Doxa 1119

Los ciberataques son inevitables. ¿Está preparada su empresa?

La primera vez que pruebe su plan no debería ser durante una crisis.

Por Keri Pearlson, Brett Thorson, Stuart Madnick y Michael Coden 
Tecnología
Harvard Business Review
Resumen. Prepararse para lo inesperado es mucho más fácil de decir que de hacer. En el caso de los ciberataques, muchas empresas tienen vulnerabilidades en sus defensas y reacciones para las que no están preparadas y que los piratas informáticos probarán. Muchas organizaciones pueden beneficiarse de la institución de simulacros de incendio y ejercicios de mesa, que prueban el plan de respuesta de una empresa en todos los niveles. Es casi seguro que estos ejercicios revelarán brechas en la seguridad, los planes de respuesta y la familiaridad de los empleados con sus propios roles. Si bien invertir en facilitadores externos para estos ejercicios a menudo permitirá una prueba más rigurosa separada de la dinámica interna, existe una guía para las organizaciones que desean ejecutar ejercicios internos para prepararse mejor para un ciberataque.
Los ciberataques siempre ocurren cuando menos los esperas. Y cuando suceden, suceden rápidamente. Responder adecuadamente no es solo responsabilidad de su equipo de ciberseguridad; todos en la organización tienen un papel que desempeñar. ¿Está preparado tu equipo? ¿Saben qué hacer y qué no hacer? Más importante aún, ¿todo su equipo ha practicado su respuesta? Todos (la junta directiva, los ejecutivos de la empresa, los gerentes y los miembros del equipo) deben conocer sus roles y responsabilidades y resolver cualquier problema potencial con su respuesta antes de que un ciberataque en vivo ejerza una gran presión sobre la organización.

Existe una manera fácil de determinar si su plan de respuesta a incidentes (IRP) funciona y si su equipo conoce sus roles: una prueba. Sin embargo, una encuesta de Ponemon determinó que el 47% de las organizaciones no han evaluado la preparación de sus equipos de respuesta a incidentes, lo que significa que la primera vez que prueban sus planes será en el peor momento posible: en medio de un ciberataque. Los piratas informáticos prueban constante y sistemáticamente sus defensas y reacciones. Debes hacer lo mismo.

En nuestro trabajo para ayudar a las organizaciones, tanto públicas como privadas, grandes y pequeñas, nacionales e internacionales, a planificar los ataques cibernéticos, hemos descubierto que los simulacros de incendio y los ejercicios de mesa (TTX) son una excelente manera de prepararse para lo peor.

Simulacros de incendio y ejercicios de mesa

Piense en un escenario de la sala de emergencias después de un accidente de coche. Cuando llegan pacientes con lesiones graves, el personal de la sala de emergencias debe saber exactamente qué hacer y cómo hacerlo. No pueden estar aprendiendo al mismo tiempo que ocurre la crisis. Lo mismo ocurre con los ejecutivos C-suite y la alta dirección. Para asegurarse de que estén alineados y sean conscientes de los planes de la empresa durante un ciberataque, deben practicar con anticipación y desarrollar una memoria muscular sobre cómo responder. Los escenarios simulados ayudan a las organizaciones a validar sus planes y preparar a los líderes de la empresa.

Un compromiso efectivo requiere algunas semanas de planificación y funciona mejor cuando se utilizan situaciones y escenarios realistas. Por lo general, creamos videos que simulan que la empresa es criticada en los noticieros de la noche, hacemos que los periodistas se presenten y exijan entrevistar al CEO o interrumpimos una conferencia de prensa para preguntar sobre el ciberataque. Hemos simulado sitios web oscuros donde los ejecutivos pueden ver su propiedad intelectual más valiosa subastada al mejor postor y el precio de sus acciones cayendo como una roca.

El primer paso es asegurarse de que haya objetivos de aprendizaje claros y determinar qué consecuencias del ciberataque tendrán un impacto negativo grave en la organización. Los simulacros de incendio y los TTX ayudan a las organizaciones a identificar vulnerabilidades y riesgos que deben abordarse, demostrar a la organización la magnitud del riesgo y la importancia de los recursos y la inversión en seguridad, y probar los planes de una manera que ayude a todos a estar preparados. Es casi seguro que ocurrirá algo inesperado. Saber qué hacer ayuda a los ejecutivos a responder cuando sucede algo inesperado.

Cada prueba tiene un propósito diferente. Los TTX son la capacidad de gestión ocasional y de prueba y la respuesta a nivel de equipo; Los simulacros de incendio son ejercicios regulares que prueban a las personas, los procesos y las tecnologías para asegurarse de que responden de manera adecuada y de que existen planes de contingencia en caso de que las respuestas de primera línea no funcionen. Si los sistemas digitales que respaldan a la organización se ven comprometidos, es fundamental tener planes de comunicación alternativos, planes operativos, copias de seguridad y recursos de emergencia identificados que puedan reabastecerse hasta que se puedan restaurar los procesos y sistemas normales. Sin estas pruebas, las empresas quedan vulnerables a lo que se pueda pensar en el momento en que sus sistemas principales se vean comprometidos, y eso puede resultar en una disrupción importante del negocio como la que experimentó recientemente el Banco Santander., la ciudad de Baltimore y, recientemente, el Tesoro de los Estados Unidos .

Los 4 simulacros de incendio y TTX más efectivos

Entonces, ¿En dónde debes empezar? Depende de quién y qué quieras probar. Hemos descubierto que cuatro tipos de simulacros de incendio y ejercicios de mesa son los más efectivos.
Público objetivo Tipo y objetivo del ejercicio Motivación Duración aproximada del ejercicio
Junta Directiva TTX: educación y conciencia Las juntas deben saber qué hará la empresa en caso de una ciber emergencia. 1-2 horas
C-suite TTX: gestión de crisis Los ejecutivos de nivel C deben tener planes para la gestión de crisis para que sepan inmediatamente qué hacer y a quién contactar. 2-4 horas
Organización Simulacro de incendio: pruebe y practique la respuesta a incidentes y los planes de continuidad del negocio Los simulacros detallados generan confianza y fortaleza organizacional para responder rápida y eficazmente en toda la empresa. Especialmente útil para el equipo de gestión de cibercrisis.
De unas horas
a varios
días
 
Equipo técnico Simulacro de incendio: planificación de respuesta técnica Las pruebas periódicas garantizan que los sistemas de detección, las copias de seguridad de la tecnología y los planes de contingencia estén en su lugar y en funcionamiento, y que el equipo técnico sepa qué hacer y cómo hacerlo. Continuo, con un simulacro de incendio completo al menos trimestralmente
 © HBR.org

Cada enfoque enumerado anteriormente prueba una parte diferente de los planes de una empresa. Un TTX para su equipo de nivel C les ayudará a practicar el plan de respuesta actual de la empresa y a probar contingencias alternativas en caso de que ocurra algo inesperado. Un TTX para su placa brinda una oportunidad similar. En última instancia, los TTX y los simulacros de incendio generan conciencia y crean valores, actitudes y creencias sobre la importancia de que todos participen para mantener la seguridad de la organización. Es importante destacar que cada prueba ayuda a las empresas a descubrir qué aspectos de su plan no van a funcionar y les da tiempo para solucionarlo antes de tener que ponerlo en práctica.

Lo que probablemente descubrirá su organización

Un buen TTX sumerge a los participantes en un ciberataque para que puedan sentir los efectos de las decisiones que toman y la efectividad de los planes de la empresa. La mayoría de las organizaciones descubren algo sobre sus planes que anteriormente no había sido obvio, como por ejemplo:

Planes defectuosos e inmanejables: Una empresa de fabricación se dio cuenta de que su plan de respuesta a incidentes tenía 400 páginas y nadie lo había leído nunca. Cuando sus accionistas y la prensa están obstruyendo su centralita pidiendo información, sus empleados no están seguros de qué hacer y el ciberdelincuente está exfiltrando gigabytes de datos o encriptando sus computadoras para que los empleados no puedan trabajar, ese no es el momento para que cada ejecutivo lo haga. lea un documento de 400 páginas, de las cuales solo pueden aplicarse entre 5 y 6 páginas, para determinar qué acciones tomar. 

Saber a quién llamar: En otro ejercicio, la solución de primera línea a la crisis fue que "alguien llamará a Pat y se encargará de eso comprobando este software". Sin embargo, solo una persona conocía a Pat, Pat no sabía que era su responsabilidad y el software realmente no funcionaba como la persona asumió. Es este nivel de detalle el que maximiza el valor del ejercicio. 

Nuevos riesgos imprevistos: En otras ocasiones, estas pruebas pueden hacer que las empresas tomen conciencia de los riesgos que nunca habían considerado, y mucho menos planeados. En 2018, realizamos varios TTX en los que el escenario incluía varias ubicaciones físicas de una organización que eran inhabitables, y la organización tuvo que mudarse a un escenario de trabajo desde casa. Sin saberlo, preparamos a estas organizaciones para la realidad de la situación actual de Covid-19 (aunque algunos en ese momento no creían que hubiera una situación en la que esto pudiera ocurrir).

Impactos más allá de la continuidad del negocio: Un TTX es una herramienta útil para resaltar impactos más allá de la continuidad del negocio. En una institución financiera muy grande, creamos un ejercicio con un escenario que provocó que los clientes perdieran la confianza para hacer negocios con la organización. Uno de los ejecutivos de alto nivel detuvo el ejercicio a la mitad y respondió: “¡Se da cuenta de que él [el facilitador de TTX que se hace pasar por un ciberdelincuente] acaba de destruir nuestra empresa con un escenario plausible! Necesitamos invertir más en ciberseguridad ". Motivación para invertir en ciberseguridad:

En un  estudio reciente de Osterman Research, el 45% de los encuestados dijo que después de un TTX, pudieron aumentar sus presupuestos de seguridad. La mayor parte de este presupuesto se gastó en adquirir soluciones adicionales y capacitar a su fuerza laboral. Este mismo estudio destacó que el 78% de los profesionales de la ciberseguridad creían que sus TTX y simulacros de incendio habían preparado mejor a sus organizaciones para responder a futuras amenazas cibernéticas.

¿Qué debería hacer su organización a continuación?

El uso de una fuente externa para crear y realizar un simulacro de incendio o TTX puede aumentar los beneficios. Los ejercicios diseñados internamente a menudo carecen del nivel de sorpresa y de escenarios e intervenciones inesperados. Después de crear los planes de respuesta, los miembros del equipo interno tienen dificultades para imaginar algo inesperado. Además, los miembros del equipo pueden tener dificultades para desafiar a sus pares y altos ejecutivos, lo que genera un pensamiento grupal o deja que el equipo se libere en lugar de desafiar sus respuestas e ideas. Los líderes externos no tienen los mismos supuestos y no vienen a la mesa con la memoria y los hábitos institucionales de la organización. Presionar para obtener detalles y descubrir fallas en los planes puede limitar la carrera de alguien con información privilegiada, pero se espera y es necesario para un ejercicio efectivo.

Dicho esto, si bien hay beneficios de atraer a personas externas (y argumentamos que vale la pena el costo), las empresas pueden organizar estas pruebas por su cuenta. A continuación, se muestran algunas prácticas recomendadas para crear y realizar sus propios ejercicios:
  1. Consiga a las personas adecuadas en la sala. Programe sesiones con mucha anticipación e informe a los ejecutivos que son obligatorias. Hacer que todos estén en la misma habitación o llamar a Zoom durante las mismas 2-4 horas puede ser un desafío.
  2. Cree un cronograma de escenarios probables para su organización y comparta la información con cuidado. Elija un ciberataque que parezca plausible para su tipo de organización, ya que un ejercicio cercano a una situación real que podría encontrar su equipo será más atractivo. Decida si el ciberataque se llevará a cabo durante horas, días o semanas, y asegúrese de comunicar cómo puede acelerar el tiempo  durante el ejercicio. Los ataques reales ocurren con el tiempo, por lo que el desarrollo de los eventos es importante para el ejercicio. En cada punto de la línea de tiempo, los participantes deben tomar la mejor decisión posible con la información que tienen. No dé a los participantes toda la información que les gustaría tener en un momento dado. Esto les ayuda a darse cuenta de lo que necesitan saber en un incidente real.
  3. Cree el escenario para que cada miembro del equipo tenga un papel que desempeñar. Es muy fácil decirle a otra persona lo que debe hacer, pero a veces es difícil escuchar o pensar en lo que debe hacer. Los planes de respuesta a menudo tienen actividades para roles específicos (qué debe hacer el CEO, qué debe hacer el CIO, qué debe hacer el rol de CHRO, etc.). Si es posible, comparta el plan de respuesta organizacional completo con el equipo con anticipación para que sepan que existe (y con suerte lo lean). Cree una versión abreviada, personalizada para cada participante, que contenga solo los roles y responsabilidades de ese participante para ayudarlo a estar lo más preparado posible.
  4. Discuta los planes de acción en cada pausa del cronograma . Después de contarles a los participantes una parte del escenario, déles la oportunidad de discutir lo que sugerirían hacer. Pregúnteles si lo que están haciendo se ajusta al plan de respuesta a incidentes de la empresa o si están improvisando. Si están improvisando, ¿es porque el plan no es satisfactorio y debe mejorarse? Asegúrese de que alguien tome notas para que las ideas de estas discusiones no se pierdan.
  5. Practica antes del ejercicio de equipo completo . Los mejores ejercicios han sido bien pensados ​​y prueban los planes de respuesta e improvisaciones actuales de la organización. Prepárese para esto ejecutando una breve práctica TTX uno a uno con cada ejecutivo en la privacidad de su oficina o una llamada privada. Explíquelos a través de su función como se describe en el plan de respuesta actual. Esto evitará una situación en la que un ejecutivo no participe en el ejercicio grupal porque tiene miedo de avergonzarse a sí mismo. Si bien esto puede ser una fuerza poderosa para el cambio, a menudo resulta contraproducente y resulta en señalar con el dedo, salir de la habitación u otro comportamiento cargado de emociones.
Las empresas que realizan simulacros de incendio y ejercicios de sobremesa informan que están mejor preparadas para una cibercrisis y más cohesionadas como equipo ante una emergencia. El costo-beneficio de TTX se puede realizar rápidamente, y el resultado es un aumento en la agilidad y la calidad de una respuesta que podría reducir el impacto financiero en una organización en millones. Es hora de programar las sesiones de práctica de su equipo.

Reconocimiento: Esta investigación fue apoyada, en parte, por fondos del consorcio Cybersecurity at MIT Sloan (CAMS) en MIT's Sloan School y Boston Consulting Group. Todos los autores contribuyeron por igual.

Keri Pearlson es la directora ejecutiva de CAMS, un grupo de investigación de ciberseguridad en MIT Sloan School.

Brett Thorson es gerente senior de ciberseguridad en BCG Platinion en Boston Consulting Group.

Stuart Madnick  es profesor John Norris Maguire (1960) de tecnologías de la información en la MIT Sloan School of Management, profesor de sistemas de ingeniería en la MIT School of Engineering y director de ciberseguridad en MIT Sloan (CAMS): el consorcio interdisciplinario para mejorar la crítica Infraestructura Ciberseguridad. Ha estado activo en el campo de la ciberseguridad desde que fue coautor del libro Computer Security en 1979.

Michael Coden es el Director Gerente de Práctica de Ciberseguridad de Líder Global en BCG Platinion en Boston Consulting Group.


No hay comentarios:

Publicar un comentario