D3FEND para Justificar Inversiones en Seguridad
Cómo usar MITRE D3FEND para justificar inversiones en ciberseguridad ante la dirección: cuantificar gaps defensivos, calcular cobertura por amenaza, y presentar ROI de nuevas herramientas basado en técnicas ATT&CK cubiertas.
D3FEND transforma la conversación de seguridad de "necesitamos más herramientas" a "necesitamos cubrir estos gaps medibles"
El mayor desafío de un CISO no es técnico: es justificar inversiones ante una dirección que no habla en técnicas ATT&CK. D3FEND proporciona un framework para cuantificar la cobertura defensiva, identificar gaps medibles, y calcular el ROI de cada inversión propuesta en términos que la dirección entiende.
El problema: justificar sin datos
ANTES (sin D3FEND):
CISO: "Necesitamos un NDR por 80.000 EUR"
CEO: "¿Por qué? ¿No tenemos firewall?"
CISO: "El firewall no es suficiente para detectar amenazas avanzadas"
CEO: "¿Cuánto más seguros estaremos con el NDR?"
CISO: "...bastante más seguros"
CEO: "Denegado. No hay métricas claras."
DESPUÉS (con D3FEND):
CISO: "Tenemos 65% de cobertura contra las técnicas que usan los grupos
que atacan nuestro sector. 7 técnicas ATT&CK no tienen ninguna
defensa implementada. Un NDR cubre 4 de esas 7 (C2 detection,
DNS tunneling, beaconing, exfiltration). Coste: 80K EUR.
Cobertura sube de 65% a 83%."
CEO: "¿Y las otras 3 técnicas?"
CISO: "Canary tokens (coste cero) cubren 1, y LAPS (coste cero, solo
configuración) cubre 2. Total: 65% → 92% de cobertura."
CEO: "Aprobado el NDR. Implementen también los otros dos que son gratis."
Framework de justificación D3FEND
Paso 1: Definir amenazas (ATT&CK)
Identificar las 3-5 amenazas más relevantes y sus técnicas:
Amenaza 1: Ransomware (LockBit, BlackCat) → 18 técnicas ATT&CK
Amenaza 2: Espionaje APT (APT28, APT29) → 22 técnicas ATT&CK
Amenaza 3: Supply chain (Cl0p style) → 12 técnicas ATT&CK
Técnicas únicas consolidadas: 35 (eliminando duplicados entre amenazas)
Paso 2: Mapear cobertura actual (D3FEND)
Para cada técnica, verificar si hay defensa D3FEND implementada:
Técnicas con defensa implementada: 23/35 = 66%
Técnicas con defensa parcial: 5/35 = 14%
Técnicas sin defensa: 7/35 = 20%
Paso 3: Calcular ROI de cada inversión
Para cada gap, evaluar opciones de remediación:
| Gap (ATT&CK) | Opción D3FEND | Coste | Técnicas cubiertas | Coste/técnica |
|---|---|---|---|---|
| T1071 (C2 beacon) | NDR | 80K EUR | 4 técnicas | 20K/técnica |
| T1486 (ransomware) | Canary files | 0 EUR | 1 técnica | 0/técnica |
| T1021 (lateral) | LAPS deploy | 0 EUR | 2 técnicas | 0/técnica |
| T1003 (credential) | Credential Guard GPO | 0 EUR | 1 técnica | 0/técnica |
| T1566 (phishing) | Email sandbox upgrade | 25K EUR | 2 técnicas | 12.5K/técnica |
Priorización por ROI:
- Canary files + LAPS + Credential Guard (0 EUR → +4 técnicas) = cobertura 66% → 77%
- Email sandbox upgrade (25K EUR → +2 técnicas) = cobertura 77% → 83%
- NDR (80K EUR → +4 técnicas) = cobertura 83% → 94%
Paso 4: Presentar a dirección
Dashboard CISO:
COBERTURA DEFENSIVA ACTUAL: 66%
████████████████████████████████░░░░░░░░░░░░░░░░
PLAN DE MEJORA:
Fase 1 (0 EUR, 2 semanas): 66% → 77% (+4 técnicas, solo configuración)
Fase 2 (25K EUR, 1 mes): 77% → 83% (+2 técnicas, email sandbox)
Fase 3 (80K EUR, 2 meses): 83% → 94% (+4 técnicas, NDR)
INVERSIÓN TOTAL: 105K EUR
MEJORA: 66% → 94% (+28 puntos porcentuales)
GAPS RESIDUALES (6%):
- Zero-day exploits (no prevenibles por definición)
- Supply chain compromise (requiere SBOM + vendor management)
Métricas para la dirección
Métricas que funcionan
| Métrica | Qué dice | Para quién |
|---|---|---|
| % cobertura vs amenazas relevantes | "Detectamos 83% de lo que nos atacan" | CEO, Board |
| Gaps críticos (count) | "Tenemos 3 gaps sin ninguna defensa" | CTO, CISO |
| Coste por técnica cubierta | "Cubrir esta técnica cuesta 12.5K EUR" | CFO |
| Tiempo medio sin cobertura | "Llevamos 6 meses sin detectar DNS tunneling" | Risk Committee |
| Comparación con sector | "Nuestro sector tiene 70% de media, nosotros 83%" | Board |
Métricas que NO funcionan con dirección
- Número de reglas SIEM (no dice si son efectivas)
- Alertas por día (más no es mejor)
- Técnicas ATT&CK cubiertas (número absoluto sin contexto de amenaza)
- Herramientas desplegadas (tener herramienta no es tener defensa)
Reportes trimestrales con D3FEND
INFORME TRIMESTRAL DE COBERTURA DEFENSIVA
Q2 2026 — [Empresa]
RESUMEN EJECUTIVO
Cobertura global: 83% (vs 66% en Q1)
Mejora: +17 puntos porcentuales
Inversión Q2: 25K EUR (email sandbox)
Quick wins implementados: 4 (coste 0 EUR)
COBERTURA POR AMENAZA
Ransomware: 90% ██████████████████████████████████████░░
Espionaje APT: 78% ████████████████████████████████████░░░░░
Supply chain: 65% ██████████████████████████████░░░░░░░░░░
GAPS PRIORITARIOS PARA Q3
1. NDR para detección C2 (80K EUR, +4 técnicas)
2. SBOM pipeline para supply chain (15K EUR, +2 técnicas)
BENCHMARK SECTOR
Media sector financiero ES: 70%
Nuestra posición: 83% (por encima de la media)
Conclusión
D3FEND transforma la seguridad de gasto opaco a inversión medible. El CISO que presenta "tenemos 66% de cobertura, con 105K EUR subimos a 94%" obtiene presupuesto. El que dice "necesitamos más herramientas" no. La combinación ATT&CK (amenazas) + D3FEND (defensas) + métricas de cobertura es el lenguaje que conecta seguridad con negocio.
Fuentes y referencias
- MITRE D3FEND: d3fend.mitre.org
- Gartner: "How to Justify Cybersecurity Investments to the Board" (2024)
- SANS: "Quantifying Security ROI with ATT&CK" (2023)
- McKinsey: "Building Cyber Resilience" (2024)
Preguntas frecuentes
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.