Acciones contra el ransomware
Una encuesta reciente realizada a líderes de IT y ciberseguridad de todo el mundo, realizada por la empresa de seguridad de correo electrónico Mimecast, descubrió que el ransomware afectó al 61% de las organizaciones en 2020, un 20% más que en 2019. El informe de este año sobre el costo de las violaciones de datos realizado por IBM reveló que el ransomware y los ataques destructivos fueron más costosos que cualquier otro incidente, debido a los «costos de escalada, notificación, pérdida de negocio y respuesta».
Con la proliferación de los ataques de ransomware, los profesionales en el tema se encuentran sometidos a un mayor escrutinio por parte de ejecutivos, consejos de administración, reguladores y aseguradoras. Responder a sus preguntas con eficacia no sólo puede ayudar a su organización a sortear un ataque, sino que también puede demostrar el valor de la gestión de riesgos frente a una de las principales amenazas empresariales de hoy en día.
Lo que los directivos necesitan saber
«¿Cuáles son nuestros riesgos?». Los detalles dependerán de cada organización, pero la visión general debe incluir: el daño a la reputación, la interrupción del negocio, el impacto potencial para las partes interesadas, desde los consumidores hasta los socios comerciales, el riesgo regulatorio y la exposición de responsabilidad resultante para los directores y funcionarios.
«¿Tenemos una póliza de ciberseguro?»
El ransomware sigue siendo un factor importante en el endurecimiento del mercado cibernético, y los casos más destacados de 2020 y 2021 han provocado medidas drásticas por parte de las aseguradoras para frenar el aumento de las pérdidas, tanto disminuyendo la cobertura como aumentando el escrutinio de cualquier riesgo que puedan suscribir.
Capacitación del personal
Las preguntas de los suscriptores sobre mitigaciones específicas de ransomware y ciberhigiene pueden incluir: el número medio de días que tarda la organización en aplicar parches de seguridad; detalles sobre la segmentación de la red ; un programa formal para gestionar el acceso de los proveedores a los datos; información sobre copias de seguridad completas e incrementales, encriptadas y fuera de las instalaciones; capacidad demostrada para restaurar a partir de esas copias de seguridad; detalles sobre el contenido y frecuencia de la formación de los empleados y las pruebas de phishing.
Demostrar el progreso también es valioso no sólo para las partes interesadas internas, sino también para las aseguradoras.
«¿Cómo ayuda el ciberseguro?»
Existen tres puntos centrales:
- Herramientas disponibles integradas en el plan de respuesta a una violación.
- Comprensión de los matices de las pólizas de ciberseguros e integración de consideraciones (plazos de notificación y proveedores seleccionados que forman parte del plan de respuesta) por parte de los gestores.
- Experiencia de la organización por contar con una cobertura de ciberriesgos.
«¿Qué haremos si somos los siguientes en ser golpeados?»
Es esencial contar con un plan detallado de respuesta a incidentes, e incluir los recursos y la información de contacto de las partes interesadas internas y los proveedores externos para poder llamar a las personas adecuadas de inmediato.
Gran parte de la respuesta inmediata en caso de un ataque de ransomware recaerá en recursos técnicos internos o externos, como su equipo de TI, cualquier personal interno de seguridad de la información o un proveedor de respuesta a incidentes. Sin embargo, los profesionales del riesgo tienen un papel clave en el equipo interno de respuesta a la crisis de la empresa, sobre todo al principio del proceso de respuesta.
A grandes rasgos, saber qué hará su equipo de crisis en las primeras 48 horas. Los componentes básicos de la respuesta a incidentes son:
– asegurar que se eleva a un equipo de respuesta a incidentes para su evaluación lo antes posible.
– tomar medidas inmediatas para contener los daños. Eliminar todas las sesiones remotas y restablecer las contraseñas. Desconectar su red privada virtual (VPN), los servidores primarios de la red y configurar un acceso remoto seguro, con cuidado de preservar las pruebas en esta etapa. Conservar los registros de la red y del servidor, el flujo de tráfico y cualquier registro en la nube. Realizar una copia del malware y exportarlo para que no se sobrescriba.
– comprender y responder a las necesidades de continuidad del negocio de la organización. Identificar los sistemas de misión crítica y sepa dónde se encuentran los datos.
«¿Pagaríamos un rescate?»
Antes de que se produzca un ataque, debe involucrar a las partes interesadas, desde TI hasta el C-suite, para sopesar las capacidades de recuperación y la interrupción potencial y decidir si se pagaría un rescate y bajo qué circunstancias. Las aseguradoras pueden cubrir un pago, así como los honorarios de un negociador y un proveedor para gestionar el pago.
Las aseguradoras también evaluarán si el pago de un rescate fue realmente «razonable y necesario», lo que subraya la importancia de reforzar sus medidas de mitigación y documentar exhaustivamente los esfuerzos de respuesta y el impacto comercial del ataque. »
«¿Qué podemos hacer ahora mismo?»
El ransomware se está convirtiendo en una amenaza cada vez más inevitable para las organizaciones. Sin embargo, hay acciones específicas que las empresas pueden tomar para disminuir el riesgo, reducir el daño en caso de un ataque y preparar a la organización para un proceso de respuesta y recuperación.
Se deberá hacer foco en cinco áreas:
- Contar con copias de seguridad
- Contar con un programa sólido de gestión de parches, especialmente para abordar las vulnerabilidades críticas, incluidas las de los recursos que no son de Windows, como el hardware de acceso remoto.
- Autenticación multifactorial (MFA)
- Utilizar MFA en combinación con una solución VPN para proporcionar un acceso seguro y cifrado a los sistemas internos desde ubicaciones externas remotas.
- Capacitación de los usuarios. Especialmente con tantas organizaciones que siguen trabajando a distancia, cada miembro del equipo desempeña un papel esencial para mantener la seguridad de la organización.
FUENTE: www.rmmagazine.com