Saber cómo lidiar con las consecuencias de un importante incidente cibernético es tan importante como saber cómo prepararse para uno.
En términos de ciberseguridad, un 'ejercicio de mesa' es un ataque simulado diseñado para entrenar a los equipos de respuesta a incidentes relevantes para manejar la situación real. Cualquier tipo de amenaza cibernética puede ser ensayada, desde la pérdida de datos hasta un ataque de ransomware.
El ejercicio es típicamente dirigido por expertos en respuesta a incidentes y ciberseguridad, quienes llevan a los equipos a través de las fases de respuesta a medida que el 'ataque' se desarrolla. Si bien los aspectos técnicos de la respuesta son críticos, no deberían ser el único enfoque. Un ejercicio bien facilitado obligará a sus equipos a trabajar juntos bajo presión para considerar cómo debería responder el negocio desde múltiples puntos de vista, desde lo legal hasta lo operativo, y desde la cadena de suministro hasta lo reputacional.
Los equipos y los facilitadores luego revisan lo que funcionó y lo que podría mejorarse.
Atrévete a preguntar, "¿Qué pasaría si...?" Un ataque real puede tardar un promedio de solo diez minutos en ejecutarse, pero las consecuencias pueden durar meses, si no años. Por lo tanto, los ejercicios de mesa que valen la pena serán bien pensados y tomarán algo de tiempo para planificar y ejecutar. También implicará a partes interesadas de toda la organización, no solo a las Operaciones de Seguridad y los equipos de TI.
Por esa razón, los ejercicios deberían abordar el peor escenario posible de su organización, no los problemas de seguridad cibernética y gestión de datos del día a día. Tendría poco sentido llevar a cabo un ejercicio de mesa simplemente para evaluar, por ejemplo, cuánto tiempo le lleva al servicio de asistencia técnica de TI lidiar con un correo electrónico marcado como spam.
Antes de diseñar un ejercicio para nuestros clientes, les animamos a que piensen en lo impensable. Una evaluación de riesgos cibernéticos ayuda a centrar el ejercicio en lo que la organización necesita priorizar.
- ¿Cuál sería lo peor que podría pasar si la organización quedara fuera de línea o sufriera una violación catastrófica de datos?
- ¿Sufriría pérdidas financieras perjudiciales? ¿Tendría que interrumpir servicios vitales para clientes y pacientes vulnerables?
- ¿Podría ponerse en riesgo la vida de alguien, como sucedió con la violación de datos del Servicio de Policía de Irlanda del Norte en 2023?
- ¿Y quiénes, más allá de los roles técnicos obvios, necesitarán estar involucrados?
Tenga a las personas adecuadas en la mesa Vaya más allá de sus equipos de seguridad para examinar otros roles y responsabilidades.
Una respuesta coordinada a un ataque real depende de que personas de toda la organización estén listas para desempeñar sus partes.
Esto no necesariamente significa que todos deban asistir a los mismos ejercicios, de hecho, un grupo demasiado grande podría descarrilar las cosas. Considere la posibilidad de llevar a cabo varios ejercicios para diferentes equipos, pero basados en el mismo escenario. La planificación de la respuesta a incidentes no será la misma para todos, pero saber cómo y qué comunicar será un tema común:
Los gerentes de cada equipo y departamento necesitarán saber qué pueden compartir con su personal. Legal puede necesitar comunicarse con actores de amenazas y/o reguladores. RRHH responderá a preguntas ansiosas sobre si información sensible está en manos de criminales. Después de una violación de seguridad, los equipos orientados hacia el exterior deben estar listos para tener conversaciones difíciles con proveedores y clientes. Capacitar a las personas para manejar estas interacciones eficientemente es solo una forma de mejorar la preparación para la respuesta a incidentes.
Use un facilitador experimentado Con organizaciones nuevas en ejercicios de mesa, a menudo encontramos cierto escepticismo inicial sobre el valor de "otra representación de roles en el lugar de trabajo".
Pero eso es precisamente lo que no es un ejercicio de mesa. El clásico ejercicio de representación de roles muestra a los participantes cómo deberían manejar una situación dada, pero en un ejercicio de mesa, los facilitadores están observando cómo los equipos manejarían un incidente cibernético.
Los facilitadores evaluarán las fortalezas y debilidades en la respuesta, lo que significa que deberían observar más que instruir. Para saber cuándo intervenir, discuta con ellos durante las etapas de planificación qué tan maduras son sus planes de seguridad cibernética y los niveles de habilidad de los miembros de su equipo.
Usando su experiencia del mundo real, los facilitadores externos también crearán simulaciones realistas para que sus equipos trabajen.
Knowing how to deal with the fallout from a major cyber incident is just as important as knowing how to prepare for one.
In cyber security terms, a ‘tabletop exercise’ is a simulated attack designed to drill relevant incident response teams for handling the real thing. Any kind of cyber threat can be rehearsed, from data loss to ransomware attack.
The exercise is typically led by incident response and cyber security experts, who take the teams through the phases of response as the incident unfolds. While the technical aspects of the response are critical, they shouldn’t be the sole focus. A well-facilitated exercise will force your teams to work together under pressure to consider how the business should respond from a multitude of viewpoints – from legal to operational, and from supply chain to reputational.
The teams and the facilitators then review what worked and what could be improved
Dare to ask, “What if…?”
A real incident can manifest itself in a matter of minutes, but the fallout may last for months, if not years. A thoughtful tabletop exercise will therefore be expertly designed to stress-test your organisational responses to every aspect of managing an incident. It will draw in stakeholders from across the organisation, not just security, operations and IT teams, demonstrating how the realities of dealing with a cyber incident requires support from across a business.
The exercises should address your organisation’s worst-case scenario, not day-to-day cyber security and data management issues. There is little point in running a tabletop exercise simply to assess, for example, how long it takes your IT help desk to deal with an email flagged to it as spam. Consider other elements, such as the importance and value of independence (for example, your SOC provider running a tabletop exercise would have its limitations), encouraging challenge, and – most importantly – ensuring that the context of the business is understood, as is the focus of the exercise.
Before designing an exercise for our clients, we encourage them to think the unthinkable:
What would be the worst thing that could happen if the organisation was taken offline, or suffered a catastrophic data breach?
Would it suffer damaging financial losses? Would it have to interrupt vital services to vulnerable clients and patients?
Could someone’s life conceivably be put at risk, as happened with the Police Service of Northern Ireland breach in 2023?
And who, beyond the obvious technical roles, will need to be involved?
Have the right people at the table
Go beyond your security teams to look at other roles and responsibilities.
A coordinated response to a real attack depends on people from across the organisation being ready to play their parts.
This does not necessarily mean that they all need to attend the same exercises – in fact, too large a group could derail things. Consider running several exercises for different teams but based on the same scenario and feeding their responses into each session. How will the finance team adapt if you’re unable to restore your finance system in time for the monthly payroll?
Incident response planning will not look the same for everyone, but knowing how and what to communicate will be a common theme:
- Managers in every team and department will need to know what they can share with their people.
- Legal may need to communicate with threat actors and/or regulators and should have specialist support to do so.
- HR will field anxious questions about whether sensitive information is in the hands of criminals.
- After a security breach, external-facing teams must be ready to have difficult conversations with suppliers and clients.
Training people to handle these interactions efficiently is just one way to improve your incident response preparedness.
Use an experienced facilitator
With organisations new to tabletop exercises, we often find some initial scepticism about the value of “another workplace role play.”
But that is precisely what a well-executed tabletop exercise is not. The classic role-playing exercise shows participants how they should handle a given situation. But in a tabletop exercise participants are given space to explore their own response in a controlled environment.
The facilitators will assess the strengths and weaknesses in the response, which means they should do more observation than instruction. So that they know when to step in, have a discussion with them during the planning stages about how mature your cyber security plans are and the skill levels of your team members. They should also be able to challenge any assumptions held by those attending and provide an environment that allows individuals to air concerns.
Using their real-world experience, external facilitators will also create realistic simulations for your teams to work with. These should be crafted to present a realistic scenario with clear implications for the organisation.
This heightens the experience for participants and gets them to meaningfully engage with how they’d approach recovering from an incident. An experienced facilitator can identify recommendations for improvement, which allows actionable improvements to be made to your incident response plan.
Apart from presenting no risk at all to your organisation, the other great thing about tabletop exercises is that (unlike a real cyber incident) they can be scheduled to fit your calendar.
If you’re interested in finding out more about what’s involved in tabletop exercises, the Cyber Risk team will be happy to help.
Cyber Risk
Aportamos lo mejor de nuestra experiencia colectiva, energía y poder creativo para proteger de forma proactiva a nuestros clientes y fortalecer sus comunidades.
Insights
La Kuwait Clearing Company (Maqasa) y Thomas Murray firmaron hoy un Memorando de Entendimiento (MoU) para profundizar la colaboración en torno a la ciberseguridad
La Kuwait Clearing Company (Maqasa) y Thomas Murray firmaron hoy un Memorando de Entendimiento (MoU).
El papel crucial de la respuesta a incidentes en la protección contra los ciberataques
La respuesta a incidentes es un enfoque sistemático para gestionar y mitigar las secuelas de un ciberataque.
Planes de respuesta a incidentes: Comprendiendo los equipos y herramientas esenciales
Los planes de respuesta a incidentes (IRPs) son un componente vital para la gestión y mitigación efectiva de incidentes de ciberseguridad.
Por qué las criptomonedas están impulsando el ransomware
No hay una sola razón detrás de por qué las criptomonedas juegan un papel tan crucial en el aumento de los ataques de ransomware.