Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. Introducción ...................................................................................................................................... 3
2. Identificación de riesgos a través del Business Impact Analysis (BIA) ......................................... 4
3. Implementación del Centro de Operaciones de Seguridad (SOC) ................................................ 7
4. Potenciales escenarios de amenazas que requieren fortalecer capacidades de resistencia: ....... 11
5. Tecnologías para controlar el riesgo frente a los escenarios de amenazas identificados ........... 16
6. Conclusiones .................................................................................................................................... 18
1. Introducción
Revisar las estadísticas de ciberdelincuencia del año siempre es un ejercicio aleccionador, y 2022
no es una excepción. Los actores de las amenazas siguen subiendo la apuesta, y las violaciones de
datos crecieron significativamente en el tercer trimestre de 2022, con un aumento del 70%
intertrimestral. De cara a 2023, los expertos predicen que las presiones asociadas a la incertidumbre
económica y la inflación crearán el entorno perfecto para los ciberdelincuentes. Según
Cybersecurity Ventures, se prevé que la ciberdelincuencia cueste al mundo 8 billones de dólares
en 2023.
Ante la inminente recesión, los responsables de seguridad se enfrentan al doble reto de recortar
gastos y optimizar sus actuales enfoques de seguridad en el próximo año. En este clima, la
importancia de contar con un Centro de Operaciones de Seguridad (SOC) bien diseñado y con
capacidad de respuesta para mejorar la detección de amenazas y reducir la probabilidad de brechas
de seguridad se amplifica.
2. Identificación de riesgos a través del Business Impact Analysis (BIA)
Las iniciativas empresariales digitales presentan más riesgos y oportunidades de crisis que las que
experimentan las empresas hoy en día. Los responsables de seguridad, desde el CISO a los
diferentes especialistas de seguridad, y gestión de riesgos deben utilizar un BIA interfuncional
como herramienta esencial para desarrollar procedimientos de colaboración en respuesta a una
interrupción importante del negocio.
Retos clave
▪ Las empresas digitales o digitalizadas a necesidad cultural y/o del negocio, son complejas
y dinámicas, y puede haber presión para recuperar todas las aplicaciones y cargas de trabajo
en una interrupción a menos que haya prioridades de recuperación claramente definidas.
▪ Los líderes de las empresas digitales no ven el valor del análisis del impacto en el negocio
(BIA) a menos que los resultados sean claros y estén vinculados a los objetivos estratégicos
de la organización.
▪ Un BIA incompleto o débilmente socializado a los líderes en la organización provocaría
una respuesta descoordinada a una interrupción y retrasarán la recuperación.
▪ El enfoque nos lleva a centrarnos en TI para recuperar las aplicaciones, a menos que haya
habido un enfoque de toda la organización en la realización de un BIA. Para nuestro caso
nos hemos centrado en la respuesta de TI a fin de responder satisfactoriamente a una
respuesta de impacto en la organización.
Los negocios digitales están formados por una compleja red de actividades e infraestructuras de
apoyo que incluye socios empresariales, dependencias internas y socios de TI en la prestación de
su usuario final. Las interrupciones inesperadas pueden hacer que no se presten los servicios a los
clientes, con el consiguiente impacto en los ingresos, la reputación, la vida/seguridad y los
objetivos estratégicos. con el consiguiente impacto en los ingresos, la reputación, la vida/seguridad
y los objetivos estratégicos.
Un BIA bien realizado es la forma más eficaz de medir el impacto de las interrupciones en la
prestación de servicios, ya sean digitales o tradicionales. la prestación de servicios, ya sean
digitales o tradicionales. El BIA ayudará al negocio digital a determinar las actividades críticas,
sus objetivos de tiempo de recuperación (RTO) y las interrupciones máximas aceptables (MAO).
Una vez Una vez establecidos, podremos desarrollar estrategias, soluciones y planes de
recuperación para las actividades críticas.
Estas acciones están representadas en la Fase 1 del ciclo de vida de BIA que se muestra en la
Figura 1.
Para su realización se identificaron las actividades correspondientes, así como una priorización
que facilite la estrategia de los tiempos de respuesta del RTO (Recovery Time Objective - Objetivo
de Tiempo de Recuperación) así como del RPO (Recovery Point Objective - Objetivo de Punto de
Recuperación) acordes con las necesidades del negocio. También se identificaron necesidades de
aseguramiento sobre la infraestructura. Teniendo como resultado:
Es importante considerar que la estimación de horas fue considerada basados en las necesidades
iniciales del SOC. De acuerdo a las necesidades del negocio, así como del riesgo asumido
(cumplimientos contractuales, legales o regulatorios), los cambios en la segmentación de las
actividades, así como la reducción del RTO y RPO pueden ser más que necesarios.
3. Implementación del Centro de Operaciones de Seguridad (SOC)
En base a las actividades detectadas a través del BIA realizado las expectativas del SOC son:
▪ Un SOC perderá su capacidad de rendimiento con el tiempo a menos que tenga un plan de
crecimiento incorporado que mantenga a su personal, procesos y tecnología alineados con
el panorama de amenazas en constante cambio.
1
Gartner Security & Risk Management Summit 2023. National Harbor
▪ Un SOC moderno debe incluir capacidades de detección que, en lugar de basarse
únicamente en alertas, puedan aprovechar el análisis avanzado de una amplia gama de
telemetría para detectar amenazas.
▪ Un SOC moderno debe incluir capacidades de análisis de datos para detectar ataques, en
lugar de depender únicamente de las alertas de las tecnologías de generación de informes.
▪ Utilizar proveedores de servicios con madurez en operaciones de seguridad e integraciones
de herramientas puede ser un camino rápido hacia un SOC de mejor rendimiento con
capacidades maduras.
▪ No es posible crear un SOC basado únicamente en la automatización, y los que lo intentan
se llevan una decepción.
Plan de implementación:
▪ Centrar los programas de capacitación de ventas en el valor empresarial que se ofrece a los
clientes a través de grados de control progresivamente mayores.
▪ Ayudar a los clientes a elegir entre las opciones disponibles, reforzando al mismo tiempo
el mensaje de que adoptar un enfoque completo de "hágalo usted mismo" es prácticamente
imposible para la mayoría de las organizaciones.
▪ Permitir a los compradores planificar presupuestos para proyectos SOC alineando los
precios y los catálogos de servicios con la madurez del comprador, con el objetivo último
de hacer crecer la madurez SOC para el comprador de forma estructurada.
▪ Obtener una ventaja competitiva centrándose en casos de uso específicos del sector para
los SOC y ayudando a los clientes a desarrollar métricas de SOC que sean exclusivas de su
organización.
Para la implementación exitosa del SOC, se requerirá una inversión financiera en los siguientes
aspectos:
2
Measure the real cost of cybersecurity Report 2022 GARTNER
La implementación del SOC representa una necesidad crítica para garantizar la seguridad
cibernética de nuestra organización en un entorno cada vez más hostil. Los beneficios que se
obtendrán en términos de detección temprana de amenazas, respuesta rápida a incidentes y
cumplimiento normativo justifican la inversión necesaria.
Es importante considerar que las inversiones en ciberseguridad no responden a ser solo un gasto
específico, pues tanto el SOC como otras herramientas requieren un nivel de inversión anual a fin
de mantener niveles aceptables de seguridad basados en las necesidades del negocio, así como con
los resultados del BIA definidos.
Consideramos que la asignación de los recursos financieros necesarios para llevar a cabo este
proyecto sea bajo un esquema CAPEX en la cartera de seguridad a través de un SOC virtual en la
modalidad de Global Business Services (GBS) o Shared Services, que asegure un equilibrio
financiero y una transferencia del riesgo considerando las evaluaciones presentadas.
4. Potenciales escenarios de amenazas que requieren fortalecer capacidades de
resistencia:
Gartner recomienda que los líderes de ciberseguridad construyan las siguientes suposiciones de
planificación estratégica en sus estrategias de seguridad para los próximos dos años, a través de su
última investigación3 tenemos que:
a. Hasta 2027, el 50% de los CISOs adoptará formalmente prácticas de diseño centrado en
el ser humano en sus programas de ciberseguridad para minimizar la fricción operativa y
maximizar la adopción del control. El diseño de seguridad centrado en el ser humano se
modela con el individuo, no la tecnología, la amenaza o la ubicación, como el enfoque
del diseño y la implementación de controles para minimizar la fricción.
b. Para 2024, la regulación moderna de la privacidad cubrirá la mayoría de los datos del
consumidor, pero menos del 10% de las organizaciones habrán utilizado con éxito la
privacidad como una ventaja competitiva. Las organizaciones están empezando a
reconocer que un programa de privacidad puede permitirles utilizar los datos de manera
más amplia, diferenciarse de sus competidores y generar confianza con los clientes,
socios, inversores y reguladores. Se recomienda que los líderes de seguridad impongan
un estándar de privacidad completo de acuerdo con GDPR para diferenciarse en un
mercado cada vez más competitivo y crecer sin obstáculos.
d. Para el 2027, el 75% de los empleados adquirirán, modificarán o crearán tecnología fuera
de la visibilidad de TI, un aumento del 41% en 2022. El papel del CISO y el alcance de
su responsabilidad se está desplazando de ser propietarios de control a facilitadores de
decisiones de riesgo. Repensar el modelo operativo de ciberseguridad es clave para los
cambios que se avecinan. Gartner recomienda pensar más allá de la tecnología y la
3
Predicciones de Ciberseguridad 2023-2024, GARTNER.
automatización para involucrar profundamente a los empleados y influir en la toma de
decisiones y garantizar que tengan el conocimiento adecuado para hacerlo de manera
informada.
e. Para el 2025, el 50% de los líderes de ciberseguridad habrán intentado sin éxito utilizar
la cuantificación del riesgo cibernético para impulsar la toma de decisiones empresariales.
La investigación de Gartner indica que el 62% de los adoptantes de la cuantificación del
riesgo cibernético citan ganancias suaves en credibilidad y conciencia del riesgo
cibernético, pero solo el 36% ha logrado resultados basados en acciones, incluida la
reducción de riesgos, el ahorro de dinero o la influencia real en la toma de decisiones. Los
líderes de seguridad deben enfocar su energía en la cuantificación que los tomadores de
decisiones solicitan, en lugar de producir análisis autodirigidos que tengan que persuadir
a la empresa a tener en cuenta.
f. Para el 2025, casi la mitad de los líderes de ciberseguridad cambiarán de trabajo, el 25%
por roles diferentes debido a múltiples factores estresantes relacionados con el trabajo.
Acelerado por la pandemia y la escasez de personal en toda la industria, los factores
estresantes laborales de los profesionales de la ciberseguridad están aumentando y
resultando insostenibles. Gartner sugiere que aunque eliminar el estrés es poco realista,
las personas pueden manejar trabajos desafiantes y estresantes en culturas donde reciben
apoyo. Cambiar las reglas de compromiso para fomentar cambios culturales ayudará.
g. Para el 2026, se espera que el 70% de las juntas directivas incluyan al menos un miembro
con experiencia en ciberseguridad. Para que los líderes de ciberseguridad sean
reconocidos como socios comerciales, necesitan reconocer el apetito por el riesgo de la
junta y la empresa. Esto significa no solo mostrar cómo el programa de ciberseguridad
evita que sucedan cosas desfavorables, sino también cómo mejora la capacidad de la
empresa para tomar riesgos de manera efectiva. Gartner recomienda que los CISO se
adelanten al cambio para promover y respaldar la ciberseguridad ante la junta directiva y
establecer una relación más cercana para mejorar la confianza y el apoyo.
h. Hasta 2026, más del 60% de las capacidades de detección, investigación y respuesta a
amenazas (TDIR) aprovecharán los datos de gestión de exposición para validar y priorizar
las amenazas detectadas, en comparación con menos del 5% actual. A medida que las
superficies de ataque organizacionales se expanden debido al aumento de la conectividad,
el uso de aplicaciones SaaS y la nube, las empresas requieren una gama más amplia de
visibilidad y un lugar central para monitorear constantemente las amenazas y la
exposición. Las capacidades de TDIR proporcionan una plataforma unificada o un
ecosistema de plataformas donde se pueden gestionar la detección, investigación y
respuesta, brindando a los equipos de operaciones de seguridad una imagen completa del
riesgo y el impacto potencial.
Frente a ello podemos identificamos que debemos establecer un punto de partida con algunos
escenarios específicos como:
La organización tiene sus recursos y servicios a la nube de Amazon. Por lo tanto, la infraestructura
puede estar comprometida al robo de datos sensible u operaciones maliciosas.
Es crucial tener en cuenta que las amenazas cibernéticas evolucionan constantemente. Por lo tanto,
es imperativo que realicemos inversiones tanto en tecnología como en capacitación y
concientización del personal para fortalecer nuestra postura de seguridad.
5. Tecnologías para controlar el riesgo frente a los escenarios de amenazas identificados
Para mitigar los dos escenarios de amenazas, Attack Infrastructure Cloud y Attack Ransomware,
se pueden utilizar varias tecnologías como Elastic segurity proporciona protección contra ataques
complejos con aprendizaje automático y análisis de comportamiento. Puede bloquear ransomware
y malware desde cualquier infraestructura y centros de comando de seguridad en la nube que
ofrecen detección de amenazas de eventos que produce resultados de seguridad al hacer coincidir
eventos en Cloud Logging con indicadores de compromiso (IoC) conocidos.
Además el marco MITRE ATT&CK puede mejorar la seguridad en la nube proporcionando una
estructura para identificar las fortalezas y debilidades de los programas de seguridad. Incluye
tácticas y técnicas específicas para proveedores de la nube como AWS, GCP, Azure, Azure AD,
Microsoft 365 y plataformas SaaS. Anomali proporcionando inteligencia sobre ciberamenazas y
ayuda a comprender dónde están las fortalezas y debilidades de las defensas. Pudiendo validar los
controles de mitigación y detección y descubrir configuraciones erróneas y otros problemas
operativos.
Para formular un plan de respuesta para el tratamiento de riesgos, se puede utilizar el marco
MITRE ATT&CK para identificar y analizar el comportamiento del adversario. Se pueden utilizar
las siguientes estrategias:
Evitar o eliminar el riesgo: Esta estrategia implica implementar controles de seguridad para evitar
que se produzca el riesgo. Elastic segurity puede ayudar a prevenir ataques complejos con
aprendizaje automático y análisis de comportamiento y el centro de comando de seguridad en la
nube puede identificar vulnerabilidades y posibles ataques con IoC.
Reducir o mitigar: esta estrategia implica implementar controles de seguridad para reducir la
probabilidad o el impacto del riesgo. El marco MITRE ATT&CK puede ayudar a identificar
brechas defensivas, evaluar las capacidades de las herramientas de seguridad, organizar
detecciones, buscar amenazas, participar en actividades del equipo rojo o validar controles de
mitigación. Anomali puede ayudar a validar los controles de mitigación y detección.
Transferir o compartir: esta estrategia implica transferir el riesgo financiero del riesgo a otra parte,
como a través de un seguro cibernético. Anomali puede ayudar a proporcionar inteligencia sobre
ciberamenazas y validar los controles de mitigación y detección.
Aceptar el riesgo: esta estrategia implica aceptar el riesgo y no implementar ningún control de
seguridad adicional. Sin embargo, no se recomienda aceptar el riesgo de sufrir un ataque de
ransomware.
A continuación, se presenta una matriz que muestra algunas técnicas utilizadas por los atacantes
en ataques a la infraestructura cloud y ataques de ransomware, junto con las tecnologías que
podrían ayudar a mitigar estos riesgos y formar parte de un plan de respuesta:
Educación y concienciación en
ciberseguridad
6. Conclusiones
a) Después el punto de vista del negocio (LoB), el proceso más importante y el primero que se
debe tener en cuenta durante la implementación del SOC es el modelado de amenazas. El
modelado de amenazas implica responder a las siguientes preguntas:
▪ ¿Qué amenazas preocupan a mi organización?
▪ ¿Qué aspecto tiene una amenaza?
▪ ¿Cómo bloquea/detecta el SOC la amenaza?
b) La tecnología para la ciberdefensa puede dividirse en tres partes: La primera es identificar las
fuentes de datos a utilizar. Por lo general, estos son impulsados por los libros de jugadas en la
parte de detección. Las fuentes de datos más comunes son la actividad de la red/eventos de
seguridad (cortafuegos, IDS/IPS, netflow, escáneres de vulnerabilidad), inteligencia de
amenazas (fuentes internas y externas), actividad de puntos finales (ETDR, DNS, DHCP, AV,
registros de SO) y, por último, autorización (LDAP, Active directory, VPN, SSO).
La tercera y última parte es un sistema de gestión de casos o ticketing que se utiliza para
realizar un seguimiento de los eventos a lo largo de su historia, así como un punto de
comunicación entre la parte afectada y el SOC.
c) Un elemento clave para gestionar un SOC es asegurarse de que la tecnología y las plataformas
utilizadas se sincronizan bien con los sistemas de información de otros países y son fácilmente
reparables en el extranjero. Ha habido ocasiones en las que los sistemas integrados de control
de acceso y vídeo que se desplegaron en todo el mundo estaban excesivamente diseñados y
tenían parámetros estrechos de compatibilidad con otros sistemas. Si se produjera una avería,
por ejemplo, en Turquía, el único técnico disponible para repararla tendría que volar desde
Texas.
d) La construcción de un Centro de Operaciones de Seguridad tiene muchas partes móviles, pero
pensar en ellas por secciones y abordar cada una mediante un ejercicio de modelo de amenazas
hace que el reto sea alcanzable.