Mazmorras y recuperación ante desastres: ejercicios de simulación para la formación en TI

Un grupo de ejecutivos se sienta alrededor de una mesa. Frente a ellos hay un mapa, seis figuras heroicas de pie en un modelo de un centro de datos, rodeadas por todos lados por pequeñas criaturas agazapadas con capucha. En un extremo de la mesa, el DM está hablando dramáticamente. "Usted se ha retirado a la sala de servidores mientras continúa el DDoS. Los piratas informáticos han sido repelidos varias veces, pero todos están heridos y tienen pocos recursos. Esto comienza a sentirse como una última batalla, y el CEO está esperando". una actualización. ¿Qué haces?"

Los jugadores discuten durante un rato, antes de que el CISO respire hondo y mire al DM. Obviamente le pesa la decisión que está a punto de tomar, es el último recurso y habrá daños colaterales. Aún así, su voz es fuerte y segura cuando entona: "Lanzo un cortafuegos empoderado".

Hoy, veremos ejercicios de simulación o escenarios y cómo se utilizan para prepararse para lo peor en seguridad.

Uso de ejercicios de simulación para capacitar a ingenieros de seguridad cibernética

Lamentablemente (o afortunadamente) no es así como se ejecutan realmente los ejercicios de mesa, aunque hay algunas variedades que bordean muy cerca el borde de estar llenos de juegos (y de hecho, algunos que no solo bordean el borde sino que saltan ansiosamente sobre él primero) . Si bien la realidad puede estar menos llena de malvados ciberdelincuentes que invocan gremlins y equipos de seguridad que manejan magia, hay una fuerte superposición en los objetivos de un buen escenario y una buena campaña de juego de roles.

Los ejercicios de simulación son formas de probar planes y preparativos sin dar el paso más drástico de quemar su propio centro de datos. Es importante saber cómo funcionaría el negocio después de una crisis como esa y prepararse para ella, pero dar el paso real de quemar su centro de datos puede parecer demasiado para un ejercicio. En cambio, estos eventos de crisis se aprovechan, ya sea para descubrir líneas de comunicación, para probar los planes de respuesta a incidentes (ya sea la continuidad del negocio o la recuperación ante desastres), o simplemente para capacitar a los empleados y crear conciencia sobre la importancia de la seguridad.

Una breve historia

Estos ejercicios también tienen una larga y noble historia fuera de los usos modernos de TI y seguridad cibernética, que se remontan al menos doscientos años al "Kriefsspiel" de Reisswitz en 1824, desarrollado por él y su padre y descrito por el general Karl von Mueffling como "no un juego en absoluto! Es entrenamiento para la guerra. Lo recomendaré con entusiasmo a todo el ejército". Es un enfoque utilizado por los ejércitos globales para preparar sus fuerzas para los enfrentamientos, y la OTAN lanzó una Iniciativa Wargaming en 2022 en París. Incluso los servicios de emergencia, con el NHS ejecutando regularmente simulaciones que involucran a docenas de actores y equipos completos de maquillaje para simular lesiones de manera efectiva.

Dado que hay siglos (aunque solo sean dos) de evidencia de ejercicios de simulación, escenarios gamificados, ayudar a prepararse para crisis, desastres, enfrentamientos militares y similares, además de que el costo de dichos ejercicios es extremadamente bajo en comparación con no estar preparado cuando llega un escenario. , podría caer en la trampa de pensar que hoy en día se usan en todas partes. Lamentablemente, ese no es el caso.

Por una gran cantidad de razones, mientras que aquellos que hacen un buen uso de los ejercicios de simulación juran por el valor que aportan, muchas organizaciones simplemente no los utilizan. Podría ser el síndrome del avestruz, ya que estos escenarios pueden ser excepcionalmente buenos para sacar todo tipo de fallas que las personas no quieren reconocer. Podría ser renuencia a involucrarse en algo que se considera un "juego" o "infantil". Tal vez haya experimentado escenarios mal ejecutados que consisten en una presentación de PowerPoint demasiado diseñada sin interacción y mucho FUD de marketing. Por alguna razón, algunas organizaciones son reacias a buscarlos y utilizar esta valiosa herramienta.

Afortunadamente, esto está cambiando, con eventos como la conferencia anual Play Secure que reúne a expertos en aprendizaje, simulaciones, ludificación y juegos. Además, varias empresas ofrecen ejercicios estándar y personalizados en sus catálogos de productos. Divulgación completa, como es de esperar, mi propia empresa familiar, Bores , ha estado administrando estos con excelentes resultados durante años.

La idea de usar escenarios de mesa como un lugar para probar o evaluar los planes de estrés y prepararse para los desastres, desarrollar tolerancias para el estrés y el pánico en los involucrados (correr bien, son experiencias intensas) y proporcionar un lugar para hacer las cosas mal de manera segura es extensión.

Los diferentes tipos de ejercicios de mesa

Hay una gran cantidad de opciones cuando estás ejecutando un ejercicio de simulación, dependiendo de lo que quieras sacar de él. Como ejercicio de marketing y concientización para una amenaza o evento en particular, un formato altamente estructurado que involucre entradas detalladas, opciones limitadas (o incluso ninguna), casi como una repetición de eventos reales, puede ser altamente efectivo: menos atractivo, pero escalable con poco esfuerzo en los escenarios mucho más complicados no lo son. En el otro extremo del espectro, terminamos con los escenarios mucho más abiertos, casi sin guión y que requieren un moderador experto para ejecutarlos, respondiendo en tiempo real a las decisiones de los participantes, creando nuevas inyecciones sobre la marcha.

Como regla general, cuanto más guionado esté el ejercicio de simulación, más fácil será ejecutarlo a escala, más esfuerzo se necesita para la creación inicial y menos conocimiento requiere un moderador para ejecutarlo. Una empresa podría presentar fácilmente un escenario interno preparado previamente al estilo de un libro de aventuras de elección propia con opciones limitadas, y dejar que los equipos realicen sus propias sesiones.

Cuanto menos guión tenga la sesión, más difícil será ejecutarla a escala (es posible, pero requiere más recursos y esfuerzo), y más conocimientos y experiencia se requerirán del moderador. Lo ideal aquí es alguien con experiencia en el tipo de incidente que se simula, junto con experiencia en la ejecución de sesiones de juego (sí, incluyo treinta años de ejecución de sesiones de juegos de rol de mesa en mi CV cuando estoy lanzando estos ejercicios). Lo que brindan las sesiones sin guión es la oportunidad de probar planes específicos, o incluso construirlos en función de acciones y elecciones durante el ejercicio.

Además de esto, debe considerar el tipo de incidente que desea probar. Un ejercicio de simulación de continuidad comercial tendrá como objetivo descubrir cómo una organización puede seguir operando a un nivel aceptable cuando fallan los sistemas críticos.

La respuesta a incidentes buscará incidentes de seguridad, en la mayoría de los casos, pero puede cubrir cualquier cosa, desde mala prensa hasta un CEO naufragado.

Los escenarios de continuidad del negocio están dirigidos a cómo responde el negocio a una crisis o falla crítica, y cómo mantiene cierto nivel de funcionamiento en todo momento. Es una excelente manera de determinar qué es realmente crítico y qué nivel de servicio se requiere para ser un negocio viable.

La recuperación ante desastres a menudo fluye naturalmente de la continuidad del negocio, descubriendo cómo una organización pasa de los planes de continuidad del negocio a las operaciones normales (o cómo restaurar desde la copia de seguridad). La gestión de crisis puede ser casi cualquier cosa, incluidas todas las anteriores.

¿Cómo se ejecuta un ejercicio de mesa?

Me encantaría decir que la mejor manera de ejecutar uno es contratar a un profesional (y es cierto, si tiene presupuesto y puede encontrar un profesional , entonces debería hacerlo). Sin embargo, si solo está buscando probar la idea, o está buscando una nueva versión para la noche de juegos familiares, entonces puede ejecutar fácilmente una sesión de mesa usted mismo con un esfuerzo limitado. Dependerá de su propia experiencia, así que elija un escenario en el que tenga experiencia para obtener los mejores resultados (y un entorno con el que esté familiarizado; al construir estos escenarios, generalmente involucro una fase intensa de descubrimiento para comprender la organización lo suficientemente bien). ).

La forma más sencilla una vez que tienes un escenario es decidir cuál es la 'verdad'. Esto es lo que realmente sucedió detrás de escena. Quién es el atacante o qué es lo que realmente salió mal. Esto no necesita ser increíblemente detallado, dependiendo de sus habilidades de improvisación y confianza, pero una regla de oro es no modificarlo durante el ejercicio: una pequeña inconsistencia puede destruir el compromiso y eliminar cualquier potencial de aprendizaje.

Una vez que tenga esa 'verdad', dedique algún tiempo a pensar cómo la verán los participantes. No van a tener la información completa desde el principio, incluso en un escenario tan simple como un centro de datos quemándose, lo primero que probablemente verá la organización es que los servicios fallan. Todo lo que genere una lluvia de ideas aquí formará sus primeras inyecciones, que podrían ser tan simples como decirle al grupo "esto es lo que ve" o, para un efecto más poderoso, mensajes de redes sociales de clientes, avisos de ransomware, titulares de noticias y similares ( puede obtener algunas plantillas gratuitas para crear algunas de estas aquí ).

Una vez que haya hecho eso, lo más difícil es programar un tiempo para reunir a sus participantes. Con ese no puedo ayudar.

Finalmente, tendrá todo lo que necesita: el escenario, las inyecciones, sus participantes e, idealmente, alguien que tome notas detalladas de lo que sucede.

Después de eso, se trata de narrativa y narración. Abra con las inyecciones iniciales y luego entregue a sus participantes para decidir qué sucede a continuación. Cuando realicen una acción, responda con más información según lo que haya hecho, tal vez con más inyecciones, y repita hasta que el escenario esté completo.

La finalización puede ser difícil de definir, por lo que, de manera realista, desea ejecutar hasta que el escenario sea estable, lo que significa que cualquier acción adicional no supondrá una diferencia inmediata (una vez que se toma la decisión de reconstruir un centro de datos, por ejemplo, hay un valor limitado en jugar a través de los meses de construcción que estarían involucrados). Tome notas, saque cualquier cosa importante y comience a prepararse para el próximo ejercicio de simulación.

Si estás convencido de probar uno y necesitas un pequeño consejo, o si quieres que alguien venga y realice una serie de ejercicios, puedes contactarme en Twitter o LinkedIn .