[28/07/2021] Un ejercicio de simulación es una sesión informal de debates en la que un equipo habla sobre sus roles y respuestas durante una emergencia, recorriendo uno o más escenarios hipotéticos. Es una excelente forma de sacar los planes de continuidad del negocio del papel sin tener que pasar por un simulacro a gran escala: en lugar de simular un desastre, un grupo dentro de la empresa se reúne durante unas horas para hablar sobre una crisis simulada.
El ejercicio se está convirtiendo cada vez más en un elemento básico de los programas de preparación en seguridad de TI. "Las empresas que tienen un saludable respeto por sus ciberriesgos son las que realizan estos ejercicios”, afirma Dan Burke, vicepresidente senior y líder nacional de prácticas cibernéticas en Woodruff Sawyer. "Diseñar un plan de respuesta a incidentes es beneficioso, pero ponerlo a prueba le dará la información práctica que solo se puede obtener de la experiencia”.
Si es la primera vez que escucha sobre los ejercicios de simulación y desea una descripción general sólida de lo que se incluye en uno de ellos, consulte la explicación en profundidad que realizamos sobre el tema. Pero si sabe lo básico y está pensando en cómo puede implementar de manera más efectiva un ejercicio de simulación en su propia organización, entonces siga leyendo. Hemos recopilado algunos consejos sobre las mejores prácticas de varios profesionales de la seguridad, quienes también nos han ayudado a armar algunos escenarios hipotéticos que deberían darle algunas ideas para sus propios ejercicios.
10 consejos para realizar un ejercicio de simulación eficaz
1. Asegúrese de que su ejercicio de simulación sea su ejercicio de simulación.No solo debe trabajar en un escenario de incumplimiento genérico, sino en algo que se adapte a la situación particular de su organización. "Realice ejercicios basados en eventos que sean críticos para su empresa en particular”, afirma Evgeny Gnedin, director de análisis de seguridad de la información en Positive Technologies. "Pregunte a los altos directivos a qué le teme realmente su negocio y qué escenarios podrían destruirlo”.
2. Explore un escenario más allá de los aspectos técnicos. Los ejercicios de simulación pueden ser dirigidos por el equipo de seguridad o de TI, pero los participantes deben abarcar toda la empresa. "Sí, puede haber habido un ataque técnico que requiera una reparación técnica”, afirma Ben Smith, director de tecnología de campo en RSA NetWitness, "pero su ejercicio de simulación también debe incluir representantes del área legal, regulatoria, marketing, atención al cliente, e incluso las funciones de recursos humanos. Los empleados que estén en primera línea con el público durante la recuperación necesitarán argumentos de conversación programados y aprobados, así como herramientas potencialmente nuevas para representar su marca de manera más eficaz durante una crisis”.
3. Conseguir que se incorpore la alta dirección. No importa lo que aprenda sobre la preparación de su organización en un ejercicio de simulación, no podrá implementar ninguna mejora sin la aceptación del liderazgo. "El grupo más crítico en la capacitación en gestión de crisis y los escenarios de simulación es la alta gerencia, o aquellos ejecutivos que tomarán una decisión final en una crisis o la recomendarán al CEO”, afirma Timothy Williams, vicepresidente de Pinkerton, firma de seguridad global.
Los altos ejecutivos no siempre participan ellos mismos, pero a menudo eligen un representante para participar e informar sobre cómo fue el ejercicio. Aún así, puede valer la pena intentar que se presenten en persona. "A veces es difícil asegurar que los ejecutivos participen en ejercicios más largos”, afirma Curtis Fechner, miembro de ingeniería de Optiv, "pero puede recordarles que su participación no será opcional durante un incidente real”.
4. El facilitador es clave. "Tener un facilitador cuya participación sea fundamental hace la diferencia entre el éxito o el fracaso”, afirma John Dickson, vicepresidente de Coalfire. "Los mejores participan en la simulación de una manera conversacional y hacen que los participantes se sientan cómodos. Me recuerdan más a un buen presentador de programas de entrevistas que a un orador principal. Su capacidad para darle un giro inesperado a las cosas es crucial: cuando un participante interviene, un facilitador eficaz podrá citar una historia de guerra relevante o un ejemplo que refuerce ese punto”.
5. Usted está probando personas, no tecnología. Algunos participantes en un ejercicio de simulación pueden quejarse de que su escenario no está relacionado con la tecnología que utilizan en el día a día, pero ese no es el punto, afirma Sounil Yu, CISO de JupiterOne. "El beneficio principal de un ejercicio de simulación es garantizar que las personas puedan desempeñarse de manera confiable en situaciones inesperadas”, añade Yu. De hecho, en muchos de los escenarios de desastre que los ejercicios de simulación pretenden simular, la tecnología en la que el personal ha llegado a confiar puede no estar disponible, y la dependencia excesiva de la tecnología en situaciones de respuesta y recuperación es exactamente lo que los miembros del equipo deben aprender a evitar.
6. Cree sus escenarios en base al conocimiento de las amenazas activas. Es posible que sienta la tentación de sacar su ejercicio de simulación de los últimos titulares, pero debe profundizar más para crear un escenario realmente realista. "Para muchas amenazas notables como el ransomware, hay muchas empresas que comparten información sobre cómo se desarrollan estos ataques”, afirma Fechner de Optiv. "El uso de informes de los medios está bien, pero debe centrarse en los informes de inteligencia de amenazas reales producidos por agencias gubernamentales y empresas de seguridad del sector privado”.
7. Los participantes deben meterse en el personaje. Los ejercicios de simulación son primos de los juegos de roles de mesa como Calabozos y Dragones. Al igual que en esos juegos, cada participante debe sumergirse en el papel que está desempeñando en el escenario ficticio que se está considerando y, al igual que en esos juegos, esos roles pueden ser diferentes a los de la vida cotidiana del jugador. "Debe asignar a todos un papel que desempeñar”, afirma Jacob Ansari, CISO de Schellman & Company, un asesor independiente de cumplimiento de seguridad y privacidad. "Tal vez a todos se les asigne su función laboral normal, o tal vez las mezclen de vez en cuando para obtener una nueva perspectiva y poder descubrir las lagunas en su plan”.
8. No deje que la fiesta sea demasiado grande. Nate Drier, gerente consultor principal, y Rob Lelewski, director de Servicios Proactivos, sugieren que su objetivo sea mantener el número de participantes en su ejercicio menor a 20. Grupos mucho más grandes que eso están "listos para el desinterés y la desconexión”, afirman Drier y Lelewski.
9. Dele a su ejercicio la cantidad de tiempo que se merece. Esto puede parecer obvio, pero un ejercicio de simulación no es algo que pueda simplemente hacer durante un almuerzo rápido. "Intentar apresurarnos en una hora deja poco tiempo para discutir algo en detalle”, afirma Fechner de Optiv. "Si toma en cuenta todas las distracciones solo tendrá unos 20 minutos de discusión real. Prefiero un ejercicio de tres a cuatro horas para la mayoría de las audiencias”.
10. Cree un espacio seguro para la experimentación, así como para el fracaso. Si bien los ejercicios de simulación son cruciales para mejorar la seguridad general a largo plazo, los jugadores no deberían sentirse presionados a "ganar” el escenario. "Es importante que los participantes entiendan que el interés del ejercicio está en la mejora”, afirman de Drier y Lelewski de Proactive. "Se espera que haya lagunas. Los ejercicios proporcionan un foro, libre de culpa, donde el equipo puede discutir colectivamente las fortalezas y debilidades”.
Como reconoce Ansari de Schellman, esto puede ser un desafío porque los empleados a menudo se "desempeñan” frente a sus jefes. "El coordinador debe establecer algunas reglas básicas claras que den a los participantes la libertad de actuar en esta situación”, afirma. "Es, después de todo, un escenario ficticio, diseñado para descubrir debilidades en los propios planes, capacitación, coordinación u otros aspectos esenciales”.
Seis escenarios de ejercicios de simulación hipotéticos
- Un ataque de phishing expone una vulnerabilidad de día cero
- Se detecta un ataque a la cadena de abastecimiento
- Hacer frente a un creciente ataque de ransomware
- Un empleado descontento inicia un incendio en el centro de datos
- Una explosión en una planta química cercana libera toxinas mortales.
- Una gripe pandémica golpea
Como mencionamos anteriormente, un escenario de simulación debe ajustarse lo más posible a los miedos más oscuros específicos de su empresa. Dicho esto, solicitamos algunos escenarios potenciales de nuestros expertos para darle una idea de cómo podrían funcionar. Observe cómo se intensifican. Como afirma Brett Wentworth, director seniorde seguridad global en Lumen Technologies, el trabajo de un moderador de simulación consiste en "guiar a los participantes a través de un escenario, dejarles reaccionar de manera abierta, informar sobre sus acciones, y luego tener 'inyecciones' para agregar más situaciones inesperadas”.
Escenario 1: Un ataque de phishing expone una vulnerabilidad de día cero
Wentworth describió nuestro primer escenario, que comienza con un ataque de phishing y continúa desde allí.
Segmento 1: Un empleado hace clic en un enlace en un correo electrónico pidiéndole que tome una capacitación obligatoria sobre concientización de seguridad, e ingresa sus credenciales en el sitio al que conduce el enlace. Al mirar hacia atrás en el correo electrónico, ve un formato extraño, un error de ortografía y un banner que indica que el correo electrónico se originó fuera de la organización. Su computadora comienza a funcionar más lentamente y el empleado sigue los procesos establecidos y se comunica con el equipo de respuesta a incidentes (RI). Los jugadores que asuman el rol de RI describirán los pasos que tomarían en respuesta.
Segmento 2: Se ve una conexión desde una dirección IP, en Europa del Este, al sitio vinculado en el correo electrónico de phishing. Aparentemente, este host también estaba escaneando internamente un protocolo asociado con un paquete de software de uso común -le daremos el nombre falso Acme123- y ha interactuado con los servidores que lo ejecutan.
Segmento 3: El tráfico que se ajusta al patrón de devoluciones de llamada de malware se comunica desde un servidor Acme123 con otra IP, esta en Asia. De repente, aparecen noticias de la industria sobre una vulnerabilidad de día cero de Acme123.
Segmento 4: Un servidor muestra signos de un nuevo malware que explota el día cero, pero no está claro si los datos se filtraron. En este punto, los equipos deben comprometerse con la investigación forense, notificar a los empleados, comunicarse con las fuerzas del orden y los clientes afectados, y actualizar a los ejecutivos.
Escenario 2: Se detecta un ataque a la cadena de abastecimiento
Este escenario, de Drier y Lelewski de Proactive, describe un ataque que recuerda al reciente hack de alto perfilde SolarWinds.
Segmento 1: El departamento de ventas de una organización objetivo ha adquirido una nueva herramienta de software de seguimiento de clientes potenciales. Se instala on premises en una máquina virtual proporcionada por el proveedor. La adquisición omitió el proceso de due dilligence del proveedor y fue aprobada por los líderes de Ventas. En las semanas posteriores a su implementación, hay un aumento en el número de usuarios que envían tickets de problemas debido a cuentas bloqueadas como consecuencia de fallas en las contraseñas. Además, algunas alertas se generan sobre la actividad de PowerShell, codificada en varias estaciones de trabajo.
Segmento 2: Un analista de seguridad del equipo señala que se enviaron varios gigabytes de datos cifrados a un VPS alojado en Rusia. Están apareciendo alertas adicionales, notando herramientas como Mimikatz y Secretsdump. Se encuentra un archivo llamado exfil.zip con una marca de tiempo reciente, ubicado en el mismo recurso compartido que usa el equipo de investigación y desarrollo, crítico para el negocio.
Segmento 3: Se abre una noticia que detalla que la herramienta de seguimiento de clientes potenciales fue comprometida por actores estatales extranjeros y contiene un backdoor que utiliza un algoritmo de generación de dominio para establecer el comando y control sobre el puerto de salida 443. La historia detalla que los actores de la amenaza buscan inteligencia de su vertical específica, y no están afiliados con despliegues de ransomware.
Escenario 3: Hacer frente a un ataque de ransomware en aumento
Este escenario hipotético proviene de Yu de JupiterOne. Describe un ataque de ransomware que comienza mal y empeora.
Segmento 1: La empresa se ve afectada por un evento de ransomware estándar que afecta a la mayoría de los sistemas empresariales, con una demanda del 1% de los ingresos anuales de la empresa que se pagarán en un plazo de 48 horas. El escenario debería requerir una decisión sobre esta demanda dentro del plazo asignado para este segmento.
Segmento 2: Independientemente de la decisión sobre el Segmento 1, el atacante de ransomware intensifica su accionar con la publicación de contenido confidencial robado y la amenaza de publicar más, a menos que la empresa pague (o pague de nuevo, según sea el caso).
Segmento 3: Se descubre que el hacker ha aprovechado la información del contenido que robó para atacar a los clientes de la empresa, lo dio como resultado daños materiales para esas organizaciones.
Segmento 4: Una importante agencia gubernamental inicia una investigación porque resulta que el atacante de ransomware está sujeto a sanciones de la Oficina de Control de Activos Extranjeros de los Estados Unidos. Esto involucra a la empresa -que ya se encuentra en medio de una crisis empresarial- profundamente en un drama internacional donde los acontecimientos se escapan aún más del control de la empresa.
Escenario 4: Un empleado descontento inicia un incendio en el centro de datos
Este escenario se basa en una sugerencia de Rad Jones, especialista académico de la Escuela de Justicia Penal de la Universidad Estatal de Michigan y exdirector de seguridad y protección contra incendios de Ford Motor.
Segmento 1: Un pequeño incendio comienza justo afuera del centro de datos y activa el sistema de alarma. Para cuando llega el departamento de bomberos, el fuego ha sido extinguido por el sistema de rociadores, pero el edificio ha sido evacuado. Los empleados y las personas que trabajan en edificios cercanos quieren saber qué ha sucedido, al igual que los medios de comunicación. Luego, cuando las personas comienzan a entrar, la recepcionista recibe una llamada de alguien que indica que el incendio es "solo el comienzo” porque la empresa no lo ha tratado bien.
Segmento 2: Un empleado descubre una caja en el vestíbulo con una advertencia, escrita a mano, de que contiene ántrax. La gerencia decide evacuar el edificio nuevamente. Las llamadas provienen de familiares preocupados y llegan equipos de televisión locales. Mientras tanto, los rociadores en el centro de datos han provocado que los servidores web y de correo electrónico de la empresa dejen de funcionar, lo que significa que el sitio de comercio electrónico de la empresa no funcione.
Segmento 3: Una mujer llama al periódico alegando ser la esposa de un empleado que acaba de ser despedido, y que ha dejado impresiones sobre el ántrax esparcidas en la oficina de su casa. El periódico llama a la empresa con esta información. El departamento de salud está en escena. El centro de llamadas de la empresa (en otra ubicación) está inundado de llamadas de clientes que no pueden realizar pedidos en el sitio web.
Segmento 4: La policía detiene a un sospechoso. El departamento de salud determina que la caja no contenía ántrax y que el edificio es seguro. Algunos empleados tienen miedo de volver a trabajar.
Escenario 5: Una explosión en una planta química cercana libera toxinas mortales
Este escenario se basa en una sugerencia de Mike Paszynsky, director de Seguridad Corporativa de PSE & G, una empresa de servicios públicos de Fortune 500 con sede en Newark, Nueva Jersey.
Segmento 1: Se produce una explosión en una planta química a dos millas de la sede. Los medios de comunicación locales informan que un número indeterminado de empleados de la compañía química han resultado heridos o muertos, y los funcionarios están tratando de determinar hasta qué punto se han liberado toxinas mortales al aire. Nadie está seguro de qué causó la explosión.
Segmento 2: Los hospitales de la zona están abarrotados de personas que informan tener dificultades para respirar y los funcionarios de salud pública están animando a las personas de toda la ciudad a "refugiarse en el lugar” como medida de precaución. Las oficinas principales se encuentran en sentido contrario al viento de la explosión. La empresa debe decidir qué decirles a sus empleados que hagan, pero no está segura de si tiene el derecho legal de decirle al personal que no se vaya. Las personas especulan que los terroristas provocaron la explosión.
Segmento 3: La empresa les dice a los empleados que no abandonen el edificio, pero muchos lo hacen de todos modos, diciendo que no confían en lo que están escuchando y que necesitan llegar a casa y cuidar de sus familias. Los guardias de seguridad de la puerta principal también quieren saber qué decirle a la gente en la calle que quiera refugiarse en el vestíbulo de la empresa. La cafetería informa que ya se agotaron los almuerzos.
Segmento 4: El peligro inmediato pasa y las autoridades afirman que la explosión fue un accidente. Varios empleados han sido hospitalizados y otros están molestos porque la cafetería de la empresa quedó desabastecida.
Escenario 6: Una pandemia de gripe golpea
Este escenario se basa en una sugerencia de Joe Flach, vicepresidente de Eagle Rock Alliance, una empresa de consultoría de continuidad empresarial en West Orange, Nueva Jersey.
Segmento 1: Una gripe pandémica comienza a enfermar y matar a personas en Hong Kong, donde la empresa no tiene operaciones. La comunidad médica teme que la enfermedad se extienda a otros continentes, y afirma que cualquiera que haya estado en Hong Kong en las últimas tres semanas podría ser portador. Como medida de precaución, la empresa considera pedir a los empleados, que hayan viajado a Hong Kong en las últimas tres semanas, que no regresen al trabajo hasta que vean a un médico. La compañía también considera tener seguridad en la puerta de entrada para preguntar a cada visitante si ha estado en Hong Kong en las últimas tres semanas.
Segmento 2: A pocas personas en la región se les diagnostica la enfermedad y aumenta la tasa de ausentismo escolar. Los empleados comienzan a llamar para informar que están enfermos, pero no está claro si están enfermos o tienen miedo de salir en público. Hay suficientes personas ausentes que la empresa se esfuerza por mantener los sistemas en funcionamiento, recibir pedidos y pagar facturas.
Segmento 3: La enfermedad se propaga y las tasas de ausentismo se disparan hasta casi el 50%. Algunos empleados están enfermos o atienden a familiares enfermos. Los empleados piden a la empresa que proporcione desinfectante para manos y mascarillas, aunque la comunidad médica afirma que esas precauciones pueden no ser efectivas. Las funciones críticas no se realizan. Los gerentes consideran cerrar las oficinas y pedirles a todos que trabajen desde casa hasta que pase el peligro.
Segmento 4: La enfermedad ha alcanzado su punto máximo, pero muchos empleados todavía están recelosos de regresar al trabajo.
Esperamos que estos escenarios le brinden algunas ideas para desarrollar el suyo con sus empleados. ¡Disfrute el proceso y buena suerte!
Basado en el artículo de Josh Fruhlinger, Sarah D. Scalet (CSO) y editado por CIO Perú