El manejo efectivo del ransomware no es simple: debe abarcar todas las áreas del negocio y requiere un enfoque de varias capas. Para lograr esto, los CISO deben centrarse en proporcionar a todos los empleados y a la organización las “herramientas” necesarias para reconocer y reaccionar adecuadamente ante un ataque y evitar que tenga éxito.
Estos se pueden dividir en tres áreas principales: tecnología, proceso y riesgo humano.
Tecnología
La tecnología proporciona varias formas de protegerse contra los ataques de ransomware. La amenaza evoluciona constantemente, por lo que es importante ser proactivo para garantizar que los sistemas de detección y defensa (como los firewalls) en los extremos de los sistemas estén siempre actualizados y sean lo más sólidos posible.
Aplicar parches a todos los sistemas y plataformas de cara al público que amplían el perímetro de la red de la organización es esencial para evitar la extorsión y las fugas de datos, al igual que mantener todo el software actualizado y parcheado. Las computadoras deben ejecutar los últimos sistemas operativos, aplicaciones y antivirus, y solo los dispositivos protegidos deben poder conectarse a los recursos de la empresa. La inclusión en la lista blanca de aplicaciones para determinar cuáles se pueden descargar y ejecutar en una red también es una buena práctica.
Los CISO deben asegurarse de que su organización tenga un inventario completo de activos, para que puedan comprender el valor operativo de cada activo y, por lo tanto, el riesgo, en caso de que se vea comprometido. Esto ayuda a asignar protección prioritaria a los activos de mayor valor y, en caso de un ataque, puede ayudar a la organización a determinar qué se debe proteger o (en el peor de los casos) recuperar primero.
La administración de identidad y acceso tiene un papel clave en la protección contra el ransomware porque garantiza que solo los usuarios autorizados y autenticados ingresen al sistema. La aplicación de políticas sólidas de control de acceso a usuarios y cuentas sirve para limitar el potencial de explotación en caso de una infracción, ya que puede evitar que los atacantes viajen a través de los sistemas y encuentren activos valiosos.
Esto es particularmente importante cuando se consideran cuentas privilegiadas, cuyo elevado acceso y mayor alcance las hace especialmente valiosas para los atacantes. Emplear un principio de “menor privilegio” es la mejor manera de abordar esto. Los usuarios o las cuentas reciben el nivel de acceso más bajo necesario para realizar su trabajo; todo lo demás se elimina o se restringe. Además, el acceso del administrador a todos los dispositivos, que a menudo se pasa por alto, debe administrarse con controles adicionales, como la autenticación y el registro de múltiples factores, para minimizar el abuso y el uso indebido.
Proceso
El elemento tecnológico debe reforzarse con políticas apropiadas centradas en el usuario que sean fáciles de entender, pero también fáciles de cumplir. En otras palabras, debería ser más fácil hacer lo correcto que subvertir. Estas políticas deben hacerse cumplir a través del monitoreo y seguimiento específico para la no adherencia. Por ejemplo, en lugar de esperar que las personas descarguen y apliquen parches de manera oportuna, se pueden configurar scripts o herramientas automatizados para aplicarlos, con seguimientos para verificar el cumplimiento de actualizaciones opcionales, etc.
Las personas necesitan canales simples para informar cualquier cosa sospechosa, junto con el entendimiento de que tienen la responsabilidad de hacerlo. También deben estar seguros de que informar algo como hacer clic en un enlace sospechoso no tendrá consecuencias negativas.
Además, se deben incluir instrucciones claras sobre qué hacer y a quién contactar en caso de que alguien sea víctima de ciberdelincuentes. Comprender cómo ocurrió un ataque y tomar las medidas necesarias para evitar que vuelva a ocurrir es información clave: estar actualizado sobre nuevas amenazas y tecnologías es una parte crucial de la estrategia de un CISO.
Los sistemas clave (o aquellos bajo la mayor amenaza) deben monitorearse continuamente para detectar intrusiones, con alertas configuradas para señalar cualquier inconveniente. Esto es ayudado por los CISO que tienen una comprensión profunda de su panorama de amenazas. Saber dónde es más probable que sean atacados permite que los esfuerzos de control se centren de manera efectiva. Compartir información sobre amenazas cibernéticas entre organizaciones relevantes mantiene a todas las partes actualizadas sobre los últimos riesgos de seguridad, lo que ayuda a reducir la probabilidad de un ataque exitoso.
Además de la organización, sus dispositivos y sus empleados, los terceros deben ser parte de la ecuación para que todos protejan los datos y los sistemas con el mismo estándar acordado. Esto se puede hacer por contrato si es necesario.
Riesgo humano
Pero con aproximadamente el 90% de las filtraciones de datos que ocurren debido a ataques de phishing (Cisco’s 2021 Tendencias de amenazas a la ciberseguridad), la mayor amenaza para la seguridad de una organización es su gente, aunque no sea de forma intencionada.
Protegerse contra el phishing es importante en cualquier momento, pero particularmente en esta época del año en vísperas de la temporada navideña y eventos de compras en línea como el Black Friday y el Cyber Monday. Muchas personas ordenarán artículos y esperarán entregas, lo que los hace susceptibles a correos electrónicos de phishing relacionados con entregas fallidas o reprogramadas.
Los usuarios objetivo de los ataques de phishing pueden ser explotados para obtener acceso a los sistemas de los clientes. Por lo tanto, los CISO deben equipar a toda la fuerza laboral con el conocimiento de que forman una parte crítica de la primera línea de defensa; como se señaló anteriormente, todos tienen la responsabilidad de protegerse contra los malos actores. Esto requiere una cultura organizacional en la que las personas entiendan la amenaza real que representan los ciberdelincuentes, el potencial de un ataque de ransomware, cómo detectar intentos de phishing y cómo reaccionar si notan algo sospechoso.
La capacitación regular en conciencia de seguridad en toda la empresa es esencial, cubriendo temas como conciencia de higiene cibernética, principios de seguridad de la información, buenas prácticas de TI y cómo reconocer correos electrónicos sospechosos. Esto se puede reforzar con métodos como las simulaciones de phishing, que ayudan a los empleados a reconocer y evitar comunicaciones maliciosas.
La capacitación debe adaptarse a los diferentes grupos de usuarios en función de los tipos específicos de ataque que es probable que enfrenten las diferentes partes de la empresa, y ayudar a los empleados a comprender por qué tareas como la aplicación de parches, a menudo vistas como un inconveniente, son esenciales.
Al mejorar la conciencia de seguridad en toda la organización, los CISO reducen la superficie de ataque y, con ella, la probabilidad de éxito de un ataque de ransomware.
Para minimizar aún más la exposición de la organización a los malos actores, la conciencia de seguridad puede respaldarse con tecnología. Por ejemplo, bloquear el uso privado de direcciones de correo electrónico corporativas o impedir el acceso a correos electrónicos personales en dispositivos corporativos también reduce el riesgo de que un correo electrónico de phishing pueda pasar algo a la red corporativa.
Un papel para todos
Proteger a la organización contra el ransomware es una tarea continua y en evolución que requiere una combinación de tecnología actualizada, procesos sencillos y personas informadas.
Sin embargo, mientras que los CISO son los ejes que aseguran que los bloqueos necesarios estén en su lugar, en una era de “perímetros porosos”, todos en la empresa tienen un papel que desempeñar para proteger su lugar de trabajo de los malos actores.