Ernesto del Palacio Saiz

Senior Consulant equipo Cyber de Delotite

Leticia Rodríguez Díez

Manager equipo de Cyber de Deloitte

Una puerta abierta por la que caben difícilmente dos personas valió para tomar las murallas más difíciles y acabar con un imperio centenario. Las principales vulnerabilidades residen en los detalles y atender cada uno de ellos es complejo y agotador, así es la vida de un CISO.

Hace tiempo que los gobiernos han establecido el ciberespacio como un nuevo campo de batalla. Día tras día, no solo gobiernos, sino que también las empresas e incluso los particulares participan en esta lucha. Un paso en falso podría llevar a una empresa a sufrir una crisis con graves impactos no solo a nivel de infraestructura, sino también en la reputación, solvencia, regulación, clientes y otras partes interesadas. Estos impactos, a menudo, pueden no haber sido correctamente identificados o comprendidos.

La diferencia en Cinoscéfalos no la marcó el Pilum o la incapacidad de la Sarissa. Lo que dio la victoria a la legión romana sobre la disciplinada falange macedonia fueron las decisiones de los mandos intermedios bien entrenados en los protocolos de la acción durante una agresión.

El ejército prusiano fue el primera en introducir el concepto de simulación de guerra, una doctrina que ha perdurado durante generaciones. Los ejercicios de simulación de una situación real de conflicto forman una importante fuente de identificación de mejoras en la aplicación de las diferentes unidades y armamento de los ejércitos contemporáneos.

Ante un incidente de seguridad cibernética, tenemos que trabajar a distintos niveles: técnico, táctico y estratégico. La elección de las personas en cada nivel es extremadamente importante, pero si cabe, la práctica en una situación similar es aún más relevante y, por ello, se ha de probar a las personas y su armamento en cada nivel.

Nuestras personas: los empleados. Nuestras armas: el firewall de nueva generación, el sistema de prevención de fugas de datos, el gestor de alertas de seguridad, el honeypot, el filtro de correo, la formación en riesgos cibernéticos, etc.

Solo cuando se pone a prueba a las personas y a las armas, se puede ver si se está preparado para la lucha.  Pero ¿qué es estar preparado para la lucha?

“Un artista marcial teme más al que practica una patada mil veces que al que practica una vez mil patadas”.

Probar, probar y probar. Las simulaciones de crisis o incidentes buscan, entre otras cosas, validar procesos y planes, probar la robustez de los procedimientos y supuestos operativos, desechar suposiciones en las que pueden basarse los procedimientos y preparar a las personas en sus roles y responsabilidades de forma práctica. Las simulaciones no son formaciones, estas últimas se centran sobre todo en las personas y mejora de sus conocimientos y actitudes.  

Una simulación es la forma práctica de probar que las formaciones son útiles. Las simulaciones no están diseñadas para poner a prueba a las personas individualmente, sino a la organización en su conjunto. La tenencia de protocolos para hacer frente a una situación no es válida hasta que los estos sean usados y, por tanto, puestos a examen. La diferencia entre dos conjuntos de protocolos estrictos está en la depuración de éstos tras la puesta en práctica.

Por todo ello, las empresas cada vez están demandando cada vez más simulaciones de ataques cibernéticos con los que depurar, fortalecer y mejorar a todos los niveles el desempeño ante una situación inesperada a todos los niveles de la organización. Estas simulaciones hacen que se pierda el miedo a lo desconocido, a ser cada día más confiado en aquello conforma el cinturón de seguridad de las empresas y a transformar el “tengo miedo de que me ataquen porque no sé cómo voy a reaccionar” en “si me atacan, mis equipos están preparados”.

¿Están nuestros activos funcionando? ¿Nuestros dispositivos de seguridad están protegiendo? ¿Nuestros sistemas de detección ven lo que está pasando? ¿Mis copias de seguridad están listas? ¿Nuestros equipos de respuesta están listos en caso de que ocurriese algo?

El principal beneficio es la construcción de la confianza e identificación de brechas a todos los niveles de la organización.

La capacidad de enfrentarse a un incidente cibernético no lo va a marcar exclusivamente el presupuesto. La diferencia entre dos presupuestos similares radica en la sinergia entre herramientas bien configuradas y adaptadas a la organización y las personas. Esta compenetración solo se mejora poniéndose a prueba en situaciones similares.

Pero ¿dónde/cómo pruebo? ¿munición real o de fogueo? ¿qué debo probar? Es recomendable empezar con los distintos niveles por separado en entornos controlados para, posteriormente, ir avanzando en complejidad. Si las personas del nivel estratégico no se compenetran entre sí, difícilmente la comunicación entre el nivel estratégico y el táctico será mejor. Es importante ir avanzando en complejidad dentro de un plan preestablecido, puesto que un ciberataque involucra y obliga a una coordinación óptima entre los distintos niveles.

Para los niveles técnicos, en los que además se pone en práctica la comunicación y la coordinación con los demás niveles, existen entornos controlados con armamento o dispositivos similares a los que se tienen en una compañía en los que se trabaja con munición o malware real sin que pueda afectar a la infraestructura de la organización. Cuando los equipos estén suficientemente maduros no habrá problema en soltar munición real a través de la infraestructura real y probar el desempeño de la organización ante un ataque cibernético, será coser y cantar. Sin embargo, de todo ataque siempre se pueden sacar lecciones aprendidas.

Esto último es otro valor añadido de la ejecución simulada de ataques. Teniendo una visión crítica y el ánimo de mejorar, la identificación de lecciones aprendidas multiplicará el factor de mejora en el desempeño ante este tipo de escenarios.

Cinco findings comunes tras la ejecución de simulaciones:

• No se definen estrategias para abordar el incidente o crisis o, si se definen, no se le da el seguimiento adecuado ni se rediseña la estrategia por falta de coordinación y toma de decisiones efectivas.
• Los planes y procedimientos no eran tan efectivos como se esperaba o estaban basados en suposiciones falsas. Se descubren habitualmente elementos en los que no se había pensado con anterioridad.
• Las herramientas durante un ciberataque no funcionaban como se esperaba.
• Las personas no eran completamente conscientes de su rol y/o procedimientos de escalado durante incidentes graves que provoca entre otros, que pequeños ataques desemboquen en una crisis.
• Posibles impactos en la reputación, clientes u otras partes interesadas no son correctamente identificados o comprendidos.

Existen miles de formas de atacar una infraestructura, miles de combinaciones que probar, las simulaciones no son la cura para todo y no son fáciles de planificar ni diseñar, ya que entre otros, lo que se pone a prueba es la organización, sus planes, sus procedimientos sus medidas para comprobar la idoneidad de las mismas. No se busca probar a las personas individualmente que pueden conocer perfectamente el uso de herramientas y su área de la organización, pero no cómo su ámbito de acción, sus roles y responsabilidades encajan a través de la organización.

Nunca se va a estar preparado para todo, los procedimientos y planes han de definirse y depurarse, la infraestructura debe de estar bien protegida y actualizada, pero al final, la coordinación, respuesta, toma de decisiones y manejo de situaciones ambiguas a todos los niveles de la organización es lo que marcará la diferencia, evitando así que los incidentes se conviertan en crisis o que, si se provoca una crisis, el impacto se minimice al máximo posible.