Se conoce como Tabletop
Exercise al proceso de convocar a
todos los que estarían involucrado en un incidente de seguridad y ante un
escenario ficticio preguntarles cómo reaccionarían. En este artículo lo
traduciré a Simulacro de Escritorio, no sé si es la mejor traducción, pero iré
con eso.
Trataré de darles luces sobre lo que debe incluir un
Simulacro de Escritorio de ataques en base a lo que he aprendido al ser
facilitador en múltiples simulacros.
El objetivo principal de un Simulacro de Escritorio es
preparar mejor a la organización que lo realiza para un incidente que afecte la
seguridad de su información o sistemas. Estos simulacros deben ser
realizados por lo menos anualmente como parte de los procesos de Gestión de
Incidentes y Plan Continuidad de Negocios.
Recomiendo realizar simulacros para los principales riesgos
que enfrentan sus organizaciones. Por lo menos para estos incidentes de
seguridad deben hacer un simulacro:
1. Ataque de ransomware
2. Ataque de extracción de
información
3. Ataque de phishing
Las 5Ws de un simulacro de escritorio son:
What - Qué: Simulacro de escritorio de ataque o tabletop exercise
Who - Quién: Deben participar los líderes del negocio e IT
que se verían afectados por un incidente de seguridad y quiénes participarían
en la gestión del incidente.
When - Cuándo: Se debe realizar por lo menos una vez al año
para los incidentes de mayor riesgo para su organización.
Why - Por qué: Para validar la existencia de gente,
procesos y tecnologías para la gestión de un incidente de seguridad. Las
organizaciones no pueden darse el lujo de solamente invertir en prevención de
ataques. Un simulacro les permitirá identificar los supuestos en
los cuales se basan las capacidades de reacción ante un ataque. Ejemplos de
supuestos a revisar: proveedores y/o colaboradores a contactar, disponibilidad
de tecnologías a utilizar para investigar, contener y remediar ataque.
HoW - Cómo: En mi experiencia son necesarias cuatro reuniones para hacer un simulacro de escritorio.
1. Reunión
#1: Presentación de objetivos, identificación de involucrados(stakeholders),
sistemas afectados, vectores de ataque y se presenta el escenario junto
con un cuestionario que debe ser llenado por los involucrados para la próxima
reunión. El tiempo entre la reunión #1 y #2 debe ser el menor posible
porque no se busca desarrollar ningún procedimiento o documentación nueva.
2. Reunión
#2: Se revisan respuestas a cuestionario de cada stakeholder. Se va a
profundidad sobre el escenario buscando identificar cómo se reaccionaría y cuál
es el funcionamiento esperado de los controles para la prevención,
investigación, contención y limpieza/recuperación. Es importante también
evaluar la estrategia de comunicación interna y externa de la organización.
3. Reunión
#3: Presentación de resultados a involucrados. Entre los resultados se
debe incluir:
·
Existencias de
procedimientos escritos
·
Responsabilidades
claramente definidas
·
Fechas de últimas
pruebas de escritorio y pruebas de respaldos.
·
Tiempos estimados de
cada fase del incidente
·
Supuestos o
expectativas que el facilitador del simulacro considera son difíciles de cumplirse
·
Recomendaciones a
corto, mediano y largo plazo
4. Reunión #4:
Presentación de resultados a gerencia. Entre los temas a tratar:
·
Resumen ejecutivo de
los hallazgos sobre las expectativas de prevención, investigación, contención y
limpieza/recuperación
·
Recomendaciones a
corto, mediano y largo plazo.
·
Conversación sobre
costos actuales de mitigar el riesgo de la ocurrencia del incidente objeto del
simulacro de escritorio.
·
Conversación sobre los
riesgos regulatorios relacionados al incidente objeto del simulacro de
escritorio.
Mayor información sobre simulacros de escritorio en:
En unas semanas escribiré sobre cómo hacer un simulacro de
escritorio de un ataque de ransomware por lo que te invito a estar pendiente.
Si te gustó este artículo o deseas realizar un Simulacro de Ataque en tu
empresa de Extracción Masiva de Información o Ransomware, por favor deja tu
comentario o escríbeme al Twitter.
Comments