¿Están sus programas BC y DR diseñados para ransomware?
¿Puede nombrar los principales riesgos que debería planificar como profesional de la continuidad del negocio?
Según el informe de percepción de riesgos globales de 2021 del Foro Económico Mundial (Figura 1), muchos de los eventos de mayor impacto y más probables están fuera de nuestro control, como el clima extremo, las enfermedades infecciosas o la pérdida de biodiversidad. Por supuesto, desde la pandemia de COVID-19, el riesgo sistémico general ha aumentado, pero el aviso de falla de ciberseguridad sigue estando en el centro y es mucho más probable que la falla de la infraestructura de TI.
Figura 1: Informe de riesgos globales del Foro Económico Mundial 2021
Sin embargo, la gran mayoría de los programas de recuperación ante desastres están diseñados para fallas de infraestructura de TI; los profesionales de la recuperación de desastres no se centran en los desastres más probables.
El ransomware aparece en las noticias de forma bastante rutinaria y, según el Informe de Investigaciones de Violación de Datos de Verizon, el 27% de los incidentes de malware son ransomware, que afecta específicamente a muchas disciplinas dentro de nuestras organizaciones, incluida principalmente la seguridad de TI, pero también la recuperación de desastres, las operaciones de TI, el manejo legal de crisis corporativas y las comunicaciones corporativas.
Cuando resolvemos problemas de seguridad cibernética, hablamos de modelos y vectores de amenazas. Hoy tenemos varias amenazas nuevas que están afectando nuestra capacidad para recuperarnos de forma predecible y rápida de un ciberataque. Algunas de estas amenazas se encuentran en el área de los sistemas de respaldo. El objetivo principal del ransomware es denegar el acceso a los archivos del usuario cifrando esos archivos y exigiendo el pago del código para restaurar el acceso. Hace años, la respuesta tradicional era simplemente recuperarse de las copias de seguridad. Sin embargo, el ransomware actual ataca no solo a los sistemas de producción, sino también a las copias de seguridad y otros sistemas redundantes.
Los sistemas de respaldo son absolutamente críticos para la recuperación de ransomware, pero deben ser confiables y deben haber sido diseñados para las últimas amenazas. ¿Adivina qué? La mayoría de los sistemas de respaldo implementados no fueron diseñados para las últimas amenazas.
Los ataques de seguridad cibernética son significativamente diferentes de, digamos, cortes de energía o fallas en el centro de datos, ya que pueden permanecer residentes durante muchos meses antes de ser detectados. ¿Sabe que las organizaciones que han sufrido un ciberataque descubren que las amenazas han estado presentes durante los seis meses anteriores? Las implicaciones de esto son muy serias: implica que los sistemas de respaldo probablemente hayan estado almacenando malware durante ese tiempo, sin embargo, las arquitecturas de respaldo no se analizan en busca de malware. ¿Sabe que sus sistemas de respaldo pueden estar almacenando códigos maliciosos? ¿Está buscando actividad anómala antes de recuperar datos de la copia de seguridad a producción?
Recientemente, un evento cibernético destructivo derribó los sistemas de producción y respaldo durante 40 días, lo que requirió que 100 miembros del personal trabajaran las 24 horas del día, e interrumpió los ingresos comerciales durante una semana. ¿Una semana de ventas interrumpidas para una empresa de 40.000 millones de dólares? Si bien es difícil estimar las pérdidas en el mundo real de este incidente, no es difícil presentar un caso comercial sólido para mejorar la capacidad de recuperación del sistema. La capacidad de recuperación de la empresa podría haber sido mucho más rápida y predecible si hubiera invertido adecuadamente en los sistemas y procesos de respaldo adecuados.
Con respecto a la recuperación de desastres, queremos estar seguros de que podemos recuperarnos de un ciberataque, pero la mayoría de los programas de recuperación de desastres están diseñados para los modos de falla del centro de datos o de falla de la aplicación. Muchos profesionales de la recuperación de desastres no están familiarizados con los modos de falla asociados con los ataques cibernéticos que afectan la capacidad de la organización para completar su misión principal.
Muchos profesionales de la ciberseguridad están utilizando el marco MITRE ATT & CK como estándar que detalla los tipos de tácticas y técnicas adversas basadas en observaciones del mundo real. Dentro de ese marco, y con miras a la recuperabilidad, podemos analizar los posibles impactos en la organización.
Utilizamos una filosofía de diseño llamada ciber resiliencia. La resiliencia cibernética se refiere a la capacidad de una entidad para entregar continuamente el resultado esperado, a pesar de los eventos cibernéticos adversos. Nuestra metodología involucra a los clientes para que tengan conversaciones interfuncionales para resolver estas áreas de manera integral. Por ejemplo, los ejercicios de escritorio son una piedra angular para los equipos de CSIRT (respuesta a incidentes de seguridad), así como para los equipos de DR. Sin embargo, rara vez nos encontramos con organizaciones que estén probando la recuperación ante desastres de un extremo a otro en todas estas áreas de impacto. Eso significa que las organizaciones no están practicando un evento de ransomware en un ejercicio conjunto que involucra a los equipos de respuesta a incidentes de seguridad, los equipos de recuperación ante desastres y los equipos de respaldo empresarial.
¿Convencido? ¿Cómo puedes empezar? Tenga en cuenta que la seguridad cibernética es de naturaleza asimétrica. En el lado de la defensa, debemos hacer cientos de cosas bien para evitar un ataque, mientras que los adversarios solo necesitan hacer una cosa bien. Para asegurarnos de que cubrimos todas las áreas posibles, se recomienda comenzar con un marco para asegurar una cobertura completa. Una evaluación detallada de la madurez de la resiliencia cibernética conectaría tanto la TI como la Continuidad del negocio, la recuperación ante desastres, el equipo de ciberseguridad, así como la oficina de riesgos, la seguridad física, las comunicaciones corporativas y la gestión de crisis. Ayudaría a definir las «joyas de la corona», es decir, las aplicaciones y sistemas esenciales para la restauración que permitan reanudar el negocio. Si no está seguro de invertir en una evaluación, pregunte a su equipo de ciberseguridad:
¿con qué rapidez se pueden reanudar las operaciones comerciales después de un ataque de ransomware?
Pregunte a sus equipos de recuperación ante desastres:
¿están buscando actividad maliciosa?
Pregunte a los ejecutivos de su línea de negocio:
¿cuánto tiempo pueden permitirse para que las operaciones del negocio se detengan?
¿Cuántos datos podemos permitirnos perder?
No hay tiempo que perder. ¡Empiece ahora!
Andrew Lemke es el líder en resiliencia cibernética de IBM para América del Norte. Tiene dos décadas de experiencia en todas las áreas de seguridad cibernética y resiliencia, así como varias patentes emitidas. Es un líder intelectual buscado y está continuamente pensando en formas de ayudar a los clientes de IBM.
Anand Chouthai es partner asociado de habilitación de resiliencia en IBM Global Technology Services. Es un líder respetado de equipos diversos y multifuncionales y los altos ejecutivos lo consideran un recurso clave, pensador crítico y solucionador de problemas no convencionales.