Seguritecnia 452

42 SEGURITECNIA Abril 2018 Seguridad Corporativa ción se reúne para establecer los obje- tivos. La evaluación debe comparar el desempeño con los objetivos del cibe- rejercicio e identificar y documentar los puntos fuertes y las áreas de mejora en relación con las capacidades básicas. Las métricas a evaluar se establecen en función de las características del ci- berejercicio, pudiendo basarse bien en las técnicas de cada una de las fases del ciberejercicio, bien en cada fase de este último o en el escenario definido para él. Pero siempre de tal forma que se de- termine de manera objetiva y cuantita- tiva el grado de éxito de la ejecución de los procedimientos establecidos para la contención del ataque en base a las técnicas detectadas durante el desarro- llo del ciberejercicio. 4. Mejora continua. Un síntoma de que el ciberejercicio ha sido desarrollado con éxito es detectar y desplegar el máximo número de ac- ciones de mejora posible, manteniendo un equilibrio entre el grado de madurez de la organización y el tipo de ciberejer- cicio a ejecutar. Un programa de acción correctiva eficaz debe implementarse como parte del sistema de mejora con- tinua de la organización. Con un adecuado diseño, orientado a la medición objetiva, los ciberejerci- cios ofrecen una visión realista de las capacidades de detección y respuesta de las organizaciones a las ciberame- nazas y son una buena oportunidad para mejorar la resiliencia de las orga- nizaciones. S 2. Ejecución. La construcción del storyline , en el que se desarrolla el escenario a reproducir du- rante la ejecución del ciberejercicio, des- cribe con mayor detalle cada una de las situaciones y eventos que se irán pro- duciendo, por lo que ofrece el contexto del ataque a los participantes y les facilita la información necesaria para la realiza- ción de acciones que contrarresten y mi- tiguen los eventos. El Manual del Grupo de Control des- cribe las funciones y responsabilidades de los controladores y evaluadores del ciberejercicio, así como los procedimien- tos que deben seguir. Debido a que el Manual del Grupo de Control contiene información sobre el escenario y la admi- nistración del ciberejercicio, se distribuye solo a las personas designadas como controladores o evaluadores. La elaboración del MSEL consiste en detallar la cronología de los distintos eventos planificados por el ECG, los equi- pos afectados por cada uno de estos eventos y el resultado esperado que per- mite la continuidad en la ejecución del ciberejercicio. Para cada actividad de la ejecución del ataque se debe determinar de ante- mano el número de técnicas a ejecutar, de tal forma que sean evaluables poste- riormente. 3. Evaluación. La evaluación es la piedra angular de un ciberejercicio. Por este motivo está pre- sente en todas sus fases y realmente co- mienza cuando el equipo de planifica- de esta matriz para determinar qué tác- ticas se van a ejecutar y con qué técni- cas. Por cada técnica se deben conocer los mecanismos de detección asociados, siendo esto imprescindible para definir las métricas de evaluación. Sin dicha in- formación, la evaluación continua se ve afectada de manera crítica, provocando un esfuerzo incremental según la com- plejidad del ciberejercicio. Durante el diseño es necesario selec- cionar el objetivo del ciberejercicio. El ECG debe contemplar que: Los objetivos del ciberejercicio están alineados con las métricas de evalua- ción. Si durante esta actividad se detec- tan técnicas o tácticas no medibles, di- chas técnicas deben ser descartadas o se deben analizar los mecanismos ne- cesarios para su detección. Los posibles objetivos son la obten- ción de información, la persistencia dentro de la organización y la denega- ción de servicio. Los objetivos son específicos, alcanza- bles, medibles y relevantes. Los distin- tos equipos deben conocer el método de evaluación de cada técnica o tác- tica que se vaya a desplegar durante la ejecución del ataque. A la hora de determinar el objetivo, se han contemplado las necesidades de medios humanos y materiales, la dis- ponibilidad de los distintos equipos y la infraestructura necesaria para la eje- cución. Los planes son documentos de infor- mación general que ayudan a que los ci- berejercicios funcionen sin problemas. Proporcionan a los participantes una si- nopsis del ciberejercicio, ya que detallan los objetivos y el alcance del ciberejerci- cio y asignan actividades y responsabili- dades para la planificación, realización y evaluación del ciberejercicio. Los planes, que se publican y distri- buyen una vez desarrollados la mayoría de los elementos críticos del ciberejerci- cio, están pensados para ser vistos por los equipos y los observadores antes de participar, por lo que no contienen in- formación detallada de escenarios que pueda reducir el realismo del ejercicio.