Saber cómo lidiar con las consecuencias de un importante incidente cibernético es tan importante como saber cómo prepararse para uno.
En términos de ciberseguridad, un 'ejercicio de mesa' es un ataque simulado diseñado para entrenar a los equipos de respuesta a incidentes relevantes para manejar la situación real. Cualquier tipo de amenaza cibernética puede ser ensayada, desde la pérdida de datos hasta un ataque de ransomware.
El ejercicio es típicamente dirigido por expertos en respuesta a incidentes y ciberseguridad, quienes llevan a los equipos a través de las fases de respuesta a medida que el 'ataque' se desarrolla. Si bien los aspectos técnicos de la respuesta son críticos, no deberían ser el único enfoque. Un ejercicio bien facilitado obligará a sus equipos a trabajar juntos bajo presión para considerar cómo debería responder el negocio desde múltiples puntos de vista, desde lo legal hasta lo operativo, y desde la cadena de suministro hasta lo reputacional.
Los equipos y los facilitadores luego revisan lo que funcionó y lo que podría mejorarse.
Atrévete a preguntar, "¿Qué pasaría si...?" Un ataque real puede tardar un promedio de solo diez minutos en ejecutarse, pero las consecuencias pueden durar meses, si no años. Por lo tanto, los ejercicios de mesa que valen la pena serán bien pensados y tomarán algo de tiempo para planificar y ejecutar. También implicará a partes interesadas de toda la organización, no solo a las Operaciones de Seguridad y los equipos de TI.
Por esa razón, los ejercicios deberían abordar el peor escenario posible de su organización, no los problemas de seguridad cibernética y gestión de datos del día a día. Tendría poco sentido llevar a cabo un ejercicio de mesa simplemente para evaluar, por ejemplo, cuánto tiempo le lleva al servicio de asistencia técnica de TI lidiar con un correo electrónico marcado como spam.
Antes de diseñar un ejercicio para nuestros clientes, les animamos a que piensen en lo impensable. Una evaluación de riesgos cibernéticos ayuda a centrar el ejercicio en lo que la organización necesita priorizar.
- ¿Cuál sería lo peor que podría pasar si la organización quedara fuera de línea o sufriera una violación catastrófica de datos?
- ¿Sufriría pérdidas financieras perjudiciales? ¿Tendría que interrumpir servicios vitales para clientes y pacientes vulnerables?
- ¿Podría ponerse en riesgo la vida de alguien, como sucedió con la violación de datos del Servicio de Policía de Irlanda del Norte en 2023?
- ¿Y quiénes, más allá de los roles técnicos obvios, necesitarán estar involucrados?
Tenga a las personas adecuadas en la mesa Vaya más allá de sus equipos de seguridad para examinar otros roles y responsabilidades.
Una respuesta coordinada a un ataque real depende de que personas de toda la organización estén listas para desempeñar sus partes.
Esto no necesariamente significa que todos deban asistir a los mismos ejercicios, de hecho, un grupo demasiado grande podría descarrilar las cosas. Considere la posibilidad de llevar a cabo varios ejercicios para diferentes equipos, pero basados en el mismo escenario. La planificación de la respuesta a incidentes no será la misma para todos, pero saber cómo y qué comunicar será un tema común:
Los gerentes de cada equipo y departamento necesitarán saber qué pueden compartir con su personal. Legal puede necesitar comunicarse con actores de amenazas y/o reguladores. RRHH responderá a preguntas ansiosas sobre si información sensible está en manos de criminales. Después de una violación de seguridad, los equipos orientados hacia el exterior deben estar listos para tener conversaciones difíciles con proveedores y clientes. Capacitar a las personas para manejar estas interacciones eficientemente es solo una forma de mejorar la preparación para la respuesta a incidentes.
Use un facilitador experimentado Con organizaciones nuevas en ejercicios de mesa, a menudo encontramos cierto escepticismo inicial sobre el valor de "otra representación de roles en el lugar de trabajo".
Pero eso es precisamente lo que no es un ejercicio de mesa. El clásico ejercicio de representación de roles muestra a los participantes cómo deberían manejar una situación dada, pero en un ejercicio de mesa, los facilitadores están observando cómo los equipos manejarían un incidente cibernético.
Los facilitadores evaluarán las fortalezas y debilidades en la respuesta, lo que significa que deberían observar más que instruir. Para saber cuándo intervenir, discuta con ellos durante las etapas de planificación qué tan maduras son sus planes de seguridad cibernética y los niveles de habilidad de los miembros de su equipo.
Usando su experiencia del mundo real, los facilitadores externos también crearán simulaciones realistas para que sus equipos trabajen.
Cyber Risk
Aportamos lo mejor de nuestra experiencia colectiva, energía y poder creativo para proteger de forma proactiva a nuestros clientes y fortalecer sus comunidades.
Insights
El papel crucial de la respuesta a incidentes en la protección contra los ciberataques
La respuesta a incidentes es un enfoque sistemático para gestionar y mitigar las secuelas de un ciberataque.
Planes de respuesta a incidentes: Comprendiendo los equipos y herramientas esenciales
Los planes de respuesta a incidentes (IRPs) son un componente vital para la gestión y mitigación efectiva de incidentes de ciberseguridad.
Por qué las criptomonedas están impulsando el ransomware
No hay una sola razón detrás de por qué las criptomonedas juegan un papel tan crucial en el aumento de los ataques de ransomware.
Vulnerabilidades críticas en ConnectWise ScreenConnect
Las recientes vulnerabilidades de ScreenConnect representan una seria amenaza para las organizaciones.