Su organización ha sido golpeada con un catastrófico ataque en la modalidad secuestro informático. La mayoría de los sistemas digitales críticos que necesita su negocio para funcionar, desde el nivel más básico, están offiline. Su CEO ha recibido una nota de rescate demandando dinero. Si el pago no es enviado, el ataque continuará indefinidamente y la compañía puede que nunca vuelva a recobrar el acceso a la mayoría de los datos que fueron comprometidos.
El Presidente de la Junta de Administración llama a una reunión de emergencia.
“Señor Presidente de la Junta, tengo una moción para instruir al CFO a transferir $3.4 millones de dólares a Bitcoin para facilitar el pago de un rescate a un criminal o una organización criminal desconocida que ha tomado el control de nuestros sistemas críticos y ha lisiado completamente nuestra habilidad de funcionar. No hay ninguna garantía que el pago del rescate nos permita revertir el daño causado”.
¿Alguien querría secundar esta moción?
Yo ciertamente no lo haría.
Lejos de ser ficción
¿Piensa usted que esta situación es completamente ficticia?, considere esto: En 2016, el Centro Médico Presbiteriano de Hollywood en Los Ángeles fue atacado con un malware que literalmente apagó el acceso de toda la institución al correo, expediente clínico electrónico y algunos dispositivos de grado médico que estaban conectados a Internet, durante casi dos semanas. Fue de dominio público que los cibercriminales demandaban originalmente $3.4 millones de dólares; el hospital eventualmente pagó 40 Bitcoins (aproximadamente USD $16,900.00) para recobrar sus sistemas.
Analicemos paso por paso, a los que esta Junta de accionistas ficticia se tendría que enfrentar en una situación así:
- Una catastrófica intrusión acaba de ocurrir en la organización, quedando totalmente lisiada. Las emociones van y vienen, bordean en el pánico y nadie tiene una remota idea o contexto que pueda ser aplicado para comprender la situación, mucho menos para proporcionar una orientación estratégica y un buen gobierno. Esta es la peor situación para tomar una decisión crítica sin ningún tipo de plan en su lugar que sirva como guía en el proceso.
- ¿Es posible transferir $3.4 millones de dólares a Bitcoin?, ¿cuáles son los riesgos asociados con hacerlo?, ¿la organización tiene tal cantidad de dinero disponible, por lo que debe pagar el rescate?, ¿qué efectos tendrá a largo plazo el perder estos fondos y la decisión de pagar el rescate?, ¿dañará la confianza frente a los clientes?, ¿afectará la confianza en Wall Street?, ¿llegarán las demandas?
- ¿Es legal pagar un rescate de este tipo?
- ¿Cómo se puede tener la certeza que las personas que demandan el rescate, son las personas que orquestaron dicho ataque?
- ¿Qué pasará si la organización paga el rescate y los atacantes no sólo no arreglan el daño, sino que piden más dinero?
¿Cómo podría esta junta, CEO y CFO ficticios desenmarañar todo esto y tomar buenas decisiones bajo el golpeteo mediático de algo así?, la respuesta es no pueden y no lo harán – Y aun cuando la moción para pagarles a los cibercrimanales fuera aprobada, ¿cómo exactamente el CEO y el CFO actuarían bajo la directiva de la Junta?
De peor a mejor
Mientras no hay ninguna forma en que ninguna organización pueda prepararse para un ataque informático de este tipo, el hecho es que el peor momento para reaccionar ante un ataque informático es justo después de que se haya suscitado.
Sabiendo esto, no se puede preparar contra cada escenario de un ataque cibernético sofisticado y cada plan que usted desarrolle, no servirá en un escenario real. Sin embargo, hay un número de acciones que puede preparar para que en caso de que algo así ocurra, el daño a su organización sea el mínimo. Para empezar, puede desarrollar un plan de incidencias HOY, mientras tiene tiempo para racionalizarlo y probarlo.
Algunas recomendaciones a considerar para desarrollar su plan:
- Entrene empleados.- Cuando un empleado descubre una intrusión, ¿qué es lo que tienen que hacer y a quien dar aviso?, recuerde, no todas las intrusiones son tan dramáticas como el ejemplo anterior y podrían ser ignoradas o pasen desapercibidas. Los empleados deben ser entrenados para reconocer si algo malo ocurre y después saber qué dirección tomar y a quien dar dicho aviso. Esto debe asegurar que nadie le “disparará al mensajero de malas noticias” y que reportar un incidente no tendrá repercusiones en materia laboral, por el contrario.
- Integrar un equipo especializado de respuesta inmediata.- Cuando una intrusión a sus sistemas sea descubierta, este equipo debe estar listo para tomar acción inmediata para la implementación de acciones específicas y bien, una acción coordinada. Un equipo de respuesta debe incluir representantes de cada unidad de negocio dentro de la organización, no sólo al departamento de tecnologías de la información. Considere incluir a su equipo de relaciones públicas, recursos humanos, gerencia de instalaciones y representantes de otros departamentos. Y recuerde que la Junta de administración deberá asistirlos en la coordinación e implementación de una solución.
- Prepare una guía en caso de un ciberataque.- Tener un plan de notificación y establecer relaciones y directrices antes de que se produzca una violación. Esto debería incluir contactos de la policía. ¿A quién deben llamar los empleados exactamente? ¿Qué información necesitan los encuestados? Estas son discusiones que tienen que ocurrir por adelantado y estar bien documentadas. Un buen ejemplo de por qué esto es crítico, ya que mientras los empleados están respondiendo a los indecentes y tratando de recuperar los archivos, pueden destruir inadvertidamente pruebas que la aplicación de la ley necesita para capturar y condenar al atacante. ¿Cómo pueden los equipos mitigar mejor el problema inmediato sin inhibir una futura investigación criminal?
- Enlistar servicios de mitigación de incidentes antes de un ataque.- El mejor momento para negociar tarifas competitivas con proveedores de terceros que proporcionan servicios de mitigación de incidentes de seguridad cibernética no es mientras la información de la empresa está en manos de un cibercriminal que pide rescate por ella. Se necesita tiempo para desarrollar estas relaciones y poner en práctica acuerdos legales y procesos de adquisición relacionados con estos servicios. Después de que una organización haya sido hackeada no es el mejor momento para ejecutar un RFP.
- Ejecutar pruebas de rutina.- El entrenamiento de preparación y la ejecución de escenarios de práctica con el equipo de respuesta a incidentes ayudarán a identificar las brechas en los planes y la postura general de seguridad de una organización. Esto debe incluir a todos los niveles de la organización, hasta la junta directiva.
De acuerdo con datos publicados por IBM Security, el Buró Federal de Investigaciones de Estados Unidos (FBI) indica a las organizaciones no pagar a los hackers que han secuestrado su información, sin embargo, 70% de los negocios en Estados Unidos que han sido víctimas de ransomware, terminan pagando lo que les demandan. El ransomware es una amenaza tan temida por organizaciones en Estados Unidos, que muchos negocios optan por tener un monto de bitcoins para una emergencia.
Aunque no podemos prepararnos para todas y cada una de las amenazas potenciales, tener un plan en su lugar y probar rutinariamente ese plan con nuevos escenarios antes de que ocurra lo peor, es su mejor oportunidad para evitar o mitigar un ataque cibernético devastador.
– Kevin Magee, Director Regional de Ventas de Gigamon en Canadá