Ejercicios de simulación de seguridad

Tipos de ejercicios de simulación de seguridad

Escenarios de intervención rápida

Un escenario de intervención rápida hace referencia a un ejercicio muy genérico que debe poder entenderse y discutirse con facilidad y rapidez", según la ISACA. Requiere poca o nula preparación y dura entre 10 y 30 minutos.

Los escenarios de intervención rápida pueden incluir a miembros del equipo con cualquier nivel de responsabilidad y de muy diversos perfiles. Estos miembros del equipo pueden revisar numerosos escenarios de seguridad y todos pueden actuar como gestores de respuesta a incidentes.

Escenarios exclusivamente técnicos

Los escenarios exclusivamente técnicos suelen tardar de una a dos horas. Estos escenarios fomentan discusiones técnicas exhaustivas y requieren mucha planificación. Permiten a los miembros del equipo evaluar los aspectos técnicos de un incidente de seguridad.

Normalmente, un escenario exclusivamente técnico implica un evento inicial. A medida que se desarrolla el evento, su organización puede añadirle más detalles. Esto puede ayudar a los miembros del equipo a prepararse para ciberataques complejos.

Escenarios con todas las partes interesadas

Un escenario con todas las partes interesadas es la versión extendida de un escenario exclusivamente técnico. Se centra en problemas técnicos y también en problemas no técnicos y en la logística.

Suele llevar entre dos y cuatro horas. Puede incluir a miembros del equipo técnico junto con profesionales del derecho, marketing y RR. HH.

Los escenarios con todas las partes interesadas son ideales para aquellas organizaciones que desean mejorar la comunicación entre sus equipos o departamentos. Puede ser beneficioso incluir a personal tanto técnico como no técnico en un ejercicio de simulación con todas las partes interesadas. Esto da la oportunidad a profesionales de numerosos equipos y departamentos de trabajar juntos para resolver un problema de seguridad.

Algunas organizaciones piden a los equipos o departamentos que se incorporen en distintos momentos durante el escenario. Así, estos equipos o departamentos pueden implicarse tal como lo harían si se produjera un incidente de seguridad real.

¿Quién ejecuta un ejercicio de simulación de seguridad?

Terceros

Los proveedores externos de servicios de ejercicios de simulación de seguridad facilitan y gestionan los escenarios y fomentan la discusión. Requieren poco o ningún esfuerzo en términos de preparación y ejecución.

Un tercero puede adaptar el ejercicio de simulación a su organización o entorno: analizará la organización y sus problemas de seguridad y, luego, desarrollará un ejercicio de simulación personalizado para su organización y sus equipos o departamentos.

A nivel interno

Su organización puede elaborar sus propios ejercicios de seguridad. Desarrollar e implementar estos ejercicios internamente puede resultar caro y tomar mucho tiempo, pero le permite adaptarlos por completo a su organización y entorno.

Con los ejercicios de simulación internos, los participantes se familiarizan con los retos de seguridad a los que se enfrenta su organización. Por ejemplo, estos retos pueden implicar sistemas que los participantes utilizan a diario, lo que los hace más "reales" y se consigue una mayor participación. También se garantiza que los integrantes trabajan juntos para identificar y solucionar problemas concretos que pueden afectar directamente a su organización, empleados y clientes. 

¿Cómo lleva a cabo Sophos los ejercicios de simulación de seguridad?

En Sophos elaboramos ejercicios de simulación de ciberseguridad personalizados para equipos y departamentos específicos. En un ejercicio, solemos comenzar con un problema de seguridad menor y animamos a los participantes a compartir entre ellos sus enfoques e ideas. A partir de ahí, nos servimos de "conclusiones" para subrayar la gravedad del problema.

Ofrecemos temas de escenarios de ciberseguridad que las organizaciones pueden utilizar para desarrollar y ejecutar sus propios ejercicios de simulación. Además, le ofrecemos los siguientes consejos para ayudarle a iniciarse en los ejercicios de simulación de seguridad:

Identifique a su público objetivo

Determine su público objetivo y después desarrolle su escenario de ciberseguridad. Por ejemplo, un escenario de seguridad complejo es ideal si está poniendo a prueba a su equipo de ciberseguridad.

De la misma manera, si va a poner a prueba a su equipo de TI o DevOps, opte por un problema que los participantes vayan a entender y al que vayan a dedicar el tiempo, la energía y la atención que merece.

Elija a los participantes correctos

Incluya a un único equipo o departamento o a varios en su escenario de seguridad. Un escenario con un solo equipo le permitirá ver cómo responden participantes específicos a un ciberataque. En cambio, incluir a varios equipos o departamentos fomentará la colaboración de las partes interesadas para solucionar el incidente de seguridad.

Determine cuándo involucrar a los participantes

Piense en qué momento debe incorporar a los distintos equipos o departamentos en su escenario de ciberseguridad. Por ejemplo, si la información de identificación personal (PII) de su organización se ha visto comprometida, quizás tenga que involucrar a los miembros del equipo o departamento jurídico para garantizar que se cumplen el RGPD y otras obligaciones relativas a la seguridad de los datos.

A veces, resulta beneficioso incluir a al menos una persona de cada equipo o departamento de su organización en un escenario de seguridad, ya que promueve la comunicación y la colaboración multidisciplinar entre equipos y departamentos de toda la organización.

Decida a cuántos participantes incluirá

Asegúrese de que su escenario incluye a participantes que puedan relacionarse y colaborar para lograr objetivos comunes. En nuestros escenarios, solemos incluir a hasta 25 participantes de distintos niveles de un equipo o departamento o de varios. Considere el tamaño de su organización y la estructura de sus equipos y departamentos a la hora de decidir cuántos participantes incluirá en sus ejercicios de simulación de seguridad.

Gestione el tiempo para el ejercicio

Dé tiempo suficiente a los participantes para completar el ejercicio de simulación. En Sophos, tratamos de evitar sesiones demasiado largas, porque a los participantes puede resultarles difícil coordinar sus calendarios y asistir a una sesión que dure más de unas pocas horas.

Prepare sus materiales

Elabore una presentación de PowerPoint u otros materiales para presentar el escenario. El equipo de Sophos suele utilizar presentaciones de PowerPoint para los ejercicios de simulación, en las que cada diapositiva presenta una progresión de eventos y preguntas para plantear a los participantes. Normalmente establecemos un máximo de 20 diapositivas para la mayoría de las presentaciones de PowerPoint que preparamos para estos ejercicios.

Cree la historia del ejercicio de simulación

Desarrolle un relato teórico y adapte la información que vaya a incluir de acuerdo a este. Las noticias recientes pueden ayudar a captar la atención de los participantes. Si se trata de una historia larga, puede dejar pistas en los sistemas y registros para que los participantes las encuentren y sigan.

Adapte el ejercicio de simulación a los participantes

Cree un ejercicio de simulación de ciberseguridad basándose en la madurez en materia de seguridad de sus participantes. Por ejemplo, una historia detallada puede resultar conveniente para participantes con muchos conocimientos y experiencia en ciberseguridad. En otras situaciones, puede funcionar mejor un escenario más genérico.

Si se decanta por una narrativa detallada, asegúrese de que sea realista. Por ejemplo, si quiere dirigirse a una parte concreta de su organización o red, obtenga asesoramiento de alguien sobre esa área. Así podrá desarrollar un escenario con el que su público objetivo pueda identificarse.

Pida la opinión de los participantes

Pregunte a los participantes si tienen alguna idea que pueda incorporar en el ejercicio. La mayoría de los participantes pueden aportar información sobre dificultades en materia de seguridad con las que se encuentran en su día a día. Puede utilizar estos puntos problemáticos para desarrollar un escenario que ayude a los participantes a buscar la manera de abordar esas dificultades en el futuro.

Trace el escenario

Elabore un diagrama de flujo que ilustre cómo podría desarrollarse el ataque simulado. Esto le ayudará a detectar lagunas en la historia.

Paralelamente, puede solicitar la opinión de miembros de equipos y departamentos que entiendan las cuestiones que se plantean en su historia. Los miembros de estos equipos y departamentos pueden ayudarle a solventar cualquier problema y a asegurarse de que el escenario es realista.

Cree preguntas para la discusión

Anote cualquier pregunta que surja durante el desarrollo del relato. Estas preguntas pueden fomentar la discusión entre los participantes del escenario.

Revise la historia

Repase su escenario varias veces antes de presentarlo a los participantes. Puede resultar difícil determinar cuánto tiempo tardarán los participantes en completar la historia. Si tiene dudas sobre el tiempo necesario, es mejor pecar de prudencia. Si ve que la presentación apura o excede el tiempo que tienen disponible los participantes, haga los cambios necesarios.

Establezca el tono del ejercicio

Cuando los participantes lleguen para el ejercicio, anime a todo el mundo a participar. Este ejercicio da la oportunidad a todos los participantes de expresarse y ayudar a su organización a mejorar su postura de seguridad. Si los participantes se comunican y colaboran entre sí, todos podrán sacar el máximo provecho del ejercicio.

Modere el ejercicio

Si modera el ejercicio, resista el impulso de participar. En este rol, puede presentar el escenario a los participantes y ayudarles a avanzar por el mismo. También puede darles tiempo para discutir distintos temas de la historia y plantearles preguntas y cuestiones para el debate.

Haga un seguimiento de los posibles problemas

Asegúrese de que alguien tome notas sobre cualquier problema que pueda surgir durante el ejercicio. Así podrá obtener información clave sobre estos problemas que, de otro modo, mermarían la eficacia de la historia.

Controle el tiempo

Programe un temporizador para el ejercicio y cíñase al tiempo asignado. Mantenga centrados a los participantes y recuérdeles que continúen trabajando en la historia a medida que avance.

Revise los resultados

Una vez terminado el ejercicio de simulación, revise los resultados y piense en cómo pueden integrarse en las operaciones diarias de su organización. Por ejemplo, si ha realizado la prueba con motivo de los requisitos de cumplimiento normativo, puede crear un PDF con la información necesaria para los auditores.

También puede dar a los participantes la oportunidad de revisar sus conclusiones y ejecutar el mismo ejercicio más adelante. Esto puede ser útil para confirmar si los cambios o las correcciones han ayudado a solventar los problemas detectados durante el ejercicio inicial.

Ejemplo de ejercicio de simulación de seguridad

Este es un ejercicio de simulación que preparamos y ejecutamos en Sophos.

Más información