La policía de la ciudad de Londres, Inglaterra ofreció capacitar a los líderes empresariales y a la seguridad de TI (Tecnologías de la Información) en seguridad cibernética utilizando una simulación de Lego sorprendentemente cercana a la vida real.
La junta directiva tuvo que tomar algunas decisiones difíciles. La compañía acababa de hacerse cargo de una planta de energía hidroeléctrica.
Los sistemas informáticos de la oficina y el sistema de control industrial SCADA estaban conectados a Internet, y todos corrían el riesgo de piratas informáticos y virus. Había poca seguridad, si es que tenía alguna por eso el tema de la seguridad cibernética.
Contenidos de esta página
Un juego de simulación para prepararse en seguridad cibernética y evitar ataques informáticos
Bienvenido al juego de simulación de seguridad cibernética de la Policía de la Ciudad de Londres. Desvelado esta semana como parte del programa Cyber Griffin de la fuerza para ayudar a las empresas de Square Mile a mejorar su seguridad, el juego está diseñado para alentar a las juntas directivas y a sus equipos de TI a pensar y prepararse para los problemas de seguridad antes de que sucedan.
Actuando como directores, teníamos un presupuesto de seguridad anual de £ 100,000 y una amplia gama de opciones para gastarlo. Cortafuegos, antivirus, CCTV, auditorías de activos, evaluaciones de amenazas, actualizaciones del sistema operativo y capacitación en seguridad: los necesitábamos a todos, pero con un presupuesto limitado, tuvimos que priorizar.
Todos contribuyeron con sus pensamientos. «Primero podríamos ir a lo básico como antivirus y luego realizar una evaluación de amenazas». «También necesitamos CCTV porque no sabemos quién está trabajando allí». «También necesitamos un firewall en la oficina porque todos están en Facebook a la hora del almuerzo».
«¿Qué pasa con los riesgos de GDPR [Reglamento General de Protección de Datos]? Si los correos electrónicos de nuestros clientes son pirateados, podríamos estar expuestos a grandes multas, lo que haría que la empresa abandone el negocio».
«Así que tenemos empleados muy amables que se ven realmente encantadores, trayendo tortas para todos, que en realidad están plantando dispositivos en todas partes».
Las discusiones fueron a la vez estimulantes y enloquecedoras. Independientemente de la elección que hayamos hecho, de forma predeterminada, dejábamos vulnerable a otra parte del negocio.
Ben Shreeve, anteriormente en Lancaster University y ahora parte del grupo de seguridad cibernética en la Universidad de Bristol, desarrolló el juego para ayudar a los líderes empresariales a comprender las complejidades de la seguridad cibernética.
Las compañías deben participar más y adentrarse a explorar los detalles de la seguridad cibernética
La planta de energía está hecha de Lego, y los jugadores pueden optar por gastar su presupuesto de seguridad anual en una gama de opciones a veces desconcertante, representada por naipes de colores.
Tome la decisión equivocada, y corre el riesgo de ser pirateado, atacado, multado por los reguladores y potencialmente ir a la quiebra.
Muchas compañías han participado en el juego en los últimos dos años. Y ha atraído el interés de las fuerzas policiales fuera de la ciudad de Londres, incluida la Policía Metropolitana y las fuerzas regionales.
Charlie Morrison es sargento en la unidad de delitos cibernéticos de la Policía de la Ciudad de Londres. Alienta a los directores de la junta a jugar con su personal de seguridad de TI como parte del programa Cyber Griffin.
«Hay un poco de fricción entre los CEOs y los chicos de TI», dijo.
Además añadió, «Los tipos de TI están fundamentalmente frustrados por el hecho de que necesitan que los CEO comprendan los problemas. Los CEOs sienten que es un problema fundamentalmente técnico. Cada uno de ellos, a través de sus propias experiencias, siente que el otro tiene la culpa «.
Después de dos horas, los miembros de la junta comienzan a ver a sus especialistas en TI bajo una luz diferente, dice Morrison. Se dan cuenta de que la seguridad es un problema de la junta. Pero la reputación y la misión de la compañía están en manos del departamento de TI.
Los factores y condiciones actuales llevan a las empresas a capacitarse en ciberseguridad
«Creemos que el juego es una muy buena forma de comenzar a hacer que los que toman las decisiones en esas empresas piensen en los conceptos detrás de la seguridad cibernética», dijo. «El juego es realmente bueno para hacerte pensar en esas cosas antes del día» añadió.
Nunca ha habido una mayor necesidad de capacitación en ciberseguridad. La cantidad de infracciones de datos, muchas orquestadas por organizaciones patrocinadas por el estado, alcanzó niveles récord el año pasado. Esto de acuerdo con una investigación del Centro Nacional de Seguridad Cibernética.
Las empresas afectadas incluyeron a Yahoo!. La red social admitió que tres millones de clientes se habían visto afectados por una infracción en 2013. Por su parte, Equifax se vio comprometida la información de identificación personal de 145 millones de usuarios estadounidenses y 700,000 usuarios del Reino Unido.
Fraude al CEO
Muchos de estos ataques comienzan no con tecnología. Sino con personas, y el error que muchas juntas hacen durante la simulación es enfocarse demasiado en soluciones tecnológicas. Muchos ataques comienzan con delincuentes que envían correos electrónicos de phishing. De esta manera, intentan engañar a miembros del personal para que abran documentos relacionados con el malware.
Las bandas criminales organizadas y los grupos patrocinados por el estado nacional pueden llegar a extremos para investigar un objetivo en las redes sociales para crear un ataque de spear o phishing extremadamente convincente.
«Nos hemos topado con un incidente en el que se practicaba el hombro. Alguien en una habitación de una cafetería, escuchando», dijo Morrison. «Eso es algo que, que yo sepa, ha sucedido, pero es muy raro».
Morrison se ha reunido con empresas que han sido víctimas de un sofisticado ataque de phishing. En distintos casos un delincuente había enviado un correo electrónico que pretendía provenir del director ejecutivo. El mismo solicitaba la transferencia inmediata de cientos de miles de libras a una cuenta bancaria. La estafa, conocida como fraude de CEO. Es común, y poco inusual que las compañías pierdan grandes cantidades de dinero.
En otro caso, un criminal entró a una oficina con un kit de limpieza. El sujeto entro diciendo que estaba allí para limpiar los Macs. Al día siguiente, la compañía descubrió que faltaban 20 computadoras.
Fuente: computerweekly.com
Recomendaciones similares: