Hotwav W10

¿Qué medidas puede tomar su empresa ahora para hacer frente a las estafas de ransomware?

Anticiparse al problema y evitar daños mayores se encuentran entre los consejos más generales que brindan los expertos en seguridad cuando se trata de ataques de ransomware. Sin embargo, en un panorama de amenazas cada vez más complejo, hacer precisamente eso puede no ser suficiente para abordar un problema que se vuelve cada vez más específico y dañino para las empresas, no solo por el daño causado por la caída de los archivos, sino principalmente por el daño y los problemas de reputación que lo acompañan.

  • El ransomware se vuelve más sofisticado y ya llegó a la mitad de las empresas de España
  • Las víctimas de ransomware caen un 40% y las empresas tienen más espacio para negociar

El pensamiento de David Langlands, vicepresidente de ofertas de seguridad de DXC Technology, se trata de sinergia, anticipación y, lo que es más importante, conocimiento. Según él, no se trata solo de invertir en inteligencia de amenazas y comprender los peligros a los que se enfrenta una empresa de un determinado sector para anticiparse a ellos, sino también de saber exactamente dónde pueden atacar los delincuentes y qué sistemas se verán afectados. Porque lo harán, y saber recuperarse es lo que puede terminar diferenciando una respuesta adecuada de un desastre.

“Gran parte del esfuerzo se centra en la velocidad de contención de un ataque, pero debemos pensar en la recuperación. Las personas, los procesos y las tecnologías necesitan trabajar juntos por este ideal”, comenta, en una presentación durante la RSA Conference 2022, una de las principales ferias de ciberseguridad del mundo. “Los ejecutivos no pueden ni imaginar, pero elementos que no siempre tienen que ver con [proteção digital] puede tener un impacto significativo en la recuperación”.


TecnoBreak en Youtube: noticias, reseñas de productos, consejos, cobertura de eventos y ¡mucho más! Suscríbete a nuestro canal de YouTube, ¡todos los días hay un nuevo video para ti!

Para ejemplificarlo, señala tres casos muy diferentes de empresas que han sido víctimas de ransomware en los últimos años. Son organizaciones de distintos segmentos, golpeadas en momentos muy diferentes, pero que prueban lo que, para él, es la columna vertebral de la ciberresiliencia. A su juicio, no se trata solo de tener políticas, sino de trabajar con ellas en el día a día y hacerlas parte de la cultura de la empresa, que aplica no solo a los equipos de tecnología, sino también a los de negocio y operaciones.

Ransomware: protección por un lado, apertura por el otro

Incluso empresas especializadas en datos, con grandes equipos de respaldo y recuperación, han visto pérdidas millonarias tras ataques de ransomware al permanecer semanas o meses con los sistemas caídos (Imagen: Envato/twenty20photos)

Un caso demostrado por Langlands es el de una empresa de tecnología que cotiza en bolsa que, cuando fue atacada por ransomware, se encontró sin saber qué hacer. El experto dice que recuerda guardias armados en la sede de la empresa y empleados pegando avisos llamativos para que los empleados no encendieran computadoras y servidores, como una forma de evitar que la plaga se propague lateralmente.

La intrusión se produjo durante la noche, iniciándose el ataque de madrugada. Y aquí, el VP recupera la idea inicial de su discurso, que no tiene sentido centrarse en la contención y la respuesta, siendo esto el equivalente a aplicar sistemas de extinción de incendios después de que ya se ha creado la chispa inicial. Cita que, en promedio, transcurren cuatro días entre el compromiso inicial y la detonación de un ataque de ransomware; no hay tiempo suficiente para una estrategia de control y defensa.

Prueba de ello es el segundo caso que presenta, una organización Big Data que trabaja con el análisis, almacenamiento y venta de datos a clientes. Langlands habla de equipos de seguridad altamente especializados, expertos en respaldo y recuperación, pero que aun así vieron cómo muchos de sus sistemas permanecían inactivos durante seis meses, cuando un ataque fue lo suficientemente devastador como para afectar no solo a la información, sino también a la mayoría de las plataformas que soportaban. el negocio del día a día.

El tercer ejemplo suena como el más grave de todos: un hospital, en plena pandemia y en pleno pico de contaminación por COVID, al que se le impidió realizar una atención que no fuera de urgencia por un ataque de ransomware. Además de la presión sobre los profesionales, la ausencia de registros médicos y la necesidad de trasladar a los pacientes a otras instituciones, cuando el caso llegó a la prensa local, entró en juego otro factor que aumentó el escrutinio y también la necesidad de un rápido retorno a las actividades; de nuevo, pasaron semanas antes de que todo volviera a la normalidad.

En los casos citados en la Conferencia RSA 2022, incluso los equipos de relaciones públicas y servicio al cliente fueron necesarios cuando se trataba de un ataque de ransomware, elementos completamente fuera del alcance de los equipos de ciberseguridad (Imagen: Folleto/Unidad 42)

“Los sectores empresarial, de tecnologías de la información y de seguridad pueden trabajar juntos para reducir el impacto de los ataques a los sistemas”, añade el experto. Aquí, señala la necesidad de crear un mapeo de plataformas y dispositivos como el camino ideal para la recuperación en el primer y segundo caso, elemento que queda fuera del alcance de los especialistas en protección digital. “Sin saber qué sistemas tienen prioridad y cuántos están conectados, una organización puede pasar mucho tiempo recuperándose de un ataque”, dice.

En el segundo y tercer caso, el buen servicio y los socios de relaciones públicas también funcionaron o serían buenas solicitudes, ya que las empresas buscaban comprender qué información había en los socios comerciales y qué se había comprometido. Aún así, la necesidad es de una respuesta rápida, tanto pública como internamente, con acciones que, una vez más, quedan fuera del alcance de los especialistas en amenazas y seguridad digital.

Las pruebas de resiliencia de los sistemas y la capacitación constante, al menos cada seis meses, para que todos los empleados involucrados con los sistemas reconozcan las amenazas son esenciales. En opinión de Langlands, la época en que la seguridad digital era una prioridad o un foco de atención quedó atrás; hoy, necesita ser parte de la vida cotidiana y un elemento tan integral como el propio negocio.

Qué hacer a partir de ahora para mejorar la seguridad frente al ransomware

Conocer los sistemas y servicios críticos para la continuidad del negocio es el primer paso hacia la recuperación, a juicio del especialista; simplemente tratar de prevenir y contener los ataques de ransomware está lejos de ser suficiente (Imagen: AutomCode/Unsplash)

A partir de sus experiencias, el experto ha recopilado una serie de consejos que pueden tomar ahora mismo los ejecutivos que deseen invertir no solo en una mayor resiliencia, sino también en una amplia capacidad de recuperación. Las indicaciones, por supuesto, están dirigidas al mercado estadounidense, pero también pueden servir muy bien a las empresas Españaeñas, ya que nuestro país se convierte en un objetivo cada vez mayor y aparece sucesivamente en las listas de los más afectados.

Para la próxima semana, por ejemplo, la lista de tareas debe incluir un relevamiento de la información y los sistemas críticos de la corporación, para entender cuáles deben estar siempre al aire, cuáles no pueden caer en manos de delincuentes y cuáles involucran mayor complejidad. Entonces, a partir de eso, la idea es crear un plan de recuperación que priorice el negocio y la salud de las operaciones.

Hablando de eso, Langlands también apunta a revisar los protocolos de respuesta a incidentes que se crearon en el pasado y pregunta: «¿Cuánto tiempo hace que no se prueban?» Además, también es necesaria una nueva mirada en cualquier seguro contra ransomware, para entender qué cláusulas pueden invalidar una póliza, para que se cumplan, y si la cobertura es efectivamente adecuada.

En los primeros tres meses, el trabajo debe centrarse en eliminar todo acceso a sistemas que no estén protegidos por autenticación de dos factores; esta protección debe aplicarse o de lo contrario esta vía debe dejar de existir. Al mismo tiempo, la formación con los empleados, con ejemplos reales de ataques de phishing, debe realizarse en paralelo con simulaciones completas de un gran incidente de ciberseguridad, de forma que se pongan a prueba las tareas de contención, respuesta y recuperación.

Tener un plan de respuesta y contingencia de ransomware es solo el comienzo; los protocolos deben probarse con ejemplos reales, mientras que la capacitación debe ser parte del día a día de las corporaciones (Imagen: Divulgación/Check Point)

Finalmente, el tip más básico de todos, el que se da a usuarios y ejecutivos, pero al que no siempre se hace caso: los sistemas deben estar siempre actualizados. Esto, apunta Langlands, es el gran talón de Aquiles y también una afirmación que va en contra de la recomendación de muchos administradores de sistemas que saben que las actualizaciones pueden interferir muchas veces en el funcionamiento habitual de las plataformas. Centrarse en esto en lugar de la ciberseguridad, sin embargo, es un grave error, ya que el enfoque debe estar en las configuraciones y versiones de puntos finales, servidores, sistemas y redes.

En el transcurso de un semestre completo, lo ideal es vencer ejemplos reales de amenazas de ransomware, phishing y exploits a los sistemas de computación en la nube contra las soluciones utilizadas por una corporación. Dichos elementos también pueden ir de la mano con la capacitación de los empleados, mientras que las lecciones aprendidas de las pruebas de incidentes deben aplicarse a los protocolos y nuevamente ponerse a prueba en una nueva simulación.

Es un ciclo constante, como señala el VP, pero también que agrega todos los aspectos importantes de una organización y, lo más importante, garantiza el más alto nivel de protección contra el ransomware y otros tipos de ataques. Hablando en un evento de seguridad, Langlands señala que sería fácil nominar proveedores de soluciones y plataformas automatizadas, pero solo resuelven una parte del problema; en un mundo donde las amenazas están en todas partes, las tareas de defensa también deben estarlo.

El periodista sigue el evento en formato digital, por invitación de Tenable.

Lea el artículo sobre TecnoBreak.

Tendencia en TecnoBreak:

  • ¿Ramitas petrificadas? Rover Curiosity registra una nueva formación intrigante en Marte
  • Top Gun: Inconformista | ¿Cuál es la velocidad Mach 10 que alcanza el personaje?
  • Volkswagen desvela el precio de la furgoneta eléctrica y asusta a los interesados
  • La investigación experimental conduce a la remisión del cáncer en todos los pacientes involucrados
  • cosas más extrañas | 6 preguntas que necesitan respuesta al final de la temporada 4

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart