OpiniónCiberseguridad

La ley de ciberinformación que ayuda a combatir el ransomware

Por Rick Vanover, Director Senior de Estrategia de Producto de Veeam.

Con la firma por parte del presidente Biden de un proyecto de ley general de asignaciones de 1,5 billones de dólares, el gobierno federal está preparado para gastar miles de millones de dólares para reforzar la ciberseguridad y la tecnología de la información dentro de sus agencias. Sin embargo, el paquete de gastos también aborda uno de los retos más persistentes para identificar y mitigar los ciberataques de gran alcance, incluyendo el ransomware en la infraestructura crítica de la nación: el intercambio de datos y la notificación de una brecha cibernética.

El proyecto de ley general incluía la Ley de Notificación de Incidentes Cibernéticos para Infraestructuras Críticas, que exige a los propietarios y operadores de infraestructuras críticas que informen de ciertos incidentes cibernéticos a la Agencia de Seguridad de las Infraestructuras y Ciberseguridad (CISA) y de cualquier pago de rescate en un plazo de 24 horas.

Si bien la CISA seguirá elaborando normas sobre cómo aplicar la nueva ley, ésta destaca la importancia de compartir información cuando se produce un ciberataque, incluyendo dónde son vulnerables las entidades, a qué pudieron acceder los atacantes, cómo se mitigó la amenaza, etc.  Esta ley contribuirá a proporcionar inteligencia sobre amenazas procesable para ayudar a prevenir el ransomware emergente y otras amenazas. También muestra la necesidad de incorporar herramientas de gestión y recuperación de datos en los entornos informáticos, tanto para salvaguardar la información como para preservarla en caso de ataque.

El papel de los informes en la mitigación del ransomware 

Se espera que los requisitos de información de la Ley de Información sobre Incidentes Cibernéticos para Infraestructuras Críticas entren plenamente en vigor una vez que la CISA determine cómo definir las entidades cubiertas por la ley, pero es probable que las políticas anteriores limiten la aplicación a los sectores de infraestructuras críticas.

Las entidades de esos sectores estarán obligadas por ley a informar de un ciberincidente cubierto en un plazo no superior a 72 horas después de que uno "considere razonablemente" que ha sido atacado. También tienen que informar de cualquier pago por ransomware realizado en un plazo de 24 horas. Pero la ley también exige que las entidades conserven información clave sobre el propio ciberataque, y aquí es donde entra en juego una sólida estrategia de protección de datos.

Aunque la ley de ciberinformación ayude a combatir el ransomware, la recuperación de datos sigue siendo esencial

Según la nueva ley, cualquier entidad que se enfrente a un ciberataque tendrá que proporcionar a la CISA información sobre los sistemas de información, redes o dispositivos afectados, así como las vulnerabilidades explotadas y las defensas de seguridad que estaban en funcionamiento, así como las tácticas, técnicas y procedimientos relevantes para dicho incidente, y a qué información se cree que han accedido personas no autorizadas.

Estas medidas permitirán a las entidades recibir información crítica sobre las amenazas con antelación, lo que les permitirá reforzar y parchear los sistemas de software para ayudar a prevenir la propagación de un ataque, a la vez que se genera un debate en torno a la estrategia para limitar y mitigar los daños actuales causados por la brecha.   En un momento en el que los entornos de TI son cada vez más complejos, con entidades que persiguen una mezcla de multicloud, nube híbrida y tecnología tradicional en sus instalaciones, las soluciones de gestión y protección de datos se han vuelto más esenciales.

Proteger sus datos de las ciberamenazas

Según el Informe de Tendencias de Protección de Datos 2022 de Veeam, de entre más de 3.000 responsables de la toma de decisiones de TI y empresas globales, el 89% informa de que existe un desfase entre la cantidad de datos que pueden permitirse perder en una interrupción y la frecuencia con la que se realizan las copias de seguridad de esos datos. Otro 18% de los encuestados afirma que sus datos no tienen ninguna copia de seguridad. Con el aumento de los ataques de ransomware, asegurar que sus datos no sólo están respaldados, sino que son totalmente recuperables, se ha vuelto más crítico que nunca.

Aunque la Ley de Información sobre Incidentes Cibernéticos para Infraestructuras Críticas proporcionará a los líderes tecnológicos una valiosa información sobre dónde atacan los atacantes y qué objetivos pueden perseguir, las entidades seguirán necesitando contar con salvaguardas para garantizar que sus datos estén protegidos y sean recuperables en caso de una brecha cibernética.

Para aquellos que han sufrido un ataque de ransomware, pagar el rescate o confiar en las copias de seguridad existentes puede no ser suficiente para limitar el daño infligido a una entidad por la ciberviolación. Según el Informe de Tendencias de Protección de Datos, el 64% de los encuestados dijo que pudo recuperar menos del 80% de sus datos tras un ciberataque, y aproximadamente un tercio de sus datos no se pudo recuperar.

Una de las mejores prácticas que una entidad puede utilizar para hacer frente a estos desafíos es la regla 3-2-1-1-0 en lo que respecta a su estrategia de gestión de datos. Asegurándose de mantener tres copias de los datos importantes en al menos dos tipos diferentes de medios, con al menos una de estas copias fuera de las instalaciones y que una de las copias de seguridad de los datos fuera de las instalaciones sea air-gapped, offline o inmutable. A su vez que no haya errores después de las pruebas automatizadas de las copias de seguridad y de la verificación de la recuperabilidad, de esta forma los responsables de TI pueden ayudar a proteger mejor sus datos de posibles amenazas de ransomware.

La Ley de Información sobre Incidentes Cibernéticos para Infraestructuras Críticas es un paso importante para ayudar a salvaguardar los sectores institucionales más importantes de la nación, ayudando a advertirles de amenazas inminentes antes de un ataque. Pero esas entidades también deben tomar medidas para salvaguardar sus datos ahora para ayudar a mitigar el daño de un ataque cibernético exitoso.

Computing 815