NetWorkWorld
Pagar un rescate a un extorsionador cibernético que tiene sus datos empresariales como rehenes puede parecer, en principio, una mala idea, pero a veces podría ser la mejor opción, o incluso la única, para liberar a tu organización de una crisis.
Según un reciente estudio de IBM, basado en los datos de 600 ejecutivos, el 70% de las empresas afectadas por ataques de ransomware han pagado para resolver el problema, la mitad de ellas más de 10.000 dólares y el 20% más de 40.000 dólares. Casi 6 de cada 10 indicaron que estarían dispuestos a pagar para recuperar los datos.
Si tu organización se encuentra dentro de los que estarían dispuestos a pagar un rescate, es una buena idea contar con una estrategia para negociar con los atacantes antes de que la necesidad de que realmente surja.
“Todas las compañías deben contar con una estrategia desarrollada en función de un escenario de ransomware,” dijo Chris Pierson, jefe de seguridad y asesor legal de Viewpost.
Según Pierson, cualquier decisión relacionada con pagar o no el rescate y cuánto se está dispuesto a pagar debe considerar diversos factores, como la seguridad legal, financiera, comercial y tecnológica de la organización, además del campo de las relaciones públicas.
Leer también:Reaparece el malware de Olympic Destroyer
1) Prepárate para una desagradable sorpresa
Uno de los errores que pueden cometer las organizaciones al momento de preparar los planes de acción es suponer que los ataques generarán una extorsión con valores relativamente bajos por lo cual, por lo general, resulta más fácil y más barato solucionar el problema pagando unos cuantos dólares. Pero los delincuentes cibernéticos que lograron meter sus manos en tus secretos comerciales, tu propiedad intelectual o en cualquier dato vital que permita mantener tu negocio en funcionamiento; podrían fácilmente aumentar sus demandas hasta llegar a cientos de miles de dólares. En algunas ocasiones pueden aprovechar su posición para amenazarte con exponer los datos o venderlos a la competencia, en lugar de simplemente encriptarlos.
Matt Kesner, CIO de Fenwick & West LLP, afirmó que su bufete de abogados ha considerado las posibles implicaciones de una grave infección de ransomware y las acciones que se deberían llevar a cabo en caso de que ocurra. Si bien aún no existe un consenso sobre el curso correcto de la estrategia, la empresa ha tomado algunas medidas preventivas.
“Hemos establecido el monto que la alta gerencia considera adecuado para que el CIO o CSO gaste sin solicitar una autorización en el caso de un ataque de ransomware. Un importe que supere esa cantidad requeriría una autorización adicional en el momento de la demanda”, explicó Kesner.
2) Imagina el costo de no hacer nada
Moty Cristal, CEO de NEST Negotiation Strategies, comento que una de las claves para negociar exitosamente es tener una idea precisa de cuánto te costaría el hecho de no cumplir con sus exigencias.
“Al evaluar la mejor alternativa para llegar a un acuerdo negociado (BATNA), debes considerar el daño potencial que los atacantes podrían generar en tus datos, servicios, infraestructura y reputación; si no cumples con sus demandas”, afirmo Cristal.
Cuando se negocia con los extorsionadores no hay garantía alguna de que ya no hayan copiado tus datos o no los hayan vendido a otra persona. Tampoco puedes estar seguro de que los desencriptarán según lo prometido. A veces, la decisión sobre si hacer un pago o no se convertirá en algo subjetivo.
“A diferencia de una situación de rehenes en el mundo real, en la que tienes una idea bastante razonable de con quién estás negociando, los delincuentes cibernéticos podrían ser cualquier persona, en cualquier lugar del mundo. Podrían estar sentados en un loft o un apartamento en Rusia, o en Bielorrusia, China o India. No ven ningún riesgo o amenaza y las posibilidades de que los hagas cometer un error son remotas,” dijo Cristal.
Puede interesarle:Aumentan los riesgos de conectividad debido a la digitalización
3)No permitas que la TI maneje la crisis
Cristal, aconsejo que al negociar con los delincuentes cibernéticos trata de no pensar en ello solo como un problema de tecnología o de seguridad. No permitas que el equipo de tecnología informática maneje la crisis.
“La respuesta a la crisis debe ser un esfuerzo compartido. Nunca debe ser enfrentado solo por el jefe de TI. Para decirlo sin rodeos, su pellejo está en juego y por lo tanto su toma de decisiones estará sesgada por la preocupación de salvar su trasero”, comento Cristal.
También es importante evitar que los egos personales y las acusaciones interfieran en la toma de decisiones racionales. Nada es tan efectivo como una gran crisis de secuestro de datos para sacar a relucir las fallas en la capacidad de toma de decisiones colaborativas de una organización.
“Mientras que el equipo de TI piensa en el problema desde una perspectiva tecnológica, los ejecutivos de la junta directiva lo ven desde el punto de vista empresarial. Se debes combinar estas dos visiones para desarrollar una estrategia de respuesta coherente”, explico Andrew Hay, jefe de seguridad de información de la empresa de almacenamiento DataGravity.
4) Nunca le faltes el respeto a los extorsionistas cibernéticos
Precisamente porque nunca se sabe quiénes son los extorsionadores, no debes ser irrespetuoso. Si resuelves no negociar es mejor comunicarles la decisión tan profesionalmente como pueda.
Cristal explico que debido a que es difícil saber exactamente a qué datos han accedido o cuáles son los daños que podrían causar a tu organización; se debe tratarlos con cortesía.
“En lugar de cortar abruptamente las comunicaciones es conveniente explicar tu decisión de manera respetuosa. Informa al delincuente que tu asesoría legal te aconseja no participar en el rescate. Sé extremadamente profesional en tu forma de comunicarte y trata que el incidente no te afecte emocionalmente”, explico Cristal.
Comments