Ejercicios estratégicos de integración de riesgo:una verdadera prueba para las organizaciones

Muchos especialistas en el área de riesgo hablan de que se debe reorientar la gerencia en función a una situación inesperada, una sorpresa estratégica o, como he escuchado recientemente, tratar de `nivelar incertidumbre´ refiriéndose a reducir tiempos de reacción y respuesta ante eventos inesperados.

Yo, personalmente, cuando oigo la expresión `eventos inesperados’ o el término militar de `sorpresa estratégica´ me viene a la mente ataques extraterrestres, colisión inminente de un meteorito recién detectado o una nueva pandemia mortal liberada por algún laboratorio, porque del resto, casi todos los potenciales riesgos pueden identificarse o proyectarse.

¿Acaso estoy diciendo que como organización no podemos prepararnos contra ciertos riesgos? ¡Totalmente!

¿Por qué digo eso? Porque un análisis serio de entorno puede identificar riesgos actuales, evaluar (probabilidad de suceso) e incluso especular sobre la aparición de potenciales riesgos basados en tendencias, evolución de ataques y la exposición de esa organización.

Pero `un evento inesperado ´o `una sorpresa estratégica´ es un escenario superior a nuestra organización y, posiblemente, a lo que representa nuestro entorno, por lo que es muy difícil generar mecanismos de actuación en caso de esos eventos.

Por ejemplo, una tormenta solar lo suficientemente grande podría devolvernos a la época medieval desde el punto de vista tecnológico[1].

Un evento nuclear (Rusia contra OTAN, India / Paquistán o un atentado biológico, químico o radiológico[2] contra Estados Unidos) sería -definitivamente- una sorpresa estratégica. Algo poco probable, pero posible, que tendría, sin duda, una afectación mundial.

Ahora bien, si usted se encuentra de este lado del bosque (Latinoamérica), es poco probable que su organización este monitoreando activamente este tipo de escenarios a menos que trabaje con inteligencia anticipatoria, tenga una gerencia de riesgo internacional que les permitan realizar estudios prospectivos o, que reciba alertas geopolíticas a través de la Ouija.

Lo que si podemos hacer, es identificar los riesgos directos e indirectos que acechan en nuestro entorno sin perder de vista lo que pasa a nivel internacional.

Mi amigo lector estará pensando: ¡Alfredo que fastidioso estás! Todos los que estamos en el área de riesgo corporativo hacemos eso diariamente…

Ok, ok. Entonces me permito preguntar: ¿Acaso el monitoreo de riesgos de entorno que realizan incluye operaciones de infiltración, campañas de desinformación, ingeniería social avanzada? o, por ejemplo, ¿cómo eventos geopolíticos -en marcha- pueden impactar sus operaciones?

Cuando hago esas preguntas recibo toda clase de respuestas: “nuestra organización es resiliente y puede enfrentar diferentes riesgos”, “nuestra empresa realiza anualmente un taller de concientización de riesgos de ciberseguridad y también hacemos un pentesting (prueba de penetración) por lo que estamos bien”; “¿eventos geopolíticos? Ni siquiera consideramos los riesgos políticos en nuestro país”; “no estamos claros como priorizar la evolución de riesgos futuros”, etc.

Uno de los problemas que hemos detectado en las grandes organizaciones, es que enfocan la gerencia de riesgo en la prevención o mitigación de eventos únicos, ósea: un (01) ataque cibernético, protección contra un (01) acto espionaje, detectar una (01) campaña de ingeniería social, etc. y son pocas las veces en la que una organización se prepara para un ataque hibrido o multipropósito.

Un ataque de DDoS. (denegación de servicio) puede ser el principio para facilitar que un infiltrado extraiga inteligencia o que inyecte un malware de espionaje que se active al finalizar el ataque.

Un evento político puede alterar nuestro entorno nacional y esto puede tener impacto en la seguridad de nuestras operaciones internas.

La evolución de grupos hacktivistas[3] hace que estos puedan sabotear infraestructura crítica del país o estado dónde operamos.  Pueden exfiltrar información confidencial de la plana mayor de nuestra empresa o compartir claves robadas con algunos foros en el Dark Web que harían fiesta con eso.

Una operación de ingeniería social avanzada puede ser dirigida para desinformar a clientes e influenciarlos a realizar una acción (o dejar de hacerla) con la finalidad de vulnerar -en primera etapa- a nuestra organización.

Una segunda etapa podría ser, infiltrar a grupos de opinión ligados a nuestra organización para afianzar un daño reputacional que conlleve a la baja de las acciones de esa compañía en la bolsa de valores, o a una corrida de ahorristas o simplemente para atrasar la toma de una decisión sobre expansión, venta o compra.

… ¿entienden mi punto? Preparar procesos para gerenciar riesgos únicos no está mal, pero hay una evolución en los ataques, y muchas veces es de carácter estratégico y las organizaciones seguimos preparándonos para enfrentarlos de forma táctica.

Ofrecer talleres de concientización de ciberseguridad al personal y hacer pentesting es útil pero no permite a una organización evaluar reacciones ante ataques combinados.

Ahora bien, todos estamos expuestos a estos ataques múlti-dimensionales, pero unas organizaciones son más atractivas de atacar por grupos avanzados[4] que otras:

o   aquellas que representan iconos (Nike, Adidas, McDonald’s, Oxxo, Shell, Pemex, Coca Cola, etc.),

o   aquellas que manejan grandes cantidades de información sensible (Bancos, Seguro Social, organismos de seguridad militares y civiles, etc.) y

o   las organizaciones con responsabilidad de operar infraestructura crítica (Aeropuertos/ puertos, electricidad, gas, agua, Banca, etc.).

¿Cómo sé si mi organización pudiera ser una potencial víctima de estos grupos?

Lo primero que hay que entender es cuán elevada es mi exposición de riesgo en base a: tipo de servicio que presto, producto o función que desempeño (no es lo mismo la exposición de riesgo de un banco a la de una consultora, o la de un organismo de inteligencia versus una tienda por departamentos).

Muy bien Alfredo, todo muy interesante, pero ¿y tú que propones?

Nosotros desarrollamos ejercicios estratégicos de riesgo. Estos ejercicios son simulaciones de ataques dónde el grupo en juego (cliente) va reaccionando a una serie de eventos e informaciones que los coordinadores (nosotros) vamos dejando fluir vía diferentes canales[5] en un período de tiempo -no mayor- de 4 horas y media de juego[6].

El grupo en juego (cliente) está compuesto por no más de 6 ejecutivos[7] con poder de decisión y relacionados al tema de seguridad y riesgo quienes deben identificar, analizar y coordinar las respuestas (según los protocolos/procesos existentes en la organización) para lidiar con los problemas que les vamos generando en base a un escenario que los coordinadores (nosotros) hemos preparado con antelación.

Las progresiones de eventos incluyen desde extorsión a un alto directivo para exfiltrar información hasta operaciones de desinformación para generar daños reputacionales; desde ataques cibernéticos junto con protestas violentas en la sede, hasta sabotajes por infiltrados.

El escenario es particular según el entorno de riesgo del cliente, el ataque es combinado de 2 a 4 incidentes[8] y la finalidad inicial es evaluar los procesos identificación, coordinación y toma de decisiones en ambientes de incertidumbre y estrés.

En paralelo, estos ejercicios nos permiten evaluar el apresto (basado en los procesos de mitigación y contención de nuestros clientes) y la fluidez en la dinámica interdepartamental para lidiar con las sorpresas y/o complicaciones que los coordinadores (nosotros) hemos planificado para el desarrollo de los escenarios particulares.

Al final de los 120 minutos de la fase `escalada del evento ´, el escenario se para, indiferentemente del estatus y se les entrega un cuestionario tipo `after action report (AAR)´ que deben completar sobre la efectividad de los protocolos/procesos de la organización para enfrentar. -hasta ese momento- el escenario jugado.

Al finalizar el ejercicio, los coordinadores tienen un lapso de una semana para presentar una evaluación al cliente sobre de la dinámica del equipo en el ejercicio realizado que incluye:  

o   Comprensión e identificación del (o los) riesgo(s) en el escenario planteado,

o   análisis del impacto del riesgo en operaciones, seguridad patrimonial, daño reputacional, etc.

o   coordinación del equipo, liderazgo y toma de decisiones bajo estrés,

o   uso de herramientas para mitigar/contener la escalada del evento y

o   nuestras sugerencias para optimizar los procesos observados.

¿Acaso esto no es más útil para la organización que realizar un refrito de concientización en ciberseguridad para C-Level? 

Para no aburrirlos más, este breve resumen de justificación y progresión de un ejercicio estratégico de riesgo se enmarca en la necesidad de evaluar práctica por sobre la teoría descrita en los procesos de cada organización.

Si bien es cierto que el ejercicio es un escenario que nosotros (los coordinadores) vamos evolucionando y modificando -constantemente- por un lapso definido, el análisis conjunto de ese escenario (por parte de los jugadores) y el trabajo para mitigar los potenciales efectos, tiene un valor clarísimo para la organización.

No sólo evalúas la capacidad de análisis y reacción de tus gerentes designados al juego, sino que pones a prueba tus procesos de contención/mitigación de riesgos ante eventos singulares como híbridos.

Siempre habrá campo para mejorar esos procesos, pero hay que practicarlos bajo presión y en un ambiente de incertidumbre para los decisores, que a su vez son los jugadores.

¿Qué mejor manera que a través de un ejercicio como este que es corto, directo y no implica mayor interrupción a la organización?

[1] Ver casos como las tormentas solares que afectaron a Quebec (Canadá) en 1989 y más recientemente en Alaska (Estados Unidos) en el 2003.

[2] CBRN weapons: chemical, biological, radiological, or nuclear. Ataques con armas de destrucción masiva.

[3] hackers individuales o grupales que tienen agendas políticas o sociales

[4] Advance Persistent Threats (APT) – Grupos que prepresentan una amenaza avanzada y persistente.

[5] Mail, whatsapp, reportes ficticios de la competencia, noticias, etc.

[6] A) Presentación y análisis del escenario (45min), B) situación sobrevenida (60 min), C) escalada del evento (120min) y D) evaluación de los resultados iniciales por parte de los jugadores (45 min).

[7] 6 es un número de jugadores controlable en la dinámica de ejercicios cortos.

[8] Estos incidentes pueden desencadenarse en simultáneo o progresivamente.