Análisis de riesgo y Ransomware II. Impacto

En mi anterior entrega decía que el análisis de riesgo es una importante herramienta para hacer frente al ransomware. El análisis es importante porque permite dilucidar las falencias en defensa, y por fortuna, como enfrentarlas.

El análisis debe identificar las vulnerabilidades presentes que la amenaza de ransomware puede explotar y el impacto en las actividades de la organización. En muchos casos es posible tener una análisis cuantitativo que mida el máximo impacto financiero de un ataque de ransomware. Para un análisis adecuado es entonces necesario identificar las consecuencias de mayor impacto.

Las posibles consecuencias negativas de una ataque de este tipo son variadas e incluyen como mínimo  las siguientes:

• Pérdida temporal o permanente de información propietaria o crítica

• Interrupción de la operación de la organización

• Pérdidas financieras incurridas en la recuperación de archivos y sistemas de información

• Daño potencial a la reputación de la organización

 

 

Análisis de riesgo y Ransomware

Ante el auge del Ransomware, algunos se preguntaran como puede enfrentarse esta plaga. Hay algunas buenas prácticas que mencioné anteriormente, pero la mejor defensa es identificar el posible daño y como afectaría a la organización.

Un proceso de gran utilidad en la identificación de impactos y vulnerabilidades de un ataque digital es el  análisis de riesgo. En su definición mas general, riesgo es producto de la explotación de una vulnerabilidad por un agente externo o interno. El impacto de un riesgo en particular dependerá de la criticidad del sistema afectado.

A pesar de que solo organizaciones con prácticas de seguridad informática maduras practican análisis de riesgo de manera continua, cualquier tipo de organización puede obtener beneficios de este análisis.

Una ventaja del análisis es permitir a la organización proceder de manera sistemática en la identificación de vulnerabilidades y riesgos que impacten de manera negativa a la organización. Adicionalmente, la práctica formal minimiza los errores de juicio que son comunes cuando no existe un análisis ponderado de una situación dada.

La identificación de diferentes factores de un riesgo determinado puede conllevar algún tiempo. Identificar el primer factor, el agente externo o interno en el análisis de riesgo de ransomware es posiblemente el menos complicado. En algunos pocos casos, digamos entidades militares, será importante diferenciar entre un agente extranjero o nacional. Pero en la mayoría de casos basta saber que existen organizaciones delictivas dedicadas a la extorsión digital. Estos serán los agentes, o amenazas, que explotarían una vulnerabilidad existente.

Identificar vulnerabilidades puede ser bastante mas complicado. En el caso de ransomware los tradicionales escáneres de vulnerabilidades son de poca utilidad. Antivirus y otros agentes de defensa en los equipos tampoco sirven mucho. Equipos proxies  y software de seguridad ATP (Advanced Threat Protection) tienen mayor éxito contra sitios web contaminados, pero aun así existen muchos sitios contaminados sin reportar.

Ransomware no explota una vulnerabilidad especifica de un sistema operativo o programa sino que toma ventaja de los datos a los que tenga acceso un usuario.

Desafortunadamente un error común es asumir que solo los datos locales son afectados. Ransomware puede bloquear datos que residan tanto en un equipo local o en la red empresarial.

Solo el adecuado conocimiento del tipo de acceso de datos que diferentes usuarios poseen permite un adecuado análisis. Por esa razón, en el análisis deberá participar personal de diferentes departamentos o áreas. Análisis realizados al interior de un departamento de sistemas sin la participación de otras áreas será insuficiente, y peor genera el común sentido de complacencia de muchos jefes de sistemas e incluso de auditoría.