Cybersecurity and digital privacy

Los ciberataques son inevitables. ¿Está preparada su empresa?

Astraed

9 min read

Prepararse para lo inesperado es mucho más fácil decirlo que hacerlo. En el caso de los ciberataques, muchas empresas tienen vulnerabilidades en sus defensas y reacciones para las que no están preparadas y que los piratas informáticos pondrán a prueba. Muchas organizaciones pueden beneficiarse de la creación de simulacros de incendio y ejercicios de mesa, que pongan a prueba el plan de respuesta de la empresa en todos los niveles. Es casi seguro que estos ejercicios revelarán brechas en la seguridad, los planes de respuesta y la familiaridad de los empleados con sus propias funciones. Si bien invertir en facilitadores externos para estos ejercicios suele permitir realizar pruebas más rigurosas y separadas de la dinámica interna, hay directrices para las organizaciones que desean ejecutar ejercicios internos a fin de prepararse mejor para un ciberataque.

••• Los ciberataques siempre ocurren cuando menos se lo espera. Y cuando ocurren, ocurren rápido. Responder adecuadamente no es solo responsabilidad de su equipo de ciberseguridad, sino que todos los miembros de la organización tienen una función que desempeñar. ¿Su equipo está preparado? ¿Saben qué hacer y qué no hacer? Lo que es más importante, ¿todo su equipo ha practicado su respuesta? Todos (el consejo de administración, los ejecutivos de la empresa, los directores y los miembros del equipo) tienen que conocer sus funciones y responsabilidades y resolver cualquier posible problema con su respuesta antes de que un ciberataque en directo suponga una enorme presión para la organización. Hay una manera sencilla de determinar si su plan de respuesta a incidentes (IRP) funciona y si su equipo conoce sus funciones: una prueba. Sin embargo, un[Encuesta Ponemon](https://www.ponemon.org/local/upload/file/Lancope-Ponemon-Report-Cyber-Security-Incident-Response.pdf) determinó que el 47% de las organizaciones no han evaluado la preparación de sus equipos de respuesta a incidentes, lo que significa que la primera vez que pongan a prueba sus planes será en el peor momento posible, en medio de un ciberataque. Los piratas informáticos ponen a prueba sus defensas y reacciones de forma constante y coherente. Debe hacer lo mismo. En nuestro trabajo para ayudar a las organizaciones (tanto públicas como privadas, grandes y pequeñas, nacionales e internacionales) a planificar los ciberataques, hemos descubierto que los simulacros de incendio y los ejercicios de mesa (TTX) son una excelente manera de prepararse para lo peor. ## **Simulacros de incendio y ejercicios de mesa** Piense en un escenario de la sala de emergencias tras un accidente de coche. Cuando llegan pacientes con lesiones graves, el personal de urgencias tiene que saber exactamente qué hacer y cómo hacerlo. No pueden aprender al mismo tiempo que se produce la crisis. Lo mismo ocurre con los altos ejecutivos y la alta dirección. Para asegurarse de que están alineados y conocen los planes de la empresa durante un ciberataque, tienen que practicar con antelación y desarrollar la memoria muscular sobre la forma de responder. Los escenarios simulados ayudan a las organizaciones a validar sus planes y a preparar a los líderes de la empresa. Una participación eficaz requiere unas semanas de planificación y funciona mejor cuando se utilizan situaciones y escenarios realistas. Por lo general, creamos vídeos en los que se simula a la empresa siendo criticada en las noticias de la noche, hacemos que los periodistas se presenten y exijan entrevistar al CEO o interrumpimos una conferencia de prensa para preguntar sobre el ciberataque. Hemos simulado sitios web oscuros en los que los ejecutivos pueden ver cómo se subasta su propiedad intelectual más valiosa al mejor postor y el precio de sus acciones cae como una roca. El primer paso es asegurarse de que los objetivos de aprendizaje son claros y determinar qué consecuencias de un ciberataque tendrán un impacto negativo grave en la organización. Los simulacros de incendio y los TTX ayudan a las organizaciones a identificar las vulnerabilidades y los riesgos que deben abordarse, a demostrar a la organización la magnitud del riesgo y la importancia de los recursos y la inversión en seguridad y a probar los planes de manera que todos estén preparados. Es casi seguro que ocurrirá algo imprevisto. Saber qué hacer ayuda a los ejecutivos a responder cuando ocurre algo inesperado. Cada prueba tiene un propósito diferente. Los TTX son ocasionales y ponen a prueba la capacidad de gestión y la respuesta a nivel de equipo; los simulacros de incendio son ejercicios periódicos que ponen a prueba a las personas, los procesos y las tecnologías para garantizar que responden de manera adecuada y que existen planes de contingencia en caso de que las respuestas de primera línea no funcionen. Si los sistemas digitales que dan soporte a la organización se ven comprometidos, es fundamental identificar planes de comunicación, planes operativos, copias de seguridad y recursos de emergencia alternativos que puedan rellenarse hasta que se puedan restablecer los procesos y sistemas normales. Sin estas pruebas, las empresas quedan vulnerables a cualquier cosa que se piense en el momento en que sus sistemas principales se vean comprometidos, y eso puede provocar una importante disrupción empresarial, como la que ha sufrido recientemente[Banco Santander](https://www.securitymagazine.com/articles/93120-large-scale-scam-targets-santander-bank-atms), el [Ciudad de Baltimore](https://www.baltimoresun.com/politics/bs-md-ci-ransomware-expenses-20190828-njgznd7dsfaxbbaglnvnbkgjhe-story.html), y recientemente, el [Tesoro de los Estados Unidos](https://www.nytimes.com/2020/12/13/us/politics/russian-hackers-us-government-treasury-commerce.html). ### Los 4 simulacros de incendio y TTX más eficaces Entonces, ¿por dónde debe empezar? Depende de a quién y de qué quiera hacer la prueba. Hemos descubierto cuatro tipos de simulacros de incendio y ejercicios de mesa que son los más efectivos. | **Público objetivo** | **Tipo y objetivo del ejercicio** | **Motivación** | **Duración aproximada del ejercicio** | | Consejo de administración | TTX: educación y sensibilización | Los consejos de administración deben saber qué hará la empresa en caso de una ciberemergencia. | De 1 a 2 horas | | Alta dirección | TTX: gestión de crisis | Los ejecutivos de nivel C necesitan tener planes de gestión de crisis para saber inmediatamente qué hacer y con quién contactar. | De 2 a 4 horas | | Organización | Simulacro de incendio: pruebe y practique planes de respuesta a incidentes y continuidad empresarial | Los simulacros detallados aumentan la confianza y la fuerza de la organización para responder de forma rápida y eficaz en toda la empresa. Especialmente útil para el equipo de gestión de cibercrisis. | De unas horas a varios días | | Equipo técnico | Simulacro de incendio: planificación de la respuesta técnica | Las pruebas periódicas garantizan que los sistemas de detección, las copias de seguridad de la tecnología y los planes de contingencia estén implementados y funcionando, y que el equipo técnico sepa qué hacer y cómo hacerlo. | Continuo, con un simulacro de incendio completo al menos trimestral | © HBR.org Cada uno de los enfoques enumerados anteriormente pone a prueba una parte diferente de los planes de la empresa. Un TTX para su equipo de nivel C les ayudará a poner en práctica el plan de respuesta actual de la empresa y a poner a prueba otras contingencias en caso de que se produzca algo inesperado. Un TTX para su junta ofrece una oportunidad similar. En última instancia, los TTX y los simulacros de incendio crean conciencia y crean valores, actitudes y creencias en torno a la importancia de que todos participen en la seguridad de la organización. Es importante destacar que cada prueba ayuda a las empresas a averiguar qué pasa con su plan _no lo es_ va a funcionar, y les da tiempo para arreglarlo antes de que tengan que ponerlo en acción. ## **Lo que probablemente descubra su organización** Un buen TTX sumerge a los participantes en un ciberataque para que puedan sentir los efectos de las decisiones que toman y la eficacia de los planes de la empresa. La mayoría de las organizaciones descubren algo en sus planes que antes no era evidente, como: ### Planes defectuosos e ingestionables: Una empresa de fabricación se dio cuenta de que su plan de respuesta a incidentes tenía 400 páginas y nadie lo había leído nunca. Cuando sus accionistas y la prensa obstruyen su centralita pidiendo información, sus empleados no saben qué hacer y el ciberdelincuente filtra gigabytes de datos o cifra sus ordenadores para que los empleados no puedan trabajar, no es el momento de que cada ejecutivo lea un documento de 400 páginas —de las que solo pueden aplicarse de 5 a 6 páginas— para determinar qué medidas tomar. ### Saber a quién llamar: En otro ejercicio, la solución de primera línea a la crisis fue que «alguien llame a Pat y él se encargará de ello comprobando este software». Sin embargo, solo una persona conocía a Pat, Pat no sabía que era su responsabilidad y el software no funcionaba realmente como la persona suponía. Es este nivel de detalle el que maximiza el valor del ejercicio. ### Nuevos riesgos imprevistos: Otras veces, estas pruebas pueden hacer que las empresas sean conscientes de los riesgos que nunca habían considerado, y mucho menos planificados. En 2018, organizamos varios TTX en los que el escenario incluía que varias ubicaciones físicas de una organización quedaran inhabitables y la organización tuvo que pasar a un escenario en el que todo trabajara desde casa. Sin saberlo, preparamos a estas organizaciones para la realidad de la situación actual de la COVID-19 (aunque algunas en ese momento no creían que hubiera una situación en la que esto pudiera ocurrir). ### Impactos más allá de la continuidad empresarial: Un TTX es una herramienta útil para destacar los impactos que van más allá de la continuidad empresarial. En una institución financiera muy grande, creamos un ejercicio con un escenario en el que los clientes perdían la confianza en hacer negocios con la organización. Uno de los altos ejecutivos detuvo el ejercicio a la mitad y respondió: «¡Se da cuenta de que él [el facilitador de TTX que se hace pasar por un ciberdelincuente] acaba de destruir nuestra empresa en un escenario plausible! Tenemos que invertir más en ciberseguridad». ### Motivación para invertir en ciberseguridad: En un[estudio reciente](https://wp.immersivelabs.com/content/uploads/2020/08/cyber-crisis-response-fit-for-todays-threat-landscape.pdf) de Osterman Research, el 45% de los encuestados dijo que, tras un TTX, podían aumentar sus presupuestos de seguridad. La mayor parte de este presupuesto se gastó en la adquisición de soluciones adicionales y en la formación de sus empleados. Este mismo estudio destacó que el 78% de los profesionales de la ciberseguridad creían que sus TTX y sus simulacros de incendio habían preparado mejor a sus organizaciones para responder a las ciberamenazas futuras. ## ¿Qué debe hacer su organización a continuación? El uso de una fuente externa para crear y llevar a cabo un simulacro de incendio o un TTX puede aumentar las ventajas. Los ejercicios diseñados internamente suelen carecer del nivel de sorpresa e inesperados escenarios e intervenciones. Tras crear los planes de respuesta, los miembros del equipo interno tienen dificultades para imaginarse algo inesperado. Además, los miembros del equipo pueden tener dificultades para desafiar a sus compañeros y altos ejecutivos, lo que resulta en pensar en grupo o dejar que el equipo se libere en lugar de cuestionar sus respuestas e ideas. Los líderes externos no tienen las mismas suposiciones y no se sientan a la mesa con la memoria y los hábitos institucionales de la organización. Presionar para obtener detalles y descubrir defectos en los planes puede limitar la carrera de una persona con información privilegiada, pero es algo esperado y necesario para un ejercicio eficaz. Dicho esto, si bien atraer a personas ajenas tiene sus ventajas (y nosotros diríamos que vale la pena el coste), las empresas pueden organizar estas pruebas por sí mismas. Estas son algunas de las mejores prácticas para crear y realizar sus propios ejercicios: 1. **Haga que las personas adecuadas estén en la sala.** Programe las sesiones con mucha antelación y dígales a los ejecutivos que son obligatorias. Conseguir que todos estén en la misma habitación o que llamen por Zoom durante las mismas 2 a 4 horas puede resultar difícil. 2. **Cree un cronograma de escenarios probables para su organización y comparta la información con cuidado.** Elija un ciberataque que le parezca plausible para su tipo de organización, ya que un ejercicio parecido a una situación real a la que se pueda encontrar su equipo será más atractivo. Decida si el ciberataque se llevará a cabo en un plazo de horas, días o semanas y asegúrese de comunicar cómo puede estar acelerando el tiempo ** ** durante el ejercicio. Los verdaderos ataques se producen con el tiempo, por lo que el desarrollo de los acontecimientos es importante para el ejercicio. En cada momento del cronograma, los participantes deben tomar la mejor decisión posible con la información de la que disponen. No dé a los participantes toda la información que les gustaría tener en un momento dado. Esto les ayuda a darse cuenta de lo que necesitan saber en caso de un incidente real. 3. **Cree el escenario para que cada miembro del equipo tenga un papel que desempeñar.** Es muy fácil decirle a otra persona lo que debe hacer, pero a veces es difícil escuchar o pensar en lo que debe hacer. Los planes de respuesta suelen incluir actividades para funciones específicas (qué debe hacer el CEO, qué debe hacer el CIO, qué debe hacer la función de Director de Recursos Humanos, etc.). Si es posible, comparta el plan de respuesta organizacional completo con el equipo con antelación para que sepan que existe (y espero que lo lean). Cree una versión abreviada, personalizada para cada participante, que contenga únicamente las funciones y responsabilidades de ese participante para ayudarlo a estar lo más preparado posible. 4. **Analice los planes de acción en cada pausa del cronograma**. Tras contarles a los participantes una parte del escenario, deles la oportunidad de hablar sobre lo que ellos sugerirían que hicieran. Pregúnteles si lo que están haciendo se ajusta al plan de respuesta a incidentes de la empresa o si están improvisando. Si están improvisando, ¿es porque el plan no es satisfactorio y hay que mejorarlo? Asegúrese de que alguien tome notas para que las ideas de estas discusiones no se pierdan. 5. **Practique antes del ejercicio de todo el equipo**. Los mejores ejercicios están bien pensados y ponen a prueba los planes de respuesta e improvisaciones actuales de la organización. Prepárese para ello realizando una breve práctica de TTX cara a cara con cada ejecutivo en la privacidad de su oficina o con una llamada privada. Explíqueles su función tal como se describe en el plan de respuesta actual. Esto evitará una situación en la que un ejecutivo no participe en el ejercicio grupal porque tiene miedo de ponerse en ridículo. Si bien esto puede ser una poderosa fuerza de cambio, a menudo resulta contraproducente y se traduce en señalar con el dedo, salir de la habitación u otro comportamiento cargado de emociones. Empresas que realizan simulacros de incendio y ejercicios de mesa[informe](https://www.natlawreview.com/article/incident-response-plan-saves-money) que ambos están mejor preparados para una cibercrisis y son más cohesionados como equipo ante una emergencia. La rentabilidad del TTX se puede hacer realidad rápidamente y el resultado es un aumento de la agilidad y la calidad de la respuesta, lo que podría reducir el impacto financiero en la organización en millones. Es hora de programar las sesiones de práctica de su equipo. _Reconocimiento: Esta investigación se financió, en parte, con fondos del consorcio Cybersecurity at MIT Sloan (CAMS) de la Escuela Sloan del MIT y del Boston Consulting Group. Todos los autores contribuyeron por igual._

Read more