Guías prácticas de Ciberseguridad para proteger la integridad de los datos contra ataques de Ransomware.

Con el incremento de los ataques de Ransomware que están mostrando crecimientos importantes según las últimas estadísticas (Sophos El estado del Ransomware 2020)

1. Tres cuartas partes de los ataques de ransomware terminan en el cifrado de los datos
2. La mitad de las organizaciones encuentados fueron victimas del ransomware en el ultimo año
   
3. Pagar el rescate duplica el costo de lidiar con un ataque de ransomware
4. Una de cada cinco organizaciones tiene un gran agijero en su ciberseguro (84% de los encuestados tenian un seguro de seguridad cibernetica, pero solo el 65% tenia un seguro que cubria ransomware)

 

No está de más entonces darle una revisada a las publicaciones especiales liberadas por el NIST el pasado diciembre que se pueden consultar en  https://csrc.nist.gov/News/2020/data-integrity-sp-1800-25-and-sp-1800-26

Estas publicaciones corresponden a los Publicaciones Especiales SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events, y el 1800-26 Data Integrity: Detecting and Responding to Ramsonware and other Destructive Events, y que incluyen un documento con un mayor nivel de detalle el NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructuve Events que se puede consultar en https://csrc.nist.gov/publications/detail/sp/1800-11/final todos los documentos estan alineados de manera general con su conocido CSF (Cybersecurity Framework) y en SP 1800-11 se detallan inclusive por medio de casos de uso en varios escenarios la resolución de un incidente de este tipo, por medio del uso de herramientas de referencia y que además incluy consideraciones adicionales para cada uno de estos escenarios

Adaptado de la publicación especial del NIST SP 1800-25 está la arquitectura de alto nivel que se deberíamos revisar y homologar al interior de nuestras organizaciones con el fin de detallar que falencias contra las herramientas recomendadas tenemos y cuales deberíamos considerar seriamente adquirir o ver cómo podemos reforzar las funcionalidades equivalentes de nuestras soluciones actuales (con las consideraciones usuales de recursos y herramientas para nuestras empresas latinoamericanas) pero también entendiendo y haciéndole entender a la organización que no podemos afrontar de manera exitosa un riesgo de esta categoría sin considerar tener estrategias de Ciberseguridad acompañadas de herramientas de primer nivel

Imagen 1: Arquitectura de alto nivel de referencia (Adaptación propia SP 1800-25)

En la imagen 1 tenemos la arquitectura de alto nivel propesta en el SP 1800-25 que nos debería servir como referente estratégico de alineación a las recomendaciones del NIST que es lo primero, ya el detalle con casos de uso se pueden consultar en el SP 1800-11 pero allí seguramente harán referencias a las herramientas con las que se deberían afrontan los incidentes que afecten la disponibilidad de la información, por lo que la primera tarea es alinearnos a las recomendaciones de la arquitectura de referencia dentro de nuestras posibilidades o buscar controles compensatorios para los riesgos en los cuales no tengamos herramientas de seguridad con el fin de minimizar al máximo el riesgo, sin embargo,  para una organización con algo de madurez, varias de las categorías ya deberían estar cubiertas, para las otras en los documentos del NIST se mencionan algunos productos con los que se pueden cubrir los requerimientos para cada categoría.

El BCP incluía prepararnos para la Pandemia (Covid-19)

 BCP

Uno de los escenarios que siempre se sugiere incluir en el Plan de Continuidad del Negocio (BCP) por sus siglas en Ingles, es el de la pandemia, de hecho aparece referenciado en Wikipedia https://es.wikipedia.org/wiki/Plan_de_continuidad_del_negocio los otros escenarios que se deberían contemplar en un buen plan de BCP SON al menos la ausencia de cualquiera de los tres pilares (Gente, Procesos y Tecnología), el estándar ISO 22301 Gestión de Continuidad del Negocio que especifica los requisitos para el sistema de gestión de continuidad del negocio, define el BCP como "La capacidad de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad" y esta claramente orientado al negocio, tal como el DRP está orientado a la tecnología.

Las organizaciones que realizaron de manera juiciosa el ejercicio del BCP, seguro pudieron responder de manera más planeada, tranquila y organizada a los retos que empezaron a plantear las decisiones de los diferentes gobiernos respecto al COVID-19, las que no, bueno reaccionaron, se apalancaron con las soluciones de tecnología que ya tenían implementadas para dar accesos por VPN a sus servicios, seguramente el acceso por VPN no es novedad en muchas de las grandes y medianas compañías, pero la cantidad de usuarios que las están usando hoy en día si que se volvió una novedad, y esto causo colapsos no solo en las áreas de TI mientras asignaban accesos por VPN's hasta el límite de sus capacidades, sino que los canales de Internet se congestionaron, no por la salida de tráfico desde la organización hacia internet, sino por el ingreso de los usuarios que buscaban como realizar sus actividades normales para cumplir con su trabajo, literalmente el tráfico se invirtió de sentido.

Días después de este nuevo panorama en las organizaciones, empiezan a surgir las preguntas de rigor, la gente se conecta, pero realmente están siendo productivos ?. Adicional a ello se empiezan a plantear monitoreos sobre servicios e infraestructuras de seguridad que en inicio no estuvieron diseñados para soportar ese número de usuarios, o para monitorearse a ese nivel de detalle, el buen uso de herramientas como Team's, One Drive, Google Drive o de otros repositorios institucionales es hoy una duda comun, las afectaciones desde la seguridad de la información ante este nuevo panorama aún no están claras, los usuarios accediendo a los recursos de la organización desde equipos que no cumplen los requisitos mínimos de seguridad, la falta de trazabilidad sobre los recursos de la organización que están quedando almacenados en estos equipos, la productividad que es muy complicada de medir de manera presencial, el stress de funcionar en modo virtual, algunos mandos medios enseñados a su micro gerencia medida por el tiempo que dura la gente sentada en su puesto de trabajo, en donde tenian más control de las actividades de sus colaboradores, la necesidad de trabajar en un sitio que no está diseñado para ello y muchas otras consecuencias de este cambio abrupto para todos nosotros tendrán que empezar a decantarse, a medirse, a mejorarse

El ejercicio del plan de continuidad se debe complementar con el DRP, con el plan de emergencias y adicionalmente con el plan de comunicación de crisis, la realización de un BCP a conciencia, serio y no solo por cumplir, debería ser un ejercicio obligatorio dentro del proceso de gestión de riesgos para cualquier organización y los escenarios deberán incluir riesgos que hasta inicio de año se consideraban posibles, pero poco probables, la responsabilidad de darle continuidad al negocio no es de un solo gerente o del director de riesgos, la responsabilidad de la continuidad del negocio es principalmente del comité directivo y es él, el que tiene que asumir esta responsabilidad y garantizar los recursos para realizar estos ejercicios de manera profesional y planead, lamentablemente muchas organizaciones no van a tener oportunidad de enmendar el error de no haberse tomado en serio su BCP, para las demás las lecciones aprendidas demostraran que cualquier escenario en realidad puede suceder más temprano que tarde.

Las organizaciones deberán ahora intentar mudar a la fuerza a escenarios de prestación de servicios digitales y a condiciones de teletrabajo eficientes, escenarios que tuvieron años para desarrollar de manera lenta y coordinada, pero la pandemia nos enseñó que la lentitud en la adopción de nuevas tecnologías y teletrabajo fue un error que se puede terminar pagando hasta con la propia existencia (de las organizaciones), esperar que esta al menos sea una lección aprendida para las organizaciones que logren sobrevivir a este gran reto.