Es como en la película”El día de la marmota”. Cada 31 de marzo suena la música y en el Día Mundial de la Copia de Seguridad se nos recuerda la promesa:”Juro solemnemente hacer una copia de seguridad de mis documentos y aplicaciones importantes”. Un objetivo noble que todas las empresas y todos los usuarios aceptan de inmediato.
Pero en las semanas cercanas al Día Mundial de la Copia de Seguridad, escuchamos en los medios que las empresas han sido pirateadas y sus datos secuestrados por ransomware. La gran promesa de restaurar los datos de la copia de seguridad y así ser resistente a cualquier intento de chantaje se vuelve a romper.
Los números hablan por sí solos, y el último informe de la industria ENISA sobre el sector del transporte proporciona los hechos.. El año pasado, el ransomware fue la amenaza dominante, representando el 38 por ciento de todos los ataques registrados, con la eliminación de datos en el 30 por ciento y el malware en el 17 por ciento, en segundo y tercer lugar respectivamente. El informe enfatiza claramente que, debido a la guerra entre Rusia y Ucrania, los hacktivistas y los actores apoyados por el estado han llevado a cabo ataques dirigidos contra el sector del transporte en Europa. Evidencia clara de que la motivación se está desplazando hacia”operaciones de interrupción y destrucción”.
Las empresas tampoco deberían mirar solo el ransomware. No siempre tiene que ser un acto hostil lo que hace que la copia de seguridad y el proceso de recuperación ante desastres asociado valga la pena. Cuando una excavadora cortó fibras ópticas importantes durante las obras de construcción en el aeropuerto de Frankfurt a principios de febrero, las operaciones se cambiaron sin problemas a sistemas y líneas redundantes. Sin embargo, al intentar volver al funcionamiento normal, el sistema principal se tambaleó y tuvo que apagarse durante varias horas. Se cancelaron varios miles de vuelos y la reputación de Lufthansa se vio afectada.
La colaboración es clave
¿Por qué a las empresas les cuesta tanto esta tarea? Una de las razones es la complejidad de sus entornos y la creciente dependencia del software y los datos, que se distribuyen cada vez más. Intentaron controlar la expansión y terminaron con docenas de soluciones aisladas de copia de seguridad y recuperación ante desastres. El resultado: algunas aplicaciones se pasan por alto, caen por las grietas y la red de seguridad. En caso de emergencia, los procesos deben ejecutarse manualmente por personas que están muy estresadas. Los errores ocurren y esto aumenta el tiempo de recuperación. Aquí es donde las empresas deben comenzar a modernizarse reemplazando el crecimiento descontrolado con una plataforma central de administración y seguridad de datos, acompañada de un sólido plan de resiliencia operativa digital.
Más allá de la respuesta técnica, es vital que las empresas se aseguren de que sus los equipos de seguridad trabajan más de cerca con los equipos de infraestructura que son los responsables últimos de la recuperación de datos. Ambos equipos deben unirse para contener las consecuencias de un ataque exitoso y, al mismo tiempo, mantener las operaciones centrales. Y deben coordinarse estrechamente para restaurar los sistemas de forma limpia y reforzada, para que no se vean comprometidos nuevamente por el mismo ataque.
Ambos equipos deben estar de acuerdo en estas cuatro cosas:
ITOps y SecOps deben ser copropietarios de los resultados de resiliencia cibernética
Los resultados de resiliencia cibernética deben definirse de manera objetiva y medible, idealmente administrados por un rol combinado de CISO/CIO.
Estos resultados de resiliencia cibernética deben incluir RPO y RTO agresivos que definan objetivos específicos para el objetivo general: los equipos de ITOps y SecOP deben poder restaurar servicios y datos críticos incluso durante un incidente cibernético como un ataque de ransomware y entregue los resultados comerciales.
El RPO y el RTO también guiarán a ambos equipos sobre qué controles y KPI se requieren para brindar la postura de seguridad deseada. Estos formarán parte de su plan de resiliencia operativa digital, que es una etapa más allá de los enfoques DR/BCP adoptados por muchas empresas en la actualidad.
2. Planificación conjunta de ITOps/SecOps alineada con objetivos de postura de seguridad
Una vez que ambos equipos, SecOps e ITOps, hayan acordado los objetivos comunes, pueden iniciar una discusión basada en hechos sobre cómo equilibrar las inversiones en controles de protección y controles que minimicen el impacto si se infringen. Al seguir este enfoque, esta conversación presupuestaria conjunta se mantiene alineada con la postura de seguridad y define las prioridades correctas para lograr la resiliencia operativa digital.
3. Comprensión integral entre los equipos de ITOps/SecOps de la superficie de ataque
Ambos equipos deben compartir la misma comprensión de la superficie de ataque potencial.
Para obtener estos conocimientos , ambos equipos necesitan saber qué datos está almacenando la organización y dónde se encuentra todo (local, nube privada, nube pública/múltiple)
Ambos equipos también deben tener la misma comprensión del nivel de madurez que tiene su organización con la visibilidad de los datos. Esto les permitirá comprender mejor el riesgo potencial de ciberataques y pérdida de datos.
4. Coordinación entre ITOps/SecOps con respuesta a incidentes
Finalmente, los equipos de ITops y SecOps necesitan aumentar la colaboración para interactuar mejor durante la respuesta a un incidente. Para lograr esto, los equipos de ITOP deben estar vinculados al proceso de respuesta a incidentes. Para evaluar la calidad de su interacción, así como para identificar posibles problemas, ambos equipos deben realizar simulacros y simulacros regulares como ejercicios de mesa, incluida la recuperación probada a través de salas limpias para demostrar el RTO, que a menudo es diferente a sus tiempos tradicionales de BCP.
Crédito de la imagen: Wayne Williams
Brian Spanswick es director de seguridad de la información en Cohesity.