Dots
Dots
Gartner Report
/ news / CIBERSEGURIDAD:_SIMULACIÓN_DE_PROCESOS_CRÍTICOS

Ciberseguridad: simulación de procesos críticos

Published on April 16, 2025

Introducción

Cada año, el Foro Económico Mundial (WEF) elabora un informe (World Economic Forum Global Risk Report) sobre los riesgos a los que se expone el mundo empresarial; estos incluyen también riesgos relacionados con la ciberseguridad. En particular, uno de los riesgos con mayor ponderación, tanto en términos de probabilidad como de impacto, tiene consecuencias para la continuidad del negocio corporativo: se trata de ataques cibernéticos.

Evaluación de riesgos

La evaluación del WEF se ve influenciada por varios factores: en lo que respecta al impacto económico de un ataque, este varía según la industria, partiendo de un mínimo de 2 millones de dólares para el sector público y superando los 9 millones para el sector salud (IBM Security Report). Estas cifras representan el costo promedio que diversas empresas deben asumir para gestionar los ataques cibernéticos.

En cuanto a la probabilidad, influyen numerosos factores. En primer lugar, la alta disponibilidad de herramientas y servicios de piratería y ataque, que se pueden encontrar en línea incluso de forma gratuita, amplía el espectro de cibercriminales, alcanzando incluso a segmentos de la población con habilidades técnicas moderadas. Además, existen empresas reales creadas con el objetivo de atacar y vulnerar distintos sectores a nivel mundial, con un fin primordial: el lucro. De hecho, la facturación de estas organizaciones criminales es exorbitante (millones y millones de dólares), en constante crecimiento y con retornos de inversión sorprendentes.

Además de los ataques intencionados, otro riesgo importante para la continuidad del negocio proviene de eventos naturales así como de acciones maliciosas o accidentales por parte del personal interno.

Todos estos eventos tienen la característica de poder resultar extremadamente peligrosos para la continuidad de la actividad empresarial, sumándose a los enormes costos de gestionar y remediar el desastre; costos que no solo derivan de la pérdida de negocio, sino también de la necesidad de restaurar sistemas, gestionar acciones legales, sanciones, daños a la imagen, etc.

Gestión de riesgos

En este contexto, es fundamental para cada empresa estar preparada y dispuesta a gestionar situaciones de crisis.

La preparación comienza con aspectos formales, que incluyen planes formalizados y actualizados de continuidad del negocio y recuperación ante desastres, los cuales deben definirse en función de las necesidades reales de la empresa.

No obstante, estar preparado para gestionar un desastre también implica contar con las habilidades (conocimiento de los procedimientos) y realizar pruebas (simulacros y ejercicios de gestión de emergencias), aspectos que se refuerzan mutuamente en un círculo virtuoso centrado en la práctica de dichos procedimientos.

Sin embargo, muchas empresas suelen centrar su atención en probar los componentes técnicos de los procedimientos; por ejemplo, verificando que la secuencia de reinicio de los sistemas funcione correctamente, o que la recuperación de sistemas y aplicaciones sea efectiva.

Aunque estos controles son, sin duda, importantes, existe una parte de los procedimientos que rara vez se somete a prueba, aunque es igualmente relevante, y se refiere a aspectos organizativos y de toma de decisiones; es decir, verificar el conocimiento de los procesos de gestión de la continuidad, la capacidad para tomar decisiones conforme al procedimiento en situaciones de estrés y la gestión de la comunicación con organismos externos (prensa/medios, clientes, proveedores, fuerzas del orden, autoridades reguladoras, etc.).

Para abordar esta problemática, ofrecemos a nuestros clientes una solución innovadora basada en una plataforma de simulación inmersiva, denominada Cyber Jumanji.

Cyber Jumanji permite simular de manera realista cualquier situación de crisis con el fin de

  1. verificar la integridad y exactitud de los procedimientos;
  2. comprobar el conocimiento de los procedimientos por parte de los roles involucrados;
  3. capacitar a los equipos de gestión de emergencias para el manejo de situaciones adversas.

Cyber Jumanji es una plataforma sencilla e intuitiva, accesible completamente en línea, de modo que todos los participantes pueden realizar sus tareas desde su oficina o desde cualquier lugar que disponga de un navegador.

Cyber Jumanji permite la simulación de una situación de crisis en la que cada componente y/o equipo implicado participa en un juego de roles, en el que pueden desempeñar su rol profesional o uno asignado durante la fase de configuración (por ejemplo, clientes, competidores, partes interesadas, autoridades, otros roles internos, etc.) con el objetivo de resolver desafíos estratégicos de forma colaborativa.

Al igual que en la vida real, todos los participantes actúan de forma simultánea y concurrente, sin disponer de toda la información necesaria para comprender a cabalidad lo que ocurre y para gestionar factores externos que suelen estar fuera de su control.

Sólo al finalizar un ciclo de simulación, cada miembro del equipo podrá verificar y evaluar los efectos combinados de sus decisiones y acciones con las de los demás participantes.

¿Cómo funciona Cyber Jumanji? Consiste en tres elementos principales:

  1. El configurador del procedimiento a simular: esta actividad está a cargo del equipo de consultores de Neverhack y se realiza conforme a acuerdos con el cliente, con el objetivo de definir el procedimiento a testar y determinar las características específicas del escenario de prueba (por ejemplo, la activación de un plan de recuperación ante desastres que puede ser desencadenada tanto por un incendio, un terremoto, una inundación, etc. – situaciones diferentes que deben gestionarse de forma específica, pero que conducen a la activación del mismo plan);
  2. El Simulador: es el componente que gestiona efectivamente la simulación; cada participante debe acceder al sistema y reaccionar a los estímulos propuestos en función de su rol, habilidades y conocimiento del procedimiento establecido por la empresa;
  3. Analytics: este componente, utilizado por el equipo de Neverhack, recopila información sobre la simulación y la organiza en diversas representaciones gráficas, resaltando los puntos fuertes y las debilidades detectadas. Los elementos identificados se interpretan y se comparten tanto con el equipo participante como con el cliente, según sus intereses.

Durante la simulación, la plataforma somete a los participantes a situaciones a gestionar y a eventos inesperados, tal como ocurre en la realidad en momentos de crisis, con el objetivo de evaluar la adecuación del procedimiento, la capacidad de respuesta del equipo y la habilidad para gestionar situaciones de estrés.

Además, es posible enviar cuestionarios o solicitudes de análisis y toma de decisiones que evidencien el nivel de conocimiento y la gestión de la situación de emergencia, así como la capacidad para realizar análisis precisos que permitan identificar soluciones frente a situaciones imprevistas.

La posibilidad de simular la presencia de roles que habitualmente no participan en los tests de continuidad (como periodistas, fuerzas del orden, autoridades reguladoras, así como la alta dirección) permite generar situaciones generadoras de presión y estrés en los participantes, de la misma manera que ocurre en la realidad. Esta característica confiere un alto nivel de realismo a la simulación.

Los roles previstos

La simulación implica la participación de tres roles, descritos a continuación:

  1. Roles activos: son aquellos roles que intervienen activamente en la simulación, encargados de analizar situaciones, tomar decisiones, interactuar entre sí y con los roles representados. Cada rol activo representa una función del procedimiento y puede ser desempeñado por la persona que efectivamente ocupa ese puesto en la empresa o por otra persona. A cada rol activo se le asignan credenciales de acceso para la simulación, y el perfil asociado a estas credenciales corresponde al rol a desempeñar.
  2. Roles representados: son aquellos roles para los cuales no es posible contar con la participación de una persona real, pero que son necesarios para la correcta ejecución del procedimiento; por ejemplo, suelen incluirse roles como la prensa, las fuerzas del orden, las autoridades reguladoras (Banca d’Italia, IVASS, etc.) o altos ejecutivos que no pueden participar en la actividad. La gestión de estos roles representados corresponde al responsable de la simulación.
  3. Responsable de la simulación: es un rol operativo encargado de gestionar el proceso completo de la simulación. Envía las comunicaciones iniciales y finales, interpreta los roles representados y desencadena, además de gestionar, los elementos relativos a situaciones de estrés. Este rol es desempeñado por el personal del equipo de Neverhack.

Objetivos y Resultados

Independientemente del interés específico de un escenario aislado, realizar una simulación de crisis aporta información valiosa sobre la solidez, integridad y aplicabilidad del procedimiento simulado, así como sobre el grado de conocimiento que tiene el equipo al respecto.

Además, los participantes desarrollan habilidades, capacidad de reacción e intuición esenciales para alcanzar los objetivos, algo que sería difícil de obtener mediante metodologías más convencionales.

Al concluir la simulación, se elabora un informe de análisis sobre:

  1. la evaluación de la integridad y exactitud del procedimiento simulado;
  2. la valoración del conocimiento y cumplimiento de los procedimientos por parte del equipo involucrado.

Además del ejercicio en sí, la simulación conlleva la redacción de un informe que refleja con precisión las características de la simulación y los resultados obtenidos. El análisis se sustenta en las observaciones realizadas durante la simulación y en los informes generados por Cyber Jumanji, los cuales destacan de forma objetiva las dificultades encontradas.

El informe se complementa con una propuesta de plan de remediación destinada a abordar los problemas identificados.

Simulación

La simulación se construye a partir de políticas y procedimientos operativos previamente definidos; en ausencia de estos, es necesario contar al menos con una descripción verbal del modus operandi en caso de emergencia.

A continuación, se debe definir con precisión el escenario a simular, por ejemplo, un ataque de ransomware en el PC de un empleado, un ataque DDoS a un sitio web, un terremoto que impida el acceso a un edificio/oficina, etc., junto con la identificación de los participantes reales y representados. Se recomienda no compartir el escenario con los participantes para preservar el efecto sorpresa que caracteriza a la realidad.

Las simulaciones tienen una duración media de 2 a 3 horas, lo que corresponde al compromiso requerido por los participantes.

You can also read

All the latest news