jueves, 20 de julio de 2017

Responsabilidad compartida


Ha sucedido otra vez y sin duda sucederá en el futuro de nuevo. A mediados del pasado mes (Junio) los titulares de primera página anunciaron un nuevo ataque de ransomware llamado “Petya”. Este es un gusano informático que aún sigue causando estragos en varios países.

De acuerdo a los detalles técnicos, el modo de ataque de Petya sigue un modelo estándar. Explota una vulnerabilidad conocida o usa credenciales almacenadas en el equipo contaminado. Este modo de ataque no tiene nada particular o diferente a ataques previos. De hecho, como es bien sabido, Petya explota la misma vulnerabilidad utilizada por Wannacry unas semanas antes.

Y este es el punto importante a considerar. El parche de software que mitiga la vulnerabilidad conocida como “Eternal Blue,” fue publicado por Microsoft el mes de marzo de este año.  Wannacry y Petya explotan una vulnerabilidad para la cual ya había una solución. La criticidad de esta vulnerabilidad es tan alta que la actualización incluyó sistemas operativos que Microsoft no soporta como Windows XP.

En otras palabras,  había suficientes indicios para los profesionales de sistemas acerca de la importancia de esta actualización de software. Sin embargo, tanto Petya como Wannacry causaron estragos a nivel global.

Aunque los creadores de malware ciertamente son los grandes responsables de los daños causados, los administradores de sistemas de las compañías afectadas también comparten algo de esa responsabilidad. Entre la publicación de la actualización de software por parte de Microsoft y el ataque Petya pasaron 3 meses. Tiempo mas que suficiente para instalar los parches de software necesarios.

Las buenas prácticas de administración de sistemas indican que los sistemas de información debe tener una actualización crítica de software horas o pocos días después de su publicación. Sin embargo, el alto impacto de Wannacry y Petya claramente indica que las empresas afectadas fallan en sus procesos de actualización de sistemas operativos y otros paquetes de software.

Es difícil saber la causa general de la demora en actualización de software en las empresas afectadas. Aunque el atribulado gerente/vicepresidente de sistemas tiene un ítem adicional en su larga lista de preocupaciones, la práctica de actualización trimestral simplemente no es apta en el mundo de hoy. Por lo tanto, la administración de riesgo debe considerar este aspecto porque los delincuentes cibernéticos sin duda continuarán explotando este tipo de vulnerabilidades.

La alta gerencia de las empresas modernas deben tener este factor presente y facilitar la tarea de sus equipos técnicos, pero a la vez estos últimos deben educar a sus altos ejecutivos. Como se ha visto, fallar en esta importante responsabilidad puede tener serias consecuencias económicas y financieras.