WannaCry y la Gestión de la Seguridad

Por Víctor Parrado López – Consultor de Sistemas de Gestión de Audisec.

Han sido muchos los artículos y opiniones vertidas a raíz del Ciberataque, unas con más fundamentos que otros, que se produjo el pasado viernes 12 de mayo. Para los que no hayan leído ninguna referencia, en definitiva fue un ataque que se produjo explotando una vulnerabilidad publicada en Marzo de 2017 (MS17-010). Básicamente, WannaCrypt, aprovecha una vulnerabilidad en el protocolo SMB, utilizado para compartir archivos, impresoras, etc. entre nodos de una red de equipos que utilizan el sistema operativo Microsoft Windows.  Probablemente este ataque ha sido posible por la apertura de archivos maliciosos introducidos a través de una campaña de Phising masiva y la capacidad de propagación del Malware.

Parece ser que a pesar del impacto en la imagen sufrido por muchas empresas que se han visto involucradas (unos 160 países y más de 209.000 máquinas en el momento de escribir este artículo), no muchas de ellas han recurrido al pago de la extorsión.  En el momento actual ha recaudado apenas unos 30.000 € a través de sus tres monederos virtuales en Bitcoins que se pueden consultar aquí: Monedero 1, Monedero 2 y Monedero 3.

Lo que este incidente nos deja entrever es la importancia de la gestión del error humano, la gestión de las vulnerabilidades técnicas, gestión de los riesgos actualizadas, alineación con las estrategias de continuidad y un largo etcétera que en conjunto pueden influir positiva o negativamente en el impacto ante situaciones como esta.

La implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO 27001 posibilita la gestión centralizada de las anteriores cuestiones además de otras muchas, como por ejemplo una gestión de riesgos actualizada que permita establecer un plan de tratamientos que proponga medidas preventivas ante este tipo de ataques, junto con los roles y responsabilidades asociadas o la gestión de la formación que impida o reduzca el impacto de estos ataques en las organizaciones. No quiere decir que tener implantada ISO 27001 nos vaya a librar de un ataque o de sus consecuencias, pero sí que nos dará los mecanismos de gestión para poder competir en mejores condiciones contra los atacantes. A partir de ahí, hay un sinfín de controles técnicos que deben estar implantados y gestionados, siendo esa la gran ventaja de articular la seguridad de nuestra información a través de dicha norma: la gestión de la seguridad frente a la implantación de medidas aisladas.

Por otra parte, la forma en la que algunas de las empresas implicadas han tratado el incidente denota una buena gestión de la crisis, seguramente siguiendo estándares aceptados por la industria (ISO 22301, ISO 22320, ISO 27031, etc.).

De la misma manera la comunicación jugó un papel muy importante a la hora de activar un plan de contingencia (algunas de las empresas comunicaron la necesidad de apagar los equipos a todos los empleados en el momento de detectar el ataque). Asimismo los organismos oficiales (INCIBE, CERT, …) informaron desde el primer momento de la mejor manera de proceder. Sin embargo, hay que recordar la obligación de comunicar este tipo de incidentes cuando entre en vigor el Reglamento General de Protección de Datos (hasta la fecha nuestra  LOPD) y se identifiquen los operadores de servicios esenciales de la Directiva de Ciberseguridad, lo que supondrá una mejora notable en la comunicación de los incidentes y por ende una mejor gestión de los mismos.

[cl-review quote=»Varios expertos en seguridad afirman que este tipo de ataques tienen una alta probabilidad de repetirse, por lo que estar preparados es una obligación. » author=»» occupation=»»]

Este tipo de ataques tienen una alta probabilidad de repetirse, por lo que estar preparados es una obligación. Imaginar este impacto en las infraestructuras críticas es preocupante, por lo que se aconseja la implantación de sistemas de gestión con un sistema de mejora continua de la seguridad, la continuidad y ciberseguridad, así como cualquier estándar que permita paliar los efectos de un incidente de este tipo.

En las grandes organizaciones no es tarea fácil llevar a cabo la gestión de este tipo de sistemas. La obsolescencia documental, falta de comunicación de procedimientos y protocolos, información desactualizada de registros, falta de trazabilidad entre incidentes y componentes del servicio, etc. dificultan la labor. Es por eso que desde Audisec proponemos la implantación de GlobalSUITE® que permite gestionar estas cuestiones de una manera integrada, facilitando la comunicación, gestión de los riesgos, así como la gestión de incidentes y la comunicación interna y externa de éstos.

La seguridad, la continuidad de negocio, la gestión de crisis, etc. requieren de gestión. Si además le damos un enfoque integrado conseguiremos optimizar el proceso y ser más eficaces. Pero no todas las organizaciones lo hacen así… ¿o acaso no se han visto diferencias entre cómo han gestionado unas empresas y otras el ciberataque?