Compartir a través de


Lista de comprobación de RaMP: preparación para la recuperación de ransomware

Esta lista de comprobación del Plan de modernización rápida (RaMP) le ayuda a preparar su organización para que tenga una alternativa viable a pagar el rescate solicitado por los atacantes ransomware. Aunque los atacantes que controlan su organización tengan varias maneras de presionarle para que pague, las exigencias se centran principalmente en dos categorías:

  • Pagar para recuperar el acceso

    Los atacantes exigen el pago bajo la amenaza de que no dejarle acceder de nuevo a los sistemas y datos. Esto se suele hacer mediante el cifrado de los sistemas y datos y la exigencia de un pago por la clave de descifrado.

    Importante

    Pagar el rescate no es una solución tan sencilla y limpia como pueda parecer. Al estar tratando con delincuentes cuya única motivación es económica (y que a menudo son relativamente unos aficionados que utilizan un kit de herramientas proporcionado por otros), no está muy claro cómo va a funcionar realmente el pago del rescate. No hay ninguna garantía legal de que vayan a proporcionar una clave que descifre el 100 % de los sistemas y datos o incluso de que proporcionen una clave. El proceso para descifrar estos sistemas utiliza herramientas caseras de atacantes, de un modo que a menudo resulta manual y torpe.

  • Pagar para evitar la divulgación

    Los atacantes exigen el pago a cambio de no divulgar datos confidenciales o embarazosos en la web oscura (otros delincuentes) o al público en general.

Para evitar ser forzados al pago (la situación rentable para los atacantes), la acción más inmediata y eficaz que puede realizar es asegurarse de que su organización puede restaurar toda su empresa desde un almacenamiento inmutable que aún no ha sido infectado o cifrado por un ataque de ransomware, que ni el atacante ni usted puede modificar.

La identificación de los recursos más confidenciales y su protección con un mayor nivel de garantía también resultan fundamentales, pero es un proceso más largo y difícil de ejecutar. No queremos que mantenga otras áreas, pero recomendamos comenzar el proceso reuniendo a las partes interesadas de la empresa, de TI y de seguridad para que se planteen y respondan a preguntas como:

  • ¿Qué recursos empresariales serían los más perjudiciales si se ponen en peligro? Por ejemplo, ¿por qué recursos estarían los directivos empresariales dispuestos a pagar una exigencia de extorsión si los atacantes los controlaran?
  • ¿Cómo se convierten estos recursos empresariales en recursos de TI, como archivos, aplicaciones, bases de datos y servidores?
  • ¿Cómo puede proteger o aislar estos recursos para que los atacantes con acceso al entorno de TI general no puedan acceder a ellos?

Copias de seguridad seguras

Debe asegurarse de que se haga una copia de seguridad de los sistemas críticos y sus datos y de que las copias de seguridad sean inalterables para protegerlas contra el borrado o el cifrado deliberados por parte de un atacante. Las copias de seguridad no deben haber sido infectadas o cifradas por un ataque de ransomware, de lo contrario, está restaurando un conjunto de archivos que podrían contener puntos de entrada para que los atacantes se aprovechen después de la recuperación.

Los ataques a copias de seguridad se centran en paralizar la capacidad de la organización para responder sin pagar, dirigidos con frecuencia a las copias de seguridad y a la documentación clave necesaria para la recuperación y para obligarle a pagar las exigencias de extorsión.

La mayoría de las organizaciones no protegen los procedimientos de copia de seguridad y restauración frente a este nivel de objetivo intencionado.

Nota:

Esta preparación también mejora la resiliencia ante desastres naturales y ataques rápidos como WannaCry y (Not)Petya.

Copia de seguridad y restauración del plan de protección contra el ransomware afronta lo que hay que hacer antes de los ataques para proteger los sistemas empresariales críticos y durante los ataques para garantizar una rápida recuperación de las operaciones empresariales mediante el uso de Azure Backup y otros servicios en la nube de Microsoft. Si usa una solución de copia de seguridad fuera del sitio proporcionada por un tercero, consulte su documentación.

Responsabilidades de los miembros del programa y del proyecto

En esta tabla se describe la protección general de los datos frente al ransomware en términos de jerarquía de patrocinio, administración de programas y administración de proyectos para determinar e impulsar los resultados.

Cliente potencial Owner Responsabilidad
Operaciones de TI central o CIO Patrocinio ejecutivo
Liderazgo del programa de infraestructura de TI central Impulsar los resultados y la colaboración entre equipos
Ingeniero de infraestructura/copia de seguridad Habilitar copia de seguridad de la infraestructura
Administradores de Microsoft 365 Implementar cambios en el inquilino de Microsoft 365 para OneDrive y carpetas protegidas
Ingeniero de seguridad Asesorar sobre la configuración y los estándares
Administrador de TI Actualizar documentos de directivas y estándares
Gobernanza de seguridad o adminsitradores de TI Supervisar para garantizar el cumplimiento
Equipo de educación de usuarios Asegurarse de que las instrucciones para los usuarios recomiendan el uso de OneDrive y carpetas protegidas

Objetivos de implementación

Cumpla estos objetivos de implementación para proteger su infraestructura de copia de seguridad.

¡Listo! Objetivo de implementación Owner
1. Proteja los documentos de soporte necesarios para la recuperación, como los de los procedimientos de restauración, la base de datos de administración de configuración (CMDB) y los diagramas de la red. Arquitecto o implementador de TI
2. Establezca el proceso para realizar copias de seguridad de todos los sistemas críticos automáticamente según una programación regular y supervisar la adhesión. Administrador de copias de seguridad de TI
3. Establezca el proceso y la programación para ejercer periódicamente el plan de continuidad empresarial y recuperación ante desastres (BCDR). Arquitectos de TI
4. Incluya la protección de las copias de seguridad contra la eliminación deliberada y el cifrado en su plan de copia de seguridad:

- Protección segura: requerir pasos fuera de banda (como la autenticación multifactor o un PIN) antes de modificar las copias de seguridad en línea (como Azure Backup).

- Protección más segura: almacenar las copias de seguridad en un almacenamiento inmutable en línea (como Azure Blob) o totalmente sin conexión o externo.
Administrador de copias de seguridad de TI
5. Pida a los usuarios que configuren copias de seguridad de OneDrive y carpetas protegidas. Administrador de productividad de Microsoft 365

Paso siguiente

Continúe la iniciativa de datos, cumplimiento y gobernanza con el paso 3. Datos.