El cambio global hacia una fuerza laboral remota ha redefinido la forma en que las organizaciones estructuran sus modelos de negocio. A medida que los ejecutivos reestablezcan las políticas de trabajo para acomodar a empleados remotos mucho más allá de la duración inicialmente prevista, surgirá una nueva era de trabajo: la fuerza laboral híbrida, una división importante entre la oficina y los entornos remotos.
Con todo, de la misma forma en que esta transición brinda una ola de oportunidades para empresas y empleados, también abre nuevas puertas en las que los malos actores aprovecharán la tensión de los departamentos de TI que habrán asumido una responsabilidad adicional para garantizar que los datos confidenciales permanezcan seguros, tanto dentro como fuera de la red corporativa.
Si bien las amenazas a los datos de la empresa varían en el método de ataque, el ransomware sigue siendo el mayor riesgo conocido a nivel mundial, con un aumento de 41% tan sólo en 2019. Es importante que los negocios se centren en reconocer esta amenaza e implementar estrategias para preparar, defender y reparar incidentes, antes de adaptarse a un modelo de fuerza laboral híbrida. Esto evitará que sean víctimas de ataques en los que la pérdida de datos o el pago de un rescate son las únicas opciones, ambas desafortunadas.
Tal vez te interese: Guía para prevenir el ransomware
Para ganar la guerra contra el ransomware, es preciso incorporar un plan para sus áreas de TI que garantice que tienen la resiliencia necesaria para superar cualquier ataque. Exploremos 3 pasos cruciales a detalle:
Enfocarse primero en la educación, evitando enfoques reactivos y tardíos a las amenazas
La educación, que comienza al identificar a los actores de la amenaza, debería ser el primer paso en el camino hacia la resiliencia. Para evitar quedar atrapados en una posición reactiva si surgiera un incidente de ransomware, es importante comprender los 3 mecanismos principales de entrada: RDP conectado a Internet u otro acceso remoto, ataques de phishing y vulnerabilidades de software. Una vez que las organizaciones saben dónde están las amenazas, pueden abordar una capacitación discreta con estrategias que refinen la seguridad de TI y del usuario, implementando tácticas de preparación adicionales.
Identificar los 3 mecanismos principales permite a los administradores de TI aislar los servidores RDP con componentes de respaldo, integrando herramientas para valorar la amenaza de ataques de phishing para ayudarlos a detectar y responder correctamente, así como informar a los usuarios sobre actualizaciones recurrentes de categorías críticas de activos de TI, como sistemas operativos, aplicaciones, bases de datos y firmware de dispositivos.
Adicionalmente, saber cómo se usan las herramientas de ransomware en el lugar será útil para que áreas de TI se familiaricen con diferentes escenarios de restauración. Así se trate de un proceso de restauración seguro que abortará cuando se detecte malware o de un software que pueda detectar ransomware antes de restaurar un sistema, la capacidad de tener diferentes escenarios de restauración será invaluable para las organizaciones, pues cuando suceda un ataque, reconocerán, comprenderán y tendrán confianza en el proceso de trabajo hacia la recuperación. Al tomar en serio el aspecto educativo de estos pasos, las empresas pueden disminuir los riesgos de ransomware, los costos y la presión de lidiar con un incidente de estas dimensiones sin preparación.
Implementar soluciones de respaldo que mantengan la continuidad del negocio
Una parte importante para la resiliencia del ransomware consiste en implementar una infraestructura de respaldo para crear y mantener una sólida continuidad del negocio. Los negocios necesitan tener un sistema confiable que proteja sus servidores y evite que tengan que pagar para recuperar sus datos. En este sentido, conviene mantener el servidor de respaldo aislado de Internet y limitar las cuentas compartidas que otorgan acceso a todos los usuarios; en su lugar, es mejor asignar tareas específicas dentro del servidor que sean relevantes para los usuarios y requieran autenticación de dos factores para el acceso al escritorio remoto.
Contar con respaldos con una copia de datos fuera de línea o inmutable, junto con la Regla 3-2-1, brindará una de las defensas más críticas contra ransomware, amenazas internas y borrados accidentales.
Más allá de ello, al tener una fuerza laboral híbrida es crucial detectar una amenaza de ransomware lo antes posible da a los departamentos de TI una ventaja significativa. Esto se logra con herramientas que marcan la actividad de amenaza factible. Para los dispositivos de punto final desplazados de forma remota, los repositorios de respaldo configurados para identificar riesgos, le darán al equipo de TI una visión más profunda de una increíble área de superficie para analizar la posible introducción de amenazas. Si las implementaciones no prohíben los ataques, otra opción viable es cifrar los respaldos siempre que sea factible para tener una capa adicional de protección: los cibercriminales que cobran un rescate para evitar fugas de datos no quieren tener que descifrarlos.
Cuando se trata de ransomware, no hay una sola forma de recuperarse. Lo importante a recordar es que la capacidad de recuperación se basará en cómo se implementan las soluciones de respaldo, el comportamiento de la amenaza y el curso de la reparación. Hay que tomarse el tiempo para investigar las opciones disponibles y asegurarse de que se implementen soluciones para proteger a la empresa.
Prepararse para remediar un incidente por adelantado
Incluso si existen pasos para aprovechar las técnicas de educación e implementación para combatir el ransomware antes de que se propine el ataque, las empresas deben estar preparadas para remediar una amenaza, si se presenta. Las capas de defensa contra ataques son muy valiosas, pero también hay que planificar qué hacer específicamente cuando se descubre una amenaza pues, de ocurrir, es preciso tener soporte para guiar el proceso de restauración de forma que los respaldos no estén en riesgo. La comunicación es clave, y tener una lista de contactos de seguridad, respuesta a incidentes y gestión de identidad por si fueran necesarios –dentro de la organización o fuera– ayudará a facilitar el proceso hacia la remediación.
Lo siguiente es establecer una cadena previamente aprobada de tomadores de decisiones. Cuando llega el momento de decidir si se deben restaurar o provocar la caída de los datos de la empresa en caso de un ataque, es importante que las organizaciones sepan a quién recurrir para obtener la autorización. Si hay condiciones para la restauración, el área de TI debe estar familiarizado con las opciones de recuperación basadas en la situación del ransomware. Es aconsejable implementar comprobaciones adicionales de seguridad antes de volver a colocar los sistemas en la red, como un análisis antivirus previo a completar la restauración, y asegurarse de que el proceso correcto esté en marcha. Una vez que se complete, habría que realizar un cambio forzado de contraseñas para reducir la reaparición de amenazas.
La vulnerabilidad que representa el ransomware para las empresas grandes y pequeñas es real y más teniendo una fuerza laboral híbrida. Si bien nadie puede predecir cuándo y cómo ocurrirá un ataque, los equipos de TI que cuentan con una defensa y estrategia fuertes y de varias capas tienen más probabilidades de recuperarse. Con la preparación adecuada, los pasos aquí descritos pueden aumentar la resistencia de cualquier organización –sea en la oficina, un ambiente remoto o una combinación de ambos– contra incidentes de ransomware y evitar pérdidas financieras y de datos, daños a la reputación y más.
Por: Rick Vanover, Director Senior de Estrategia de Producto de Veeam.