Se ha hablado mucho sobre la protección contra los ataques de ransomware, desde mantener actualizados los activos de TI hasta implementar arquitecturas de confianza cero – zero trust – y soluciones más elaboradas (y costosas).
En la actualidad, los ataques de ransomware han pasado de dirigirse a objetivos simples, como pequeñas empresas, a grandes corporaciones y, como resultado, los rescates han aumentado de unos pocos dólares (bitcoins) a millones, lo que afecta directamente la reputación de las empresas y genera pérdidas directas e indirectas debido a las interrupciones posteriores a los ataques.
Y ¿cómo proteger lo que realmente importa: la información? Antes que nada, lo básico debe haberse preparado previamente: tener un entorno de TI actualizado, una buena solución de detección y respuesta, y al menos monitorear su entorno crítico a través de un Centro de Operaciones de Seguridad (SOC) especializado que informe directamente a la junta directiva de la organización sobre el riesgo operativo de TI.
Dicho esto, centrémonos en el último recurso posible para que una organización siga existiendo con sus datos, ya que el ataque puede tener un nivel de sofisticación que podría eludir todos los controles existentes.
El último bastión de protección para sus datos es adoptar el enfoque de una cámara de seguridad en la que guardará una copia, utilizando las siguientes tres acciones:
- Seguridad por diseñoLa idea es que su bóveda de seguridad no acepte conexiones entrantes, solo se conecte a los activos desde los que copiará la información, coordinando de manera granular todas las conexiones. Cualquier conexión de un administrador debe realizarse solo a través de un servidor intermedio (jumpserver) de manera muy controlada, monitoreando todas las acciones del administrador.
- Cuantos más datos temporales, mejor
Tener un buen proceso de copia y almacenamiento de datos es fundamental, ya que incluso una copia de seguridad puede estar comprometida en cuanto a su integridad. Por lo tanto, es necesario contar con un proceso que guarde versiones históricas completas e incrementales. Por ejemplo, realizar copias diarias en los cofres incrementales, cuatro copias semanales completas y doce copias mensuales almacenadas durante mucho tiempo. Esto asegura que siempre tenga como mínimo siete días de copias incrementales, un mes de copias semanales completas y un año de copias mensuales para tener una amplia gama de opciones de recuperación dentro del tiempo de recuperación objetivo (RTO) y el punto de recuperación objetivo (RPO) requeridos por el negocio.
- Si no se utiliza, desconéctelo
¿De qué sirve tener la cámara junto a usted? La premisa es que la cámara solo se conecte a la red cuando se realicen las copias de seguridad, de esta manera se protege su integridad en los momentos en que no se está utilizando. Recuerde, la cámara es un baluarte de los datos de su empresa y debe protegerse como tal. Incluso muchas empresas llevan las copias semanales a otro sitio para protegerse de otros desastres. Si elige un proveedor de Infraestructura como Servicio (IaaS), que puede ser una buena opción, considere proveedores y ubicaciones diferentes, siguiendo la misma lógica mencionada anteriormente.Con estas tres premisas para su bóveda de datos, sin duda, cuando todo falle, tendrá sus datos para continuar con su negocio y, por ende, ahorrará millones de dólares frente a un ataque de ransomware u otra situación similar.
* Umberto Rosti es cofundador y CEO de Safeway, una empresa de la plataforma de ciberseguridad de Stefanini Group.
