Workbook 03 — Calibración P(t) y Análisis de Dominancia

PASO 01 / 06

Datos del Estudiante

Completa tu información antes de comenzar la práctica de diagnóstico.

Identificación

Nombre completo

Fecha

ID / Matrícula

Curso

Institución

Sector de la organización (CISA)

PASO 02 / 06

Diagnóstico inicial — ¿De dónde viene el riesgo?

Analiza el escenario asignado. Tu organización tiene un CIIM=2.8 (ALTO). El director de seguridad pregunta: ¿en qué invertimos primero — controles internos o inteligencia de amenazas externas?

Escenario asignado — configura los sliders

A — Amenaza base0.70

T(t) — Nivel amenaza0.75

V(t) — Vulnerabilidad0.65

E(t) — Exposición0.60

MTTD (horas)18h

MTTR (horas)45h

CTI (USD)$800,000

Adaptabilidad55

α — Coeficiente1.20

CIIM(t+1) = [Σ(wᵢ·Xᵢ)] / R(t) + α·P(t)

0.00

BAJO

ENDÓGENA

—

—% del CIIM

EXÓGENA α·P(t)

—

—% del CIIM

IRO / R(t)

—

R(t) = —

Medidor de dominancia — ¿Endógena o Exógena?

Endógena

Exógena

Endógena: —% ← Internos vs. Externos → Exógena: —%

Ajusta los sliders para ver el diagnóstico de dominancia.

P(t) — PERTURBACIÓN EXÓGENA (previa a calibración)

P(t) estimado (antes de calibrar)0.50

En el Paso 3 desagregarás P(t) en sus 4 fuentes reales

PASO 03 / 06

Calibración de P(t)

Desagrega P(t) en sus cuatro fuentes auditables. Observa cómo cada fuente contribuye al riesgo exógeno y cómo afecta el CIIM final.

FÓRMULA P(t)

P(t) = [ w₁·D̂_hist + w₂·D̂_real-time + w₃·B̂_user + w₄·Â_patterns ] / Σwᵢ

P(t) calculado: — α·P(t): — CIIM total: —

D_hist

Datos históricos de incidentes

0.35

Frecuencia histórica de ataques normalizada respecto al máximo organizacional. Alto D_hist = organización que ha sufrido ataques recurrentes en el pasado.

Fuente de datos: SIEM · Splunk · ELK Stack

D_real-time

Feeds en tiempo real

0.45

Anomalías detectadas en el instante t vs. baseline esperado. Señal táctica inmediata: tráfico sospechoso, alertas IDS, conexiones inusuales.

Fuente de datos: Suricata · Zeek · Apache Kafka

B_user

UEBA — Comportamiento de usuario

0.28

Score UEBA normalizado respecto al umbral crítico. Crítico para detectar insider threats: accesos anómalos fuera de horario, descargas masivas, movimiento lateral.

Fuente de datos: Darktrace · Microsoft Sentinel · Splunk UBA

A_patterns

Patrones MITRE ATT&CK

0.62

% de TTPs activamente observadas respecto al total documentado en MITRE ATT&CK v14. Mayor sofisticación del atacante = mayor A_patterns.

Fuente de datos: MITRE ATT&CK API v14 · Threat Intelligence Platform

Contribución de cada fuente a P(t)

Ajusta los sliders para ver cómo cada fuente contribuye al riesgo exógeno.

PASO 04 / 06

Simulación de Estrategias de Inversión

Selecciona una estrategia, simula su efecto y compara el ΔCIIM y ROI de cada una. ¿Cuál genera mayor reducción de riesgo por $100k invertidos?

ESTRATEGIA A

Mejorar IRO interno

$100,000 USD

Implementar SIEM avanzado + playbooks de respuesta: reduce MTTD a 6h y MTTR a 18h. Impacto directo en la resiliencia organizacional.

Efecto: MTTD 18h→6h · MTTR 45h→18h

ESTRATEGIA B

Reforzar inteligencia externa

$100,000 USD

Plataforma SIEM+MITRE ATT&CK + feeds de Threat Intelligence: reduce D_real-time y A_patterns significativamente.

Efecto: D_real -0.20 · A_patterns -0.25

ESTRATEGIA C

Reducir exposición

$100,000 USD

Microsegmentación de red + Zero Trust básico: reduce E(t) y V(t) al aislar activos críticos y eliminar CVEs priorizados.

Efecto: E(t) -0.20 · V(t) -0.15

Resultados de simulación — ΔCIIM por estrategia

Estrategia	Inversión	CIIM base	CIIM post	ΔCIIM	ΔCIIM por $100k	Cambio nivel
Selecciona una estrategia para calcular

Selecciona las 3 estrategias para ver comparación completa.

PASO 05 / 06

Análisis Crítico

Responde con los datos exactos de tu simulación. El análisis cuantitativo es obligatorio.

PREGUNTA 01

¿El riesgo de tu organización está dominado por la componente endógena o exógena? ¿Qué porcentaje representa cada una? ¿Qué implica esto para las prioridades de inversión?

Indica el % endógena vs. % exógena del CIIM. Si endógena > 60%: prioridad en IRO. Si exógena > 60%: prioridad en inteligencia de amenazas.

PREGUNTA 02

Analiza la contribución de cada componente de P(t). ¿Cuál tiene mayor peso en tu escenario? ¿Qué tipo de amenaza sugiere ese perfil?

Compara D_hist, D_real-time, B_user y A_patterns. Un B_user alto sugiere amenaza interna; A_patterns alto sugiere actor sofisticado.

PREGUNTA 03

¿Cuál estrategia de inversión produjo el mayor ΔCIIM por $100k? ¿Es consistente con el diagnóstico de dominancia?

Compara los tres ΔCIIM/$100k. Si la endógena dominaba, Estrategia A o C debería ser más efectiva. Si la exógena dominaba, Estrategia B.

PREGUNTA 04

¿Qué sucede con el CIIM si A_patterns sube de 0.30 a 0.80 manteniendo todo lo demás constante? Calcula el cambio.

Usa la fórmula P(t) = promedio de 4 fuentes. Si A_patterns sube 0.50, ¿cuánto sube P(t)? ¿Cuánto sube α·P(t)? ¿Cuánto sube el CIIM?

PREGUNTA 05

Como CISO con presupuesto de $200k, ¿cómo asignarías la inversión entre las tres estrategias? Justifica con el análisis de dominancia y ROI calculado.

Propón una combinación (puede ser $0 a una estrategia) y calcula el ΔCIIM esperado total. Debe ser cuantitativamente superior a cualquier estrategia individual.

PASO 06 / 06

Entrega del Informe

Verifica que todo esté completo y descarga el PDF.