Todos recordaremos el ciberataque conocido como WannaCry del pasado 12 de mayo. Con una escala mundial, afectó a más de 150 países, con más de 200.000 víctimas. Fueron días de noticias en portada en medios de comunicación y nervios en muchos directivos que no sabían si su empresa podía verse afectada. Pero fueron de rutina para responsables de seguridad que habían hecho los deberes con anterioridad.
En estos casos, la mejor medicina es siempre la prevención. Mutua Navarra, consciente de la importancia de los datos e información que maneja, decidió hace unos años la puesta en marcha de un Sistema de Gestión de Seguridad de la Información basado en norma UNE ISO/IEC 27001.
Centrándonos en el ejemplo del WannaCry, vamos a ver cómo la norma nos puede ayudar en su prevención. Os recordamos que el ataque cifraba con una contraseña la información almacenada en los ordenadores de la compañía y solicitaba un rescate para recuperarla.

Análisis de riesgos como punto de partida

Una de las mejores herramientas requeridas en la norma para protegernos es un análisis de riesgos, que nos proporciona una visión amplia de todas las amenazas y permite priorizarlas. La tendencia generalizada de aumento de la cibercriminalidad (se ha producido un incremento de este tipo de ataques del 6.000% en 2016 respecto al año anterior según un estudio de IBM) ha ocasionado que Mutua Navarra haya venido dotando importantes recursos para medidas destinadas para su prevención.
El análisis de riesgos no es la única ayuda. El estándar establece más de 100 puntos de control, que cubren todos los aspectos de la empresa (organización, recursos humanos, seguridad física, operaciones, comunicaciones, proveedores, etc.) proporcionando buenas prácticas para poder trabajar de forma segura. Y muchas de ellas nos van a resultar útiles, como vamos a ver a continuación.

La importancia de la copia de seguridad

Una de las principales “medicinas” que nos protegen en caso de infección es tener copias de seguridad que nos permitan recuperar la información que ha sido secuestrada. La norma recoge la necesidad de tener “copias de seguridad de la información, del software y del sistema”.

Una defensa segura

Otro aspecto de vital relevancia es establecer un perímetro de defensa. Un cortafuegos (sistema que analiza todas las comunicaciones que vienen del exterior e impide que pasen aquellas que se considere puedan ser peligrosas), un antivirus, un sistema de filtrado de correos, o un sistema de detección de incidentes (IDS) son herramientas de vital importancia para proteger nuestra organización de cualquier tipo de ciberataque.
Y la norma nos lo recuerda al establecer que “se deben implementar los controles … que sirvan como protección contra el código malicioso…”, así como “los mecanismos de seguridad … de todos los servicios de red…” e “incluir servicios de seguridad de red gestionada, tales como cortafuegos y sistemas de detección de intrusiones”.

Las personas, el eslabón más débil en la cadena de seguridad

Un medio muy común de infección de esta amenaza corresponde a un trabajador despistado que abre un fichero adjunto a un email que “desata la apocalipsis”. Podemos instalar los sistemas de protección mencionados anteriormente, pero por muy sofisticados que sean los ciberdelincuentes tienen muchos recursos y el correo malicioso siempre va a poder llegar a nuestro trabajador, que, en definitiva, constituye el eslabón más débil de la cadena de seguridad.
En este sentido, la norma nos establece la necesidad de que “todos los empleados de la organización … deben recibir una adecuada educación, concienciación y capacitación…”. Sólo mediante jornadas de concienciación en seguridad podremos hacer que el personal esté más atento la próxima vez y no caiga en la trampa.

Actualizaciones y gestión de incidencias

Estos son sólo algunos aspectos recogidos en la norma, pero ésta recoge muchos más, entre los cuales podemos destacar:

• Actualización de sistema operativo y aplicaciones. Para aquellos que no lo sepáis, WannaCry aprovechaba una vulnerabilidad de sistemas Windows que no estaban debidamente actualizados.
• Gestión de incidencias. En caso de que se produzca una infección, debemos tener un procedimiento con instrucciones claras sobre los pasos a realizar. Improvisar, y con nervios, no es una buena opción.

Conclusiones

Trabajar de una manera organizada siguiendo criterios y directrices de seguridad estandarizadas y reconocidas internacionalmente (en base por ejemplo a la norma ISO 27001) va proteger nuestra organización frente a las amenazas a las que nos enfrentamos, incluyendo por supuesto este tipo de ciberataques.
Mutua Navarra es consciente del riesgo informático que existe en la actualidad y que puede afectar a sus activos de información.  Por ese motivo la organización trabaja desde hace años conforme a directrices y protocolos de seguridad. Fruto de este trabajo, obtuvieron la certificación ISO 27001 en diciembre de 2016.