Documentos de Académico
Documentos de Profesional
Documentos de Cultura
DESARROLLO DE
PLAN DE TRATAMIENTO DE RIESGOS
OBJETIVOS
CONTEXTO
Capacitación Usach ya posee definiciones establecidas en torno a una matriz, desarrollando una
matriz hibrida en base a definiciones de ISO 31.000, ISO 27.005, Magerit y NIST, pero aún no decide
cual es el método más idóneo para estimar los riesgos residuales contando con dos alternativas:
SE SOLICITA
1. Desarrollar los tres contextos de riesgos en la matriz proporcionada. Dichos contextos deberá
realizarlos íntegramente en la matriz.
2. Desarrollar actas de aceptación, evitar y compartir el riesgo en caso de ser necesarios. Dichos
documentos deberá desarrollarlos, los cuales deberá adjuntar en formato PDF.
Consideraciones:
Uno de los principales activos es la página web de diplomado, la cual está realizada en WordPress y
se encuentra externos de la organización.
En el contexto de los ciberataques a considerado dos escenarios de riesgos claves los cuales
corresponden a los siguientes:
La forma en la cual se ha materializado es muy simple, dado que la infraestructura donde se aloja el
sitio no posee los mecanismos de seguridad mínimos frente a este tipo de ataques.
Existe evidencia que grupos de cibercriminales nacionales han realizado ataques con el propósito
de realizar cambios no autorizado en la página web, los cuales se han materializarse en al menos 8
ocasiones en la Universidad, así como en dos organizaciones relacionadas al Diplomado.
a) Adquirir una solución de defensa para WordPress que alerte sobre las vulnerabilidades
criticas sobre la aplicación y pluggins instalados, así como otros mecanismos de bloqueo
preventivos frente a escaneos o intentos de ataques realizados, entre otros.
b) Escaneo de trafico dedicado a analizar script de ataque típico de soluciones estandar, el cual
posibilita el bloque de IP que busca atacar el sitio.
c) Formalizar un proceso de gestión de vulnerabilidades, con responsables dedicados para la
actividad que corrijan las vulnerabilidades reportadas.
d) El establecimiento de doble factor de autentificación en el hosting del sitio, el cual proteja
el acceso como administrador al sitio.
La dirección ha decidido aceptar el riesgo de vulnerabilidades de día Zero, sin poseer controles
compensatorios al respecto, dado el alto costo de implementar medidas de seguridad en dicho
contexto y que incluso estas no tengan los efectos deseados de control. Se entiende que el riesgo
residual es altísimo, pero el tratar el riesgo excede las capacidades organizacionales de recursos, el
gestionar el riesgo es más costoso que el impacto relacionado. No obstante, de ello, se adquirió un
seguro complementario, el cual no mitigará impactos reputacionales ni operacionales, pero si
financieros en un 100%.
Es el principal activo del diplomado, el cual corresponde a una plataforma Moodle y se encuentra
en un proveedor certificado de Moodle.
▪ La página posee información confidencial, propia del mismo desarrollo de los cursos, así
como las actividades de los alumnos.
▪ La integridad de la información provista es crítica, cualquier cambio no autorizado puede
generar efectos graves en la entrega de acreditaciones.
▪ La disponibilidad es crítica, dado que el desarrollo de los cursos se realiza en un 100% online.
▪ Maneja información personal de los alumnos, desde su correo electrónico y datos de perfil,
así como su historial de notas y participación en los cursos
En el contexto de los ciberataques a considerado dos escenarios de riesgos claves los cuales
corresponden a los siguientes:
El servicio es de la más alta criticidad, si no funciona no hay diplomado. Los efectos en financieros,
operacionales, reputacionales e incluso normativos son críticos.
Pese a que el proveedor de servicios provee una alta disponibilidad y los elementos de control ad-
hoc, se han establecidos algunos controles:
▪ Habilitación de un espejo del sitio con un acceso vía VPN en el mismo proveedor, el cual
posibilitaría continuar con el desarrollo del curso de manera controlada, existe un potencial
problema de accesibilidad y usabilidad por el uso de VPN, pero funciona de manera segura.
▪ Habilitación de un repositorio de contenidos en Google Drive, en el cual se encuentra toda
la información del sitio, el cual posibilitaría al menos contar con el material de clases y
acceso a las grabaciones.
Existe evidencia que grupos de cibercriminales internacionales y alumnos han realizado ataques con
el propósito de realizar cambios no autorizado en el LMS.
Producto de la pandemia la ausencia del personal critico se ha dado en diversos contextos, no solo
por el contagio del personal, sino por familiares cercanos.
El nivel de especialización requerido en sus funciones es alto, generando brechas importantes frente
a la ausencia laboral, no es de fácil reemplazo las actividades y la degradación de funciones es alta.
El aumento de ataques de ingeniería social ha sido exponencial en el último tiempo, diversas formas
y variantes han sido la constante, con contexto muy ingeniosos y cada vez más especializados.
Grupos de cibercriminales nacionales e internacionales han sido identificados como los de mayor
peligrosidad, los cuales han materializado sus ataques en diversos contextos en la Universidad:
a) Robo de credenciales
b) Fraudes electrónicos
c) Descarga de malware
El impacto del ataque es variado y en el peor de los casos ha generado efectos muy significativos en
lo operacional. En el ámbito financiero ha sido menor, pero en el contexto normativo la organización
se ha visto expuesta a demandas judiciales, cercanas a los 8M.