Ejercicios de Simulación TTX (I)

Introducción

Un ejercicio de simulación de tablero o escritorio (tabletop) consiste en una actividad colaborativa que permite experimentar cómo reaccionar ante un incidente de ciberseguridad, tanto en el aspecto técnico como ejecutivo. Para esto se presenta una situación ficticia de un incidente, donde los participantes responden dentro de los límites propuestos. Así, varios grupos de trabajo con diferentes roles y responsabilidades se reúnen para proponer respuestas y acciones, permitiendo validar los planes y procesos preestablecidos. Para esto, típicamente un facilitador presenta un escenario conformado por una serie de eventos, y coordina los debates que surgen en función de ellos [1]. La idea originaria proviene de una adaptación de los llamados “juegos de guerra” que durante siglos han funcionado como recurso para practicar la planificación y pensamiento estratégico de líderes militares, mejorar su preparación ante escenarios de conflictos hipotéticos, y su conciencia situacional. Los registros documentados de estas prácticas se remontan a la antigua India y al imperio romano.

Los escenarios basados en situaciones reales vinculadas a las tecnologías implementadas pueden proporcionar una estimación realista del impacto de los eventos técnicos en las operaciones de una organización. Los escenarios integran elementos teóricos y prácticos que establecen una asociación entre la ciberseguridad y los efectos en el negocio, para tener una visión realista del resultado de un evento. Obtener resultados basados en la variabilidad de los controles, la toma de decisiones de gestión, la infraestructura presente, las dependencias de terceros y las interrupciones de múltiples partes en un sector o industria, permite identificar una amplia gama de brechas en la capacidad de recuperación operativa. Establecer un modelo sistemático, repetible y medible para los ejercicios de simulación de respuesta ante incidentes proporciona conocimientos sobre los beneficios potenciales de la adquisición de nuevas tecnologías y la gestión de su ciclo de vida [2].

Simular para prepararse

Las simulaciones se han utilizado en distintos ámbitos, incluso previos a las tecnologías modernas, con distintos fines que abarcan desde el entretenimiento hasta el aprendizaje y preparación para situaciones reales, sin comprometer la integridad de las personas y los recursos. Los ejercicios de simulación de tablero para la práctica de respuesta ante incidentes de ciberseguridad ganan cada vez más terreno entre las prácticas de preparación y entrenamiento de equipos especializados.

Desarrollo de ejercicios

A fin de llevar adelante un ejercicio de estas cualidades, se acepta comúnmente una planificación representada en un proceso de 10 pasos, adaptado a la práctica de la ciberseguridad, tomado del conocimiento en respuesta a emergencias civiles, que supera largamente en nivel de madurez e historia a los incidentes tecnológicos [3]:

1. Revisar documentación: estudiar el plan de respuesta a incidentes y sus brechas.
2. Definir una meta: definir qué se espera obtener tras la ejecución.
3. Determinar equipo: seleccionar quiénes trabajarán en el diseño.
4. Desarrollar los objetivos: detallar los objetivos específicos a validar y cumplir.
5. Definir escenario: seleccionar el escenario general más adecuado a la meta.
6. Identificar participantes: seleccionar quiénes formarán parte de cada grupo y rol.
7. Decidir la logística: definir cómo se realizará (presencial/virtual/híbrido).
8. Desarrollar eventos: crear las piezas de información según el escenario.
9. Definir la coordinación: elegir un facilitador, un observador y un anotador.
10. Reporte de acciones: realizar informe de resultados posterior y cierre formal.

De todas las tareas que se deben realizar, las que requieren mayor conocimiento específico sobre ciberseguridad son el análisis de la documentación existente, y la creación del escenario según las condiciones acordadas. Si bien los objetivos de estos ejercicios pueden ser diversos, normalmente los principales se centran entre los siguientes:

• Experimentar cómo evaluar, decidir, participar y comunicarse durante una crisis de ciberseguridad.
• Identificar brechas entre los procedimientos formales y el comportamiento real.
• Comprender las dificultades de manejar las cuestiones operativas de un incidente.
• Reconocer las prioridades y acciones necesarias para mejorar las capacidades de respuesta a incidentes.
• Mejorar la toma de decisiones y ejecución de acciones adecuadas para restablecer las situaciones.
• Ejercitar los procesos de comunicación y coordinación durante incidentes.
• Determinar la eficacia de los manuales para abordar la detección, respuesta y recuperación.

Se debe decidir en etapa de diseño si el ejercicio estará orientado a estresar las funciones operativas de la respuesta a incidentes (usualmente áreas de tecnología y ciberseguridad) o bien los circuitos de toma de decisiones (correspondiente a gerentes y directores). Más allá de esto, existen distintos tipos de participantes según su rol. El protagónico lo conforman los jugadores, las personas con el rol más activo que debaten desempeñando sus funciones, y discuten o inician acciones en respuesta al escenario. Por otro lado están los observadores, que si bien no participan activamente, pueden visualizar lo que ocurre, y apoyar eventualmente a los jugadores. Además están los conectores, que son un enlace entre jugadores y organizadores, están familiarizados con el escenario, y presencian las discusiones, documentando los resultados para el informe. Finalmente están los coordinadores, que lideran y facilitan la práctica, supervisan el flujo de eventos, monitorean la interacción y mantienen comunicación con los conectores.

En cuanto a la dinámica, los participantes representan a sus distintas áreas (negocio, tecnología, ciberseguridad, legales, comunicaciones, etc.) y se les presenta un escenario de incidente que afecta a la organización, y deriva en múltiples eventos desplegados en el tiempo. Los participantes actúan en función de la información recibida (evaluar, priorizar, accionar) y pueden tener instancias de interacción general o entre grupos, para la puesta en común y toma de decisiones en conjunto.

Además, deben definirse ciertas variables que condicionan el diseño del proceso, como el tipo de incidente de base, que es el pilar sobre el cual se construye el escenario completo, y puede ser seleccionado a priori o bien proponerse en función de lo analizado sobre la organización. Los mismos pueden ir desde casos de ransomware o compromiso de servidores en la nube, hasta fallas en sistemas, vulnerabilidades de día cero, infección por malware, denegación de servicios, y fuga de información, por mencionar solo algunos destacados.

Otra variable que condiciona el diseño es la industria a la que pertenece la organización, debido a que existen industrias reguladas, con diferentes necesidades de estandarización, y alcanzables por distintas leyes, y pueden requerirse ajustes o imposiciones relacionados con esto. Ejemplos de industrias relevantes con requisitos específicos son el sector financiero, energético, farmacéutico, de alimentos, o de transporte.

En cuanto al reporte de acciones, se suele realizar una presentación ejecutiva, que se refiere a una sesión informativa sobre las lecciones aprendidas, que incluye un resumen de las actividades realizadas, y un informe de resultados que contiene un reporte de trabajo donde se detalla el desarrollo de lo ocurrido, análisis de actividades, y recomendaciones, e incluye propuesta de accionables para mejorar la gestión de incidentes de seguridad. En algunos casos, también se puede trabajar posteriormente en la confección o actualización del manual de estrategias de respuesta ante incidentes (playbook) para acción integral en casos reales, así como también la creación o actualización de los procesos y procedimientos relacionados.

En una próxima entrega nos enfocaremos en las dos modalidades principales que permiten caracterizar los ejercicios de este tipo, una de ellas es tradicional, basada en interacción directa en vivo (o en un modo híbrido sumando gente remota) y la otra es la modalidad basada en plataforma, que agrega otro nivel de interacción, extendiendo las posibilidades de los ejercicios.