¿Cómo funcionan los ataques? Sabías que de acuerdo con diversos estudios el 70% de los ataques cibernéticos son originados por un empleado descontento.
El peor error de las compañías es pensar que nunca tendrán un incidente de ciberseguridad porque a ningún hacker le interesara la información de su compañía.
Hoy existen grupos criminales y/o estructuras delictivas, transnacionales establecidas, que ofrecen plataformas completas de ransomware como servicio.
Hoy se habla de mecanismos de doble extorsión, donde no solo se pide rescate por la información, sino que también se amenaza con la exposición de esta, afectando la reputación de las compañías y posiblemente de sus clientes.
Es sano partir de la base que toda empresa va a sufrir un ataque cibernético y de allí diseñar un plan. No es pensar que a nosotros no nos afectará. La amenaza es latente, y el riesgo de sufrir un ciberataque es real. Por fortuna las empresas cada vez son más conscientes de todos los controles que deben implementar para contrarrestar el grave problema.
¿Qué hacen las compañías?
Las compañías ven la ciberseguridad como un gasto y no como una inversión, ¿Cuánto vale la información y reputación de tu compañía?
Pueden existir múltiples controles cibernéticos dentro de una organización, pero si el usuario no es consciente de su rol dentro de la seguridad de la información, al final del día, todo el esfuerzo puede ser en vano.
Las compañías están aplicando estrategias que no son eficaces para la contención y recuperación de las operaciones, dadas las formas que suceden los ciberataques.
En Colombia ha habido ciberataques en importantes empresas del sector salud, sin embargo, hay muchos más casos que no salen a la luz pública, como ataques al sector financiero.
El Ciberataque se puede decir que tiene dos fases:
- La primera fase es secuestrar la información que consideran valiosa.
- Después de secuestrada la información es encriptada para pedir el rescate.
Para conocer ciberataques nuevos o en curso, lo recomendado es el análisis del comportamiento de la información, análisis del Datacenter. ¡Los ciberdelincuentes pueden estar espiando durante periodos de tiempo muy largos!, espiando la información, espiando los Backups.
Lo importantes es estar analizando ese comportamiento de la información para detectar las anomalías…entradas por ejemplo a horas inusuales, conversaciones entre puertos que no se hablaban.
“Las compañías deben contar con profesionales capacitados, que tengan la responsabilidad de reportar y estar alerta ante eventos, ataques y debilidades de seguridad. Como también que cuenten con la capacidad y la experiencia para dar solución inmediata a diferentes tipos de incidentes, es decir, dar alertas tempranas ante amenazas y vulnerabilidades”, comentó Efrain Soler, CEO de O4IT.
Buena estrategia para mitigar el problema es la de cero confianzas – Zero Trust – no confiar desde la máquina, no confiar en el medio que se va a conectar. En Colombia y en general Latinoamérica, las estrategias en Zero Trust y análisis de comportamiento, son muy débiles. En nuestro país se sucede un ataque cibernético cada 11 minutos…
Otro problema es que la seguridad está muy fragmentada en las organizaciones, entre los grupos de seguridad, grupos de infraestructura, entre grupos de gestión humana…lo que hace más complejo las medidas correctivas.
Es necesario que en la estrategia de ciberseguridad se incluya a toda la organización donde las normas y políticas de seguridad se apliquen en forma correcta, que ampare a todo el ecosistema de la organización.
¿Qué deben tener como acciones preventivas las organizaciones?
Las soluciones de detección y respuesta de red (NDR -Network Detection and Response) están diseñadas para detectar anormalidades en el tráfico, amenazas cibernéticas reales en las redes corporativas, mediante el aprendizaje automático y el análisis de datos, importante:
1. Establecer un sistema de gestión de seguridad de la información donde estén los controles efectivos para mitigar los riesgos.
2. Contratar o Implementar un Centro de Respuestas de Incidentes con herramientas especializadas, tales como correlacionadores de eventos, en donde todos los activos de tecnología están siendo monitoreados las 24 horas del día.
3. Mantener los sistemas actualizados, hacer análisis de vulnerabilidades y pruebas de penetración.
4. Implementar herramientas de doble factor de autenticación. Es muy peligroso la contraseña de un usuario volando.
5. Definir la seguridad por software para evitar movimientos laterales.
6. Centro Alterno con imágenes cada cierto tiempo hacia atrás.
7. Backups replicados y retenciones que se ajusten al negocio.