo de los activos;
podemos desarrollar un enfoque basado en la prevención, en la capacidad de respuesta con
alertas en tiempo real y la ejecución de acciones programadas sin desconocer la importancia
del manejo por parte del usuario.

El modelo CAESAR FE logra modificar aspectos como la habilitación de variedad de

interfaces en el sistema, especificaciones de carga útil de comunicaciones, detalles de los
subsistemas lo que permite el desarrollo de herramientas, la creación de múltiples instancias
de monitoreo continuo y mejorar el desempeño del sistema por medio de una jerarquización
estratificada que en organizaciones como las militares y estatales son de suma importancia.

En conclusión creo que la implementación de estos sistemas de monitoreo nos permiten tener
mas control sobre muchos aspectos de manejos de datos de la organización, aunque en el
control de riesgos aun se deben tener en cuenta varios aspectos en los cuales debemos ser
más asertivos con el fin de mitigar el riesgo, la ventaja mas significativa de CAESARS FE
esta en el administrador de tareas, el cual no solamente permite la automatización de las
respuestas sino también la importancia de la valoración por parte de un individuo acerca del
seguimiento y respuesta a las solicitudes de los usuarios.
Ciclo OODA aplicado a la ciberdefensa

2. Trazabilidad (identificación y carencia) de las actividades del ciclo OODA (apartado 5

documentación técnica UD-I) respecto de las funcionalidades del sistema CAESARS.
Incluir una tabla resumen.

El ciclo OODA cuenta con cuatro fases que son Orientar, en la cual se lleva a cabo el
procesamiento, análisis, reconocimiento; así como la identificación de intenciones y la
valorización de amenazas; en la observación tenemos presente la recolección de datos y el
adecuado manejo de los mismos; en la parte de decidir nos brinda soporte y valoración para
la mejor toma de decisiones, así como los cursos de acción que se llevaran a cabo; en cuanto
al ámbito de actuar se tiene como prioridad la defensa activa y la respuesta.

Considero que este ciclo integra los aspectos más importantes a tener en cuenta en cuanto al
manejo adecuado de los eventos y con esto podremos implementar un manejo de monitoreo
continuo en las organizaciones. El modelo CAESARS nos muestra como se ha venido
priorizando este tema y el manejo que se le ha dado para implementar estos sistemas de
monitoreo, basado en la importancia de las fuentes de datos, la recopilación de estos, el
almacenamiento y análisis, la presentación al usuario final y las decisiones y conductas
tomadas. Aun así las limitaciones de este sistema permitieron que buscara su mejora con lo
que nos muestra el modelo CAESARS FE cuya funcionalidad mejorada permite
implementaciones de un sistema de monitoreo continuo conformado por 6 subsistemas, los
cuales nos permiten en forma mas oportuna no solo la recolección de los datos, la posibilidad
de mejora en la comunicación entre los subsistemas, el mejor análisis y puntuación del
estado del sistema; así como la posibilidad de tener un módulo para la administración de
tareas.

A continuación, tenemos una comparación entre el sistema OODA y el modelo CAESARS,

con lo que evidenciamos el aporte que nos brinda este modelo en las diferentes fases del
ciclo y finalmente tendremos en cuenta la mejora que se realiza con el modelo CESARS FE
y como sus 6 módulos nos ayudan a mejorar estos sistemas de monitoreo continuo:
Ciclo OODA aplicado a la ciberdefensa
Las actividades del ciclo OODA son
cuatro
• Observar: En esta fase se realiza la
obtención de datos los cuales están
dados por el entorno y la situación. Se
agregan, transforma, se normalizan, se
correlacionan y finalmente se
almacenan.
La recolección de datos se realiza por
medio de: Listas negras, patrones de
ataque, firmas de detección de intrusos,
firmas de malware, bases de datos de
vulnerabilidades, datos de sensores
(datos provenientes de dispositivos de
seguridad de red, datos de
infraestructura logs).
Se toman dos tipos de acciones:
Reactivas lo que permite respuesta en
tiempo real y acciones preventivas lo
que nos muestra la situación actual del
sistema.
En el sistema CAESAR como única
instancia consta de 4 subsistemas:
• Subsistema de sensor: en el cual se
evidencia la totalidad de activos de TI
que serán objeto de actividades de
monitoreo, aquí se incluyen todas las
plataformas en las cuales se presentara
el informe.
Este subsistema gestiona la recopilación
de datos.
• Subsistema de bases de datos: se
relacionan todos los datos obtenidos por
el subsistema de sensores, pero también
del subsistema de análisis y puntuación
de riesgos
Se tienen procesos de limpieza,
preprocesamiento, análisis y puntuación.
Herramientas para la extracción de
datos.
Se tienen descripciones de la postura de
seguridad de línea base, datos de
vulnerabilidades conocidas.
Aquí una de las limitaciones es que los
datos de seguridad deberán duplicarse
dentro de una única base de datos
central.
Ciclo OODA aplicado a la ciberdefensa
• Orientar: Se intenta hacer un
pronóstico según los datos obtenidos
con lo cual buscamos posibles rutas de
ataque o preferencias del atacante.
Se realiza teniendo en cuenta: la
conciencia de la situación, el
reconocimiento y la identificación,
interferencia de intenciones y la
valoración de amenazas.
Se utilizan los gráficos de ataque.
Se dan respuestas en acciones
preventivas que nos muestran posibles
vulnerabilidades, un análisis
especulativo sobre cambios que se
darían en infraestructura y medio
ambiente operacional y acciones
reactivas directamente a los ataques
cibernéticos en curso.
• Decisión: como objetivo principal se
tiene que esta fase es el soporte para la
toma de decisiones y el entendimiento
de la situación. En este punto la
respuesta puede ser automática o con
intervención del
operador.
Logra generar opciones tácticas, evaluar
opciones y elegir la mejor opción.
Las acciones que se toman son
preventivas basadas en la mitigación de
• Subsistema de análisis y puntuación
de riesgos: en este ámbito se utilizan las
bases de datos y se tienen en cuneta las
perspectivas de la empresa.
Dentro de las limitaciones este punto es
importante porque se requiere la
medición de riesgos de seguridad, este
sistema no logra calcular la probabilidad
de un evento y la medida de su impacto
en la organización, el monitoreo
continuo no cuenta con los recursos
necesarios.
Se debe tener en cuneta que hace falta
detalles en los cativos requeridos y la
relación de estos con las líneas base de
configuración.
Se tienen limitaciones en la comunicación
del sistema sensor y el subsistema de bases
de datos, esto evidencia la dificultad en la
comunicación entre estos sistemas.
Ciclo OODA aplicado a la ciberdefensa
la vulnerabilidad o la reconfiguración de
un activo y acciones reactivas enfocadas
en acciones encaminadas a contener un
ataque en curso.
• Actuar: En esta fase se toman
decisiones y se automatizan las acciones
requeridas en el momento oportuno.
Se toman acciones preventivas con lo
cual se podrá restaurar alguna acción
que se haya realizado y acciones
reactivas basada en tiempo real y
realizados en forma automática.
A nivel general el sistema debe componerse
de subsistemas que estén fuertemente
ligados, con lo cual se permite implementar
acciones automáticas o semiautomáticas de
respuesta.
• Subsistema de presentación de
informes: Se cuenta con varias
herramientas de presentación, se tienen
en cuneta las perspectivas locales o de
toda la empresa, permite una variedad
de esquemas de visualización.
A nivel general el sistema presenta una las
características esenciales de este sistema
son:
Mantener una postura clara por parte de la
organización respecto de la seguridad,
medir por lo tanto esta postura de la
empresa, identificar desviaciones que se
podrían producir en los resultados
esperados, tener una visibilidad de los
activos, el aprovechamiento de bases de
datos, monitoreo continuo de controles de
seguridad, informes para toma de
decisiones.
Ciclo OODA aplicado a la ciberdefensa

El modelo CESARS FE:

Como objetivo principal permite a las organizaciones la implementación de un sistema de

monitoreo continuo mediante la utilización de diferentes herramientas que podrán cumplir
diferentes requisitos del subsistema, estas se pueden combinar para implementar una solución de
monitoreo continuo.

Compuesto por 6 subsistemas:

o Presentación/ informes: el cual brinda la entrada al usuario, permite la consulta de
datos y genera los informes de resultados obtenidos.
Permite a los usuarios tener sus propias interfaces personalizadas según sus
necesidades particulares. Las consultas en este sistema se pueden enviar al
administrador de tareas para su cumplimiento. Cuando se recibe una respuesta el
subsistema muestra los datos o proporciona un informe según lo solicitado por el
usuario.
o Contenido: en el cual se tienen claras las políticas digitales y los datos de apoyo. Aquí
se puede incluir la política digital de la organización general y los datos de apoyo;
esto permite que se pueda realizar una comparación del estado del sistema con la
política organizativa, así como la normalización de datos. Cuenta con único
componente que se comunica con el subsistema de colección y el de análisis y
puntuación.
o Recopilación: Nos brinda información sobre el estado del sistema según la política de
la organización que se tiene definida. Es similar al subsistema de base de datos de
CAESARS; cada instancia de monitoreo debe tener un sistema de agregación de datos
esto nos garantiza una única fuente de datos. Y esta instancia única esta compuesta
por cuatro componentes:
o Agregación de datos: nos brinda la información del estado del sistema y el cálculo de
resultados relacionados, así como los metadatos.
o Análisis / Puntuación: Se realiza el análisis de datos y puntúa la información del
estado del sistema. Proporciona servicios generalizados de análisis y puntuación con
lo que ya no s centra solo en la medición del riesgo. Se cuenta con el motor de
análisis.
Ciclo OODA aplicado a la ciberdefensa

o Administrador de tareas: organiza las actividades de los otros subsistemas con otras
instancias de monitoreo continuo lo que permite consultas de datos de los usuarios.
Este subsistema permite control de los datos recopilados, activar rutinas de
puntuación y proporcionar respuestas de consulta. Actúa como único controlador
central. Este subsistema es agregado debido a que brinda una solución al monitoreo
con lo que puede modificar su comportamiento para responder de forma optima a las
consultas de los usuarios; así mismo permite que diversas herramientas de seguridad,
todas bajo sus funciones y roles, trabajen en equipo para poder brindar una conciencia
situacional real a la empresa.
Este sistema esta conformado por tres componentes: El administrador de consultas, el
controlador de recopilación y el motor de decisión. En este punto el sistema podrá
verificar si es necesario un proceso de aprobación humana.

3. Trazabilidad (identificación y carencia de ellas) a las capacidades de Ciberdefensa (defensa,

explotación y respuesta (apartado 6 documentación técnica UD-I)) respecto de las
funcionalidades del sistema CAESARS. Incluir una tabla resumen.

En cuanto a las capacidades de ciberdefensa es claro que la implementación de un modelo como

CAESARS y CAESARS FE, aumentan la posibilidad de mejor tratamiento y mitigación de los
riesgos, aunque el sistema CAESARS tiene limitaciones se considera como un buen paso para el
inicio del monitoreo continuo, pero el modelo CAESARS FE brinda mayores opciones no solo
de comunicación adecuada dentro de los sistemas aumento en las medidas de prevención,
reacción frente a intrusiones. Aun así, hay varios elementos que se deben tener en cuenta y es
que estos modelos aún están por ser implementados en muchas organizaciones

Capacidades de Ciberdefensa Funcionalidades sistema CAESARS

Recursos necesarios que aseguran y
salvaguardan confidencialidad, integridad y
disponibilidad de los servicios
Ciclo OODA aplicado a la ciberdefensa

proporcionados por los sistemas TIC en el

entorno de operación.

• Defensa: medidas de prevención, Subsistema sensor:

detección, reacción y recuperación
En el cual evidenciamos la totalidad de los
frente a ataques, intrusiones,
cativos que son objeto de las actividades de
interrupciones.
monitoreo.
Desde la detección de los ataques y
actividades maliciosas, se realiza el
Plataformas sobre las cuales se espera que
control y gestión de todos los datos
CAESARS informe, como los dispositivos,
recolectados; así mismo la
usuarios finales, servidores de bases de red y
recuperación frente a estos ataques
dispositivos de seguridad.
teniendo en cuenta aspectos
restauración y la trazabilidad; la toma
de decisiones con la identificación, la
coordinación de actividades y la
difusión: por ultimo se realiza la
valoración del riesgo dentro de los
cuales están los activos y el análisis de
vulnerabilidades y la valoración y
estado del sistema.
• Explotación o inteligencia: lo cual Subsistema de bases de datos: El cual es en
permitirá la recopilación de que se recopilan todos los datos tanto sin
información sobre sistemas de procesar, como el subsistema de análisis y
información de potenciales enemigos. puntuación de riesgos; las herramientas para
Se tienen en cuenta la obtención de operaciones de extracción de datos y las
información por medio de fuentes líneas base de configuración en las cuales se
abiertas, la capacidad de crear áreas define la postura de seguridad y los datos de
del sistema TIC en el que el ataque vulnerabilidades y su gravedad.
pueda desarrollarse pero que no afecte
Ciclo OODA aplicado a la ciberdefensa

la operativa por medio de los sistemas Subsistema de análisis y puntuación de

de decepción; así mismo la riesgos: Se cuentan con herramientas
colaboración de información teniendo analíticas, uso de bases de datos y
en cuenta la importancia de la acción prospectivas de la empresa.
conjunta; el análisis de malware; y por
último la conciencia de la situación
con el objetivo de evaluar daños
causados y realizar una valoración
completa del atacante.

• Respuesta: Medidas y acciones a Subsistema de presentación de informes: Uso

tomar ante amenazas y ataques. de herramientas de presentación basadas en
Enfocada en la prevención y las perspectivas locales o en general de la
mitigación de ciberataques por medio empresa, permite variedad en la presentación
de la configuración, actualización, de esquemas de visualización.
denegación y reconfiguración del
sistema y la defensa activa que brinda
la capacidad de planear, dirigir,
ejecutar y evaluar ciberataques.

4. Otros comentarios respecto al concepto operativo de Ciberdefensa que se consideren.

La ciberdefensa entendida como “la capacidad de asegurar y salvaguardar la prestación de

servicios, confidencialidad, integridad y disponibilidad” (Formacion In-nova, 2019) como parte
esencial de la ciberseguridad es la base para sostenibilidad de una sistema; es un tema que se
debe estar trabajando a nivel no solamente del Estado sino a nivel organizacional e inclusive
personal, debido a que las amenazas son cada día mayores; Colombia en este aspecto ha venido
implementando el fortalecimiento en cuanto a la estrategia de tecnología y la importancia del
fortalecimiento del marco normativo.
Ciclo OODA aplicado a la ciberdefensa

A nivel del Ejercito Nacional de Colombia, explícitamente en cuanto a Inteligencia Militar,

también se ha venido trabajando no solo en el aspecto de fortalecimiento de la seguridad de la
información, sino también en la importancia de la educación y actualización del personal.

Creo que la actualización forma parte fundamental de no solo el conocimiento de la situación

actual en cuanto a este tema, sino también en la oportunidad de ayudar en la búsqueda de
mejoras a nivel empresarial, institucional e incluso personal, que nos ayuden a mitigar los riesgos
y a buscar medidas mas eficaces en cuanto a seguridad del sistema en general.

El desarrollo de estos sistemas de monitoreo continúo teniendo en cuenta las fases del ciclo
OODA nos brinda espacios mas seguros, la oportunidad de mejora en la prevención y análisis de
las situaciones presentadas y como estamos preparados como organización para reaccionar según
los niveles de solicitudes de los usuarios.

Los modelos CAESARS y CAESARS FE, nos brindan muy buenas opciones de monitoreo
teniendo en cuenta varios aspectos importantes de revisión, aun cuando en algunos aspectos aun
habría que ver su adecuado manejo, pero la posibilidad de interacción entre sus interfaces y la
posibilidad de una adecuado manejo del riesgo ya nos están brindando una muy buena solución,
creo que ciclo OODA nos brinda una posibilidad muy completa de análisis y reacción a
determinada amenaza y si lográramos implementar todos los ámbitos que se analizan allí
tendríamos una mitigación sustancial del riesgo.

En conclusión, la ciberdefensa nos abre el camino a la seguridad de todo el sistema en el que

estamos inmersos no solo a nivel laboral sino también personal
Ciclo OODA aplicado a la ciberdefensa

Referencias

Formacion In-nova. (2019). Obtenido de

http://ciber.esdegue.edu.co/mod/resource/view.php?id=2299&redirect=1

Peter Mell, D. W. (01 de 2012). Obtenido de

https://csrc.nist.gov/csrc/media/publications/nistir/7756/draft/documents/draft-nistir-
7756_second-public-draft.pdf