La seguridad de la información de una compañía es un trabajo de 24 horas y 365 días del año que abarca toda la red de la organización. En contraposición, a un atacante le basta un día y una sola debilidad en la red para infligir mucho daño.
Esta es la realidad que sufren gobiernos, empresas y, hasta, los particulares. Es una lucha sin cuartel, sin descanso y, a veces, con impactos gravísimos en la sociedad actual, que se articula alrededor de tanta tecnología. Las compañías no solo se pueden enfrentar a una crisis a nivel de infraestructura, sino también deben considerar los impactos en la reputación, solvencia, regulación y stakeholders. La correcta identificación y comprensión de todos estos impactos es de vital importancia para el devenir global de las compañías.
Existe un concepto militar que es el RMA (Revolution in Military Affairs) que defiende que, para que una auténtica revolución en el ámbito militar de un país sea efectiva, los avances tecnológicos deben ir de la mano de cambios en la doctrina, modelo operativo y orgánico y adiestramiento.
Si bien los chinos fueron los inventores de la pólvora y los cohetes, a lo largo de su historia sucumbieron al poder colonial de países occidentales y Japón, hasta ahora. O por poner otro ejemplo, la guerra de Vietnam, donde el ejército estadounidense fue incapaz de imponerse a pesar de superar en tecnología a su adversario.
También existen casos donde se puede ver el avance tecnológico eficazmente aplicado, como ha sido el reciente caso de la guerra del Nagorno-Karabaj entre las fuerzas armenias y el ejército azerí. El ejército de Azerbaiyán, de ser un ejército con una eficacia similar a la de los ejércitos árabes de los años sesenta, ha sido capaz de doblegar la defensa armenia que, años antes, había tenido gran capacidad disuasoria sobre sus vecinos azeríes. El ejército azerí ha sabido adoptar el uso del dron para dar a sus fuerzas superioridad aérea y sortear el entramado antiaéreo armenio.
En el contexto de la seguridad de la información, organizaciones gubernamentales y no gubernamentales, organizaciones criminales y compañías tienen su propia carrera por ir por delante en la RMA, en concreto sería el concepto de IT-RMA. Para todas estas entidades, hacer un uso eficaz de la tecnología es muy importante.
¿Y en el ámbito de las organizaciones?
Además de seguir innovando tecnológicamente, las empresas deben interiorizar una doctrina de seguridad de la información óptima, un modelo operativo funcional con las capacidades existentes en la empresa y un adiestramiento de las diferentes capas involucradas en la ciberseguridad.
Durante un incidente de seguridad cibernética, se puede trabajar a distintos niveles según las responsabilidades de los involucrados y cada uno de estos niveles tiene un papel fundamental que ha de trabajar en consonancia con los otros niveles. Pero ¿cómo les adiestramos en esta importante tarea?
Otra vez se podría fijar la atención en cómo lo hacen los ejércitos modernos y la respuesta está en la ejecución de simulaciones de guerra. En estas simulaciones, se procede a crear un entorno parecido a una situación concreta que se pueda a dar en la realidad. Periódicamente, leemos en la prensa acerca de los ejercicios conjuntos que realiza la marina estadounidense con las fuerzas de sus aliados estratégicos. .
Según un proverbio latino, en tiempos de paz debes prepararte para la guerra. En esta guerra tan particular, la ciberguerra, estar preparado implica probar a las personas y la tecnología, entre otras cosas. Cuanto más se pruebe mejor: los equipos deben ser capaces de realizar los procesos de respuesta ante incidentes casi con los ojos cerrados y de saber a qué se están enfrentando tras identificar unas pocas técnicas llevadas a cabo por el atacante.
Si el equipo de respuesta a incidentes ha participado en un incidente en los últimos cuatro meses, debe participar en uno al mes. Practicar tanto como se pueda: si en septiembre se ha practicado una infección de ransomware, en octubre se podría, por ejemplo, practicar una infección de un WMI Worm y en noviembre una exfiltración de credenciales tras explotar un servicio FTP.
Es importante distinguir las simulaciones de las formaciones. Las formaciones buscan la mejora de los conocimientos y aptitudes de las personas. En cambio, las simulaciones validan procesos y planes, prueban la robustez de los procedimientos y supuestos operativos, desechan suposiciones en las que pueden basarse los procedimientos y preparan a las personas en sus roles y responsabilidades de forma práctica.
De hecho, las simulaciones son la forma práctica de evaluar la utilidad de las formaciones. El objetivo de una simulación no es poner a prueba a las personas individualmente, sino al conjunto de la organización. La práctica permite la depuración de los protocolos vigentes en la organización.
Todo esto, obliga a las organizaciones a trabajar en esta área, aumentando la demanda de las simulaciones. Su objetivo es claro: ponérselo cada vez más difícil a los atacantes, plantarles cara sin miedo y confiar en el desempeño de sus equipos de respuesta y comités tácticos y estratégicos ante una situación disruptiva causada por un ataque cibernético.
En estos tiempos tan convulsos, las organizaciones identifican la generación de confianza como pilar estratégico para el crecimiento. Dotar de experiencia en el manejo de situaciones inesperadas causadas por un ataque beneficia a las organizaciones a construir confianza e identificar brechas a todos los niveles de la organización.
Existen varios tipos de simulaciones según el equipo a probar y dependiendo del nivel de madurez de las organizaciones. A grandes rasgos, podemos realizar simulaciones de crisis a nivel estratégico, táctico y técnico. Las simulaciones estratégicas y tácticas tratan de poner a prueba a un comité y las simulaciones técnicas al equipo de respuesta ante incidentes. Dependiendo del nivel de madurez de las organizaciones, las simulaciones se pueden distinguir en tabletops para los niveles más básicos, simulaciones para los niveles intermedios y war games para las organizaciones más maduras.
Los tabletops son ejercicios guiados mientras que las simulaciones son escenarios donde la presión sobre el comité es más alta, no se realiza guía alguna y se utiliza una plataforma de simulación que permite configurar un tiempo virtual, entre otras cosas. En los juegos de guerra se busca presionar y estresar al máximo al participante, en tiempo real y sin avisar a los comités participantes, en una máxima inmersión.
Las simulaciones técnicas se realizan en entornos controlados con munición real. Cuando el estado de madurez de la organización y de los equipos alcancen una cota lo suficientemente alta, la infraestructura donde se ejecutarán estas simulaciones será la real de la propia compañía y, cuando se llegue a ese estado, se podrá afirmar que se está preparado para casi cualquier eventualidad: los equipos habrán experimentado casi de todo.
Las lecciones aprendidas que se pueden identificar después de cada una de estas simulaciones son de tremendo valor. Las organizaciones obtienen esas lecciones a un coste muchísimo menor que si las obtuvieran tras desencadenarse un ataque real.
A continuación, se presentan el top 5 de hallazgos tras la ejecución de simulaciones:
· Las estrategias para abordar la crisis están poco definidas, no se le da el seguimiento adecuado o no se rediseña la estrategia por falta de coordinación y toma de decisiones efectivas.
· La efectividad de los planes y procedimientos no era tanta como se esperaba o las suposiciones en las que estaban basados eran falsas.
· Las herramientas no se encontraban configuradas acorde a la necesidad de la organización.
· Las personas no conocían completamente los procedimientos de escalado durante incidentes graves o no estaban lo suficientemente concienciados con su rol.
· La identificación de posibles impactos en la reputación, clientes y otros stakeholders no es correcta o no se comprenden con exactitud.
Como se mencionó anteriormente, esto es una carrera y la seguridad muchas veces va por detrás del atacante y las simulaciones no son la cura para todo, además no son fáciles de planificar ni diseñar. La simulación es una pieza más que la doctrina de ciberseguridad de la organización debe encajar.
Leticia Rodríguez , manager de Risk Advisory - Cyber
Ernesto del Palacio, senior de Risk Advisory - Cyber