¿Existe una vacuna para el ransomware?

By: Cobser Consulting Encendido: octubre 20, 2020 In: Artículo Comments: 0

Jacob Vega Varo
Director de Consultoría en Cobser Consulting.

Este mes de octubre tiene lugar el Mes europeo de la Ciberseguridad. Una campaña coordinada por la Agencia de Ciberseguridad de la Unión Europea (ENISA) con el apoyo de la Comisión europea y los Estados miembros. La campaña tiene como objetivo concienciar a la ciudadanía y las organizaciones sobre la relevancia de la ciberseguridad. Los temas principales este 2020 son las ciberestafas y las habilidades digitales.

En línea con los objetivos del Mes europeo de la Ciberseguridad este artículo pretende reflexionar acerca de los principales modelos o sistemas de ciberseguridad implantados para proteger los activos de información de las organizaciones, y si estos están consiguiendo ser lo suficientemente seguros para proteger la actividad empresarial en el ecosistema actual, cada vez más digital e hiperconectado.

El Ransomware es el principal enemigo por batir, este malware en cierta manera se podría equiparar al COVID-19 en el ámbito de los activos de información. Partiendo de este símil, quisiera evaluar las medidas de control que la mayoría de los departamentos de seguridad de las empresas ya sea pública o privada, están adoptando de manera generalizada para proteger sus organizaciones ante un ataque de ransomware.

Si nos fijamos en los acontecimientos más recientes relacionados con ataques ransomware y la mayoría de los anteriores, se tratan de organizaciones muy relevantes del tejido empresarial, que me consta cuentan todas ellas con políticas, sistemas de gestión certificados, aplican mejores prácticas, disponen de procedimientos técnicos, profesionales cualificados, medios y tecnología de vanguardia (minería de datos, procesos de monitorización continua, sistemas de correlación, detección temprana, controles automáticos, etc.) para defender sus activos.

Todo este conjunto integrado de acciones encaminadas a prevenir, responder y contener un ataque es muy necesario, pero se está evidenciado insuficiente. Los cibercriminales consiguen acceder a los sistemas core de las compañías y el número de víctimas no para de crecer.

Ante esta situación, debemos interpelarnos: ¿A día de hoy existe una “vacuna” eficaz contra esta “pandemia” del Ransomware / COVID-19? y, una vez las medidas de seguridad han sido todas sorteadas y he sido contagiado/atacado por un ransomware, el dictamen es positivo ¿cuál es el tratamiento/plan que he previsto para seguir con el fin de recuperarme en el menor tiempo e impacto/consecuencias posible?

 

Ciberseguridad y Ciberresiliencia

Vemos como las estrategias de ciberseguridad en la protección de la información y los DR tradicionales (Disaster Recovery) no son suficientes para contrarrestar de manera eficaz las amenazas que van apareciendo. Se requiere crear un marco de acción que combine la protección y la recuperación con estrategias de anticipación e identificación de riesgos adecuadas. Este es el enfoque que adopta la ciberresiliencia y, en esencia, la resiliencia organizacional.

La ciberresiliencia combina las mejores prácticas vinculadas a la seguridad de la información, la continuidad de negocio y otras disciplinas de gestión del riesgo y resiliencia operacional para crear una estrategia de negocio más alineada con las necesidades y objetivos de la empresa digital actual.

 

Ciberresiliencia y Continuidad de Negocio

La ciberseguridad y la ciberresiliencia están íntimamente relacionadas con la Continuidad de Negocio. Un ciberataque que afecte a la seguridad de la información puede generar consecuencias graves para las organizaciones que van desde la filtración de datos confidenciales (afectación a la confidencialidad de la información) hasta la parada prolongada de los servicios (afectación a la disponibilidad de la información).

La Continuidad de Negocio es capacidad de una organización para continuar proporcionando sus productos y servicios en un marco de tiempo aceptable con una capacidad predeterminada en caso de que se produzca una disrupción. (ISO22301)

Una disrupción del servicio tiene consecuencias nefastas para las organizaciones, pudiendo poner en riesgo su viabilidad si afecta a procesos críticos de la organización. Por ello, es fundamental la generación de un Plan de Continuidad de Negocio que garantice una respuesta correcta a la disrupción de servicios críticos en el caso de que la materialización de una amenaza.

En el panorama actual existen numerosas amenazas que pueden poner en riesgo la continuidad de un negocio como desastres naturales, acciones no intencionadas o ciberataques deliberados.

No todas las amenazas son ciberamenazas ni todos los ciberataques ponen en riesgo la continuidad de negocio. Sin embargo, es esencial tener en cuenta los informes de referencia de análisis de riesgos y amenazas para los próximos años:

  • El BCI Horizon Scan 2020 sitúa los ciberataques, el clima extremo, las interrupciones en la tecnología de la información y las telecomunicaciones como las principales amenazas para el próximo año 2021.
  • Los ataques cibernéticos continúan causando interrupciones, según indica IBM en el Cyber Resilient Organization Report según este informe basado en una encuesta, realizada por el Instituto Ponemon, en los últimos cinco años se ha observado una reducción en la capacidad de las organizaciones para contener los ataques mientras ocurren.

Por ello, es necesario apostar por la anticipación, la detección temprana y la posesión de un plan de recuperación rápida ante una ciberinterrupción que me garantice el menor impacto en el negocio.

Partiendo de la premisa de que el Negocio debe seguir funcionando, una estrategia de ciberresiliencia ha de considerar completamente plausible que su organización sea víctima de un ciberataque. Su éxito dependerá de la capacidad que aporte a la organización de detectar lo antes posible el ciberincidente y de lo capaz que sea de minimizar los tiempos entre la respuesta al incidente y la recuperación de sus sistemas de información.

La ciberresiliencia es un enfoque coordinado que ofrece la forma de minimizar el impacto en el negocio de un ciberataque, de proteger los sistemas de información y recuperar rápida y de manera fiable los sistemas de TI.

Tras conocer muchas de las soluciones tecnológicas del mercado de la ciberseguridad, en muchos casos gracias a la experiencia de trabajo con nuestros clientes y a la experiencia de otros colegas de profesión, me queda meridianamente claro que no existe un único producto que en sí mismo sea capaz de ganar la batalla contra el ransomware.

Sino más bien, como dice IDC en su informe sobre el estado de la resiliencia de las TI 2019 existen tecnologías clave que una organización puede emplear para afrontar una posible interrupción en las actividades como consecuencia de un ciberataque.

Las cinco tecnologías fundamentales a las que hace alusión el informe para que las organizaciones puedan crear un entorno resiliente son:

  1. Automatización y orquestación para la recuperación de plataformas y datos de aplicaciones. Dotar de una solución que permita la recuperación de las plataformas críticas de manera orquestada, pudiendo definir y verificar fácilmente la secuencia de recuperación de los sistemas.
  2. Protección perimetral en forma de copia a prueba de fallos contra la propagación del malware. La protección del perímetro creando un entorno aislado físicamente que permita la salvaguarda de datos críticos en un entorno protegido y offline.
  3. Tecnología de almacenamiento inmutable o WORM para evitar que los datos se corrompan o se borren. Discos de grabación de datos con acceso exclusivo de lectura una vez grabada la información para evitar la manipulación de estos.
  4. Copias de momentos determinados y verificación de datos eficientes para identificar rápidamente los datos recuperables. Instantáneas de datos, junto con la posibilidad de verificar la coincidencia de los datos de origen con los que van a ser almacenados.
  5. Informes reglamentarios y garantías de seguridad. Contar con un sistema eficaz de informes que evite posibles sanciones.

Así como las nuevas tecnologías están ofreciendo posibilidades infinitas de negocio, al mismo tiempo aparecen nuevas amenazas que pueden hacer tambalear una organización. Esta era digital para las organizaciones que quieran sobrevivir en el futuro, demanda más que nunca abordar la seguridad y la continuidad como integrantes del mismo proceso.

Referencias:

ISACA (2015): Glosary of terms. English-Spanish. ISACA

ISO 27001. Sistemas de Gestión de Seguridad de la Información (2017)

ISO 22301: Sistema de Gestión de la Continuidad de Negocio (2019)

BCI Horizon Scan 2020

IDC estado de la resiliencia de las TI 2019

IBM Cyber Resilient Organization Report

 

Referencias útiles

Glosario de términos sobre ciberseguridad: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_glosario_ciberseguridad_metad.pdf

https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_gestion_riesgos_metad.pdf

UE – https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/bcm-resilience/it-continuity-home

Mes Europeo de la Ciberseguridad: https://cybersecuritymonth.eu/

Imagen 1: Designed by Freepik
Imagen 2: Designed by Freepik
Imagen 3: Designed by rawpixel.com / Freepik

Trackback URL: https://cobser.es/existe-una-vacuna-para-el-ransomware/trackback/

Leave reply:

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *