Como la normativa Optic Nortic A7 te puede ayudar con el ransomware de la semana

 

Uno de los objetivos que teníamos claro al momento de trabajar como asesor para la normativa Nortic A7 de la Optic, era poder explicar de una manera comprensible una serie de requerimientos que si se satisfacen no te garantizarían ser invulnerable, pero sí que te ayudarían en cumplir aquello que se conoce como la debida diligencia y el debido cuidado, términos sumamente importantes en lo relativo a la ciberseguridad.

En el caso que nos preocupa para este artículo es ver como en un entorno tan cambiante, tan dinámico y activo como la ciberseguridad, especialmente lo que se ha denominado por los expertos como la mayor amenaza para el ciberespacio tal y como lo conocemos hoy, nada más y nada menos con el código malicioso.

El viernes 12 de mayo de 2017, el mundo despertó, por lo menos los que estamos en esta zona horaria (-4 gmt), a la cruda realidad que de lo peor estaba comenzando, y lo estaba haciendo con mucha fuerza, cuando nos enteramos –no por lo medios convencionales, sino por colegas que se encontraban en el epicentro de tan grande evento y alertaron telefónicamente lo que estaba pasando en la madre patria.

Es la combinación perfecta para que suceda lo peor, un conjunto de vulnerabilidades desatendidas por los administradores de sistemas con una gran colección de herramientas de ciberataque desarrollada por la potencia como parte de su arsenal silencioso.

Es interesante el observar que el gran impacto de este ataque no fue por la complejidad tecnológica de los recurso que explotaba, sino por el nivel de exposición que representa el no seguir una serie de medidas un tanto rudimentarias en la ciberseguridad para poder crear capacidad de respuesta frente al código malicioso, la aplicación de parchos o actualizaciones tanto del sistema operativo como de las aplicaciones críticas de la organización.

Precisamente la normativa Nortic A7 tiene una sección dedicada al tratamiento de este tema con una serie de lineamientos escritos en lenguaje llano y fácilmente alcanzables por cualquier organización

Al final pareciera como si esta historia tuviera un final feliz porque se dice que cierto héroe anónimo desactivó la la propagación de tan indeseable mal.

No obstante si nos queda claro que los que más sufrieron, lamentablemente por ser los primeros, no fueron los que tenían peor tecnología sino los que estaban peor preparados en la forma de operar su Sistema de Gestión de Seguridad de la Información y el consecuente programa de ciberseguridad.

De este incidente podemos sacar las siguientes enseñanzas:

1.- Debido a que se dice que este ataque está relacionado con la publicación de un conjunto de herramientas de ciberguerra, es posible que simplemente se iniciara con este ataque por ser de más fácil implementación que otros que pudieran derivarse de la misma fuente.

2.- El que de manera providencial se fuera desactivada la operación de este malware no significa que no aparecerán familias completas de variantes del mismo ataque, que a su vez serán más difíciles de darle respuesta.

Pensemos de este caso como una simple prueba conceptual que servirá de inspiración a grupos organizados y a lobos solitarios que quieran probar fortuna.

3.- La alta dirección tendrá que obligatoriamente ver la ciberseguridad como algo de las más alta prioridad.

4.- Los nuevos escenarios de Continuidad de Negocios deben considerar este tipo de ataque de malware con un nivel de probabilidad más elevados que otros que tienen como causa raíz la naturaleza o amenazas creadas por el hombre dentro del ámbito físico.

Ya no hay que afectar físicamente la sede de una organización, un ransomware puede ser más efectivo y más barato.

5.- Los llamados expertos en ciberseguridad necesitan concentrarse en el establecimiento y cumplimiento de las métricas de operación de sus sistemas de gestión.

6.- La respuesta no necesariamente requería de nuevas tecnologías

7.- No es posible lograr objetivos adecuados sin el involucramiento de la alta dirección.

Algo que hicimos durante el fin de semana es que escalamos el caso al nivel más alto al que teníamos acceso en cada organización, para evitar que se este problema se barriera debajo de la alfombra y además evitar que tanto ellos en la alta dirección como nuestra empresa fueran sorprendidos por algún incidente mayor.

8.- Los entrenamientos puramente técnicos no sirven de nada si no se van aplicar las mejores prácticas de gestión de ciberseguridad.

9.- Los equipos de ciberseguridad necesitan desarrollar nuevas competencias que estén más de la mano con procesos y objetivos de protección, no solamente en la implementación técnica.

10.- la ausencia de seguir marcos de referencia y normativas que representen requerimientos específicos y medibles solo conducen a la improvisación.

Los puntos a resaltar de cara a este artículo son los siguientes:

• Se hace referencia inicial a los procedimientos administrativos, es decir, políticas y procedimientos que sea reales, practicables, medibles y seguibles por la parte operativa de la ciberseguridad
• Si no se logra demostrar que la alta dirección está apoyando de manera real, mediante la asignación de recursos económicos para crear la preparación y la respuesta a todo lo relacionado con código malicioso, que tiene como punto de inicio la aplicación de las actualizaciones como una manera de reducir la superficie vulnerable al código malicio, entonces esta organización no debería poder ser certificada por parte del organismo auditor.Si tiene varios períodos esperando la aplicación del presupuesto o la asignación de recursos, entonces la organización está en una condición muy vulnerable y se no puede demostrar por evidencia que la alta dirección está comprometida.
• La implementación de sistemas de gestión de parchos no requiere de ninguna inversión significativa por la cual se pretenda justificar la desactualziación de la infraestructura
• La ausencia de mecanismos de medición de porcentaje de cumplieminto en este sentdo es posiblemente la causa raíz a todo este problema.
• Lamentablemente las personas proficientes en las áreas de tecnología adolecen significativamente de capacidades de gestión y análisis que puedan ofrecer información útil par la toma de decisiones y trazar rutas de trabajo que puedan ser seguridad de manera recurrente.
• de todas las organizaciones que contactamos posterior a la aparición de este ataque, todas tenían niveles importantes de desactualización, algunas con niveles tan preocupantes que simplemente no estaban en capacidad de dimensionar la magnitud de su problema.
• En algunos casos los administradores de sistemas dejaron entender que el desactivar las actualizaciones era una opción válida para ellos sin medir el impacto que esto tendría para la organización.
• En todos los casos se pudo comprobar que la relación tamaño de la organización y la cantidad de empleados con roles de ciberseguridad estaba completamente fuera de proporción, algunos ni siquiera tiene contemplado el rol, o si lo tienen es una posición de caracter simbólica para decir que tienen el personal aunque no disponga de las competencias necesarias ni la capacidad operativa.

A continuación les presentamos un extracto de la normativa Nortic A7 en lo relativo a la preparación, prevención y respuesta al código malicioso.

[pdf-embedder url=”https://savant.com.do/wp-content/uploads/2017/05/Nortic-a7-6.02.pdf” title=”Nortic-a7 6.02″]