En la actualidad los encargados de tecnologías de la información, CIO, Gerentes, oficiales de seguridad y los líderes de seguridad informática en general, debemos estar mucho más involucrados con los eventos y tendencias en ciber ataques que hay en el mundo, no únicamente en nuestro país, el impacto se ha convertido en un sinónimo mundial, que puede ocasionar grandes pérdidas y por ello debemos de prepararnos para los ataques de ciberseguridad en el nivel más elevado que se pueda antes de que sucedan.
Ransomware
Bueno en este contexto inicio con una estadística no muy alentadora, se considera que el 27% de los incidentes de malware informados en 2020 y 2021, se pueden atribuir al ransomware.
El ransomware, se define cuando existe la extorsión cibernética que ocurre cuando un software malicioso se infiltra en los sistemas informáticos y encripta los datos, manteniéndolos como rehenes hasta que la víctima pague un rescate, por supuesto que esto puede tener un impacto mayor en una organización, que una mera violación de datos.
En México, se han presentado este tipo de eventos, por ejemplo: en PEMEX, no obstante, estoy seguro de que hay muchas empresas que han pasado por esto, sin embargo, el impacto económico y de imagen, propicia que no se hagan público y es hasta cierto punto razonable, ¿qué ocasiona esto?, si lo analizamos, no hay datos para hacerle frente a esta mala práctica con ransomware, así como no habrá muestras del virus, ni sabremos sus efectos reales y un sin número de puntos de referencia que podrían ayudar a combatirlo.
Reflexionemos:
- En poco tiempo, el ransomware puede costar a las empresas millones de dólares.
- Uno de los principales factores de quiebra de una empresa es porque le afecta a su reputación y la confiabilidad.
- Preocupante cuando les sucede a proveedores de atención médica, por ejemplo.
Mi consejo es que las organizaciones debemos centrarnos en la preparación y la mitigación temprana si queremos reducir las pérdidas.
Un secreto que muchas veces es a voces abiertas es que en algunos casos recientes de ataques de ransomware, las organizaciones víctimas han pagado enormes cantidades a los atacantes, lo que puede ser una de las razones por las que estos ataques se están volviendo más populares, recordemos, nosotros mismos podemos alentar a que sigan con estas malas prácticas, si no denunciamos, hoy en día, los países cuentan con instancias que pueden investigar delitos informáticos.
Si bien es cierto que la investigación puede depender de la infraestructura y desarrollo de un país, no podemos optar por tener el mismo nivel, sin embargo, si podemos establecer los parámetros para estar lo mejor protegido posible.
Para tal efecto me gustaría proponerles una serie de acciones que pueden ser aplicadas en nuestras empresas:
Lo obvio que no está de más
Debemos efectuar evaluaciones de riesgos y pruebas de penetración para determinar la superficie de ataque y el estado actual de la resistencia y preparación de la seguridad en términos de herramientas, procesos y habilidades para defendernos de los ataques.
Gobierno de TI
Recomiendo establecer procesos y procedimientos de cumplimiento que involucren a los tomadores de decisiones clave en la organización, incluso antes de prepararse para la respuesta técnica a un ataque de ransomware.
“El ransomware puede escalar de un problema a una crisis en poco tiempo, lo que le cuesta a la organización una pérdida de ingresos y daña la reputación”
Por ejemplo:
Las personas clave como el CEO, la junta directiva y otras partes interesadas importantes deben participar en la preparación.
En la práctica sucede que en el caso de un ataque de ransomware, es probable que los periodistas y otras partes interesadas externas se comuniquen con la junta directiva para responder al ataque, no con los líderes de seguridad o el CISO.
Capacitación operativa constante
Sé que no todos estamos en las posibilidades, sin embargo, hay formas de establecer un pequeño laboratorio, con el fin de ejecutar ejercicios y en la infraestructura operativa realizar simulacros frecuentes para asegurarse de que los sistemas siempre puedan detectar ataques de ransomware.
En 20 años de experiencia, una de las mejores prácticas que personalmente me ha dado grandes resultados es capacitar a tu personal de TI y a los encargados de la seguridad informática y con ello tener la capacidad para realizar pruebas, les puedo asegurar que estas pruebas periódicas de los escenarios de respuesta a incidentes en el plan de respuesta al ransomware, permite al equipo tener la visión para reaccionar a cualquier evento, en el entendido que existen otras amenazas cibernéticas que se suman al ransomware.
Algunos se preguntarán, ¿Por qué tantas pruebas?
Es evidente que estos códigos maliciosos siguen la misma estructura de un virus humano, cambian mutan y se mejoran, ya sea por el mismo creador o de alguien más que tome ese código y le haga cambios, entonces, mi recomendación es:
Pruebas, pruebas y volver a probar a intervalos regulares para verificar vulnerabilidades, es probable que no sepas a qué versión de este código te enfrentas, por lo que sistemas no compatibles y configuraciones incorrectas, son un manjar para estas personas.
Aquí otra nota:
Una práctica que me ha funcionado enormemente, es separar algunas actividades, me aseguró que los procesos de respuesta a incidentes no dependan de sistemas de TI que puedan verse afectados por ataques de ransomware o que no estén disponibles en caso de un incidente grave.
Esto es, por qué no puedes dejar a un lado la operación, mientras enfrentas un evento de estos, hay tareas, procesos, clientes, proveedores y personal interno que requieren del equipo habitual de soporte técnico.
Copias de seguridad
Como les comentaba, hay actividades y procesos que se consideran obvios y hasta automáticos, en la seguridad informática, por ejemplo, las copias de seguridad de la información o Backups.
Recuerdo noticias o comentarios de colegas, en cuestión de Backups, llevando un registro detallado exhaustivo y bien controlado, bien administrado y aquí el gran “pero”, sin probar la integridad de los respaldos, únicamente se aseguran o se aseguraban de acumular los respaldos y nunca realizan pruebas, pues bien, cuando se requirieron los respaldos y muchas veces siendo el producto de un ataque, pues no eran consistentes, muchos de ellos inútiles, miles de Gigas o Teras de respaldos que no sirven.
Les recomiendo realizar una copia de seguridad no solo de los datos, sino también de todas las aplicaciones no estándar y de tu infraestructura de TI de soporte, debes mantener capacidades de respaldo y recuperación frecuentes y confiables.
“Si se utilizan copias de seguridad en línea, asegúrese de que el ransomware no pueda cifrarlas”
Revisa y refuerza los componentes de la infraestructura empresarial de respaldo y recuperación contra ataques examinando de forma rutinaria la aplicación de respaldo, el almacenamiento y el acceso a la red y comprueba su integridad con la actividad esperada o de referencia.
De igual manera, prepárate para la recuperación de aplicaciones críticas en un ataque de ransomware en todo el sistema mediante la creación de parámetros específicos como objetivo del tiempo de recuperación, cuidado con esto, la empresa debe tener en sus políticas, ¿Cuánto tiempo puedo soportar para entrar en operación? Y tener muy bien establecido tu objetivo de punto de recuperación, ¿Habrá perdidas de datos?, talvez, sin embargo, en muchas empresas, la operación supera la prioridad, por ejemplo: las empresas con almacenes justo a tiempo, por ello sinceramente cuiden los medios de almacenamiento de respaldo y la accesibilidad.
Privilegio mínimo
Es evidente que esta medida de seguridad no se entiende o no se quiere entender, muchas veces por los dirigentes de una empresa, dueños o alguna instancia como algún comité ejecutivo, no obstante, la mejor práctica es restringir los permisos y negar el acceso no autorizado a los dispositivos, cuando su actividad no dependa de ello, eliminar los derechos de administrador local de los usuarios finales y bloquear la instalación de aplicaciones por parte de los usuarios estándar, aun cuando sean los dueños del negocio, podrías optar por la instalación de distribución de software administrada de forma centralizada.
En todos los niveles del negocio es una excelente práctica implementar la autenticación multifactor siempre que sea posible, especialmente para las cuentas con privilegios, te recomiendo, aumentar el registro de autenticación en todos los servidores críticos, dispositivos de red y servicios de directorio, y asegúrese de que no se eliminen los registros.
Es obligatorio, notificar a los equipos de operaciones de seguridad sobre cualquier actividad inesperada y asegúrese de que busquen de forma proactiva inicios de sesión inusuales y los intentos de autenticación fallidos.
Educar y capacitar a los usuarios
Considero oportuno investigar con las autoridades gubernamentales y regionales que hayan proporcionado pautas sobre cómo las organizaciones pueden fortalecer su infraestructura de red contra el ransomware y otras amenazas.
Esto puede ayudar a los líderes de seguridad, ya que pueden utilizar directrices como estas para crear un programa de formación básico para todo el personal de la organización, no obstante, la capacitación sobre preparación para el ransomware debe adaptarse a la organización para obtener mejores resultados.
“Es prudente, utilizar herramientas de simulación de crisis cibernéticas que sean únicamente eso simulacros y los mismos pueden ayudarte a la capacitación, ya que brindan situaciones más cercanas a la vida real para una mejor preparación de los usuarios finales contra el ransomware”
Es cierto, es un gran desafío el tema del ransomware y otras formas de malware que se suman estas tácticas y agendas en constante cambio de los piratas informáticos, entonces, tener una estrategia de preparación puede ayudar a contener las pérdidas y proteger a la organización.
Y la respuesta es sí, en efecto nos podemos defender, si todos estamos conscientes y participamos en los esfuerzos de la empresa por proteger el negocio y el patrimonio de los trabajadores, si donde trabajamos es afectado por un evento como estos, veremos impactada nuestra estabilidad y en riesgo la continuidad.
No contemple mecanismos y conceptos que son muy técnicos, la idea principal es proporcionar el pensamiento crítico hacia la conciencia de esta mala práctica, si tienes dudas, comentarios o quieres saber más al respecto, por favor contáctame a [email protected], con mucho gusto contestaré y prestaré atención a quien tenga problemas con el tema, en el entendido que no es solo responsabilidad de TI estos eventos.
Muchas gracias, Saludos,
Views: 24