Ransomware: prevencion, copias y respuesta ante incidentes

INCIBE senala el ransomware como uno de los incidentes que mas afecta a empresas, con impacto directo sobre continuidad y disponibilidad de la informacion.

La respuesta empieza antes del incidente: actualizaciones, copias verificadas, segmentacion, formacion y un procedimiento claro para aislar equipos.

• Mantener software actualizado.
• Comprobar copias restaurables.
• Preparar una pauta de actuacion ante sospechas.

Prevencion en capas

El ransomware no se combate con una sola herramienta. La defensa combina formacion, actualizaciones, copias, red bien diseñada y capacidad de reaccion.

• Copias desconectadas o protegidas.
• Actualizaciones de sistema y aplicaciones.
• Control de permisos.
• Formacion contra phishing e ingenieria social.

Preguntas antes de empezar

Antes de invertir tiempo o presupuesto, conviene bajar la decision al trabajo diario. Estas preguntas ayudan a separar una mejora real de una actuacion que solo parece urgente.

• Que problema concreto queremos resolver.
• Quien usara la solucion y con que frecuencia.
• Que datos, accesos o documentos son necesarios.
• Como se mantendra la solucion despues de publicarla o implantarla.

Que hacer ante una sospecha

La primera reaccion debe reducir propagacion y preservar informacion. Desconectar equipos afectados, no pagar sin asesoramiento y contactar con soporte tecnico son pasos razonables.

• Aislar equipos sospechosos.
• No borrar evidencias sin criterio.
• Comprobar alcance.
• Restaurar desde copias verificadas.

En resumen

La empresa que ha probado su recuperacion tiene mucha mas capacidad de respuesta.