¿El equipo de respuestas cibernéticas luchará o se congelará cuando ocurra un ciberataque?

Si hay una intrusión o un ataque de ransomware en tu empresa, ¿estará tu equipo de seguridad listo para una pelea real? Los CISO pueden sentir que su personal siempre está preparado con la experiencia técnica y la capacitación que necesitan, pero lo cierto es que existe la posibilidad de que se congelen cuando hay presión, comenta Bec McKeown, directora de Ciencias Humanas en la plataforma de capacitación en ciberseguridad Immersive Labs. “Es posible que tengas un libro de jugadas de crisis y políticas de crisis donde buscar soluciones durante un incidente; sin embargo, esa no es siempre la realidad porque la forma en que funciona el cerebro no es solo lucha o huida. Es pelear, huir o congelerase”, añade. “He escuchado a personas decir: ‘Sabíamos cómo responder a una crisis, pero no sabíamos qué hacer cuando realmente sucedió’”.

McKeown es una psicóloga cuya investigación en industrias de alto riesgo le ha dado una nueva perspectiva sobre cómo reaccionan los humanos durante las crisis. Su opinión no es meramente teórica. Los jefes de seguridad también confirman que han visto equipos totalmente paralizados a la hora de responder a incidentes reales, incluidos aquellos que se habían preparado para tales circunstancias.

Los problemas aumentan cuando el equipo se congela

Un retraso en la respuesta, incluso de pocas horas, poder dar a los ciberatacantes más tiempo para infligir daño y extender los tiempos de recuperación. También puede conducir a mayores costes de respuesta y, posiblemente, a grandes multas regulatorias y pérdida de negocios. Dado el potencial de dichas reacciones, McKeown, los analistas y los directores de seguridad consideran que los líderes de seguridad deben anticipar esa respuesta congelada, incorporar prácticas para ayudar a minimizar las posibilidades de que suceda y desarrollar estrategias para identificar y enfrentarla en caso de que realmente ocurra durante un evento de seguridad real. “Tienes que entender cómo vas a reaccionar en estos tiempos de crisis. Puedes desarrollar habilidades en tu equipo que les permitan ser ágiles y ayudarles a reaccionar cuando no cuentan con todo el contexto situacional. Se trata de una preparación psicológica”, incide McKeown.

Cómo y por qué se paralizan los equipos

Los CISO no deberían sorprenderse al escuchar que incluso los equipos bien preparados pueden tener momentos de parálisis; es la naturaleza humana, apunta la psicóloga. Los empleados pueden experimentar una disminución cognitiva a causa de la concentración en una única situación frente a ellos que les impide considerar todas las circunstancias y pensar como lo harían normalmente.

Niel Harper, líder de ciberseguridad cibernética empresarial y director de la junta directiva de la asociación de gobierno ISACA, fue testifo de la congelación del equipo en respuesta a un ataque de ransomware en su primer día de trabajo en una empresa como asesor. “Literalmente no sabían qué hacer, a pesar de que tenían algo de experiencia, estaban en modo pánico”. El experto asegura que ha visto otras situaciones en las que la respuesta se bloqueó y, por tanto, se retrasó. En algunos casos, los equipos temían que se los considerara exagerados. En otros, estaban paralizados por el miedo a ser culpados. Y en otros incidentes no hubo miembros del equipo que hubieran experimentado y trabajado en un caso real, por lo que no hubo nadie que se sintiera seguro para liderar. “Todos esos problemas, solos o combinados, pueden conducir a un congelamiento organizacional”.

Chris Hughes, profesor adjunto de la Escuela de Ciberseguridad y Tecnología de la Información del campus global de la Universidad de Maryland, dice que él también ha visto cómo se desarrolla una situación así. Estaba trabajando con un equipo de seguridad en una agencia gubernamental que identificó el tráfico sospechoso, lo confirmó como malicioso y luego se topó con un obstáculo que les impidió tomar medidas.

Efecto espectador

“Fue un poco el efecto espectador. Estaban asumiendo o esperando que un compañero de equipo interviniera y tomara la iniciativa en este asunto. Nadie lo hizo realmente; nadie estaba dio un paso al frente”, dice Hughes. Se necesitó que llegara un alto cargo para “sacudirlos de su conmoción”. Por otro lado, los jefes de seguridad experimentados dicen que a veces son los ejecutivos los que se congelan, atrapados en el sentimiento de “esto no puede ser verdad” y “esto no nos puede pasar a nosotros”. “Estos momentos de congelación a menudo ocurren cuando hay mucho miedo, miedo por lo malo que es, cuánto podría dañar [a la organización], y cuando hay mucha incertidumbre”, dice Ed Skoudis, presidente del SANS Technology Institute. “Está llegando toda esta información, pero los equipos no saben qué es real o qué no y cuál es la mejor manera de hacerlo. Hay mucha duda. Cuando hay miedo, incertidumbre, duda o las tres cosas, es paralizante”.

Norman Kromberg, CISO de la firma de servicios de ciberseguridad NetSPI, ha visto a un equipo "llegar a un punto en el que las cosas se han detenido". Era un líder de seguridad en una empresa que declaró un incidente cuando se descubrió actividad interna maliciosa. Su equipo había estado trabajando "a toda velocidad, con todas las manos en la cubierta" durante casi dos semanas en respuesta, con la aplicación de la ley, expertos forenses y con la compañía de seguros cibernéticos también colaborando. Entonces su equipo chocó contra una pared, no estaban haciendo ningún progreso.  “No pudimos avanzar en el proceso de recuperación”.

Cómo descongelarse

Cuando vio a su equipo atascado y dedujo los motivos, Kromberg les dijo a todos que se fueran a casa. “Estábamos en un punto en el que podíamos tomarnos ese fin de semana libre, y eso incluía no solo a nuestro equipo, sino también a los proveedores, al departamento legal y a las fuerzas del orden. Nos tomamos un tiempo libre y regresamos el lunes renovados. Pudimos avanzar rápidamente”. En este sentido considera que la experiencia le ha enseñado a planificar esos momentos de cara al futuro. Varios expertos coinciden en que los CISO de todo el mundo deberían hacer lo mismo, señalando que pueden incorporar varios ejercicios para ayudar a minimizar la probabilidad de que los equipos se paralicen.

Primero deberán asegurarse de lo básico. “Los CISO pueden dar diversos pasos para evitar que los equipos entren en modo congelación al desarrollar planes de respuesta a incidentes, capacitar a equipos de respuesta a incidentes, simular incidentes regularmente, fomentar la comunicación abierta, tener una cadena de mando transparente y tener una gestión de riesgos precisa y estrategia de gestión de incidentes”, dice Philip Chan, profesor adjunto de la Escuela de Ciberseguridad y Tecnología de la Información del campus global de la Universidad de Maryland.

Asimismo, los expertos en seguridad confiesan que los CISO deben examinar posteriormente sus simulacros y agregar elementos que puedan ayudar a sus equipos a prepararse mejor ante situaciones reales.

Prepararse para lo inesperado

“Mencionar varias cosas nuevas que no aparezcan en el libro de jugadas”, detalla McKeown. Esto puede implicar que un trabajador haga un movimiento falso deliberadamente, por ejemplo, que apague por completo un sistema crítico durante el simulacro para que el equipo pueda practicar cómo trabajar en situaciones inesperadas o descentralizadas. Tal práctica, agrega McKeown, genera agilidad y trabajo en equipo, lo que puede ayudar a evitar las acusaciones y discusiones que a menudo surgen durante las crisis, bloqueando a los equipos y obstaculizando su capacidad para avanzar rápidamente.

Kromberg relata que una vez realizó un simulacro no anunciado después de una fiesta navideña un viernes al mediodía. Sabía que los piratas informáticos sabían planificar sus ataques cuando las corporaciones pueden ser las más vulnerables, por lo que quería que su equipo practicara para tal circunstancia. En este caso, dice que el equipo tuvo que aprender a cambiar rápidamente de marcha y trabajar sin personas clave que ya se habían ido de vacaciones.

McKeown, Kromberg y otros expertos apuntan que que los CISO y sus equipos de seguridad también ganan memoria al realizar simulacros que reflejan circunstancias reales tanto como sea posible. Eso significa comenzar desde el principio, como las advertencias más tempranas, y ejecutar el escenario a través de simulaciones prácticas (en lugar de una sesión de capacitación de tipo de mesa o de recorrido). “Es más palpable cuando tienes las manos en los teclados, donde realizas los movimientos reales”, dice Hughes, quien también es cofundador y CISO de Aquia, una firma especializada en servicios profesionales de ciberseguridad y nube.

Un reloj de cuenta regresiva

Skoudis dice que ha usado un reloj de cuenta regresiva durante los simulacros, lo que también acostumbra a los equipos a trabajar bajo la intensa presión que sentirían en un incidente real. “Es incómodo, pero quieres practicar estar en ese lugar para desarrollar esa memoria muscular”, dice. Otros también aconsejan a los CISO que traten de involucrar a la mayor cantidad de ejecutivos de la empresa, otros departamentos y soporte externo que trabajaría en conjunto con seguridad, TI y respuesta a incidentes para determinar si esos participantes adicionales serían los que quedarían paralizados. “Es posible que vea otras áreas en las que las cosas podrían congelarse, como si un director ejecutivo [se resistiera] a hablar sobre la información financiera que se necesita durante un incidente”, dice Kromberg.

Los CISO también deben considerar cómo en una crisis real pueden crear canales para que los trabajadores presenten soluciones, dice Thomas Randall, director asesor de Info-Tech Research Group y su división SoftwareReviews. “Debe asegurarse de que sus colegas se sienten lo suficientemente cómodos para sugerir una solución incluso en una situación estresante”, apunta Randall.

Soluciones creativas

Es posible que los equipos no tengan mucho tiempo para contemplar ideas durante un incidente real, agrega Randall, pero es importante tener algún conducto para ofrecerlas y evaluarlas sobre la marcha, ya que estas soluciones creativas pueden ser las que guíen a los equipos una y otra vez. Otra medida que pueden tomar los CISO para ayudar a evitar esos momentos de congelación pasa por contratar a trabajadores que tengan experiencia en infracciones y hackeos o contratar equipos externos de respuesta a incidentes que hagan este trabajo regularmente. Harper dice que los jefes de seguridad no deberían subestimar el valor de tal experiencia; él dice que aquellos que han trabajado a través de las crisis desarrollan una memoria muscular que los mantiene calmados y les permite guiar a otros a través de las partes más difíciles que desconciertan a los trabajadores sin experiencia.