Ejercicios de Simulación TTX (II)

Introducción

En la primera parte hablamos sobre las bases de los ejercicios de simulación de escritorio para la práctica de la respuesta a incidentes, y detallamos los principales temas que se deben decidir para poder llevar adelante un ejercicio. Además, abordamos algunos detalles a tener en cuenta a la hora del diseño de este tipo de actividades, y ciertas variables que precisan determinarse. En esta segunda parte detallaremos las dos modalidades en las que estos ejercicios se llevan a la práctica, y analizaremos algunas ventajas en cada uno de ellos.

Modalidad tradicional

La práctica de este tipo de ejercicios en el contexto de la ciberseguridad se basó tradicionalmente en la experticia de un profesional que oficia de facilitador y coordina la actividad, quien dirige y orienta el flujo de las conversaciones a través de los escenarios planteados. Las situaciones se desarrollan a través de una serie de piezas de información que los participantes reciben de manera secuencial, y que van revelando cada vez más el estado y devenir del proceso. Ante cada nueva pieza, presentada típicamente en forma de oraciones que denotan la ocurrencia de hechos determinados, el coordinador fomenta el diálogo, y las personas avanzan sobre cada situación problemática según su rol y nivel de conocimiento. El escenario avanza de forma lineal y con información estática, con independencia de las respuestas, ya que el objetivo primordial es la práctica en sí, y no el alterar el flujo de sucesos.

Esta mecánica crea un entorno sin riesgos reales, que permite a los participantes interactuar sin presiones agregadas dadas por el estrés situacional de un incidente o crisis real. Si bien se desea que los participantes tomen el proceso con seriedad, debe considerarse como una experiencia de aprendizaje colaborativo, y no como una prueba o competencia con ganadores y perdedores.

La duración del proceso depende del grupo, del tema, del alcance y de los objetivos. La mayoría se centra en unas pocas horas (entre 3 y 4) donde el tiempo simulado puede ser de varios días.

Los beneficios fundamentales de la modalidad tradicional son la posibilidad de debatir cada acción en tiempo real sin una duración estricta, y de contar con el conocimiento del facilitador para ayudar a potenciar las dinámicas de los equipos, además de poder relevar las actitudes personales y grupales, y las sutilezas en las conversaciones, que de otra manera podrían pasar desapercibidas. En contrapartida, debe considerarse que en esta modalidad todos los equipos reciben la misma información y en el mismo momento, lo que produce la progresión de un único flujo, aunque también es posible utilizar una sub-modalidad alternativa en la que existan diferentes entornos grupales que mantengan conversaciones distintas, requiriendo más de un coordinador para estos casos.

Pese a sus limitaciones, debido a la relativa simplicidad en la ejecución, los ejercicios en modalidad tradicional siguen realizándose en la actualidad de la misma forma en que se concibieron originalmente, con el único agregado en los últimos años, de la posibilidad de interacción por medio de sistemas de videoconferencia (Zoom, Google Meet, Microsoft Teams, etcétera) que permite llevarlos a cabo en forma híbrida, con participación simultánea de equipos reunidos de manera presencial, y otros conectados virtualmente.

Modalidad basada en plataforma

Con Internet y las tecnologías de comunicaciones, principalmente a partir de los años 2000, estos ejercicios comenzaron a extenderse para ser desarrollados en simultáneo por varias partes de forma descentralizada, situación usualmente aprovechada para realizar pruebas relativas a riesgos sistémicos de una industria o sector determinado. Esto implicó la inclusión de mecanismos de comunicación en tiempo real, como ser la vía telefónica clásica, llamadas en conferencia, y correo electrónico.

Durante la segunda mitad década del 2010 comenzaron a desarrollarse plataformas y herramientas de software especializadas para interacción entre participantes, lo que proporcionó mayor dinamismo a los ejercicios, aunque en algunos casos en detrimento del realismo debido a la diferencia entre el modo de interacción propuesto y el utilizado a diario. La evolución del software para las funciones específicas de un ejercicio de estas características fuera del ámbito militar, surgió en los Estados Unidos a partir de las necesidades planteadas por la industria financiera, y el primer movimiento lo realizó el Instituto de Investigación Aplicada de la Universidad de Norwich (NUARI) en el año 2009, con la creación de un prototipo de software diseñado para realizar ejercicios de simulación basados en las problemáticas de dicho sector, que llevó el nombre de DECIDE (Distributed Environment for Critical Infrastructure Exercises). Debido a los resultados satisfactorios de las pruebas en el mercado financiero, el Departamento de Seguridad Nacional (Department of Homeland Security) otorgó fondos por 9.9 millones de dólares a NUARI en 2013 para la continuidad y crecimiento de la plataforma. En 2019, la Dirección de Ciencia y Tecnología del mismo organismo extendió fondos adicionales por 5.9 millones de dólares para la expansión de capacidades del software, orientada a la creación de escenarios para el sector de energía. En 2021, se reforzó el fondeo con 2.9 millones de dólares en un contrato a 3 años para la expansión al sector de transporte. Esto convirtió a NUARI en el centro de investigación con más experiencia en simulaciones de este tipo en el mundo, con más de 100 ejercicios ejecutados [1].

En cuanto a la Unión Europea, según lo que puede determinarse oficialmente, registraron 141 ejercicios hasta el año 2014, de los cuales un 50% tuvo exclusiva participación del sector público, un 5% solo del sector privado, y un 45% fue con actores conjuntos de ambos sectores. Si bien las modalidades fueron variadas (seminario, prueba funcional, taller, simulacro, juego, y escala real) la modalidad de simulación de tablero (tabletop) fue la más adoptada, con un 35% del total de los casos [2].

Para el caso Latinoamérica, si bien existen centros de respuesta a incidentes gubernamentales desde fines de los años 90, no se reportaron ejercicios de estas características en el sector público, a diferencia del sector privado, que comenzó a implementar ejercicios de tablero específicos para simulación de respuesta a incidentes de ciberseguridad a partir del año 2014, y solo provistos como servicios profesionales por las cuatro principales consultoras del mercado. No obstante, no fue hasta el año 2018 que se realizó por primera vez en la región un ejercicio de este tipo destinado a simular un riesgo sistémico en la industria financiera, lo cual ocurrió en Argentina con el apoyo y participación del Banco Central de la República Argentina (BCRA) que cumplió una doble función, en calidad de entidad financiera y de ente regulador. El ejercicio contó con 6 bancos participantes (públicos y privados) que durante 5 meses mantuvieron reuniones de organización, con una participación total de 125 personas. La propuesta y coordinación fue realizada por el banco estadounidense JP Morgan Chase, en base a las experiencias de los años previos con ejercicios de similares características en los Estados Unidos. Asimismo, dicha entidad financiera proveyó el acceso a la plataforma DECIDE para la ejecución. En 2019 el BCRA continuó avanzando en materia de simulaciones de incidentes de seguridad, y realizó los esfuerzos de coordinación y gestión de un nuevo ejercicio, esta vez con 7 participantes, solo entidades financieras públicas [3].