Arpad Nagy-Bagoly - stock.adobe.
Tabletop, la respuesta a ciberamenazas puesta a prueba
Los ejercicios de Tabletop ayudan a las organizaciones a hacer más robusta su estrategia de detección y respuesta a incidentes, y se ligan a un ciclo de mejora continua. Se recomienda ejecutar dos al año, con distintos escenarios posibles.
A lo largo de 2023, las ciberamenazas se recrudecieron y han demostrado que, no importa cuál sea el tamaño y actividad de una organización, los delincuentes la tienen constantemente en la mira para lanzarlas contra ella. La creciente digitalización y la adopción del trabajo híbrido han creado un entorno aún más propicio para ejecutar ataques aún más exitosos.
La próxima víctima puede ser nuestra propia empresa, por lo que debe estar preparada ante cualquier eventualidad. Es por ello que hoy toma particular relevancia la planeación y respuesta a los incidentes informáticos en la forma de un ejercicio de “Tabletop”.
Erik Moreno.
¿Qué es un ejercicio de Tabletop? Se trata de poner a prueba la capacidad de una organización de responder a un ciberataque. Lo que busca es evaluar la efectividad de los planes de detección y respuesta a incidentes informáticos, y cómo desempeñan sus roles y responsabilidades los líderes empresariales clave.
Esto se realiza mediante un escenario que simula un incidente de ciberseguridad del mundo real que pudiera tener un alto impacto en la continuidad del negocio. En otras palabras, es un simulacro que recrea las principales fuerzas que convergen en un ciberataque, y cómo alteran distintos aspectos de la operación del día a día.
Muchas organizaciones cuentan ya con planes de ciberseguridad plasmados en documentos y manuales, pero nunca han sido probados, y los encargados de tomar las decisiones no están totalmente conscientes de ellos porque nunca se han puesto en práctica.
Un ejercicio Tabletop es, por tanto, una excelente oportunidad para ver dónde está parada la organización ante el cibercrimen, las brechas de datos y los ataques de ransomware, y cuál será su reacción y respuesta tanto interna como externamente.
Seis pasos clave para un ejercicio Tabletop efectivo en OT
Para comprender mejor cómo se desarrolla esta práctica de Tabletop en un entorno industrial (OT), y realizar una evaluación objetiva de las capacidades de respuesta, se describen a continuación seis pasos primordiales.
1. Conocer a la organización y su industria
El inicio de un ejercicio de Tabletop de ciberataques es estudiar minuciosamente la industria a la que pertenece la organización y el contexto en el que opera. Por ejemplo, si se trata de un fabricante automotriz, es necesario conocer lo mejor posible este sector, el comportamiento del mercado en general, los retos y oportunidades, la rentabilidad, así como la influencia que los factores políticos, sociales y económicos tienen en él.
En particular, es vital contar con un panorama del desempeño financiero de la empresa, así como el impacto que un ciberataque tendría en la fabricación, líneas de producción, las áreas de negocio, y cuáles son los productos de mayor venta y la penalización aplicable si por una interrupción no se entregan a tiempo.
En esta fase se contempla además las principales tácticas utilizadas por los ciberatacantes para lanzar una amenaza a una industria específica, ya sea de manufactura, automotriz, alimentaria o energéticos, por ejemplo. Hay que considerar que cada sector tiene vectores de ataque característicos que los agentes de amenaza han investigado con atención.
2. Comprender el entorno
Un ambiente de tecnología operativa (TO) se maneja de manera muy distinta a uno de TI, pero convergen en un punto crítico: es esencial entender el entorno en el que se desarrollan. Por tanto, se requiere conocer con precisión los sistemas críticos existentes; de lo contrario, pueden convertirse en los puntos más débiles de los entornos industriales.
¿Qué sucedería si uno de esos sistemas críticos se compromete? La respuesta debe contemplar la valoración del impacto que un ataque tendría en la operación y en la disponibilidad de los sistemas industriales.
3. Crear escenarios realistas
Hay que pensar como el enemigo. Partir de esta premisa será de gran utilidad en el momento de crear los escenarios apegados lo más posible a la realidad de una organización. Aquí, revisar los casos documentados de ciberataques dirigidos a los entornos de TO de la industria donde se mueve la empresa será vital, pues pueden dar un panorama más amplio de cómo están actuando los ciberdelincuentes y cuáles son las tácticas más utilizadas para concretar con éxito sus embates.
Pensar como un atacante permitirá también estructurar un ejercicio de Tabletop acorde a los escenarios existentes en los que una organización opera en su día a día.
4. Cómo se va a ejecutar el ataque
Si bien es un simulacro, hay que considerar que una amenaza puede llegar en cualquier momento, y saber cómo distintos actores van a responder si se concreta en un momento dado. En primer lugar, para el ejercicio de Tabletop, se requiere definir cómo llegará la amenaza a la organización, por ejemplo por un ataque de phishing bien diseñado, dirigido al personal de OT o por algún otro vector.
Este ejercicio incluye crear perfiles de redes sociales apócrifos que se encargarán de informar sobre el ciberataque, y observar cómo se desenvuelve el área de comunicación interna y externa en el manejo de la crisis. Esto debe hacerse de forma muy cuidadosa, pues, en el mundo real, de no reportar un ataque o hacerlo de manera incorrecta, puede derivarse en incumplimiento y penalizaciones.
Cómo se responde a los cuestionamientos y llamadas de los clientes, proveedores, medios de comunicación y autoridades a las áreas legal, comunicación y a la alta dirección es un aspecto que debe observarse de cerca en esta práctica. Estos stakeholders estarán sometidos a un alto estrés, y se deberá prestar mucha atención a sus reacciones y respuestas, y realizar un entrenamiento de manejo de crisis y de relación con medios, de ser necesario, que les dé las herramientas necesarias para conducirse en un momento dado.
Asimismo, debe evaluarse cómo es que los empleados van a compartir información sobre el ataque, y si están revelando información confidencial. Se trata, pues, de una estrategia de comunicación crítica para la organización, y que va más allá de los aspectos meramente tecnológicos.
5. Recrear el peor de los escenarios
En los ejercicios de Tabletop en los entornos industriales, hay que contemplar siempre el peor de los escenarios de riesgo. ¿Podría haber pérdidas humanas o personas heridas? ¿Se afectaría al medio ambiente? ¿Se dejaría de proveer un servicio elemental a la sociedad como salud, transporte o electricidad? ¿Se interrumpió la cadena de suministro poniendo el riesgo de abasto de productos imprescindibles?
Plantear el escenario más catastrófico permite conocer mejor cómo responde la organización y, en particular, cuando integrantes clave son sometidos a altos niveles de estrés.
6. El cliente también es parte de la ecuación
Un trabajo de este alcance no debe dejar fuera a los clientes de la organización, pues el compromiso con ellos es comprender y satisfacer sus necesidades, y evitar que sean afectados en el proceso. De ahí la importancia de manejar efectivamente la comunicación con ellos ante una crisis, y considerarlos en el diseño de la estrategia Tabletop.
No hay que perder de vista que, en un escenario real, el cliente va a demandar la reparación de los daños y estará atento a cómo responda la organización.
Mejora continua
Los ejercicios de Tabletop ayudan a las organizaciones a hacer más robusta su estrategia de detección y respuesta a incidentes, y van ligados a un ciclo de mejora continua. De hecho, se recomienda ejecutar dos al año, con distintos escenarios posibles.
Una de sus ventajas es que no requiere de una inversión importante, pues no hay componentes técnicos sofisticados de por medio. Al no ser un ejercicio tecnológico, sino transversal, involucra a distintas áreas y no solamente a TI en su propósito de evaluar las capacidades de detección y respuesta de la organización.
Finalmente, debe enfatizarse el debido cuidado y diligencia (due care & due diligence) a lo largo del desarrollo del ejercicio de Tabletop para ejecutar cada fase de manera cuidadosa y efectiva para la organización.
Sobre el autor: Erik Moreno Sánchez es director de Ciberseguridad en México de Minsait, una empresa de Indra. Cuenta con 20 años de experiencia asesorando a organizaciones en decisiones estratégicas de seguridad, implementando mejoras operativas y tecnológicas en compañías de diversas industrias y ha participado en proyectos de seguridad nacional. Su experiencia incluye el diseño, definición de estrategias y proyectos de ciberseguridad, ciberinteligencia, ciberdefensa, así como implementaciones tecnológicas, y diseño de arquitecturas de seguridad y de TI.
