jueves, 30 de marzo de 2017

Análisis de riesgo y Ransomware V. Condiciones iniciales


Antes de iniciar el análisis como tal, un ejercicio “table top” ayudará a identificar las condiciones iniciales. Las condiciones iniciales son importantes y su inclusión o no puede conllevar a resultados completamente diferentes. Y en este caso el análisis puede ofrecer recomendaciones no adecuadas.

Errores de juicio en las reales condiciones de acceso a datos pueden dar como resultado análisis erróneos o complacientes. Desafortunadamente, en mi experiencia la complacencia es una situación común.

Un análisis de riesgo de este tipo puede ser complicado especialmente si la organización no ha identificado previamente que usuarios tienen acceso a que tipo de información. Esto puede parecer ilógico, pero la identificación de flujo de información toma tiempo, meses en algunos casos.

A pesar de la aparente complejidad, el practicante de seguridad informática no debe asustarse ante la inmensidad del trabajo a realizar. La delimitación de condiciones iniciales tales como el tipo de acceso de diferentes usuarios e identificación de datos importantes permitirán llevar a cabo un buen análisis de riesgo. La ventaja de un análisis de alcance limitado es que es más rápido y no consume mucho tiempo del personal involucrado. La desventaja es asumir que es las recomendaciones son válidas para todos las situaciones. Pero, si las limitaciones del análisis son conocidas de antemano, es posible extrapolar las recomendaciones y aplicarlas a escenarios más complejos.  

Aunque este articulo solo provee un vistazo de los factores que un análisis de riesgo debe considerar, si enfatiza la necesidad de identificar correctamente las condiciones de la organización. En la próxima entrega describiré un error común en los análisis de riesgo.

jueves, 16 de marzo de 2017

Análisis de riesgo y Ransomware. Como medir el impacto II


Para minimizar el impacto en la operación diaria, la organización tratará a todo costo recuperar la información que necesita. Decisiones tomadas previamente empiezan a tener un impacto en este momento.  Como expliqué anteriormente, una decisión de pago por rescate de datos será solo el inicio de pagos posteriores.

Independiente de la decisión de alta gerencia, los ingenieros y técnicos tratarán de identificar, limpiar y recuperar cualquier sistema contaminado. El análisis de riesgo debe incluir los costos en horas hombre relacionados en la recuperación de un sistema, incluyendo un simple portátil. En algunos casos, será necesario contratar personal especializado. Estos son costos adicionales también deben ser parte del análisis.

En ambientes altamente competitivos como el mercado de grandes superficies, una demora o congelamiento de la operación puede ser mortal. Si cientos de clientes no pueden comprar o acceder a un servicio es claro que la reputación de la organización tendrá un impacto negativo. Desafortunadamente, medir el impacto en reputación no es fácil y pocas organizaciones tienen una medida del valor de su reputación.

En conclusión aunque no es posible tener una medida fiel de los posibles costos de un ataque de Ransomware, la práctica permite tener una buena idea del impacto a la operación y los datos de la organización. Una aproximación cualitativa con algunos datos financieros ciertamente crearan conciencia en la alta gerencia y facilitarán la implementación de medidas defensivas.

jueves, 2 de marzo de 2017

Análisis de riesgo y Ransomware. Como medir el impacto I.


La anterior entrega de esta serie termina con una lista de consecuencias de alto impacto que cualquier organización sufrirá en un ataque de Ransomware. Desafortunadamente,  la víctima probablemente sufra todas al mismo tiempo.

Cuando una organización es presa de una ataque ransomware, la primera consecuencia es la falta de acceso a la información que el ransomware ha contaminado. Algunas veces los datos contaminados serán inaccesibles de manera permanente.

Dependiendo de la criticidad de los datos afectados, la organización podría o no operar de manera regular; o peor aun la operación se puede detener completamente. Si el caso es este ultimo es fácil medir el impacto financiero.

Este último dato es importante porque permite al analista de riesgo tener un análisis cuantitativo con valores aproximados. Nada abre mas los ojos de los ejecutivos que una presentación con datos concretos y el impacto financiero de un ataque de este tipo.

Por fortuna, muchas organizaciones conocen las pérdidas financieras incurridas en caso de que la operación se detenga. En algunos casos existe datos detallados de pérdidas por hora. Incluir datos financieros concretos en el análisis facilitará al oficial de seguridad informática proveer información de fácil digestión para ejecutivos de mercadeo o finanzas.

Dada la forma de operar de ransomware, la organización víctima verá su operación afectada de una manera u otra. Entonces, el análisis puede indicar el impacto máximo en un marco determinado de tiempo. Es decir, el reporte del análisis señalaría un valor de pérdidas dado en dólares (o la moneda local) por hora, día o cualquier otro referente temporal.

El impacto a la organización es función del equipo y personal afectado por ransomware. Las perdidas financieras diferirán notablemente si el afectado es una recepcionista o un analista financiero con acceso a documentos en servidores de archivo. Por lo tanto, el análisis deberá incluir los diferentes tipos de personal que accede a datos dentro de la organización