El tema de los ataques de Ransomware y otros tipos de software malicioso (malware) sigue siendo el “pan de cada día”. Los ataques continúan a nivel mundial, Latinoamérica no es la excepción. El gobierno costarricense es un triste ejemplo de esto, al igual que entidades prestadoras de servicios de salud en Colombia.
Pero bueno, ¿la empresa que ha sido atacada que hace? Hablemos un poco de lecciones aprendidas
Generalmente las empresas tienen plan de recuperación de desastres (Disaster Recovery Plan – DRP), que debe hacer parte del plan de continuidad del negocio. Este DRP es implementado por el área de TI para cuando hay fallas, generalmente a nivel de infraestructura, y la prestación de servicios de TI se ve afectada. Todo lo anterior enfocado a la gestión operativa. El análisis de riesgos es un componente fundamental del plan de continuidad del negocio, pero casi nunca se incluyen los ataques cibernéticos dentro de este análisis. Afortunadamente los entes de control, llámense en nuestros países superintendencias, ya están obligando a sus vigilados a considerar los riesgos cibernéticos dentro del ciclo de riesgo y los planes de continuidad del negocio. Pero ¿qué pasa con las empresas que no son vigiladas por estos entes? Generalmente queda a liberalidad de la gerencia o le cargan la responsabilidad a TI, área que muchas veces, por su conocimiento, queda con la responsabilidad de implementar el plan de continuidad del negocio, olvidando que este es un plan de “negocio” no de TI y que debería ser liderado por un área de la organización diferente a TI.
Otro elemento fundamental a considerar, en caso de un ataque cibernético, son las copias de respaldo las cuales, generalmente, se toman periódicamente. Como diría alguien: “tomar una copia diaria”. Pero ¿las copias se deben hacer diariamente? ¿No deberíamos considerar el BIA (Business Impact Analysis) para determinar la periodicidad con la cual se hace un backup? Si hacemos la copia de respaldo cada 24 horas significa que podemos sobrevivir 24 horas sin informacion, ¿será esto cierto? Adicionalmente, ¿dónde se guardan estas copias? ¿En el mismo servidor donde está la información original que ha sido copiada? ¿En otro servidor conectado al principal?, ¿en la nube? ¿En cartucho o cinta? La copia debe estar en un medio y ambiente que no facilite su contaminación en caso del ataque.
Ingeniero de Sistemas, Especialista en Auditoría de Sistemas, con certificaciones CISA, CISM, CSXF y CRISC; CoBiT 5 Certified Assessor y entrenador CobiT 2019. Con más de 25 años de experiencia en importantes empresas nacionales y multinacionales en las áreas de seguridad de la información y ciberseguridad, riesgos y auditoría de sistemas. Evaluador, diseñador e implementador de Gobierno de TI. Experiencia Docente y conferencista internacional. Fue Vicepresidente Internacional de ISACA y del ITGI (IT Governance Institute), miembro del IT Governance Committee de ISACA. Premio John Kuyers Best Speaker / Conference Contributor Award de ISACA.
Debe estar conectado para enviar un comentario.