Por qué está creciendo la demanda de ejercicios de mesa

A las organizaciones que se defienden regularmente contra ataques cibernéticos les puede resultar útil dar un paso atrás de vez en cuando y probar sus capacidades de defensa y respuesta. Una forma de hacerlo es mediante simulacros de ciberseguridad, que brindan a las organizaciones una instantánea de su capacidad para manejar ransomware, phishing y otros ataques.

Los simulacros de ciberseguridad se presentan de muchas formas, incluidas pruebas de penetración, simulaciones de phishing y ejercicios con fuego real; algunos escenarios cuestan cientos de miles de dólares y duran varios días o incluso semanas.

Los menos complejos de estos ejercicios son ejercicios de mesa, que normalmente dura de dos a cuatro horas y puede costar menos de $50,000 (a veces mucho menos), y gran parte del gasto está relacionado con la planificación y facilitación del evento.

A diferencia de otros ejercicios, los ejercicios prácticos a menudo no implican ataques a sistemas de TI activos. En cambio, un facilitador presenta un escenario de ciberataque y los empleados de la organización cliente discuten los pasos que tomarían en respuesta.

Este enfoque común para los ejercicios teóricos es de la vieja escuela y de baja tecnología, pero sus defensores dicen que un escenario bien administrado puede exponer lagunas en los planes de respuesta y mitigación de las organizaciones.

Los ejercicios de mesa están en demanda

La demanda de ejercicios prácticos ha crecido exponencialmente en los últimos dos años, impulsada por cuestiones de cumplimiento, directivas de la junta directiva y mandatos de seguros cibernéticos, afirma Mark Lance, vicepresidente de respuesta a incidentes de GuidePoint Security, una firma consultora de ciberseguridad.

En algunos casos, los empleados solicitan ejercicios prácticos para ayudar a educar a los ejecutivos. "La gente quiere que sus equipos de liderazgo superior comprendan los verdaderos impactos de un posible incidente", dice Lance.

Muchas organizaciones de ciberseguridad promueven ejercicios prácticos como una forma para que las organizaciones prueben y mejoren su respuesta a incidentes y sus planes de comunicación interna y externa después de un ciberataque. El Centro sin fines de lucro para la seguridad de Internet llama a las mesas “imprescindible”, enfatizando que ayudan a las organizaciones a coordinar mejor unidades de negocios separadas en respuesta a un ataque e identificar a los empleados que desempeñarán roles críticos durante y después de un ataque.

No existen formas de cortar y pegar para realizar un ejercicio teórico, aunque la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. proporciona paquetes para ayudar a las organizaciones a comenzar. Algunas organizaciones ejecutan mesas de trabajo con equipos internos, aunque el enfoque más común es contratar a un proveedor externo de ciberseguridad.

Cómo funcionan los ejercicios de mesa

En una mesa típica, el facilitador dirige una discusión haciendo una serie de preguntas. Por ejemplo, un escenario puede comenzar con un empleado que llama a un servicio de asistencia técnica después de ver una actividad inusual en la red de la empresa. Algunas preguntas en un tablero para los equipos de TI podrían ser:

Un tablero para ejecutivos podría incluir las siguientes preguntas:

Las mesas pueden comenzar con cientos de escenarios diferentes, incluidos problemas generalizados como ransomware y ataques de phishing. Sin embargo, para tener éxito, los tableros individuales deben centrarse específicamente en la organización o su industria, dice Lance, añadiendo que el éxito o fracaso de una mesa Depende en gran medida de la capacidad del proveedor para planificar el ejercicio y dirigirlo al cliente específico.

"Cuanto más específico sea para su entorno, más propensos estarán a mantenerse comprometidos e interesados, porque tiene un nivel de autenticidad y validez", dice.

GuidePoint, por ejemplo, recurre a su propio equipo de inteligencia de amenazas para generar escenarios del mundo real que sean realistas para el cliente y que representen amenazas recientes o emergentes.

Otra forma de garantizar el éxito es realizar ejercicios teóricos separados para los equipos técnicos y de alta dirección de una organización. Lance dice que estos dos grupos se benefician de escenarios diferentes. Los ejecutivos a menudo quieren hablar sobre cuestiones de toda la empresa y sobre las decisiones de alto nivel que deben tomarse. Por el contrario, los técnicos quieren profundizar en el meollo de la cuestión de detener y mitigar un ataque.

"Si realiza una mesa técnica, es posible que sus recursos técnicos no se abran de la misma manera si cuenta con altos directivos a su lado", dice Lance. “En el otro sentido, es posible que los altos directivos no quieran parecer poco técnicos o estúpidos frente a sus recursos técnicos, por lo que es posible que no se abran tanto. [Con ambos grupos involucrados], tienes una voz demasiado alta en la sala”.

Aprendizaje a través de escenarios realistas

Además de no proporcionar un escenario realista, los facilitadores de los ejercicios prácticos también pueden fallar al no mantener al grupo involucrado o al ser más un observador que un líder, dice Curtis Fechner, líder de práctica cibernética y miembro de ingeniería en Cybersecurity Consulting and Integration. proveedor Optiv. La participación de los participantes es el factor más importante para el éxito de una mesa de trabajo, añade.

“Si soy muy pasivo”, dice Fechner, “si no les hago preguntas ni cuestiono sus respuestas y simplemente les dejo hablar pasivamente, o si hay un grupo de personas [quejándose] entre sí sobre un problema, eso mata el ejercicio, el impulso y la energía”.

Sin embargo, si se ha planificado un escenario relevante y se ha mantenido a los participantes interesados, es difícil que un ejercicio práctico fracase, afirma. Una discusión bien facilitada dará como resultado que los participantes aprendan sobre los planes de respuesta a incidentes de su organización e identifiquen áreas que podrían mejorarse.

La mayoría de los ejercicios de ciberseguridad contienen una curva de aprendizaje para todos los involucrados, dice Peter Manev, cofundador y director de estrategia de Stamus Networks, un proveedor de respuesta y detección de redes. En diciembre, Stamus Networks participó en un ejercicio con fuego real llamado Crossed Swords, organizado por la Centro de Excelencia Cooperativa de Ciberdefensa de la OTAN (CCDCOE).

Los mejores resultados de los ejercicios teóricos se obtienen cuando “los equipos se unen, aprenden juntos, intercambian información y experiencias y, por supuesto, progresan”, dice Manev. "En mi opinión, si eso sucede, ya habrás logrado algo".

Al final de un ejercicio, a Fechner le gusta tomarse media hora para discutir las lecciones aprendidas. Pregunta a los participantes qué creen que hicieron bien y dónde estaban los puntos débiles.

“Para mí, eso es un tablero exitoso: cuando logras que esas personas realmente hagan ese tipo de autoanálisis y salgan con esa introspección”, dice. “Cuando se señalan los problemas, eso, para mí, define un ejercicio teórico exitoso”.

Al evaluar su ejercicio, los participantes deben centrarse en la mejora continua de las prácticas de ciberseguridad, añade Fechner. "Lo bueno de una mesa es que es un tipo de evento sin fallas", dice. "Siendo realistas, se trata de exponer estas oportunidades para crecer y mejorar".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cybersecurity-operations/why-demand-for-tabletop-exercises-is-growing