Target adopta juegos de guerra cibernética para mejorar la respuesta a incidentes

San Francisco – Los ejercicios de juegos de guerra cibernética de Target se han vuelto tan realistas que un miembro del equipo ejecutivo pensó que un incidente simulado era real.

En una sesión titulada, "Gestión de incidentes empresariales: cómo preparar a todos para una crisis" durante la Conferencia RSA 2020, la directora de gestión de incidentes empresariales de Target, Erin Becker, discutió cómo el minorista utiliza juegos de guerra cibernética y ataques simulados para preparar mejor a los empleados y ejecutivos de Target para una variedad de incidentes. Becker dijo que Target ha llevado a cabo tres años de juegos de guerra y ejercicios de mesa y explicó cómo ha creado "memoria muscular" para la organización, alcanzando hasta al CEO Brian Cornell.

Becker mostró cómo la compañía usa "inyecciones", como informes simulados de noticias de TV, llamadas telefónicas y correos electrónicos para iniciar sus ejercicios de juegos de guerra cibernética. Un ejemplo específico que se mostró durante la presentación fue un clip de noticias simulado, producido internamente, que anunció una nueva violación de datos que en realidad no había sucedido.

"Noticias de última hora de KrebsOnSecurity. Un nuevo artículo afirma que Target, el quinto minorista más grande de los Estados Unidos, ha sufrido otra violación importante de datos. Esta vez con 75,000 números de tarjetas de crédito obtenidos ilegalmente y publicados en línea. De acuerdo con el artículo, no está claro a cuánta información pueden tener acceso los piratas informáticos. Las 75,000 tarjetas de crédito pueden ser solo la punta del iceberg. A pesar de la solicitud de comentarios, los funcionarios encargados de hacer cumplir la ley no han confirmado públicamente que la información en línea se originó en Target. Además, aún no se sabe cuánto tiempo estuvo comprometido el sistema o si estos números de tarjeta están activos. Si es cierto, esto obviamente sería un revés dada la violación masiva de datos de Target en 2013", decía el falso informe de noticias.

Becker dijo que inyecciones como el clip de noticias simuladas ayudan a que los participantes del juego de guerra tengan la mentalidad correcta.

"Como pueden imaginar, si nuestros equipos vinieran y vieran ese video, entrarían en sus personajes. Este tipo de escenarios pone en marcha ese impulso y les bombea la sangre para asegurarse de que realmente estén sintiendo estos juegos de guerra y que sepan cómo responder de una manera capaz", dijo.

Becker dijo que, en el segundo año de su programa de juegos de guerra, el equipo de seguridad simuló un incidente importante con varias inyecciones que resultaron tan convincentes para uno de los miembros recientemente designados del equipo ejecutivo, que no había sido completamente informado sobre el ejercicio, el cual pensó que Target realmente había sufrido una violación. "Definitivamente muestra cuánto puede hacer que esas inyecciones se sientan reales", dijo.

En el tercer año del programa de juegos de guerra, Becker dijo que el equipo construyó escenarios y simulaciones de ataque más complejos e incluso lanzó un ejercicio "sorpresa" que solo los facilitadores sabían de antemano. Fue elevado al equipo de liderazgo ejecutivo, que solo tenía 20 minutos en su horario, pero cuando se acabó el tiempo, Cornell decidió continuar con el ejercicio y se quedó durante una hora y media adicional.

"Fue sorprendente porque muestra la asociación que tenemos, hasta con el CEO", dijo.

Andrew Morrison, líder de estrategia, defensa y respuesta de Deloitte, estuvo de acuerdo en que los juegos de guerra cibernética son un componente valioso para los programas de seguridad empresarial. "Debes tener memoria muscular para lo que haces en estos escenarios", dijo Morrison. "Y solo puedes hacer eso a través de entrenamiento y ejercicios de perforación y guerra".

La presentación de Becker también incluyó la creación del programa general de respuesta cibernética de Target y los cuatro niveles de escalamiento que determinan quién en la empresa necesita participar en los esfuerzos de respuesta y remediación. Ella recomendó crear un marco de gravedad que clasifique los tipos de incidentes, siendo la mayor gravedad la violación de Target en 2013 y la menor gravedad los empleados que descargan software no aprobado en sus sistemas.

Becker también instó a los miembros de la audiencia a mantener sus planes de respuesta a incidentes cortos y simples.

"Haga un proceso simple, simple", dijo. "Dejen ese plan de 50 páginas en el estante para que acumule polvo porque si lo sacan será demasiado complejo y difícil de responder en el calor del momento. Reduzcan, extraigan las cosas clave y conviértanlo en un listado de una página".

El director de noticias de seguridad, Rob Wright, contribuyó a este artículo.