Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ethical Hacking I
Instituto IACC
22 de julio de 2019
CASO PRACTICOS
RESPUESTA: En lo general, los principales problemas que manifiesta esta empresa, obedece a
la entropía o ausencias de un gobierno tecnología de la información, claramente se observan
ineficiencias tanto en el consejo de dirección como en la dirección ejecutiva.
b. En el ámbito de seguridad y objetivos del negocio; De punto de vista del Gerente de TI, no
reconoce los objetivos y metas del negocio, lo cual impide que pueda tomar una decisión en
el reinicio de la plataforma tecnológica o medidas paliativas claras, en termino de impedir
que la incidencia se prolongara en el tiempo. Adicionalmente a lo anterior, la existencia de
métricas inútiles o en definitiva la ausencia de ellas, impidió que los operadores del NOC, no
activarán los procesos de escalamiento con la severidad y rapidez requerida.
3. Respecto de DRP de la organización, ¿cumple con los estándares definidos por la gestión de
riesgos? RESPUESTA: Desde el punto de vista que la compañía mantenía 3 planes de DRP, los
cuales no eran conocidos, este hecho por sí solo, no cumple con los estándares. Del momento que
la compañía tuvo pérdidas por 50 millones, claramente estos DRP, no contaban con definiciones
básicas de gestiones de riesgos cualitativas-cuantitativas, un matriz de riesgo clara considerando
que el impacto señalado en el caso, afectaba al site principal y contingencia, las ausencias de
monitoreo de los riesgos altos que afectaban los procesos de negocios, dejen entre ver que los
estándares no estaban a la altura que indican las normas en planes de DRP en esta materia.
4. ¿Cuáles eran los controles de seguridad que tenía habilitados la organización y cómo operaron
en este caso? RESPUESTA: Principiante del caso se deprenden, la aseveración de gerente de TI,
aseguran que el hecho de mantener una red plana, disminuía el riesgo en la red, los equipos
experimentados, los monitoreo de solo de red a nivel técnico y plan de DRP. Respecto al
funcionamiento, no dieron los resultados esperados, ya que el impacto en la plataforma y sistemas
de producción, fue al 100%, los costos directos de la incidencia fueron de 50 millones, la ausencia
de difusión de los planes y conocimiento de los equipos técnicos, claramente afectaron el
funcionamiento de estos controles.
5. Comente respecto a las métricas utilizadas para este caso, ¿le parecen adecuadas para
enfrentar este tipo de incidentes? RESPUESTA: El análisis del caso, solo identifica métricas del tipo
operativas, relacionadas con el monitoreo de la red y del tipo cualitativa, principalmente debido a
la aseveración del gerente de TI respecto a la red plan y equipo de trabajos con experiencias.
Respecto a lo anterior, el resultado de la incidencia claramente no justifica dichas métricas,
métricas, principalmente porque se observa ausencias mínimas de respuesta como lo son;
¿usuarios conectado?, ¿qué acción deben realizar?, hora identificado? y desde donde es la
conexión?, tampoco se identifican los resultados esperados y el motivo que origina la medición.
Tampoco cumple con las características mínimas de una métrica de seguridad, a saber;
manejables, significativas, realizables, oportunas y predictivas.
6. Proponga una solución como control de seguridad que ayudaría a esta organización a evitar un
incidente similar en el futuro. RESPUESTA: La propuesta se enmarca en la identificación de las
vulnerabilidades de la red, plataforma de servidores y aplicativos. Esto último, permitirá activar
métricas de monitoreo del tipo preventivo y correctivos que, para el caso práctico, considerando
el tipo de ataque, preventivamente se hubiera inhibido el ataque mediante herramientas de
seguridad perimetral y de manera correctiva, situaciones que hubiera permitidos identificar, de
acuerdo a escenarios anteriores las implantación y distribución de parches de seguridad en los
diferentes componentes de la infraestructura tecnológica. Finalmente, el análisis de las diferentes
métricas en periodicidades adecuadas, sumado a las campañas de concientización, más la
capacitación de los equipos técnicos del NOC, permitiría realizar gestión del riesgo de una manera
más y proactiva en futuros ataques.