Lo que tu empresa puede aprender de WannaCry

Por Marcos Nehme (foto)* – A partir de la propagación de WannaCry, las organizaciones afectadas de todo el mundo luchan con preguntas como ¿Qué podríamos haber hecho para prevenir este ataque? y ¿Hasta dónde llega el impacto negativo?. Sin embargo, los consejos que reciben de los proveedores de seguridad cibernética son de naturaleza técnica, un enfoque que dificulta poner los detalles relacionados con la seguridad para determinar el impacto sobre la continuidad del negocio, los datos personales, la propiedad intelectual y el daño a la reputación. Esta columna propone ir un paso más allá. 

WannaCry consiste en una amenaza de ransomware, o pedido de rescate, llamada WanaCrypt0r 2.0, también conocida como WannaCry, que tiene características similares a las de un gusano informático que permiten aprovechar una vulnerabilidad de los sistemas operativos Microsoft Windows®. El ransomware imita el delito bien conocido del secuestro: alguien toma algo que usted valora y, para poder recuperarlo, lo obligan a pagar.

Los dueños de computadoras infectadas reciben un mensaje que les dice que su información ha sido secuestrada y que deben pagar entre USD $300 y USD $600 mediante Bitcoin para recuperarla. Hasta ahora, las víctimas incluyen hospitales, universidades, fabricantes, agencias gubernamentales y de transporte en países como Gran Bretaña, China, Rusia, Alemania EE. UU. y España.

A continuación, se presentan algunas ideas acerca de como aprender del ataque más allá de la tecnología, empleando un enfoque de Business-Driven Security:

Concientización ejecutiva. Los riesgos que no llegan a las reuniones de directorio no reciben la visibilidad que necesitan para considerarse correctamente. El riesgo cibernético se ha reconocido en el nivel ejecutivo. Sin embargo, los riesgos de la tecnología todavía no se han traducido por completo en términos de valor comercial que los ejecutivos puedan entender para tomar decisiones fundamentadas en relación con los cursos de acción a seguir.

Fortalecimiento del factor humano. Las personas normalmente son el punto débil en la defensa contra amenazas cibernéticas como ransomware. No cambian las contraseñas o hacen clic en un vínculo de un correo electrónico que contiene malware. El Programa de concientización de la seguridad de RSA ofrece métodos para probar y medir el nivel de vulnerabilidad de las personas y después proporcionarles información esencial para aumentar el nivel de conocimiento sobre cuestiones de seguridad y enseñarles cuáles son las mejores prácticas más seguras.

Foco en lo que es crítico. El análisis del impacto en el negocio (BIA) se debe realizar periódicamente para identificar los procesos de negocio más críticos para los objetivos de la organización. Por extensión, en pos de la uniformidad, los sistemas, los dispositivos y la información que se usan en los procesos de negocio heredan la criticidad de dichos procesos. Los procesos de negocio, los sistemas, los dispositivos y la información de importancia crítica para la organización deber tener prioridad en los esfuerzos de resistencia y recuperación.

Mantenimiento de los sistemas. Las organizaciones deben emplear un ciclo de actualización y mantenimiento para reducir la superficie expuesta a ataques. Si no se aplican parches, mejoras y actualizaciones (especialmente en sistemas operativos no soportados), en el mejor de los casos las organizaciones pueden sufrir un daño en su reputación y, en el peor de los casos, como ocurrió en el ataque de ransomware reciente, la seguridad pública puede quedar en riesgo.

Copias de seguridad de los datos. La policía del estado Andhra Pradesh en el sur de India dijo que el 25 % de sus sistemas fueron afectados por el ataque. “Nuestros equipos de lucha contra el cibercrimen actualmente están trabajando para recuperar datos perdidos“. La imposibilidad de recuperar datos perdidos puede afectar enormemente a una organización. Durante el BIA, ¿se debe determinar la información crítica que se perdió? ¿Cuánto tiempo se puede retroceder razonablemente para recrear los datos? Las organizaciones deben contar con mecanismos que les garanticen que se hagan copias de seguridad de los datos según sea necesario.

Planificación de continuidad. ¿Qué sucede si el sistema que usa para trabajar no está disponible? Algunas funciones pueden suspenderse hasta que el sistema vuelva a estar disponible. Sin embargo, hay otras funciones, como servicios médicos o de aeropuerto, que no pueden darse el lujo de no estar en funcionamiento. Un paso fundamental para generar resistencia, aunque no sea en el estado óptimo, es planificar para situaciones de interrupción inevitable de los procesos de negocio, los sistemas o las instalaciones. Se deben documentar planes de continuidad o recuperación para – por lo menos – todos los procesos de negocio críticos y los sistemas que utilizan. Estos planes se deben poner a prueba en situaciones de amenaza potenciales simuladas para garantizar que la organización pueda seguir funcionando.

Lo más importante es que la seguridad cibernética es una cuestión relacionada con el negocio, no solo con la tecnología. El riesgo cibernético es solo una de las dimensiones de los riesgos que enfrentan las organizaciones. La mejor manera de frustrar un ataque cibernético y responder a él es mediante un enfoque de administración de riesgo de negocio.

Nehme es director de la División Técnica de RSA para Latinoamérica y el Caribe.