Enunciado - GRUPO B

Contexto de amenaza
El 7 de octubre de 2023, el grupo militar Hamás lanzó un ataque sin precedentes contra Israel.
Tras la declaración de guerra contra Hamás el 8 de octubre, los grupos hacktivistas han estado
participando en operaciones ofensivas en ambos bandos.
A medida que avanza el conflicto, los grupos hacktivistas probablemente reajustarán sus
objetivos para abarcar a los países que apoyan a Israel, especialmente aquellos que brindan
apoyo logístico o militar. Algunos grupos hacktivistas ya han reivindicado o anunciado
próximos ataques DDoS contra Estados Unidos, Reino Unido, la Unión Europea, Francia, India,
Chipre y Grecia.
Contexto de la organización
“HalfCoin Bank” es un banco multinacional con sede en Estados Unidos. En los últimos años el
banco ha sufrido una transformación tecnológica acelerada, durante la que se han incorporado
nuevas tecnologías, con el objetivo de reducir su coste operativo y mejorar su principal servicio
web a clientes.
La Junta Directiva está tomando en serio todas las cuestiones de ciberseguridad, ya que entiende
que en este contexto es esencial para el funcionamiento y la supervivencia de la organización;
sin embargo, son inmaduros en la gestión del riesgo de ciberseguridad, por lo que han
establecido un apetito de riesgo medio-bajo.
Situación inicial de seguridad
En la última revisión de seguridad se descubrieron las siguientes deficiencias:
- vulnerabilidades críticas en la aplicación web
- servidores con parches de seguridad pendientes
- claves de administración de servidores en claro
- puestos de usuario final infectados con malware
Requerimientos del negocio
Gracias a vuestra destacada trayectoria profesional, habéis sido incorporados a la Oficina del
CISO Global de la organización y, por tanto, seleccionados para liderar el departamento de
estrategia de ciberseguridad. Vuestra primera misión es explicar a la Junta Directiva el riesgo
inherente de ciberseguridad al que está expuesta la empresa debido a su contexto, identificar los
procesos y activos de negocio críticos a proteger y presentar un plan de tratamiento de riesgos
acorde al apetito de riesgo de la organización.
Vuestro presupuesto de ciberseguridad es de 500.000 euros. Has realizado un estudio de
mercado de posibles soluciones, sacando el siguiente cuadro de capacidades tecnológicas en las
que tendrás que invertir bien el presupuesto:

Technology Cost (EUR)

WAF/IDS/IPS 120.000
Endpoint Antivirus 60.000
PAM 60.000
Anti DDoS 70.000
Ticketing tool (Jira) 35.000
Endpoint (Drive) Encryption 55.000
Voice recognition system 45.000
 EDR 125.000
Vulnerability Management Scanning 45.000
Deep & Dark web analysis tool 60.000
MDM Corporate device protection 55.000
Email Protection (sandbox) 65.000
DLP 95.000
IRM 75.000
NAC 45.000
SAST / DAST tools 75.000
Customer Fraud anomaly detection tool 120.000
GRC tool 65.000
SCCM 45.000

Entregables esperados
Tendrán un espacio de 15 minutos para presentar como grupo su propuesta a la Junta Directiva,
con 5 minutos adicionales permitidos para preguntas y respuestas de la Junta. Tendrás que
utilizar un documento PowerPoint, de no más de 5 páginas (sin contar portada ni diapositivas de
índices) para presentar tu propuesta, siendo los temas a tratar:
 Riesgo inherente estimado: identifique los 5 principales riesgos/amenazas de
ciberseguridad e identifique los procesos comerciales / activos críticos que deben
protegerse.
 Plan de tratamiento de riesgos: justifique cada control y gasto de modo que la Junta
Directiva entienda como se gestionan los riesgos identificados y el riesgo residual que
se debe aceptar tras la implementación de vuestro plan.
Su director ejecutivo tiene una sólida experiencia empresarial, pero no tiene conocimientos
técnicos de ciberseguridad, y eso se aplica a la mayoría de los altos directivos que recibirán y
evaluarán su presentación. Aunque debe ser técnicamente riguroso, asegúrese de que sus
recomendaciones se expresen en una forma y un lenguaje que un alto directivo no especializado
en TI pueda entender. Recordad, ¡hay mucho en juego con este proyecto!