Segurilatam 022

artículo técnico Ciberseguridad Aquellos que nos ha tocado estar, o incluso asesorar, durante un incidente de ciberseguridad, sabemos que incluso los sentimientos personales que se viven van mutando como las fases del propio inci- dente. Cuando se descubre, todo es des- esperación y dudas. Pero a medida que se va entendiendo la dinámica del inci- dente y se va llegando a la resolución, sentimos alivio. Y también la sensación de haber aprendido algo nuevo sobre nuestra organización que debemos me- jorar a fin de evitar nuevos casos. Sin embargo, también sucede algo in- teresante pasado el miedo de perder el puesto de trabajo o que algún compañe- ro sufra esa consecuencia. Y es esa sen- sación de que la variable que apareció puede ayudarnos a acelerar la transfor- mación y concienciación dentro de nues- tra empresa porque ahora nos prestarán más atención. Es curioso, pero así fun- ciona en IT. Y aunque quizás ya menos, también en las empresas más grandes. Banco de pruebas En un banco de pruebas suponemos va- riables de entorno. Y a veces decidimos fijarlas para poder estudiar y avanzar sobre nuestro proyecto. Pero otras veces decidimos moverlas para ver qué pasa- ría, para entender y anticipar. Si lo miramos desde esa óptica, qui- zás en nuestro banco de pruebas, donde tenemos nuestro plan de ciberseguridad listo para ser estudiado, ajustado y defi- nido, es hora de no dejar más nuestra variable de entorno como una constante fija, suponiendo que no sufriremos un ataque. Y podríamos empezar a plantear escenarios donde nuestro año de traba- jo se vea interrumpido por distintos tipos de incidentes, en diferentes momentos, con diferente intensidad, de diferentes tipos, e incluso con más de uno a la vez, para ver cómo se comporta nuestro plan en esas circunstancias. Las simulaciones de escenarios no son solo una herramienta para evaluar si los controles implementados están bien definidos y configurados. También son una herramienta estratégica para: Conocer los procesos desde el inicio hasta su fin. Por ejemplo, al entrar un malware , cómo un usuario se da cuenta, si sabe a quién debe llamar, a dónde, cuándo y de qué depende… Si las personas que reciben el lla- mado del usuario saben qué hacer, a quién escalar, en qué momento o qué medidas deben tomar. Definir la interacción entre áreas usuarias y de soporte durante un incidente, inclu- yendo el seguimiento y el feedback a quien reportó. Entender cuándo se debe escalar un incidente según las variables que pre- sente el mismo. Y por sobre todas las cosas, a qué otras áreas deben involu- crar y en qué momento. Por ejemplo, a Comunicaciones Institucionales, a Legales, a otras autoridades u orga- nismos públicos, etc. Conocer si las áreas no técnicas es- tán preparadas para recibir ese es- calamiento y si tienen protocolos de actuación acordes al tipo de incidente analizado y a los medios de comuni- cación rápidos y ágiles que requieren tiempos de respuesta muy breves. A reenfocar las campañas de concien- ciación para los usuarios, los cursos de formación profesional para el per- sonal que debe atenderlos y para los que deben atender los procesos de escalamiento. Existen muchas formas de trabajar so- bre las simulaciones de escenarios. A los que somos técnicos se nos ocurren prue- bas de Red Team ejecutando acciones sobre nuestros sistemas y viendo cómo reacciona cada uno de los componentes y de las personas involucradas. Claro que este es un camino muy válido, pero qui- zás es para una organización que ya tiene cierto nivel de madurez en sus pruebas. Es importante tener en cuenta que las pruebas técnicas no son las úni- cas. También existen las simulaciones de mesa o tabletop , que preparan a los empleados de la organización a pensar y a enfrentar situaciones críticas o de emergencias que alteran la dinámica de la organización, pero a un costo menor que el de las pruebas técnicas. Y pue- den ser llevadas a cabo tanto a partir de una planilla con un checklist y una pre- sentación como desde una herramienta, como la plataforma ESCIM (Escenarios de Incidentes de Ciberseguridad de Alto Impacto) desarrollada por el Centro de Ciberseguridad Industrial (CCI). Todo ejercicio de simulación trae grandes beneficios a una organización. Desde la práctica y mejora del pensa- miento crítico hasta establecer canales más ágiles de comunicación entre los responsables de las distintas áreas, mejorando el ecosistema dentro de la propia organización. Para ayudar a las organizaciones, el CCI ha desarrollado la plataforma ESCIM (Escenarios de Incidentes de Ciberseguridad de Alto Impacto) Segundo cuatrimestre 2022 / 73