Métricas para ejercicios de simulación

Los ejercicios de simulación tipo tabletop han sido utilizados en diversos ámbitos como forma de entrenamiento para situaciones de incidentes o crisis. En el campo de la respuesta ante incidentes se buscan objetivos específicos, pero los resultados en ocasiones pueden ser subjetivos o difusos y las organizaciones se encuentran ante la dificultad de no poder cuantificar claramente sus beneficios y mejoras.

En este post compartiremos una forma para abordar dicha problemática, compartiendo un modelo propio que permite cuantificar los efectos de los ejercicios de simulación de respuesta ante incidentes en el ámbito de la ciberseguridad.

Ejercicios de simulación

Los ejercicios de simulación tipo tabletop (TTX), tal como los llevamos adelante, son actividades que permiten simular situaciones realistas en un entorno controlado y de bajo riesgo, de esta forma exponer a las personas a escenarios ficticios alineados con un incidente. Estos suelen involucrar a equipos de distintas áreas, el objetivo principal es evaluar la capacidad de los equipos para tomar decisiones, coordinarse en respuesta a un escenario o situación de crisis.

Todo esto permite a las organizaciones evaluar su capacidad de respuesta y preparación ante posibles situaciones de crisis, identificar áreas de mejora y tomar medidas preventivas para minimizar los riesgos. También pueden ayudar a cumplir requisitos regulatorios o normativos, y a encontrar las mejores formas de mantener la reputación y credibilidad en caso de una situación de crisis que impacte dichos aspectos.

Simulaciones de incidentes como punto de mejora

Este tipo de ejercicios conforma una herramienta clave para mejorar las capacidades de respuesta, aunque para esto los escenarios deben estar alineados a las operaciones de la organización, contar con un objetivo claro y un alcance bien definido. Así, los participantes se pueden enfrentar a eventos y situaciones que pueden incluir desafíos y elementos inesperados, similares a los que podrían aparecer en la vida real, actuando según su propio rol en la organización. Durante la ejecución, los participantes debaten acerca de cómo abordarían la situación presentada, toman decisiones, y desarrollan estrategias en función de la información proporcionada, coordinándose según sus roles para comunicarse y compartir información, colaborar en las soluciones y abordar los desafíos planteados.

A partir de aquí, haremos foco solamente a los ejercicios de simulación orientados a la práctica de respuesta ante incidentes, representada en muchos casos por un equipo de respuesta especializado (CSIRT).

ENISA y NIST para CSIRTs

A fin de poder evaluar las capacidades de respuesta ante incidentes de una organización, se requiere una metodología específica. ENISA (Agencia de la Unión Europea para la Ciberseguridad) ha desarrollado una metodología que permite evaluar la madurez en las capacidades de los equipos de respuesta a incidentes de ciberseguridad (CSIRTs) que además puede funcionar como un proxy adecuado para la determinación de estas capacidades, incluso en organizaciones que no cuenten con un equipo especializado en respuesta ante incidentes de ciberseguridad. Esta hace una división en forma de “parámetros” que incluyen distintos aspectos evaluables, Organización (O), Procesos (P), Herramientas (T), y Humanos (H), un total de 44 parámetros.

Diagrama de los 3 niveles de madurez para cada parámetro (ENISA)

Los parámetros O abordan aspectos estructurales del equipo, definen la gestión, la autoridad, las responsabilidades y los servicios de respuesta, así como su integración en marcos más amplios de respuesta a incidentes, evaluando así su base organizativa y operativa.

Los parámetros P se refieren a los procedimientos y flujos de trabajo que un equipo de respuesta mantiene en su operación diaria. Evalúan cómo el equipo gestiona incidentes, desde su detección y prevención hasta su resolución, así como la interacción y comunicación con otras entidades. Proporcionan también una medida de la eficiencia y efectividad de los procesos de respuesta en sí.

Los parámetros T se refieren a las herramientas y recursos tecnológicos que un equipo de respuesta utiliza en sus operaciones. Evalúan la disponibilidad, resiliencia y eficacia de las herramientas para detectar, prevenir y responder a incidentes de seguridad, y proporcionan una medida de los recursos tecnológicos para enfrentar incidentes de ciberseguridad.

Los parámetros H se refieren a aspectos relacionados con las personas y sus habilidades dentro del equipo. Abordan temas como el código de conducta, la resiliencia del personal, la descripción de habilidades, la formación interna y externa, y la capacidad de establecer redes hacia afuera, y evalúan cómo el equipo gestiona y mejora las competencias y comportamientos de sus miembros para responder a incidentes de ciberseguridad.

La evaluación de madurez de ENISA nos entrega un conjunto de parámetros sobre los que es necesario mejorar para lograr una madurez esperada

Por otro lado el NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.) en su guía de gestión de incidentes de ciberseguridad (SP800-61r2) nos acerca una guía para la gestión de incidentes de ciberseguridad. Esta guía es especialmente relevante para organizaciones que necesitan prepararse para responder de manera efectiva a incidentes de seguridad informática. Esta guía contiene recomendaciones sobre:

- Preparación para Incidentes
- Detección y Análisis
- Contención, Erradicación y Recuperación
- Post-Incidente
- Coordinación y Compartición de Información

Esta guía nos permitirá tomar los parámetros anteriores a mejorar y darles un orden de prioridad, de forma que podamos seleccionar para desarrollar los más relevantes en relación a estos marcos.

Planificando un TTX

Los parámetros a mejorar entonces serán adoptados como objetivos utilizables para el diseño de un escenario que apoye su mejora. Con esto el proceso completo de un ejercicio tabletop desarrollado metodológicamente nos permite hacer especial foco en las mejoras necesarias para el equipo de respuesta ante incidentes. Luego de esta ejecución se trabajará sobre los resultados, se desarrollarán planes para implementar las mejoras encontradas.

Metodología utilizada para ejercicios de simulación

Por supuesto hay casos en los que la complejidad de los equipos o las mejoras requeridas por las organizaciones requerirán un proceso más exhaustivo, en esos casos podría por ejemplo desarrollarse una serie de ejercicios con distinto alcance, en lugar de solo uno. También entre las variantes para cada ejercicio se pueden incluir instancias específicas para ciertos equipos, instancias entre diferentes jerarquías, instancias involucrando a terceras partes, y otras combinaciones posibles.

Esquema de aplicación propuesto

Algunas conclusiones

Es claro que los ejercicios de simulación tipo tabletop son una herramienta útil para mejorar las capacidades de respuesta y recuperación en las organizaciones, pero su efecto neto no es evidente, y suelen plantearse incertidumbres sobre su utilidad real.

En ocasiones los equipos técnicos subestiman el poder revelador de este tipo de ejercicios, especialmente cuando se cuenta con un gran bagaje de conocimientos técnicos y experiencia sobre herramientas tecnológicas, aunque en ocasiones también ocurre en los niveles ejecutivos, que minimizan sus posibles beneficios derivados.

El uso de estándares y metodologías de referencia en la industria otorga una mayor legitimidad a las propuestas, y permite lograr una validez con más cantidad de elementos racionales. Más allá de que la aplicación de cada guía o framework pueda hacerse de distinta manera, esta propuesta plantea un enfoque en el que se pueden utilizar elementos de ambas referencias (ENISA y NIST) siendo ambas importantes en la industria.