Llegamos a ustedes gracias a:



Reportajes y análisis

Qué son los ejercicios de simulación

Definición, ejemplos y objetivos

[28/07/2021] Un ejercicio de simulación, a veces abreviado TTX o TTE, es una sesión informal de debates en la que un equipo discute sus roles y respuestas durante una emergencia, recorriendo uno o más escenarios potenciales. El ambiente es colegiado y exploratorio, y no está destinado a poner a los participantes en la mentalidad que tendrían durante un desastre. Los ejercicios de simulación se utilizan para prepararse para todo tipo de crisis, pero la ciberseguridad y la recuperación en caso de desastre son áreas comunes de atención.

Pero quizás la mejor manera de comprender realmente de qué se trata un ejercicio de simulación es compararlo con los otros tipos de ejercicios. Es menos intenso que un ejercicio funcional, en el que un centro de comando puede estar integrado por participantes que representan un escenario en tiempo real, o un ejercicio a gran escala, que puede involucrar al personal de emergencia que responde a una crisis simulada en el campo. Un ejercicio de simulación, por el contrario, se desarrolla alrededor de una mesa, y los participantes responden a las indicaciones del líder y describen un escenario con sugerencias extraídas de los planes de emergencia de su organización.

Una cosa importante para tener en cuenta, como señala la propia división de preparación para emergencias del estado de Massachusetts, es que los ejercicios de simulación no están destinados a ser una prueba o una competencia. Deben abordarse como una situación de aprendizaje colaborativo y un entorno sin culpas. Después de todo, si la organización descubre una debilidad en sus defensas o un problema con sus procesos en el transcurso del ejercicio, se puede pensar que es algo bueno; después de todo, es mejor resolverlo durante un ejercicio que en una crisis real.

Ejercicios de simulación en la ciberseguridad

Los ejercicios de simulación no se limitan al ámbito de la ciberseguridad; cualquier organización que tenga que hacer frente a posibles crisis y desastres puede beneficiarse de realizar uno de estos ejercicios. Por ejemplo, el estado de Oregon utilizó ejercicios de simulación para planificar posibles respuestas a los cambios en la pandemia de coronavirus en el 2020.

Pero, en muchos sentidos, los ejercicios de simulación son especialmente adecuados, e importantes, para los entornos de ciberseguridad. Están diseñados para exponer las debilidades en las estructuras organizacionales y para asegurarse de que las personas realmente sigan los protocolos y las mejores prácticas que parecen estar en el ámbito de la teoría la mayor parte del tiempo. Después de todo, los planes mejor trazados a menudo se desmoronan cuando las personas tienen que implementarlos en la vida real. Si bien hay muchas formas de probar los aspectos técnicos de sus ciberdefensas, un ejercicio de simulación prueba los factores humanos y organizacionales que son igualmente importantes para la ciberseguridad.

Cosas que considerar para un ejercicio de simulación

La primera pregunta que debe hacerse es si el ejercicio de simulación es apropiado para su organización. Solo vale la pena comenzar el proceso si ya cuenta con algún tipo de plan de respuesta para el escenario que atravesará. Los ejercicios de simulación son excelentes para probar planes, pero si todos los involucrados están improvisando, eso no puede decirle mucho. También necesitará la aceptación institucional para el proceso: no tiene sentido ejecutar el ejercicio si la gerencia no está de acuerdo en permitirle cambiar los planes y las políticas en función de los resultados.

El blog de PlexTrac propone una serie de preguntas básicas que debe responder una vez que haya decidido seguir adelante. Esperamos que lo descrito hasta ahora haya aclarado las razones por las que una organización realizaría uno de estos ejercicios. Sin embargo, igualmente importante es preguntarse quién participará. Esto va más allá de la simple necesidad de conocer los correos electrónicos de las personas a las que invitar; los tipos de miembros del equipo que participen determinarán exactamente el tipo de ejercicio que realizará. Por ejemplo, un ejercicio en el que todos los participantes sean miembros de su equipo de ciberseguridad podría centrarse en identificar y derrotar una amenaza persistente avanzada; un ejercicio en el que los participantes provengan de toda la empresa podría analizar las consecuencias de un ciberataque y cómo deberían reaccionar los departamentos técnicos, legales y de comunicaciones.

Otra pregunta importante que considerar es cuándo: ¿debería realizar ejercicios de simulación anualmente, o con mayor frecuencia, para fomentar la vigilancia entre sus empleados? Luego está el lugar: la ubicación obvia, como adivinaría por el nombre, es sentarse alrededor de una mesa en una sala de reuniones, pero los ejercicios también se pueden realizar mediante videoconferencia para equipos distribuidos. Finalmente, está la pregunta absolutamente crucial de cómo. Si bien no existe una forma correcta de realizar un ejercicio de simulación, existen algunos consejos importantes que le ayudarán a aprovechar al máximo sus ejercicios de simulación.

Planificación de un ejercicio de simulación

Jack Eisenhauer en Nexight Group describe un proceso para planificar un ejercicio de simulación que toma en consideración muchas de las preguntas anteriores. Él divide el proceso en tres fases, cada una de las cuales incluye tres actividades clave. Estas corresponden al tiempo antes, durante y después de que se realice el ejercicio, pero deberá planificar con anticipación para asegurarse de que cada paso se realice correctamente en la práctica.

1. Diseño

  • Aclare los objetivos y los resultados, determinando lo que espera lograr y cómo utilizará los resultados una vez finalizado el ejercicio.
  • Elija su equipo de participantes, incluyendo los tomadores de decisiones clave, y quizás incluso los ejecutivos que pueden usar su influencia para poner en práctica el informe posterior.
  • Diseñe un escenario y un plan de ejercicios que sea creíble y genere una discusión.

2. Participación

  • Cree un espacio interactivo sin culpas, alentando a las personas a hacer preguntas y cometer errores.
  • Hacer preguntas indagatorias a los participantes, siguiendo un guion, pero preparándose para improvisar.
  • Capture problemas y lecciones sobre la marcha utilizando herramientas visuales y una línea de tiempo; no confíe en quienes toman notas.

3. Aprendizaje

  • Prepare un informe posterior a la acción que incluya la documentación del ejercicio junto con las áreas de mejora potencial.
  • Cree un plan específico a corto plazo basado en los resultados del ejercicio.
  • Brinde herramientas y guías para impulsar el aprendizaje, encontrando recursos que alimenten las necesidades reveladas por el resultado del ejercicio.

Objetivos del ejercicio de simulación

Centrémonos por un momento en un elemento aquí: los objetivos del ejercicio. Para decirlo sin rodeos, ¿qué espera obtener de la ejecución de un ejercicio de simulación en su organización? Es importante distinguir estos objetivos de las metas para los participantes dentro del ejercicio en sí. Por ejemplo, los participantes en un ejercicio de simulación pueden tener el objetivo de descubrir cómo restaurar las bases de datos de su organización lo más rápido posible después de un desastre. Pero el objetivo general de realizar el ejercicio es poner a prueba el plan de recuperación en caso de desastre de la organización y ver si los equipos saben cómo trabajar mejor juntos ante problemas inesperados.

La Asociación Nacional de Comisionados de Servicios Regulatorios, un grupo que sabe un poco sobre la necesidad de estar preparado para una crisis, sugiere que los objetivos sean SMART, lo que significa:

  • Específicos (Specific): abordar preguntas concretas y especificar elementos de acción
  • Medibles: establecer métricas de éxito desde el principio
  • Alcanzable por parte de los participantes en el tiempo asignado
  • Relevante para la misión de la organización
  • De duración determinada (Time-bound) dentro de un plazo razonable establecido de antemano

Dirigir un ejercicio de simulación

Hay muchos consultores que estarán encantados de dirigir un ejercicio de simulación en su organización; sin embargo, debido a la naturaleza informal de estos ejercicios, la mayoría de las veces son dirigidos por personal interno, y es casi seguro que tenga a alguien que haría un buen trabajo dirigiendo un ejercicio de simulación utilizando una guía y algunos ejemplos de buena calidad.

El estado de Nueva York tiene una excelente guía para facilitadores de ejercicios de simulación. Si bien gran parte de este documento se centra en un ejercicio de simulación específico que el estado realiza para prepararse para un huracán catastrófico, las primeras páginas brindan valiosos consejos sobre cómo dirigir un ejercicio de simulación que son aplicables a cualquier área temática. Comienza estableciendo las responsabilidades generales del facilitador:

  • Introducir la narrativa
  • Fomentar la resolución de problemas
  • Controlar el ritmo y el flujo del ejercicio
  • Estimular la discusión y obtener respuestas y soluciones del grupo (en lugar de proporcionarlas)

La guía también proporciona consejos sobre cómo involucrar a todos los participantes y controlar y mantener la acción. Una de las grandes claves es estar atento a las señales de frustración y conflicto. Recuerde, el ejercicio está destinado a ser colaborativo, no confrontativo. En particular, los empleados subalternos deben tener el espacio para realizar comentarios frente a la gerencia, así que trate de incluir a todos en condiciones de igualdad.

Ejemplos y escenarios de ejercicios de simulación

Hasta ahora hemos estado hablando principalmente de generalidades. ¿Qué escenarios podrían presentarse en un ejemplo del mundo real? El Center for Internet Security ofrece seis escenarios que pueden poner a prueba a su equipo de ciberseguridad:

  • La solución rápida: Un administrador de red implementa un parche sin probarlo y luego se va de vacaciones, lo que deja a los usuarios sin poder iniciar sesión.
  • Una infección de malware: Un usuario inserta una tarjeta SD infectada con malware en la computadora portátil de su empresa.
  • Un ataque no planificado: Un grupo hacktivista tiene como objetivo su organización: ¿qué encontrarán cuando lancen su ataque?
  • El compromiso de la nube: Su organización ha estado almacenando datos confidenciales con un servicio de almacenamiento en la nube que ha sido hackeado, lo que podría exponer la información del cliente.
  • Robo financiero: Una auditoría revela que su sistema de planilla está emitiendo cheques a personas que no están empleadas allí.
  • La zona de inundación: Mientras lidia con el aumento de las aguas en la sede de su empresa, un ransomware lo ataca

El documento citado previamente tiene excelentes detalles sobre cómo se desarrollarían estos escenarios en un ejercicio de simulación, y qué preguntas les plantearía a sus participantes.

El documento también describe gran parte de lo que necesitaría para ejecutar estos ejercicios en su organización. Varios de ellos encajan en estas dos categorías, que son quizás los tipos más comunes de ejercicios de simulación para ciberseguridad:

  • Ejercicio de simulación de respuesta a incidentes. Por mucho que nos gustaría planificar y controlar todo de antemano, la ciberseguridad es un proceso en gran parte reactivo. RSI tiene buena documentación sobre cómo realizar un ejercicio de simulación de respuesta a incidentes, que implica asegurarse de que los participantes sepan cuáles son las políticas de su organización para tipos específicos de intrusiones y quién es el responsable de cuáles acciones en respuesta a ellas.
  • Escenarios de ejercicios de simulación para la continuidad del negocio. Los ejercicios de simulación también son de mucho interés para quienes tienen la tarea de prepararse contra desastres naturales o desastres provocados por el hombre, y la continuidad del negocio cae en la superposición entre esa función y la ciberseguridad. NContracts tiene una buena guía sobre cómo ejecutar un ejercicio de simulación eficaz de la planificación de la continuidad del negocio, que incluye comprender la dependencia de proveedores específicos y, potencialmente, vincularlos a cualquier escenario de control de daños.

Plantillas de ejercicios de simulación

¿Quiere empezar a planificar su propio ejercicio de simulación? Hay algunas plantillas disponibles para ayudarlo a comenzar. SearchDisasterRecovery tiene una buena plantilla que le pide que exponga las motivaciones para ejecutar el ejercicio (para que pueda 'venderlo' internamente), la narrativa para los participantes y los métodos de comunicación que utilizarán los participantes. Y The Continuity Advisor tiene una plantilla útil que puede usar para crear informes posteriores a la acción una vez que se realiza el ejercicio.

Por último, es posible que desee consultar "¡Oh, no!, una versión de los ejercicios de simulación de Bruce Potter que combina un enfoque de ciberseguridad tradicional, con elementos de juegos de rol como Calabozos y Dragones. Hay un kit gratuito que puede descargar para comenzar.