Un ciberataque de ransomware exitoso podría bloquear los procesos de negocio soportados por los sistemas de información. Ante esta situación, la organización debe ponerse a trabajar en recuperar la continuidad de negocio.
Estrategia de protección ante un ciberataque de ransomware
Dos son los factores que hay que tener en cuenta a la hora de diseñar una estrategia de protección:
- La seguridad al 100% no existe, pero se pueden poner barreras de contención efectivas. Esto puede evitar que los ciberataques tengan éxito. Por lo que diseñar estrategias de continuidad de negocio minimiza o puede anular el impacto en el caso de que los ciberataques tengan éxito.
- El punto más vulnerable de la cadena de protección son las personas. El primer objetivo de los ciberdelincuentes es llegar a los usuarios del sistema para engañarlos y que realicen las acciones que abran el sistema.
¿Cuál es el proceso de respuesta ante un incidente de ciberataque ransomware?
El INCIBE ha fijado unas fases determinadas para elaborar una guía genérica de los pasos a seguir por la organización en el caso de que el ciberataque haya tenido éxito. Estos formarían el proceso de respuesta ante un incidente:
- Preparación. Se preparan los equipos que se van a utilizar para la recuperación. Se reúnen las herramientas necesarias para el tratamiento del incidente (antimalware, comprobadores de integridad de ficheros o dispositivos, análisis de logs, sistemas de recuperación y backup…).
- Identificación. Se detecta y clasifica, según criterios de prioridad establecidos previamente, el incidente y se conforma una solución que sea la adecuada al alcance del ataque.
- Contención. Se impide que el incidente se extienda a otros recursos, llevando a cabo acciones como el corte de comunicaciones entre equipos.
- Erradicación. Se eliminan los elementos comprometidos en caso de ser necesarios. Se decide qué equipos pueden ser plataformados de forma directa y qué equipos han de ser limpiados manualmente.
- Recuperación. Se vuelve a dejar los equipos y sistemas en la forma en la que estaban antes del incidente, en la medida que sea posible.
- Recapitulación. Se documentan los detalles del incidente. Para ello, se archivarán los datos recogidos, se elaborarán los informes y se debatirán las lecciones aprendidas. Estas se incluyen en la prevención de situaciones de riesgo futuras.
¿Qué preguntas ha de hacerse una organización antes de elaborar una estrategia de gestión de continuidad de negocio?
A la hora de hacerse las preguntas necesarias para determinar la madurez y eficacia del plan de respuesta de una organización ante un ciberataque, la primera que surge es la de «¿Es seguro el sistema de la organización?». Sin embargo, esta es una pregunta tan genérica que su respuesta tiene poca utilidad real. Siempre va a depender de cuál sea la amenaza a la que se enfrente la organización en un momento determinado.
Las preguntas correctas que una organización debe hacerse, porque su respuesta es la que va a determinar la madurez y carencias de su seguridad, son:
- ¿Cuánto costaría vulnerar el sistema? Averiguar cuánto dinero debería invertir un atacante para tener éxito.
- ¿Qué conocimientos y recursos necesitaría un atacante para conseguirlo? Averiguar el perfil de atacantes ante los que la organización es o no vulnerable.
- ¿Es el sistema seguro ante un atacante con X recursos? Averiguar los tipos de ataque ante los que la organización es más vulnerable.
Una vez que se tienen las respuestas a estas preguntas, y, por tanto, acotado el campo de riesgos sobre el que se ha de trabajar, la organización ha de elaborar su propia estrategia de gestión de la continuidad de negocio. En la cual debe diseñar paso a paso el proceso de respuesta ante un incidente adaptado a sus características y necesidades.
¿Cómo se diseña una estrategia de gestión de continuidad de negocio?
Una Estrategia de Gestión de Continuidad de Negocio es una guía de respuesta ante los incidentes de seguridad que afectan a la operatividad del negocio. El objetivo general es recuperar la actividad normal de la organización en el menor tiempo posible.
Los pasos a seguir para elaborar la estrategia de Gestión de continuidad de Negocio son:
- Definición de roles y responsabilidades: Creación del Comité de Crisis de Continuidad. Este debe estar compuesto por un miembro de la Dirección, un responsable del Plan de Continuidad de Negocio que comunique con el miembro de la Dirección y los responsables de instalaciones, TIC, recursos humanos y negocio, entre otros.
- Planificación: Definición del alcance. Análisis de impacto y probabilidad de cada riesgo; análisis de tipos de riesgos; determinación del RTO (cálculo del tiempo que la organización puede permitirse que un proceso esté detenido antes de recuperar su funcionamiento), el RPO (cálculo de los datos que una organización puede permitirse perder tras una contingencia) y el MTD ( cálculo del tiempo máximo tolerable de caída antes de que la organización entre en quiebra); y elaboración de la estrategia.
- Elaboración: Implementación de las iniciativas. Elaboración de los diferentes Planes de Actuación ante Incidentes, entre ellos el Plan de Continuidad TIC (PCTIC) y formación del personal.
- Prueba: Los Planes han de ser probados a través de simulacros para determinar su efectividad y los niveles de implantación y comprensión entre las personas de la organización.
- Actualización: A través de los registros obtenidos en la fase de prueba se hacen los cambios que sean precisos en la Estrategia. De igual forma, cualquier cambio en el contexto de riesgos o en las necesidades de la organización deberá hacer que la Estrategia sea revisada, adaptada y actualizada.
¿Por qué Sothis ante un ciberataque de ransomware?
En Sothis contamos con un equipo de profesionales de ciberseguridad a través del cual, siguiendo la ISO 22301, te ayudamos en la implantación del Plan de Continuidad de Negocio TIC, te asesoramos una estrategia de seguridad a medida, llevamos a cabo simulacros reales de ataques de ransomware y acompañamos a las organizaciones en el análisis de la madurez de sus sistemas de seguridad. ¿Quieres saber más? ¡Contáctanos!