Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > Ransomware: Cuando la Política Importa Más
Ransomware When Policy Matters Most

Ransomware: Cuando la Política Importa Más

by Alan Levine updated noviembre 23, 2024 Gestión de Riesgos de Ciberseguridad
Reading Time: 7 minutes

La mayoría de los CISOs dividen su enfoque de defensa cibernética en tres pilares: personas, tecnología y procesos. Estos pilares definen la arquitectura defensiva y el arsenal de un programa de ciberseguridad, los activos disponibles, y las políticas y procedimientos que juntos informan los procesos críticos.

El ransomware cristaliza el valor de este enfoque basado en pilares, y en particular, señala la necesidad de enfocarse en la política.

Personas Mal Entrenadas Pueden Crear Riesgos de Ransomware

Los CISOs valoran a las personas que componen y apoyan programas críticos. Cualquier componente de un programa que no esté automatizado depende del personal para desarrollarlo, configurarlo, operarlo y mantenerlo. Cualquier componente automatizado alcanza un estado de confianza solo porque el personal lo prueba y confirma ese estado estable.

“Los procesos informan a un equipo de ciberseguridad sobre cómo hacer las cosas, así como una claridad indiscutible sobre las expectativas de la organización.”

Las personas forman el núcleo de cada programa de ciberseguridad exitoso. Los profesionales de ciberseguridad de calidad son difíciles de encontrar y retener, y por lo tanto, los CISOs modernos enfatizan el reclutamiento y la retención como un objetivo clave para sus programas de ciberseguridad.

Informe Evalúa la Privacidad y Cumplimiento de tus Comunicaciones de Contenido Sensible Kiteworks 2022 Informe de Comunicaciones de Contenido Sensible

Tecnología

Los CISOs también valoran la tecnología que implementamos para proteger y defender los activos, la información y las operaciones de nuestra organización. En términos simples, los CISOs no pueden cumplir con las expectativas establecidas por las organizaciones sin tecnología que sea actual, utilizable, diseñada y dedicada a la misión de ciberseguridad. La tecnología debe estar correctamente configurada y mantenida, pero primero esas partes y piezas técnicas deben ser adquiridas—como un producto o servicio—e implementadas.

La mayoría de los CISOs tienen una colección significativa de tecnología con tareas específicas de ciberseguridad: asegurar la red o los endpoints de la organización, proteger los datos, observar, recopilar y detectar posibles indicadores. La lista de tecnología disponible está creciendo, y las elecciones de los CISOs solo están limitadas por los presupuestos y los conflictos de diseño detallados.

Al desarrollar su estrategia de administración de riesgos de ciberseguridad, los CISOs deben asegurarse de que esta lista de tecnologías disponibles se refleje en ella.

Procesos y Política

El tercer pilar, los procesos, es el que típicamente se desestima, o peor, a veces se descuida por completo.

Los procesos incluyen cómo opera una organización de ciberseguridad, sus procedimientos y políticas, y finalmente estándares y directrices. Los procesos informan a un equipo de ciberseguridad sobre cómo hacer las cosas, así como una claridad indiscutible sobre las expectativas de la organización.

“La política, en comparación, es el lugar donde una organización exhibe sus reglas para todo el compromiso de ciberseguridad. La política se encuentra en el nexo de procedimiento y cultura.”

Para empezar, los procesos definen las expectativas de comportamiento de una organización; no solo cómo opera una organización, sino por qué opera de esa manera. Son reglas documentadas de comportamiento. La política, en comparación, es el lugar donde una organización exhibe sus reglas para todo el compromiso de ciberseguridad.

La política se encuentra en el nexo de procedimiento y cultura. ¿Cuáles son las consideraciones de cumplimiento de una organización? ¿Cuáles son los comportamientos aprobados para el monitoreo de actividades, la recopilación de registros y la observación de comportamientos? ¿Cuáles son los límites de la tolerancia al riesgo de la organización?

La mayoría de las políticas se establecen fuera de la organización del CISO. La política—con P mayúscula—es propiedad de la organización en general y fomentada por el liderazgo de la organización. La política a este nivel puede definir una organización, y por eso tiene sentido que el nivel más alto de una organización deba aprobarla. La mayoría de las organizaciones tienen un número limitado de políticas a este nivel, porque cada una de ellas importa mucho. Un subconjunto de estas políticas puede incluso requerir la aprobación y supervisión de la junta directiva de una organización.

Webinar Cuáles Son las Tendencias y Referencias Clave Que Necesitas Conocer Sobre Comunicaciones de Contenido Sensible

Ransomware y Su Impacto en Procesos y Política

A medida que el riesgo sin precedentes del ransomware continúa permeando cada negocio, los CISOs han redoblado sus esfuerzos para atraer y entrenar equipos de ciberseguridad cada vez más capaces. También han identificado brechas en su conjunto de tecnología y han llenado tantas de esas brechas como sea posible, para detectar y reaccionar ante intentos de ransomware de manera temprana e integral.

Mientras las personas y la tecnología intentan minimizar el riesgo o impacto del ransomware, el desarrollo o rediseño de políticas para ransomware tiende a quedarse atrás. Algunas organizaciones no tienen ninguna política particular de ransomware. Otras tienen una política básica que puede fallar en servir a la organización cuando se ve presionada a tomar decisiones críticas relacionadas con el ransomware.

“No es suficiente para la mayoría de las organizaciones estipular que, si se enfrentan a un ataque de ransomware exitoso, pagarán o no pagarán.”

Estas decisiones no son fáciles, y cada opción necesita ser informada por una comprensión clara de sus implicaciones. Una organización inteligente, por ejemplo, contempla los escenarios de ransomware que puede enfrentar algún día, mucho antes de la primera evidencia de un ataque real. La organización luego articula y adopta políticas que guían su respuesta a cada escenario. Si las organizaciones no lo han hecho ya, deberían desarrollar o rediseñar su política de ransomware ahora mismo.

Los escenarios de ransomware parecen, en la superficie, bastante binarios: pagar o no pagar.

No es suficiente para la mayoría de las organizaciones estipular que, si se enfrentan a un ataque de ransomware exitoso, pagarán o no pagarán. Mientras que algunas organizaciones pueden tener una política general de “nunca pagar”, todavía hay detalles o condiciones que deberían considerar: el tamaño de la demanda de ransomware, la capacidad de la organización para responder con mitigaciones, retiradas y restauraciones, y la cultura y misión de la organización. Más sobre esto en un momento.

Por el contrario, para que una organización adopte una política de “siempre pagar” en todos los casos de ransomware, debe asumir escenarios de peor caso en los que la demanda de rescate puede exceder la capacidad de pago de la organización. Más razonablemente, una política de pago de una organización necesitaría estar limitada a una cantidad para que la organización realmente pueda pagar. De lo contrario, tienes una política insostenible.

Una organización con una política de “siempre pagar” probablemente no tiene mucha confianza en la capacidad de su organización—o de su CISO—para resistir un ataque de ransomware exitoso. ¿Podría una organización recuperar y restaurar todos sus datos y sistemas? ¿Existen copias de seguridad viables y probadas que puedan servir como réplicas confiables del entorno de producción? ¿Son los procesos de copia de seguridad, recuperación y restauración en sí mismos confiables?

Una organización que tiene una política de “siempre pagar” no tiene mucha fe en su capacidad para resistir la tormenta. Si tuviera alguna fe, entonces su política no sería siempre pagar, sino pagar en ciertas condiciones y no pagar en otras condiciones.

La fiabilidad de los atacantes de ransomware y la estructura financiera detrás de ellos también importa. ¿Tendría sentido una política de “siempre pagar” si los intermediarios de criptomonedas evalúan que los atacantes son poco confiables y que, incluso si se les paga, pueden no liberar algunos o ninguno de los activos secuestrados?

¿Qué pasaría si el criminal simplemente fuera inepto, muy bueno en cifrar cosas, pero no muy bueno en descifrarlas? ¿Qué haría una organización si pagara el rescate pero no pudiera recuperarse después? Ese es un puente que ninguna organización quiere cruzar.

“Una organización con una política de ‘siempre pagar’ probablemente no tiene mucha confianza en la capacidad de su organización—o de su CISO—para resistir un ataque de ransomware exitoso.”

Más recientemente, hemos visto un tipo híbrido de ataque de ransomware, que combina el cifrado de activos (datos y sistemas) y la posible exfiltración de datos (una copia de los datos de la organización ha sido robada). La política de ransomware de una organización se vuelve mucho más complicada en este escenario.

¿Estaría bien “siempre pagar” para recibir una clave de descifrado para los datos de una organización incluso si una copia de esos datos ya estaba disponible en la dark web?

Una alternativa a una política de “siempre pagar” es una política de “nunca pagar”. Tal política puede ser igualmente desafiante de cumplir. Hay ejemplos bien publicitados de víctimas de ransomware que se negaron rotundamente a pagar un rescate bajo cualquier condición.

Tal posición política coloca una enorme fe en la capacidad de una organización para restaurar a un estado de producción funcional en todos los casos; es decir, independientemente de qué datos y sistemas hayan sido cifrados, qué operaciones hayan sido interrumpidas, o qué grado de severidad de impacto experimente la organización, no pagará ninguna cantidad para recuperarse, sino que, en todos los casos, dependerá de sus procesos de copia de seguridad/recuperación/restauración para recuperarse.

Mientras que una política de “nunca pagar” puede alinearse con la cultura de una organización, el dolor inherente causado por lo desconocido en el proceso de recuperación probablemente no puede calcularse de antemano. Por lo tanto, una organización con una política de “nunca pagar” dice que, independientemente de las sorpresas en los procesos de copia de seguridad, independientemente de los fallos en las recuperaciones y restauraciones, independientemente de cualquier eventualidad que no sea el éxito, la organización está dispuesta a aceptar cada resultado potencial.

Una política de “nunca pagar” también asume que una organización está preparada para resistir un tipo diferente de tormenta—potencialmente de su propia creación. Los procesos no siempre funcionan como se espera, la tecnología falla más a menudo de lo que cualquiera de nosotros planea, y las personas bajo estrés a veces cometen errores. Establecer una política de “nunca pagar” significa que una organización está dispuesta a aceptar sorpresas, desvíos y fallos de todo tipo en el camino hacia un estado de recuperación que puede no satisfacer las necesidades de la organización.

Hay términos medios felices, por supuesto, incluyendo políticas que no son ni tan laxas que sean impracticables ni tan estrictas como para restringir consideraciones granulares para “y si”. Una organización puede decidir pagar hasta una cantidad específica, previamente definida, o puede decidir nunca pagar a menos que el impacto potencial, según lo proyectado o calculado, sea más de lo que una organización puede soportar razonablemente.

“Una política de ‘nunca pagar’ también asume que una organización está preparada para resistir un tipo diferente de tormenta—potencialmente de su propia creación.”

El camino crítico para la discusión de la política de ransomware de una organización pasa directamente por la sala de juntas. No hay dos organizaciones iguales, y la política genérica debe ser filtrada al principio de esa discusión. Cada organización debe decidir qué es lo más importante, apreciando que a menudo los imperativos organizacionales entran en conflicto con la cultura organizacional.

Es crucial que cada organización establezca y comprenda su posición sobre el ransomware. Es igualmente crítico que las organizaciones establezcan y comprendan esta posición antes de un ataque, no en el calor del fuego sino antes de que comience la llama.

Recursos Adicionales

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks