Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

14/10/2013

Seguretat en empreses: Quin és el cost real dels ciberatacs i el malware?

En no poques ocasions ens hem referit en este blog a ciberatacs i amenaces que tenen clarament com a objectius empreses, independentment de la dimensió que tinguen. Un dels més actius últimament, si atenem el nombre de casos que ens arriben diàriament al nostre departament de suport tècnic, és el ransomware, que afecta tant estacions de treball com servidors Windows. Però: és esta una mostra representativa de les amenaces a què estan exposades les nostres empreses?

Amenaces i ciberatacs

Primer, cal distingir entre els danys causats per una amenaça informàtica i per un ciberatac. A primera vista, pot paréixer que parlem de dos coses iguals, però hi ha diferències. Quan parlem d’amenaces informàtiques, normalment ens referim a tot tipus de programari maliciós que busca infectar el nombre més gran de sistemes, sense diferenciar entre ordinadors d’usuaris particulars i d’empreses. En estos casos, es busca el benefici immediat per part del ciberdelinqüent i no es discrimina entre les dades obtingudes si la finalitat del programari maliciós és el robatori d’informació.

A banda, tenim els ciberatacs, que solen tindre un objectiu més definit i inclús buscar informació molt concreta o atacar només un sector o país en especial. Al contrari del que molta gent pensa, la majoria d’estos ciberatacs fan ús de tècniques conegudes (enviament de fitxers adjunts o d'enllaços maliciosos) i moltes vegades s’aprofiten de vulnerabilitats conegudes el pegat de seguretat de les quals no ha aplicat la víctima.

Açò no vol dir que no hi haja atacs dirigits més elaborats que utilitzen exploits per a aprofitar-se de vulnerabilitats per a les quals encara no hi ha solució, però estes amenaces no són les predominants. Quan es descobrixen atacs d’este tipus, se sol armar prou revolada i les companyies de seguretat ens dediquem a analitzar-los a fons i a esbrinar com funcionen o quin tipus de tècniques utilitzen, però, com ja hem dit, són només una xicoteta part de les amenaces que es donen.

Cost d’un incident

Una vegada feta esta distinció, passem ara a analitzar el cost que té per a una empresa un incident de seguretat en els sistemes o la xarxa propis. Contínuament ixen estudis que parlen dels elevats costos que suposen estos incidents per a les empreses de tot el món. Com de veraces són estes dades? Perquè, com moltes altres coses, depén de diversos factors, com ara la grandària de l’empresa, la importància de la informació que haja pogut resultar compromesa, l’abast que haja tingut l’atac o la infecció dins de l’empresa i inclús la situació geogràfica de l’empresa.

Si bé és cert que moltes de les quantitats publicades solen tirar per damunt i no són totalment representatives a escala mundial, ja que només tenen en compte un cert nombre d’empreses ubicades en un grapat de països, cal no prendre's a la lleugera estes xifres i, encara que moltes vegades no siguen totalment encertades, sí que mostren un augment constant en el nombre d’amenaces i ciberatacs que tenen en el punt de mira empreses de tot el món, siguen de la grandària que siguen.

Una vegada hem patit una infecció en la nostra xarxa corporativa o s’ha vist compromesa informació privada de l’empresa, és l’hora de posar en pràctica el pla de recuperació davant d’este tipus d’incidents. No són pocs els usuaris espantats que ens criden preocupats perquè el servidor on emmagatzemen tota la informació de l’empresa està afectat per un ransomware i els demanen un rescat elevat si volen tindre accés de nou a la informació. Açò tindria una fàcil solució si tinguérem una còpia de seguretat actualitzada dels dades emmagatzemades en l’ordinador afectat, però inclús una norma de seguretat tan bàsica no es complix moltes vegades.

Solucions

Molt millor que tractar de recuperar-se d’un incident d’este tipus és previndre. Per a això, cal seguir una sèrie de punts clau que ens ajudaran a millorar la seguretat de la nostra empresa:

• Controlar els nostres actius, possibles riscos i els recursos disponibles: moltes vegades desconeixem la quantitat de sistemes que manegem en l'empresa i açò suposa un risc potencial per a la seguretat. Si cataloguem tots els nostres sistemes, podrem controlar-los i mantindre'ls segurs, evitant així que algú s’aprofite d’una vulnerabilitat en una màquina de la qual no coneixem l'existència i aconseguisca accedir a la xarxa corporativa. De la mateixa manera, hem d’assegurar-nos que es complisquen una sèrie de procediments que eviten riscos innecessaris. Tasques tan bàsiques com ara mantindre al dia una política d’actualitzacions de seguretat en tots els sistemes són moltes vegades oblidades i suposen un dels vectors d’entrada de moltes amenaces. És important també controlar les connexions entrants i ixents, definint molt bé qui podrà accedir als recursos de l’empresa des de l’exterior i com.

• Definix els teus procediments: per a controlar el punt anterior, s’han de definir una sèrie de procediments o polítiques que ens ajuden a catalogar i manejar els nostres actius i recursos. Un exemple clàssic és el control d’accés a la informació per part dels empleats. Moltes empreses solen definir diferents nivells d’accés i controls perquè segons quin tipus d’informació no siga accessible des de l’exterior. És important recordar que el control de la informació no és una cosa opcional, siga quina siga la grandària de la nostra empresa; no sols pels controls que ens impose la legislació, sinó també perquè, a l’hora de tancar acords o contractes, estos aspectes són també molt importants i no és estrany veure que ens demanen complir estos requisits.

• Posar en marxa controls per a assegurar el compliment de les polítiques: hem d’assegurar-nos de l’aplicació de les polítiques indicades en el punt anterior per mitjà d’una sèrie de controls. Si, com hem dit, volem controlar l’accés a la informació per part dels empleats, haurem d’aplicar un mecanisme d’autenticació que ens permeta verificar la identitat dels empleats autoritzats. Estos controls han de provar-se a consciència per a assegurar-nos que no ens deixem res per revisar. A més, s’han d’anar renovant constantment, a mesura que vegem que s’incrementen o canvien els actius i sistemes que cal controlar.

• Educar tot el personal de l’empresa: encara que no ho parega, esta és la tasca més complicada. Totes les persones que usen els recursos de l’empresa o que tinguen accés a la seua informació han d’estar informades de les polítiques i els procediments que s’apliquen i de com han de reaccionar en un incident de seguretat, per a comunicar-lo a través dels canals adequats. Açò implica des dels empleats en proves fins a la direcció de l’empresa i cobrix l’ús de tots els dispositius que emmagatzema o disposen d’accés a informació privada, incloent-hi estacions de treball, servidors, portàtils, mòbils, tauletes, discos extraïbles, etc.

• Auditories, proves i més proves: una vegada aplicat tot açò és molt recomanable que una empresa externa especialitzada ens audite les polítiques i els procediments aplicats per a revisar que s’adeqüen a les nostres necessitats i a la legislació. Actualment, hi ha moltes empreses capacitades per a fer esta tasca, però hem de tindre en compte que una bona auditoria té els seus costos en diners i temps, i que se n’han de fer periòdicament. No servix de res fer una auditoria quan acabem de posar en funcionament les nostres polítiques si, al cap d’un temps, no es revisa que es complisquen totes les polítiques i apareixen nous problemes.

Conclusions

Com veiem, hi ha molt de treball per fer en una empresa si volem assegurar-nos que tenim la nostra informació fora de perill. No tot consistix a aplicar solucions de seguretat, sinó que s'han de complementar amb una sèrie de polítiques i bones pràctiques. Hi ha, a més, una sèrie de normes i estàndards que es poden seguir per a dur a terme tots estos controls, de les quals destaquem les de la família ISO 27000 (27001 i 27002) per l'àmplia difusió que tenen i perquè són considerades un estàndard de facto en la indústria.

Així doncs, responent la pregunta que plantegem en el títol d’este article, el cost d’un ciberatac o de patir una infecció en la nostra xarxa corporativa és molt difícil de determinar perquè hi intervenen molts factors. Hem vist que es poden implementar una sèrie de polítiques que ens ajudaran molt a evitar este tipus d’incidents i que esta implementació també té un cost.

Si bé un incident aïllat pot paréixer poc costós en principi, hem de tindre en compte que les empreses que no es protegisquen estaran exposades a este tipus d’atacs constantment i que els costos s’aniran incrementant, i arribaran inclús a provocar el tancament si la informació robada és prou important per a posar en dubte la confiança que tenen depositada en nosaltres els nostres clients.

És per això que recomanem començar a aplicar esta sèrie de normes com més prompte millor, ja que val més curar-se en salut.

CSIRT-CV