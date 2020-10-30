Si hubiera encuestado a expertos en ciberseguridad de camino al trabajo el 12 de mayo de 2017, la mayoría habría dicho que sabían que se avecinaba un gran evento de ciberseguridad.
Sin embargo, ese día nadie esperaba que estuvieran caminando hacia la tormenta perfecta, en forma de ransomware WannaCry, el ataque cibernético más dañino hasta la fecha, cuando viajaron en automóvil, tren o ferry a sus respectivas oficinas esa mañana de primavera.
Nuestros dispositivos, sistemas y redes están cada vez más interconectados, lo que significa que los virus pueden moverse mucho más fácilmente entre los sistemas que en el pasado. Pero sin un evento importante en la memoria reciente, la mayoría de nosotros (incluso un periodista de ciberseguridad como yo) nos volvimos un poco complacientes. Cuando se combinaron estos factores con el número de dispositivos y sistemas activos, el escenario estaba listo.
Este ataque de ransomware fue el mayor evento de ciberseguridad que el mundo había visto, en parte porque el impacto fue más amplio que el brote en sí. Creó enormes repercusiones en las empresas, la política, la comunidad de hackers y la cultura de la ciberseguridad.
Incluso después de que se encontró el interruptor de interrupción, el virus continuó devastando todos los sistemas y todos los datos que tocó, atacando los sistemas informáticos de 300 organizaciones en 150 países.
Incluso después de que se encontró el interruptor de interrupción, el virus continuó devastando todos los sistemas y todos los datos que tocó, atacando los sistemas informáticos de 300 organizaciones en 150 países.
Rusia sufrió el mayor número de intentos de infección de cualquier país del mundo, según la BBC. Sin embargo, la mayoría de los servidores de misión crítica no se vieron afectados, ya que ejecutaban un software de la era soviética conocido como Elbrus. Sin embargo, la inmunidad técnica no impidió que el virus se propagara a las computadoras de todo el país. Eliminó endpoints en el Ministerio del Interior, los ferrocarriles, los bancos y el enorme endpoint Megafon móvil.
Boletín de la industria
Manténgase al día sobre las tendencias más importantes e intrigantes de la industria sobre IA, automatización, datos y más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Cubrir WannaCry en vivo me dejó intrigado y lleno de preguntas, incluso años después. Cada vez que el ataque se convirtió en un tema de conversación en los últimos tres años, escuché repetir el mismo tema: WannaCry fue abrumador y cambió la forma en que abordamos la ciberseguridad y vemos los riesgos para las empresas.
Para mí, ese sentimiento era demasiado amplio para un evento de esta magnitud. Tenía preguntas específicas. ¿Cómo era ser un profesional de la seguridad el 12 de mayo de 2017? ¿Cuál fue el impacto total para las empresas y los gobiernos de todo el mundo? ¿Cómo influyó lo aprendido ese día en nuestro actual escenario empresarial, tecnológico y de ciberseguridad?
También me preguntaba cómo el hecho de que todo el mundo mirara el evento, a través de las redes sociales y los sitios de noticias digitales, cambió tanto la respuesta como el impacto general. Los líderes empresariales y el público observaron la cobertura informativa, y nadie sabía exactamente qué estaba ocurriendo. Casi todos coincidieron en que parecía ominoso. También tenía curiosidad por saber si esto aumentaba el pánico público o ayudaba a resolver el problema antes.
“Todavía es grande. Se presentó como algo para lo que las organizaciones no estaban preparadas. Fue una muy buena llamada de atención para muchas empresas”, dice Tracey Nash, gerente del Programa de Comando de Incidentes de IBM X-Force. Nash cuenta el 12 de mayo de 2017 como el momento en que las organizaciones aprendieron que debían considerar el lado comercial de los riesgos de ciberseguridad.
Para averiguar exactamente qué sucedió y, lo que es más importante, por qué WannaCry dejó un cráter en el escenario, hablé con los actores clave que respondieron al ataque. Una persona con la que pasé muchas horas hablando fue Wendi Whitmore, vicepresidenta de IBM X-Force Threat Intelligence. También hablé con Christopher Scott, director de Innovación y Corrección de Seguridad (Oficina del director de Seguridad de la Información) en IBM, para obtener su perspectiva sobre los eventos de ese día y la recuperación después del ataque de WannaCry.
Esta historia narra el viaje para descubrir qué sucedió realmente en esos días caóticos hace tres años y cómo el impacto y el legado de WannaCry perduran en la actualidad.
Muchas personas, incluso profesionales de ciberseguridad líderes en la industria, se enteraron por primera vez del ataque a través de un tweet. Un médico del Sistema Nacional de Salud (NHS) del Reino Unido fue de los primeros en dar la noticia sobre el ataque masivo a Twitter. Esto fue seguido por innumerables colegas que mostraron fotos de sus pantallas de computadora bloqueadas, todas con el mismo mensaje: “¡Vaya, sus archivos han sido encriptados!”
En ese momento, los empleados del NHS no tenían idea de que el ataque eventualmente resultaría en 70,000 dispositivos infectados y el cierre total de un tercio de todos los hospitales del NHS. El impacto de WannaCry en el NHS y otros hospitales de todo el mundo fue una prueba de que el delito cibernético podría causar estragos en la era del Internet de las cosas médicas (IoMT). Afortunadamente, los investigadores de seguridad clínica han establecido definitivamente que el caos de los criptogusanos no provocó la muerte de ningún paciente.
Incluso aquellos que no estaban en sus computadoras supieron muy rápidamente que algo grande estaba sucediendo:
Apareció una demanda de bitcoin en la señalización digital que anunciaba las llegadas y salidas de trenes de cercanías en Alemania.
Esa misma redacción también apareció en docenas de pantallas de cine en Corea del Sur.
En Yakarta, Indonesia, los pacientes del hospital esperaron varias horas mientras los médicos pasaban de los sistemas informáticos a los registros en papel.
Whitmore, que en ese momento trabajaba como socia global y líder de respuesta a incidentes con X-Force Threat Intelligence, dice que casi tan pronto como comenzó el ataque, su equipo comenzó a rascarse la cabeza y a decir en voz alta: "Esto es raro".
Específicamente, el equipo de Whitmore sabía que se enfrentaba a algo diferente cuando descubrió que era literalmente imposible liberar los archivos infectados. El ransomware no proporcionó una forma para que los hackers supieran quién pagó el rescate.
Una de sus primeras prioridades era obtener copias del malware. Sabía que no se puede detener algo hasta que se sabe exactamente cómo funciona. Pero obtener las copias y desglosarlas fue difícil, especialmente bajo la presión de saber que el mundo se estaba deteniendo rápidamente.
WannaCry fue el ataque de ciberdelincuencia de mayor propagación jamás experimentado. Las computadoras conectadas a Internet sin parches podrían ser víctimas en cuestión de minutos y comenzar a propagar rápidamente el gusano a través de una red. Muchas noticias describen que los equipos de TI se apresuran a tratar de contener el daño mientras sus colegas arrancan sus PC de trabajo.
Cuando le pregunté a Laurance Dine, líder global de X-Force Threat Intelligence (que en ese momento trabajaba para un proveedor de servicios gestionados), su mayor recuerdo del día, dijo que era el teléfono que sonaba constantemente. Cada persona en el otro extremo era un cliente en pánico que necesitaba ayuda. Resumió el día como “locura absoluta”.
Muy rápidamente, todo su equipo, incluidos otros expertos en seguridad que no estaban en el equipo de respuesta a incidentes, se encontró desplegado en la línea del frente.
“Estaba por todas partes y sentí que todos estaban involucrados. El ciudadano promedio sabía lo que estaba pasando con el ransomware”, dice Dine. "Entendieron las noticias y lo que estaba sucediendo, y no podían ir a los hospitales, y eso afectó la vida de las personas".
A lo largo del día, los trabajadores de respuesta a incidentes cancelaron colectivamente sus planes y se prepararon para un largo fin de semana de arduo trabajo. Todo el mundo miraba a las empresas globales atónitas tras el gusano WannaCry.
Lo que ninguno de nosotros sabía en ese momento era que el criptogusano que destruía todos los sistemas que tocaba era en realidad una vulnerabilidad de dos meses conocida como EternalBlue. Una vez que 'Wanna Decryptor' logró infectar una sola máquina en una sola red, WannaCry comenzó a propagarse a otras computadoras en la misma red mientras escaneaba Internet en busca de otras máquinas sin parches. La vulnerabilidad explotada por EternalBlue dejó las máquinas Windows sin parches abiertas a la infección y propagó el virus WannaCry.
Por lo general, los criptogusanos se pueden detectar rápidamente en las redes empresariales. Pero WannaCry permaneció bajo el radar, hasta que dejó de hacerlo. La detección es algo que muchos actores de amenazas sofisticados intentan evitar a toda costa, especialmente durante un ataque altamente dirigido, pero WannaCry no fue un ataque dirigido. Fue un ataque global cuidadosamente planeado que fue diseñado para obtener la mayor atención posible, que es exactamente lo que sucedió.
En muchos casos, explica Scott, la propagación también fue posible gracias a lo que él llama una "red M&M". En un caso como este, la estructura de la red es dura por fuera y blanda por dentro. Este era un interior acogedor para los actores de amenazas y los criptogusanos. Señala que una vez que el criptogusano superó el caparazón duro en el borde de la red, WannaCry encontró mucha libertad para moverse por el entorno.
Durante las siguientes siete horas, el "gusano grande y baboso" causó estragos en todo el mundo hasta que los investigadores de ciberseguridad Marcus Hutchins y Jamie Hankins descubrieron un interruptor de apagado. Se descubrieron dos interruptores de interrupción adicionales, lo que finalmente hizo que la cepa de ransomware quedara prácticamente inerte.
Pero el largo proceso de corrección apenas comenzaba para 300 organizaciones en todo el mundo, y ninguno de nosotros se dio cuenta de la magnitud del daño y de los arreglos para corregirlo. Todavía estábamos en territorio sin mapear, incluido el equipo de Scott, que se apresuraba a aplicar un arreglo.
“Necesitaba que esos entornos volvieran a tener capacidad operativa”, dice Scott. “Pero, ¿cómo hacemos las pruebas para asegurarnos de que el arreglo sea correcto? ¿Cómo gestionamos la aceptación por parte de los usuarios? Y, entonces, ¿cómo movemos eso a la producción?”
En muchos casos, el equipo de Scott tuvo que eludir los procesos de prueba tradicionales y correr el riesgo de que las prisas "romperan algunas cosas". WannaCry no ofrecía precisamente opciones a los usuarios, lo que fue una de las principales razones de la destrucción masiva que provocó.
La mayoría de los profesionales de la ciberseguridad saben que WannaCry no fue un éxito financiero, y los datos sobre su beneficio neto muestran que fue mucho menor de lo esperado. Los registros de blockchain revelan que, entre mayo de 2017 y diciembre de 2019, WannaCry anotó a los atacantes un total de alrededor de 386 000 USD, aunque el total fluctúa con la valoración de bitcoin. Eso es solo 1.08 USD o menos por computadora infectada.
En comparación con virus de correo electrónico mucho más antiguos, estrictamente en términos de dólares, era casi una ganga. Symantec estimó 4000 millones de dólares en pérdidas financieras en 2018 debido a WannaCry, una cifra probablemente mayor hoy en día. El virus Conficker causó más de 9100 millones de dólares en daños en 2007 e infectó a millones de computadoras en todo el mundo. En 2004, MyDoom causó alrededor de 38,000 millones USD en daños y afectó a alrededor del 25% de los correos electrónicos enviados a lo largo del año.
Este criptogusano estaba destinado a hacer mucho ruido en lugar de beneficiarse de un solo objetivo. Los actores de amenazas detrás de WannaCry aprovecharon específicamente el software de contabilidad fiscal ucraniano, un software que el gobierno exigió para cualquier organización que hiciera negocios en Ucrania, según Dine. Al lanzar una actualización de software, los actores de amenazas lograron derribar una gran parte de la infraestructura nacional de Ucrania.
La gran mayoría de los delitos cibernéticos tienen motivaciones financieras. Es raro encontrar un ransomware diseñado para causar estragos masivos con poca preocupación por los ransomware reales.
Cuando se le preguntó cuál creía que era la parte más significativa de WannaCry, Whitmore dice que todo fue significativo.
"Sin duda fue una gran llamada de atención", dice Whitmore. "Entonces, para cualquier organización que vio estos conglomerados globales... que tenían buenos programas y protocolos de seguridad que se vieron afectados [por el virus], hubo concientización"
"Sin duda fue una gran llamada de atención", dice Whitmore.
Cuando se le preguntó cuál creía que era la parte más significativa de WannaCry, Whitmore dice que todo fue significativo.
"Sin duda fue una gran llamada de atención", dice Whitmore. "Entonces, para cualquier organización que vio estos conglomerados globales... que tenían buenos programas y protocolos de seguridad que se vieron afectados [por el virus], hubo concientización"
"Sin duda fue una gran llamada de atención", dice Whitmore.
Las campañas más específicas son más comunes a raíz de WannaCry, dice. Aunque los ataques no siempre son contra un solo cliente, ahora los actores de amenazas pueden enviar muchos correos electrónicos de phishing y obtener acceso a 10 clientes. A partir de ahí, observa cómo los actores de amenazas dedican entre seis y doce meses a realizar un minucioso reconocimiento de los posibles objetivos, evitando la detección dentro de la red.
Eventualmente, dice Whitmore, activan el ransomware donde saben o sospechan que tendrán más posibilidades de recibir el pago.
WannaCry es probablemente, al menos en parte, responsable del vector de amenazas actual y de la creciente popularidad de los ataques comerciales de ransomware. El ransomware representó el 39% de todos los incidentes de malware con pérdida de datos en 2017, según el Informe de investigaciones de filtración de datos (DBIR) de 2018. Desde entonces, los ataques han evolucionado hasta convertirse en mucho más sofisticados y costosos para las víctimas. El ransomware comercial también suele ser muy capaz de evadir los métodos de detección.
Muchas organizaciones que se vieron afectadas tenían abundantes copias de seguridad de datos, pero no siempre eran recuperables. En muchos casos, las copias de seguridad estaban conectadas a la red y eran vulnerables a ser bloqueadas por WannaCry. En otros casos, las organizaciones tenían copias de seguridad externas y no las habían probado para comprobar que se pudieran recuperar fácilmente.
El incidente de criptoransomware de mayo de 2017 supuso un punto de inflexión en el escenario de amenazas. WannaCry tuvo un impacto positivo en la cultura de ciberseguridad empresarial, pero también disparó el ransomware en la conciencia de los actores de amenazas globales. Muchos actores de amenazas comerciales de ransomware ahora realizan una investigación cuidadosa del valor de los datos de una víctima si se pierden o se venden a un competidor.
Un ejemplo: Whitmore acaba de presenciar un ataque de ransomware contra una organización en las últimas seis semanas. “Los atacantes pidieron 25 millones de dólares por el rescate. Esta no era una gran empresa de ninguna manera”, dice Whitmore.
Antes de WannaCry, la mayoría de los líderes empresariales parecían tener una actitud de "no nos puede pasar a nosotros", especialmente fuera del área de atención médica. Ahora, cuando digo ransomware, la gente escucha. Los líderes empresariales suelen ser los primeros en hablar de ransomware conmigo y otros expertos en ciberseguridad. Desde mi punto de vista, uno de los impactos más significativos del trauma y la destrucción de WannaCry fue cómo los líderes empresariales se dieron cuenta de que el ransomware era una amenaza significativa.
El evento también tuvo un profundo impacto en el papel de la ciberseguridad dentro de una empresa y el papel del director de seguridad de la información (CISO) en la junta directiva. El liderazgo ahora se da cuenta de que podría pasar por una filtración cibernética importante y, de hecho, terminar mejor desde una perspectiva de reputación.
Una marca de logística con sede en la UE muestra cómo WannaCry dañó poco su reputación. El director ejecutivo (CEO) asumió un papel público y habló directamente con el público y los clientes en los días posteriores al ataque. La combinación del criptogusano y el director ejecutivo (CEO) confiado y comunicativo fue un paso crítico hacia una cultura de ciberseguridad empresarial de responsabilidad compartida.
Innumerables imitaciones y réplicas se produjeron después del primer ataque de WannaCry. ESET reveló en mayo de 2020 que WannaCry representó el 40.5% de todas sus detecciones de ransomware en el primer trimestre de 2020. Algunos países todavía se ven afectados de manera desproporcionada por las réplicas de WannaCry porque los principales ISP bloquean los dominios del interruptor de interrupción. Algunas de estas infecciones persistentes se deben a malas prácticas de higiene cibernética. Otras infecciones persisten en puntos finales no tradicionales que son difíciles de detectar para muchas compañías, y mucho menos de gestionar.
Es difícil decir si las empresas estarían significativamente mejor preparadas para un ataque global de criptogusanos en 2020 que en 2017. Sin embargo, la mayoría de los expertos con los que hablé están de acuerdo en que el elemento humano de la ciberseguridad ha evolucionado drásticamente, lo que debería dar esperanza a los profesionales de respuesta a incidentes.
Sin embargo, según ESET, los datos del motor de búsqueda Shodan revelaron que casi 1 millón de dispositivos seguían siendo vulnerables y no tenían parches contra la vulnerabilidad EternalBlue en mayo de 2019. Ha habido muy poca variación en esa cifra desde finales de mayo de 2017, lo cual es muy preocupante.
Una encuesta reciente muestra que el 27% de las organizaciones globales habían atribuido un incidente de filtración de datos a vulnerabilidades sin parches. Más preocupante es que un gran porcentaje tiene poca idea exactamente de qué endpoints en su red plantean riesgos. Mientras tanto, el 39% de las organizaciones admite realizar análisis de vulnerabilidades menos de una vez al mes. Según CA Veracode, más del 70% de las vulnerabilidades permanecen sin parches después de 30 días.
El costo de recuperación de un ataque altamente destructivo fue de 239 millones de dólares, o 61 veces más caro que un incidente promedio que involucra pérdida de datos.
Scott ha visto cambios positivos importantes en la forma en que las organizaciones abordan los entornos y los puntos de control para evitar las condiciones de "caramelo duro" que permitieron que el gusano se propagara tan rápidamente. Los clientes ahora están pensando en la contenerización y los microservicios en lugar de proporcionar a los atacantes el tipo de objetivo de red blando y pegajoso que era común en 2017 y antes. Esto podría estar relacionado en parte con WannaCry, pero también es probable que se deba al hecho de que los perímetros de las redes empresariales han cambiado.
En las redes actuales, no es raro encontrarse con muchos servidores que pueden no tener acceso a estaciones de trabajo. En su lugar, los usuarios pueden acceder a los datos en la nube vía agentes. La nube segura agrega un poco de complejidad a las políticas de seguridad y complicó algunos flujos de trabajo, pero también ha mejorado la postura de seguridad en muchos aspectos. El aislamiento impulsado por la nube significa que las organizaciones ya no operan en una gran red.
El cambio con respecto a las redes de ayer también ha afectado a los privilegios de los usuarios. Scott ve esto como un aspecto muy positivo en la defensa contra amenazas persistentes avanzadas (APT) y cuentas privilegiadas. Lo más importante es que muchas organizaciones están cambiando a modelos de acceso basados en la confianza y en las necesidades en lugar de designar superusuarios y rediseñar los privilegios.
Sin embargo, tres años después del gusano WannaCry, el costo de recuperarse de ransomware altamente dirigido y APT está en su punto más alto. Esto es increíblemente desconcertante. El año pasado, el costo promedio de recuperación de una filtración de datos fue de 3.92 millones de dólares, según el Informe del costo de una filtración de datos de 2019. El costo de recuperación de un ataque altamente destructivo fue de 239 millones de dólares, o 61 veces más caro que un incidente promedio que involucra pérdida de datos.
Los actores de amenazas son cada vez más audaces y calculados a la hora de exigir exactamente la cantidad de dinero que creen que valen los datos de una víctima. El ransomware comercial en 2020 no está destinado a propagarse de forma viral a través de redes ni a dirigirse a cientos de miles de endpoints sin parches. En cambio, los actores de amenazas se dirigen a empresas que probablemente paguen rescates millonarios.
Los actores de amenazas se concentran en las víctimas para asegurarse de que invaden todos los sistemas correctos para crear un entorno de terror, a menudo incluso llegando a los servidores de respaldo para tratar de obligar a la víctima a pagar el rescate.
El aumento de la colaboración ha sido uno de los impactos más positivos en los últimos tres años. WannaCry puede haber sido una especie de catalizador para una mayor colaboración entre las industrias, el sector público y los responsables políticos internacionales.
Hablé con Mike Barcomb, director de programas de X-Force Incident Command, para conocer su perspectiva sobre el cambio.
"Ha sido el enfoque de las empresas crear estos programas [de respuesta a incidentes], pero también trabajar junto con sus pares y otras empresas de la industria", dice Barcomb. “Generan energía donde pueden compartir las mejores prácticas e información sobre amenazas sobre los actores de amenazas: cosas que han visto y cosas que han experimentado.
"Generan energía donde pueden compartir las mejores prácticas e información sobre amenazas sobre los actores de amenazas: cosas que han visto y cosas que han experimentado".
"Es muy alentador ver a las empresas trabajar juntas para construir defensas contra las amenazas".
El elemento humano de la preparación es tan importante como la preparación tecnológica para garantizar una higiene cibernética adecuada, dice Kurt Rohrbacher, líder de IBM X-Force Threat Intelligence North American. La mejor manera en que una organización puede estar preparada para cualquier incidente global es pensar en lo que sucede cuando fallan los controles y considerar el peso de cada decisión.
"La gente no suele pensar en [cómo] las primeras horas de un incidente a menudo pueden dictar si se trata de un día, una semana, un mes o, en algunos casos, un año", dice Rohrbacher. "Identificar los pasos que va a tomar muy pronto en un incidente hará o deshacerá su respuesta final".
"Identificar los pasos que va a tomar muy pronto en un incidente hará o deshacerá su respuesta final".
Esta afirmación realmente resonó conmigo porque a menudo subestimamos el impacto del estrés y el pánico en nuestra capacidad de toma de decisiones. Estas decisiones aparentemente pequeñas pueden marcar la diferencia entre millones de dólares y años de recuperación o meses.
Scott me dijo que le da esperanza ver el comienzo de un cambio en los indicadores clave de rendimiento (KPI), que es un área que le apasiona especialmente. A menudo pregunta a su equipo: "¿Cómo hacemos un seguimiento e incentivamos realmente a las personas para que hagan el trabajo correctamente?"
En el caso de los analistas del SOC, las métricas que se centran en la velocidad de resolución y los plazos pueden ser contraproducentes. Los analistas del SOC pueden desviarse si operan en un entorno demasiado centrado en la eficiencia. Pueden cerrar tickets antes de completar una investigación y perderse el panorama general, como el punto de infiltración de un ataque.
Es posible que los hábitos de higiene cibernética y parches de la industria no hayan mejorado significativamente desde mayo de 2017, pero la mayoría de los expertos coinciden en que hoy estaríamos mejor preparados que antes, incluso fuera de las organizaciones que ya se han enfrentado a ataques de ransomware. Se trata de un cambio en el elemento humano de la ciberseguridad.
Rohrbacher se ríe cuando le pregunto cómo se preparan las empresas y los profesionales de la ciberseguridad para lo inesperado. Se encoge de hombros y dice: "Bueno, no hay nada como lo real".
Me dijo que un incidente real, como WannaCry, aumenta tanto la concientización como la preparación. Más allá de eso, casi todos los expertos en respuesta a incidentes con los que hablé están de acuerdo en que la simulación es crucial, al igual que los ejercicios teóricos trimestrales y las pruebas periódicas de herramientas de comunicación son cruciales para desarrollar la memoria muscular.
Señaló las simulaciones de phishing y las actividades de cyber-range como dos formas en que las organizaciones podrían prepararse para resultados imprevistos. Rohrbacher dice que si un ejercicio o simulacro realmente atrae a las personas a la situación y las anima a divertirse, es más probable que tengan sus propias conclusiones sobre cómo responder mejor.
Continuamente me sorprende la similitud entre la actual pandemia de COVID-19 y el ataque WannaCry. Las primeras horas del ataque se sintieron muy similares a las de marzo de 2020, ya que todos entraron en modo de crisis tratando de manejar una situación nunca antes vista. Ahora, a medida que avanza la pandemia, la sensación es similar a la de que seguimos encontrando infecciones de WannaCry hoy. Es probable que la pandemia nos afecte a la mayoría de nosotros a un nivel más personal. Pero ambas crisis afectaron nuestra vida cotidiana de formas que nadie podría haber imaginado ni previsto.
Las lecciones clave de ambos eventos se reducen a la preparación. Tanto WannaCry como la pandemia tomaron a todos por sorpresa. Esto plantea la antigua pregunta de cómo prepararse para algo que nunca antes había estado cerca de suceder.
Lo que Think a la mente de la mayoría de las personas cuando Think en la preparación son los planes estratégicos, las simulaciones, la educación y el uso de herramientas, como copias de seguridad para la recuperación. Sin embargo, estas medidas solo llegan hasta cierto punto cuando ocurre un ataque novedoso y no existe un plan para lo que está sucediendo exactamente. Think que realmente se trata de adoptar una nueva visión y enfoque.
“Cuando estás en medio de una crisis, todo, excepto la memoria muscular, se va por la ventana”.
Algo que dice Rohrbacher sigue viniendo a la mente: "Cuando estás en medio de una crisis, todo, excepto la memoria muscular, se va por la ventana".
Por supuesto, necesitamos poder desplegar tecnología, crear planes y respaldar opciones de recuperación. Pero también debemos centrarnos en crear confianza y memoria muscular para cada trabajador de respuesta a incidentes.
La confianza no es algo que sucede en una sola sesión de entrenamiento o una casilla que se marca un jueves por la tarde. Es un cambio subyacente en la cultura y los procesos. La preparación consiste en capacitar a las personas para que se sientan lo suficientemente seguras como para tomar el control. Uno desea que su equipo respire hondo y diga: “OK, tengo esto”, incluso cuando sucede lo inesperado.
Jasmine Henry contribuyó al reportaje de esta historia.