Um exercício de mesa é uma sessão informal baseada em discussão em que uma equipe fala sobre seus papéis e respostas durante uma emergência, percorrendo um ou mais cenários de exemplo. É uma ótima maneira de obter planos de continuidade de negócios sem a interrupção de um exercício em grande escala. Afinal, ao invés de realmente simular um desastre, um grupo dentro da empresa se reúne por algumas horas para falar sobre uma crise simulada.
Então, o exercício de mesa, ou de simulação, se tornou um um componente cada vez mais básico dos programas de preparação para segurança de TI. “Eu acho que as empresas que têm um respeito saudável por seus riscos cibernéticos são as que estão fazendo as mesas”, disse Dan Burke, VP Sênior e Líder Nacional de Práticas Cibernéticas da Woodruff Sawyer. “Projetar um plano de resposta a incidentes é benéfico, no entanto, colocá-lo à prova lhe dará os insights práticos que só vêm com a experiência.”
Mesmo que você seja novo no conceito de exercícios de mesa, saiba que pode implementar de forma bastante eficaz um exercício de mesa em sua própria organização. Basta conferir algumas das dicas a seguir sobre as melhores práticas de uma série de profissionais de segurança. Inclusive, foram eles que criaram alguns cenários de exemplo que lhe darão algumas idéias para seus próprios exercícios de mesa.
Como fazer um exercício de mesa eficaz
1. Certifique-se de que seu exercício de mesa seja condizente com a realidade da sua empresa
Você não deve apenas trabalhar em algum cenário de violação genérico, mas em algo feito sob medida para a situação particular da sua organização. “Conduza exercícios com base em eventos que são críticos para sua empresa em particular”, diz Evgeny Gnedin, Chefe de Análise de Segurança da Informação da Positive Technologies. “Portanto, pergunte aos gerentes de topo do que seu negócio realmente tem medo e quais cenários podem destruí-lo.”
2. Explore um cenário que vá além dos aspectos técnicos
Os exercícios de mesa podem ser conduzidos pela equipe de TI ou segurança, contudo, os participantes devem abranger toda a empresa. “Sim, pode ter ocorrido um ataque técnico que requer uma correção técnica”, diz Ben Smith, diretor de tecnologia de campo da RSA NetWitness, “No entanto, seu exercício de mesa também deve incluir representantes do departamento jurídico, regulatório, de marketing, atendimento ao cliente e até mesmo funções de recursos humanos. Os funcionários na linha de frente com o público durante uma recuperação precisarão de pontos de discussão aprovados e planejados e ferramentas potencialmente novas para representar sua marca de forma mais eficaz durante uma crise. “
3. Inclua a participação do gerenciamento de alto nível
Não importa o que você aprenda sobre a prontidão de sua organização em um exercício de mesa, você não será capaz de implementar nenhuma melhoria sem a adesão da liderança. “O constituinte mais crítico em treinamento de gerenciamento de crise e cenários de desktop é o C-suite, ou os oficiais que tomarão uma decisão final em uma crise ou os recomendarão ao CEO”, disse Timothy Williams, vice-presidente da empresa de segurança global Pinkerton .
Os executivos de nível C nem sempre participam sozinhos, mas geralmente escolhem um representante para participar e relatar como foi o exercício. Mesmo assim, pode valer a pena tentar fazer com que apareçam pessoalmente. “Às vezes é difícil definir executivos para participar de exercícios mais longos”, diz Curtis Fechner, pesquisador de engenharia da Optiv, “contudo, você pode lembrá-los de que sua participação não será opcional durante um incidente real.”
4. Conte com um facilitador
“Ter um facilitador cuja entrega é de primeira qualidade pode ser um sucesso ou um fracasso”, disse John Dickson, vice-presidente da Coalfire. “Os melhores oferecem exercícios de mesa em uma forma de conversação e deixam os participantes à vontade. Contudo, eles me lembram mais um bom apresentador de talk show do que um palestrante principal. Entretanto, sua capacidade de pivotar é crucial: quando um participante faz uma afirmação, um facilitador eficaz deve ser capaz de citar uma história de guerra relevante ou exemplo que reforce esse ponto. “
5. Lembre-se que você está testando pessoas, não tecnologia
Alguns participantes de um exercício de mesa podem reclamar que seu cenário não está lidando com a tecnologia que eles usam no dia-a-dia, contudo, isso não chega ao ponto, diz Sounil Yu, CISO da JupiterOne.
“O principal benefício de um exercício de mesa é garantir que as pessoas possam ter um desempenho confiável em situações inesperadas”, explica ele. Na verdade, em muitos dos cenários de desastre que os exercícios de mesa visam simular, a tecnologia da qual a equipe passou a depender pode não estar disponível e o excesso de confiança na tecnologia em situações de resposta e recuperação é exatamente o que os membros da equipe precisam aprender a evitar.
6. Crie seus cenários com base na inteligência de ameaças ativas
Você pode ficar tentado a apenas basear seu exercício de mesa nas últimas manchetes, no entanto, você deve cavar mais fundo para criar um cenário verdadeiramente realista. “Para muitas ameaças notáveis como o ransomware, muitas empresas compartilham informações sobre como esses ataques se desenrolam”, diz Fechner, da Optiv. “Portanto, usar relatórios da mídia está certo, contudo, você deve se concentrar nos relatórios de inteligência de ameaças reais produzidos por agências governamentais e empresas de segurança do setor privado.”
7. Os participantes precisam entrar no personagem
Os exercícios de mesa são primos dos jogos de RPG de mesa, como Dungeons and Dragons. Então, assim como nesses jogos, cada participante deve se lançar ao papel que está desempenhando no cenário ficcional em consideração. E, assim como nesses jogos, esses papéis podem ser diferentes da vida cotidiana do jogador.
“Você deve atribuir a todos uma função a desempenhar“, diz Jacob Ansari, CISO da Schellman & Company, um assessor independente de segurança e conformidade de privacidade. “Talvez todos tenham suas funções normais de trabalho, contudo, talvez você as misture de vez em quando para obter uma nova perspectiva e descobrir lacunas em seu plano.”
8. Não convide muitas pessoas para participar
Nate Drier, Consultor Principal Administrativo, e Rob Lelewski, Diretor de Serviços Proativos da Secureworks, sugerem que você tenha como objetivo manter o número de participantes em seu exercício inferior a 20. Afinal, grupos muito maiores do que isso podem se mostrar desinteressados.
9. Dê ao seu exercício de mesa o tempo que ele merece e precisa
Isso pode parecer óbvio, no entanto, um exercício de mesa não é algo que você pode simplesmente fazer durante um almoço rápido. “Tentar fazê-lo em uma hora deixa pouco tempo para discutir qualquer coisa em detalhes”, diz Fechner, da Optiv. “Portanto, considere várias distrações e você terá apenas cerca de 20 minutos de discussão real. Eu prefiro um exercício de três a quatro horas para a maioria das audiências.”
10. Crie um espaço seguro para experimentação – e falha
Embora os exercícios de mesa sejam cruciais para melhorar a segurança geral no longo prazo, os participantes não devem se sentir pressionados para “vencer” o cenário. “É importante que os participantes entendam que o exercício é do interesse da melhoria”, afirmam Drier e Lelewski da Secureworks. “Portanto, espera-se que existam lacunas. Felizmente, o papel do exercício de mesa é fornecer um fórum sem culpa onde a equipe pode discutir coletivamente os pontos fortes e fracos holísticos.”
Como o Ansari de Schellman reconhece, isso pode ser desafiador porque os funcionários geralmente estão “atuando” na frente de seus chefes. “Então, o coordenador precisa estabelecer algumas regras básicas claras que dêem às pessoas a liberdade de agir nesta situação”, diz ele. “É, afinal, um cenário fictício e projetado para revelar fragilidades nos próprios planos, treinamento, coordenação ou outros aspectos essenciais.”
