Todas las organizaciones están en riesgo de amenazas cibernéticas que pueden interrumpir los servicios esenciales y potencialmente tener como resultado impactos en la seguridad pública. Durante el año pasado, los incidentes cibernéticos afectaron a muchas empresas, organizaciones sin fines de lucro y otras organizaciones, grandes y pequeñas, en múltiples sectores de la economía.
Más recientemente, las entidades públicas y privadas en Ucrania han sufrido una serie de incidentes cibernéticos maliciosos, incluidos ataques a sus sitios web del sector privado con malware potencialmente destructivo en sus sistemas que podría provocar daños graves a funciones críticas.
CISA ha publicado esta guía con el objetivo garantizar que los líderes de cada organización sean conscientes de los riesgos cibernéticos críticos y tomen medidas urgentes a corto plazo para reducir la probabilidad y el impacto de un compromiso potencialmente dañino. Todas las organizaciones, independientemente de su sector o tamaño, deben implementar de inmediato los pasos que se describen a continuación.
Reducir la probabilidad de una intrusión dañina
- Validar que todo acceso remoto a la red de la organización y acceso privilegiado o administrativo requiera autenticación multifactor.
- Asegurar que el software esté actualizado, dando prioridad a las actualizaciones que aborden las vulnerabilidades explotadas conocidas e identificadas por CISA.
- Confirmar que el personal de TI de la organización ha deshabilitado todos los puertos y protocolos que no son esenciales para fines comerciales.
- Si la organización utiliza servicios en la nube, asegurar que el personal de TI haya revisado e implementado controles estrictos descritos en la guía de CISA.
- Realizar análisis de vulnerabilidades, para ayudar a reducir la exposición a las amenazas.
Medidas para detectar rápidamente una posible intrusión
- Asegurar que el personal de ciberseguridad/TI se concentre en identificar y evaluar rápidamente cualquier comportamiento de red inesperado o inusual.
- Habilitar los registro para investigar mejor los problemas o eventos.
- Confirmar que toda la red de la organización esté protegida por software antivirus/antimalware y que las firmas en estas herramientas estén actualizadas.
- Si trabaja con organizaciones ucranianas, tener especial cuidado de monitorear, inspeccionar y aislar el tráfico de esas organizaciones; revisar de cerca los controles de acceso para ese tráfico
Asegurar que la organización esté preparada para responder
- Designar un equipo de respuesta a crisis con los principales puntos de contacto para un supuesto incidente de seguridad cibernética y roles/responsabilidades dentro de la organización, incluida las áreas de tecnología, comunicaciones, legal y continuidad comercial.
- Asegurar la disponibilidad del personal clave; identificar los medios para proporcionar apoyo de emergencia para responder a un incidente.
- Realizar un ejercicio de simulación para garantizar que todos los participantes entiendan sus roles durante un incidente.
Maximizar la resiliencia de la organización ante un ciberincidente destructivo
- Probar los procedimientos de respaldo para garantizar que los datos críticos se puedan restaurar rápidamente si la organización se ve afectada por ransomware o un ataque cibernético destructivo; asegúrese de que las copias de seguridad estén aisladas de las conexiones de red.
- Si utiliza sistemas de control industrial o tecnología operativa, realice una prueba de controles manuales para asegurarse de que las funciones críticas permanezcan operativas si la red de la organización no está disponible o no es de confianza.
Al implementar los pasos anteriores, todas las organizaciones pueden avanzar a corto plazo hacia la mejora de la ciberseguridad y la resiliencia.