Ejercicios de simulación de seguridad
Los ejercicios de simulación de seguridad ponen a prueba cómo funciona un equipo o un proceso. Consisten en una simulación en la que las principales partes interesadas debaten y analizan un hipotético ciberincidente para evaluar sus estrategias de respuesta, identificar sus puntos débiles y mejorar su preparación. Estos ejercicios ayudan a las organizaciones a perfeccionar sus planes de respuesta a incidentes, mejorar la comunicación y reforzar la resiliencia frente a las amenazas del mundo real.

Por qué son importantes los ejercicios de simulación de seguridad
- Identificación de puntos ciegos: los ejercicios de simulación de ciberseguridad le ayudan a identificar puntos ciegos de ciberseguridad antes de que los ciberdelincuentes puedan encontrarlos y explotarlos.
- Análisis de la postura de seguridad: con los ejercicios de simulación de ciberseguridad, puede evaluar su postura de seguridad y buscar formas de optimizarla.
- Análisis de la comunicación: los ejercicios de simulación para la ciberseguridad pueden identificar problemas de comunicación entre los equipos o departamentos que pueden mermar su capacidad para remediar los ciberataques.
- Cumplimiento: realizar y documentar ejercicios de simulación en pro de la seguridad es un requisito de preparación contra incidentes exigido por los programas de seguridad de muchos sectores estrictamente regulados.
Tipos de ejercicios de simulación de seguridad
Escenarios de intervención rápida
Un escenario de intervención rápida hace referencia a un ejercicio muy genérico que debe poder entenderse y discutirse con facilidad y rapidez", según la ISACA. Requiere poca o nula preparación y dura entre 10 y 30 minutos.
Los escenarios de intervención rápida pueden incluir a miembros del equipo con cualquier nivel de responsabilidad y de muy diversos perfiles. Estos miembros del equipo pueden revisar numerosos escenarios de seguridad y todos pueden actuar como gestores de respuesta a incidentes.
Escenarios exclusivamente técnicos
Los escenarios exclusivamente técnicos suelen tardar de una a dos horas. Estos escenarios fomentan discusiones técnicas exhaustivas y requieren mucha planificación. Permiten a los miembros del equipo evaluar los aspectos técnicos de un incidente de seguridad.
Normalmente, un escenario exclusivamente técnico implica un evento inicial. A medida que se desarrolla el evento, su organización puede añadirle más detalles. Esto puede ayudar a los miembros del equipo a prepararse para ciberataques complejos.
Escenarios con todas las partes interesadas
Un escenario con todas las partes interesadas es la versión extendida de un escenario exclusivamente técnico. Se centra en problemas técnicos y también en problemas no técnicos y en la logística.
Suele llevar entre dos y cuatro horas. Puede incluir a miembros del equipo técnico junto con profesionales del derecho, marketing y RR. HH.
Los escenarios con todas las partes interesadas son ideales para aquellas organizaciones que desean mejorar la comunicación entre sus equipos o departamentos. Puede ser beneficioso incluir a personal tanto técnico como no técnico en un ejercicio de simulación con todas las partes interesadas. Esto da la oportunidad a profesionales de numerosos equipos y departamentos de trabajar juntos para resolver un problema de seguridad.
Algunas organizaciones piden a los equipos o departamentos que se incorporen en distintos momentos durante el escenario. Así, estos equipos o departamentos pueden implicarse tal como lo harían si se produjera un incidente de seguridad real.
¿Quién ejecuta un ejercicio de simulación de seguridad?
Terceros
Los proveedores externos de servicios de ejercicios de simulación de seguridad facilitan y gestionan los escenarios y fomentan la discusión. Requieren poco o ningún esfuerzo en términos de preparación y ejecución.
Un tercero puede adaptar el ejercicio de simulación a su organización o entorno: analizará la organización y sus problemas de seguridad y, luego, desarrollará un ejercicio de simulación personalizado para su organización y sus equipos o departamentos.
A nivel interno
Su organización puede elaborar sus propios ejercicios de seguridad. Desarrollar e implementar estos ejercicios internamente puede resultar caro y tomar mucho tiempo, pero le permite adaptarlos por completo a su organización y entorno.
Con los ejercicios de simulación internos, los participantes se familiarizan con los retos de seguridad a los que se enfrenta su organización. Por ejemplo, estos retos pueden implicar sistemas que los participantes utilizan a diario, lo que los hace más "reales" y se consigue una mayor participación. También se garantiza que los integrantes trabajan juntos para identificar y solucionar problemas concretos que pueden afectar directamente a su organización, empleados y clientes.
¿Cómo lleva a cabo Sophos los ejercicios de simulación de seguridad?
En Sophos elaboramos ejercicios de simulación de ciberseguridad personalizados para equipos y departamentos específicos. En un ejercicio, solemos comenzar con un problema de seguridad menor y animamos a los participantes a compartir entre ellos sus enfoques e ideas. A partir de ahí, nos servimos de "conclusiones" para subrayar la gravedad del problema.
Ofrecemos temas de escenarios de ciberseguridad que las organizaciones pueden utilizar para desarrollar y ejecutar sus propios ejercicios de simulación. Además, le ofrecemos los siguientes consejos para ayudarle a iniciarse en los ejercicios de simulación de seguridad:
Identifique a su público objetivo
Determine su público objetivo y después desarrolle su escenario de ciberseguridad. Por ejemplo, un escenario de seguridad complejo es ideal si está poniendo a prueba a su equipo de ciberseguridad.
De la misma manera, si va a poner a prueba a su equipo de TI o DevOps, opte por un problema que los participantes vayan a entender y al que vayan a dedicar el tiempo, la energía y la atención que merece.
Elija a los participantes correctos
Incluya a un único equipo o departamento o a varios en su escenario de seguridad. Un escenario con un solo equipo le permitirá ver cómo responden participantes específicos a un ciberataque. En cambio, incluir a varios equipos o departamentos fomentará la colaboración de las partes interesadas para solucionar el incidente de seguridad.
Determine cuándo involucrar a los participantes
Piense en qué momento debe incorporar a los distintos equipos o departamentos en su escenario de ciberseguridad. Por ejemplo, si la información de identificación personal (PII) de su organización se ha visto comprometida, quizás tenga que involucrar a los miembros del equipo o departamento jurídico para garantizar que se cumplen el RGPD y otras obligaciones relativas a la seguridad de los datos.
A veces, resulta beneficioso incluir a al menos una persona de cada equipo o departamento de su organización en un escenario de seguridad, ya que promueve la comunicación y la colaboración multidisciplinar entre equipos y departamentos de toda la organización.
Decida a cuántos participantes incluirá
Asegúrese de que su escenario incluye a participantes que puedan relacionarse y colaborar para lograr objetivos comunes. En nuestros escenarios, solemos incluir a hasta 25 participantes de distintos niveles de un equipo o departamento o de varios. Considere el tamaño de su organización y la estructura de sus equipos y departamentos a la hora de decidir cuántos participantes incluirá en sus ejercicios de simulación de seguridad.
Gestione el tiempo para el ejercicio
Dé tiempo suficiente a los participantes para completar el ejercicio de simulación. En Sophos, tratamos de evitar sesiones demasiado largas, porque a los participantes puede resultarles difícil coordinar sus calendarios y asistir a una sesión que dure más de unas pocas horas.
Prepare sus materiales
Elabore una presentación de PowerPoint u otros materiales para presentar el escenario. El equipo de Sophos suele utilizar presentaciones de PowerPoint para los ejercicios de simulación, en las que cada diapositiva presenta una progresión de eventos y preguntas para plantear a los participantes. Normalmente establecemos un máximo de 20 diapositivas para la mayoría de las presentaciones de PowerPoint que preparamos para estos ejercicios.
Cree la historia del ejercicio de simulación
Desarrolle un relato teórico y adapte la información que vaya a incluir de acuerdo a este. Las noticias recientes pueden ayudar a captar la atención de los participantes. Si se trata de una historia larga, puede dejar pistas en los sistemas y registros para que los participantes las encuentren y sigan.
Adapte el ejercicio de simulación a los participantes
Cree un ejercicio de simulación de ciberseguridad basándose en la madurez en materia de seguridad de sus participantes. Por ejemplo, una historia detallada puede resultar conveniente para participantes con muchos conocimientos y experiencia en ciberseguridad. En otras situaciones, puede funcionar mejor un escenario más genérico.
Si se decanta por una narrativa detallada, asegúrese de que sea realista. Por ejemplo, si quiere dirigirse a una parte concreta de su organización o red, obtenga asesoramiento de alguien sobre esa área. Así podrá desarrollar un escenario con el que su público objetivo pueda identificarse.
Pida la opinión de los participantes
Pregunte a los participantes si tienen alguna idea que pueda incorporar en el ejercicio. La mayoría de los participantes pueden aportar información sobre dificultades en materia de seguridad con las que se encuentran en su día a día. Puede utilizar estos puntos problemáticos para desarrollar un escenario que ayude a los participantes a buscar la manera de abordar esas dificultades en el futuro.
Trace el escenario
Elabore un diagrama de flujo que ilustre cómo podría desarrollarse el ataque simulado. Esto le ayudará a detectar lagunas en la historia.
Paralelamente, puede solicitar la opinión de miembros de equipos y departamentos que entiendan las cuestiones que se plantean en su historia. Los miembros de estos equipos y departamentos pueden ayudarle a solventar cualquier problema y a asegurarse de que el escenario es realista.
Cree preguntas para la discusión
Anote cualquier pregunta que surja durante el desarrollo del relato. Estas preguntas pueden fomentar la discusión entre los participantes del escenario.
Revise la historia
Repase su escenario varias veces antes de presentarlo a los participantes. Puede resultar difícil determinar cuánto tiempo tardarán los participantes en completar la historia. Si tiene dudas sobre el tiempo necesario, es mejor pecar de prudencia. Si ve que la presentación apura o excede el tiempo que tienen disponible los participantes, haga los cambios necesarios.
Establezca el tono del ejercicio
Cuando los participantes lleguen para el ejercicio, anime a todo el mundo a participar. Este ejercicio da la oportunidad a todos los participantes de expresarse y ayudar a su organización a mejorar su postura de seguridad. Si los participantes se comunican y colaboran entre sí, todos podrán sacar el máximo provecho del ejercicio.
Modere el ejercicio
Si modera el ejercicio, resista el impulso de participar. En este rol, puede presentar el escenario a los participantes y ayudarles a avanzar por el mismo. También puede darles tiempo para discutir distintos temas de la historia y plantearles preguntas y cuestiones para el debate.
Haga un seguimiento de los posibles problemas
Asegúrese de que alguien tome notas sobre cualquier problema que pueda surgir durante el ejercicio. Así podrá obtener información clave sobre estos problemas que, de otro modo, mermarían la eficacia de la historia.
Controle el tiempo
Programe un temporizador para el ejercicio y cíñase al tiempo asignado. Mantenga centrados a los participantes y recuérdeles que continúen trabajando en la historia a medida que avance.
Revise los resultados
Una vez terminado el ejercicio de simulación, revise los resultados y piense en cómo pueden integrarse en las operaciones diarias de su organización. Por ejemplo, si ha realizado la prueba con motivo de los requisitos de cumplimiento normativo, puede crear un PDF con la información necesaria para los auditores.
También puede dar a los participantes la oportunidad de revisar sus conclusiones y ejecutar el mismo ejercicio más adelante. Esto puede ser útil para confirmar si los cambios o las correcciones han ayudado a solventar los problemas detectados durante el ejercicio inicial.
Ejemplo de ejercicio de simulación de seguridad
Este es un ejercicio de simulación que preparamos y ejecutamos en Sophos.
Recursos de simulación de ciberseguridad
La Agencia de Seguridad Cibernética y de la Infraestructura (CISA) de EE. UU. ofrece recursos para ayudar a las organizaciones a realizar sus propios ejercicios de simulación. Puede acceder a más de 100 ejercicios de simulación de la CISA (CTEP) diseñados para cubrir distintos escenarios de amenazas, entre ellos:
- Ciberseguridad: cubre ransomware, amenazas internas, phishing, vulneración de sistemas de control industrial (ICS) y otros escenarios relativos a la ciberseguridad.
- Seguridad física: incluye tiroteos activos, vehículos ariete, artefactos explosivos improvisados, vehículos aéreos no tripulados y otros escenarios relativos a la seguridad física.
- Convergencia ciberfísica: se centra en las repercusiones físicas de vectores de ciberamenazas y en el impacto cibernético de vectores de amenazas físicas.
Además de lo anterior, la CISA ofrece plantillas predefinidas que puede utilizar para desarrollar sus propios ejercicios de simulación.
Autor: Luke Groves | Senior Manager | Red Team, Ciberseguridad
Fecha: Septiembre de 2023