TALLER N°2

DESARROLLO DE
PLAN DE TRATAMIENTO DE RIESGOS

Curso de Gestión de Riesgos de Ciberseguridad

Capacitación Usach
 TALLER N°4 DESARROLLO DE PLAN DE TRATAMIENTO DE RIESGOS

OBJETIVOS

▪ Desarrollar habilidades en la implementación del Plan de Tratamiento de Riesgos

▪ Emplear insumos para la implementación del Plan de Tratamiento de Riesgos

CONTEXTO

Dado sus conocimientos adquiridos y/o reforzados en el curso de Gestión de Riesgos de

Ciberseguridad, se le ha solicitado a UD. el apoyo en la gestión de 3 contextos de riesgos para los
Diplomados en Ciberseguridad que dicta Capacitación Usach.

Capacitación Usach ya posee definiciones establecidas en torno a una matriz, desarrollando una
matriz hibrida en base a definiciones de ISO 31.000, ISO 27.005, Magerit y NIST, pero aún no decide
cual es el método más idóneo para estimar los riesgos residuales contando con dos alternativas:

▪ Evaluación de exposición al riesgo (metodología usada por el CAIGG)

▪ Evaluación de probabilidad e impacto residual (metodología empleada en Magerit)

SE SOLICITA

1. Desarrollar los tres contextos de riesgos en la matriz proporcionada. Dichos contextos deberá
realizarlos íntegramente en la matriz.

2. Desarrollar actas de aceptación, evitar y compartir el riesgo en caso de ser necesarios. Dichos
documentos deberá desarrollarlos, los cuales deberá adjuntar en formato PDF.

3. Sugerir sobre la conveniencia de adoptar un método de evaluación del nivel de exposición de

riesgos. Corresponde a un informe ejecutivo de no más de una plana, en la cual identifique las
ventajas y desventajas de emplear un esquema basado en la efectividad de controles versus un
esquema que emplee riesgos residuales (basado en probabilidad e impacto residual).

Consideraciones:

▪ Todos los archivos deberán ser subidos a la plataforma.

▪ El trabajo puede ser desarrollado de manera grupal

Curso de Gestión de Riesgos de Ciberseguridad

Capacitación Usach
 CONTEXTO DE RIESGO 1: Pagina Web

Uno de los principales activos es la página web de diplomado, la cual está realizada en WordPress y
se encuentra externos de la organización.

Análisis del CID – Datos Personales:

▪ La página no posee información confidencial.

▪ La integridad de la información provista es crítica, cualquier cambio no autorizado puede
generar efectos graves en el desarrollo de los programas, ya sea por la entrega de
información falsa, la potencial suplantación de información o la distribución de malware de
la página misma.
▪ La disponibilidad es crítica, dado que el proceso cíclico de ventas es realizado
preferentemente desde la página, el daño financiero sería de alta consideración.
▪ No maneja información personal.

En el contexto de los ciberataques a considerado dos escenarios de riesgos claves los cuales
corresponden a los siguientes:

1) Ataque de Denegación de Servicios Distribuido

Existe evidencia que grupos de cibercriminales extranjeros (Internacionales y nacionales) han

realizado ataques de denegación de servicios al sitio, los cuales han logrado dejar indisponible el
sitio en tres ocasiones en el presente año, el más significativo género una indisponibilidad de la
plataforma de 3 horas, dejando paralizado al área de ventas. El impacto financiero ha sido menor,
puesto que se ha realizado en periodos no relacionados a ventas críticas, pero en caso de
materializarse en periodo de ventas criticas el impacto estimado es del orden de los 20M.

La forma en la cual se ha materializado es muy simple, dado que la infraestructura donde se aloja el
sitio no posee los mecanismos de seguridad mínimos frente a este tipo de ataques.

Los mecanismos de control establecidos corresponden a dos:

a) Como mecanismo de control se establecido la adquisición de un plugin de seguridad de

WordPress, el cual posibilita el bloqueo de ataques de DDos, desarrollando un bloqueo de IP de
los sitios a nivel de Firewall de Aplicación (WAF).
b) Adquirir una solución de CDN (Red de distribución de Contenido), la cual replique el contenido
del sitio y funciones como intermediario. Es una de las soluciones más efectivas frente a este
tipo de ataques.

Curso de Gestión de Riesgos de Ciberseguridad

Capacitación Usach
2) Defacement

Existe evidencia que grupos de cibercriminales nacionales han realizado ataques con el propósito
de realizar cambios no autorizado en la página web, los cuales se han materializarse en al menos 8
ocasiones en la Universidad, así como en dos organizaciones relacionadas al Diplomado.

La forma en la cual se ha materializado obedece a dos factores:

a) Explotación de vulnerabilidades conocidas, producto de la falta de actualización principal

de plugin del sitio.
b) Suplantación de identidad en el proveedor de servicios

Existe un tercer nivel de vulnerabilidad identificado, de la cual no ha sido víctima la organización, la

cual corresponde a vulnerabilidades de Zero Day.

En caso de materializarse el impacto en la reputación es crítico, podría transformarse en sinónimo

de burlas (memes) y un efecto difícil de corregir. La cobertura en redes sociales puede superar
perfectamente una semana y el efecto financiero sería catastrófico.

Los mecanismos de control establecidos corresponden a 4:

a) Adquirir una solución de defensa para WordPress que alerte sobre las vulnerabilidades
criticas sobre la aplicación y pluggins instalados, así como otros mecanismos de bloqueo
preventivos frente a escaneos o intentos de ataques realizados, entre otros.
b) Escaneo de trafico dedicado a analizar script de ataque típico de soluciones estandar, el cual
posibilita el bloque de IP que busca atacar el sitio.
c) Formalizar un proceso de gestión de vulnerabilidades, con responsables dedicados para la
actividad que corrijan las vulnerabilidades reportadas.
d) El establecimiento de doble factor de autentificación en el hosting del sitio, el cual proteja
el acceso como administrador al sitio.

La dirección ha decidido aceptar el riesgo de vulnerabilidades de día Zero, sin poseer controles
compensatorios al respecto, dado el alto costo de implementar medidas de seguridad en dicho
contexto y que incluso estas no tengan los efectos deseados de control. Se entiende que el riesgo
residual es altísimo, pero el tratar el riesgo excede las capacidades organizacionales de recursos, el
gestionar el riesgo es más costoso que el impacto relacionado. No obstante, de ello, se adquirió un
seguro complementario, el cual no mitigará impactos reputacionales ni operacionales, pero si
financieros en un 100%.

Curso de Gestión de Riesgos de Ciberseguridad

Capacitación Usach
 CONTEXTO DE RIESGO 2: LMS - Moodle

Es el principal activo del diplomado, el cual corresponde a una plataforma Moodle y se encuentra
en un proveedor certificado de Moodle.

Análisis del CID – Datos Personales:

▪ La página posee información confidencial, propia del mismo desarrollo de los cursos, así
como las actividades de los alumnos.
▪ La integridad de la información provista es crítica, cualquier cambio no autorizado puede
generar efectos graves en la entrega de acreditaciones.
▪ La disponibilidad es crítica, dado que el desarrollo de los cursos se realiza en un 100% online.
▪ Maneja información personal de los alumnos, desde su correo electrónico y datos de perfil,
así como su historial de notas y participación en los cursos

En el contexto de los ciberataques a considerado dos escenarios de riesgos claves los cuales
corresponden a los siguientes:

3) Ataque de Denegación de Servicios Distribuido

Existe evidencia que grupos de cibercriminales extranjeros (Internacionales y nacionales) han

realizado ataques de denegación de servicios al sitio, los cuales no han logrado materializarse, el
servicio como tal considera un CDN y este habilitado en Amazon.

El servicio es de la más alta criticidad, si no funciona no hay diplomado. Los efectos en financieros,
operacionales, reputacionales e incluso normativos son críticos.

Pese a que el proveedor de servicios provee una alta disponibilidad y los elementos de control ad-
hoc, se han establecidos algunos controles:

▪ Habilitación de un espejo del sitio con un acceso vía VPN en el mismo proveedor, el cual
posibilitaría continuar con el desarrollo del curso de manera controlada, existe un potencial
problema de accesibilidad y usabilidad por el uso de VPN, pero funciona de manera segura.
▪ Habilitación de un repositorio de contenidos en Google Drive, en el cual se encuentra toda
la información del sitio, el cual posibilitaría al menos contar con el material de clases y
acceso a las grabaciones.

Curso de Gestión de Riesgos de Ciberseguridad

Capacitación Usach
4) Accesos No Autorizado

Existe evidencia que grupos de cibercriminales internacionales y alumnos han realizado ataques con
el propósito de realizar cambios no autorizado en el LMS.

La forma en la cual se ha materializado obedece a dos factores:

a) Explotación de vulnerabilidades conocidas en los servicios de mensajería y chat de la

aplicación, los cuales son de fácil explotación por medio de XSS
b) Explotación de vulnerabilidades conocidas en plugin instalados en el sitio, los cuales son de
alto nivel de complejidad técnica en su explotación.

Existe un tercer nivel de vulnerabilidad identificado, el cual corresponde a vulnerabilidad conocidas

del Moodle.

El impacto es similar al caso anterior.

Los mecanismos de control establecidos corresponden a 3:

a) Eliminar los servicios de mensajería y chat del LMS.

b) Eliminar plugin externos en el LMS, solo se emplean funcionalidades nativas.
c) Formalizar un proceso de gestión de vulnerabilidades, con responsables dedicados para la
actividad que corrijan las vulnerabilidades reportadas.

Se ha decidido aceptar el riesgo de actualización de vulnerabilidades criticas reportadas, una en

particular, por el efecto en la información del sitio, dado que la actualización se ha probado que
genera efectos significativos en el orden y visualización de la información dispuesta a los alumnos.
Dado que la vulnerabilidad se explota desde cuentas autentificadas, el nivel de especialización
requerido es alto y se poseen elementos de detección oportunos para la ejecución de código en el
servidor, la dirección acepta el riesgo.

Curso de Gestión de Riesgos de Ciberseguridad

Capacitación Usach
 CONTEXTO DE RIESGO 3: Personal critico

El personal critico corresponde a responsables de procesos de académicos, ventas y operaciones,

quienes tienen acceso y/o administran plataformas académicas, comerciales, ERP y certificación.

Análisis del CID – Datos Personales:

▪ El personal maneja información confidencial de la organización, en términos estratégicos y

operacionales.
▪ La integridad de la información que administran es crítica, cambios no autorizados puede
generar riesgos significativos en la organización.
▪ La disponibilidad es crítica, dado que en el desarrollo de sus funciones se encuentran muy
especializados.
▪ Manejan información personal de los alumnos, historial de notas, certificaciones, entre
otros.

En el contexto operacional y de ciberataques se han considerado dos escenarios de riesgos claves

los cuales corresponden a los siguientes:

5) Ausencia de Personal Critico

Producto de la pandemia la ausencia del personal critico se ha dado en diversos contextos, no solo
por el contagio del personal, sino por familiares cercanos.

El nivel de especialización requerido en sus funciones es alto, generando brechas importantes frente
a la ausencia laboral, no es de fácil reemplazo las actividades y la degradación de funciones es alta.

El impacto en las prestaciones ofrecidas ha generado una degradación importante en términos

administrativos, comerciales y operacionales. El impacto financiero es moderado, se han
determinado perdida por ventas cuantificables en 10M, en la operación es donde tiene un mayor
efecto, considerado en un 30% a 40% el grado de atención de actividades operacionales a alumnos
y profesores, generando esto un efecto en la reputación con los principales stakeholders de similar
manera.

Los mecanismos de control establecidos corresponden a 2:

a) Contratación de personal, aumentando la dotación a 4 personas por unidad clave

(académica, ventas y operación). Se estima que con 2 personas la operación puede ser
cubierta a un nivel tolerable.
b) Plan de entrenamiento cruzado, cada funcionario es capaz de desarrollar una función
paralela.

Curso de Gestión de Riesgos de Ciberseguridad

Capacitación Usach
6) Ingeniería Social

El aumento de ataques de ingeniería social ha sido exponencial en el último tiempo, diversas formas
y variantes han sido la constante, con contexto muy ingeniosos y cada vez más especializados.

Grupos de cibercriminales nacionales e internacionales han sido identificados como los de mayor
peligrosidad, los cuales han materializado sus ataques en diversos contextos en la Universidad:

a) Robo de credenciales
b) Fraudes electrónicos
c) Descarga de malware

El impacto del ataque es variado y en el peor de los casos ha generado efectos muy significativos en
lo operacional. En el ámbito financiero ha sido menor, pero en el contexto normativo la organización
se ha visto expuesta a demandas judiciales, cercanas a los 8M.

Los mecanismos de control establecidos corresponden a 4:

a) Plan de capacitación y concientización periódico a toda la planta, en materias de ingeniería

social y riesgos actuales.
b) Campañas de phishing periódico a toda la planta, con objetivos y segmentación de acuerdo
los roles y responsabilidades.
c) Fortalecimiento de solución antispam.
d) Implementación de Antivirus y EDR con mecanismos de actualización remoto en todos los
equipos de funcionarios.

Curso de Gestión de Riesgos de Ciberseguridad

Capacitación Usach