CASO PRÁCTICO

EALDE Business School

Caso práctico

Exposición del caso

En una organización determinada surge la necesidad de establecer un

mecanismo para que los empleados puedan acceder desde fuera de la oficina a
los recursos corporativos que se encuentran dentro de la red interna de la
compañía.

De cara a seleccionar una solución tecnológica que garantice la confidencialidad,

integridad y disponibilidad de la información, se decide realizar un ejercicio de
modelado y análisis de amenazas utilizando la metodología PASTA.

Con la información indicada anteriormente, se propone al alumno el desarrollo

de las distintas fases de la metodología PASTA con el objetivo de identificar y
gestionar potenciales amenazas a las que se pueda ver expuesta la organización
como consecuencia de permitir a los usuarios que accedan desde fuera de la
red interna a los recursos corporativos de la organización.

Adicionalmente, el alumno deberá identificar las características de seguridad que

deben respetarse, la mejor solución tecnológica para solucionar el problema y
de manera general, la manera de implantar esta solución dentro de la
infraestructura de red de la compañía de cara a garantizar el máximo nivel de
seguridad posible.

1
Caso práctico

Ejercicio

A continuación, se presentan los puntos que el alumno deberá completar y los

criterios de valoración para cada uno de ellos.

1. (7 puntos) Desarrollo de las fases que conforman la metodología

PASTA para el caso de uso práctico que se plantea. Para cada una de
las fases, debe extraerse la siguiente información:
a. Fase I - Definición de los objetivos para el tratamiento de los
riesgos
i. Obtener los requerimientos de negocio e identificar los
requerimientos de privacidad y protección de datos
b. Fase II - Definición del alcance técnico:
i. Detalles técnicos para el diseño seguro de la arquitectura de
la solución, así como para el posterior modelado de
amenazas y análisis de riesgos arquitectónicos de la
solución
c. Fase III- Descomposición y confirmación de las aplicaciones:
i. Descomposición de la arquitectura de la solución y análisis
de los flujos de datos procesados por cada componente
d. Fase IV - Análisis de amenazas:
i. Identificación y análisis de las amenazas existentes para
cada componente principal utilizando STRIDE
e. Fase V - Análisis de debilidad y vulnerabilidad:
i. Análisis de las debilidades y vulnerabilidades existentes y
correlación con las amenazas de seguridad previamente
identificadas
f. Fase VI - Modelado y simulación de ataques:
i. Análisis de cómo las diversas amenazas analizadas en la
fase IV pueden realizar ataques que produzcan un impacto
negativo en la organización a través de la explotación de las
vulnerabilidades y debilidades identificadas. Utilizando la
matriz de MITRE ATT&CK.
g. Fase VII - Análisis y gestión de riesgos:

2
Caso práctico

i. Análisis de los riesgos de cada una de las

amenazas, incluyendo los impactos técnicos y de negocio.

2. (1,5 puntos) Lista de contramedidas y opciones de mitigación de

riesgos recomendadas para reducir los impactos técnicos y
comerciales

3. (1,5 puntos) Solución tecnológica seleccionada y esquema de

implantación de la solución dentro de la infraestructura de red de la
compañía de cara a garantizar el máximo nivel de seguridad
posible.

ES RECOMENDABLE QUE LA EXTENSIÓN DEL TRABAJO (SIN CONTAR

PORTADA) NO EXCEDA LAS CUATRO PÁGINAS.