En Evoke Security Networks (ESN), como MSSP (Proveedor de Servicios de Seguridad Gestionados), manifestamos nuestra posición respecto a lo sucedido con Crowdstrike y el Pantallazo Azul (BSOD), y que nos permiten brindar un servicio crucial, crítico y estratégico en el entorno de la ciberseguridad.
Hemos realizado una revisión profunda de la situación ocurrida en días pasados con la actualización de Crowdstrike; y aunque no tenemos relación con esta marca, estamos inmersos en el mundo de la ciberseguridad y esto nos obliga a manifestar una posición franca que brinde a quienes estamos en el medio, la consciencia de que hoy la ciberseguridad es altamente compleja y necesita una visión muy integral para no quedarnos cortos con una evaluación superficial.
Dijo Joe Levy, CEO de Sophos, en LinkedIn: “Para aquellos de nosotros con la piel en el juego de vivir en el núcleo, probablemente nos haya sucedido en un momento u otro, y cualesquiera que sean las medidas de precaución que tomemos, nunca somos 100% inmunes.” Estamos en el negocio de gestión de riesgos.
Este tipo de eventos impacta las bases de la ciberseguridad y nos abre a interrogantes que debemos hacernos con cuidado, porque este evento que hoy pone en la palestra a una marca, pudo haber puesto cualquier otra que esté detrás de los servicios de contención de amenazas. Esperamos una pronta recuperación de los servicios de aquellos afectados.
A nuestros clientes les han surgido algunas preguntas que queremos hacernos cargo de contestar, entendiendo el entorno desafiante en el que estamos:
1. ¿Qué cobertura tienen los clientes de ESN como MSSP?
2. ¿Por qué nos apalancamos en Sophos para nuestros servicios?
3. ¿Qué vector deben cubrir las empresas en paralelo para no afectar sus operaciones?
1. ¿Qué cobertura tienen los clientes de ESN como MSSP?
La posibilidad de que esto pueda pasarle a cualquier marca es un hecho. Por eso en ESN brindamos el Servicio de Disaster Recovery as a Service. Ante una situación así, una empresa podría hacer un failback, haciendo que la afectación sea momentánea y perdiendo únicamente 15 minutos de información crítica que respaldamos en tiempo real, y con una velocidad de recuperación de minutos
2. ¿Por qué nos apalancamos en Sophos para nuestros servicios?
Al igual que Crowdstrike, pudo pasarle a Sophos o cualquier otro fabricante; sin embargo, estos son los protocolos que permiten reducir el riesgo de impacto por parte de la marca:
Después de haber proporcionado soluciones líderes de protección durante más de tres décadas y haber aprendido muchas lecciones de incidentes pasados de Sophos y de la industria, Sophos cuenta con procesos y procedimientos sólidos para mitigar el riesgo de interrupción del cliente. Sin embargo, ese riesgo nunca es cero.
A. En Sophos, todas las actualizaciones de productos se prueban en entornos internos de control de calidad especialmente diseñados antes de lanzarse a producción. Una vez en producción, las actualizaciones del producto se publican internamente para todos los empleados y la infraestructura de Sophos en todo el mundo.
B. Solo una vez que se completen todas las pruebas internas y Sophos esté satisfecho de que la actualización cumple con los criterios de calidad, la actualización se lanzará gradualmente a los clientes. El lanzamiento comenzará lentamente, aumentando en velocidad y escalonado entre la base de clientes.
C. Los lanzamientos de contenido a los clientes se organizan como parte de los controles de calidad continuos de Sophos, y se monitorea y ajusta los lanzamientos en función de la telemetría según sea necesario.
D. La telemetría se recopila y analiza en tiempo real. Si hay un problema con una actualización, solo una pequeña cantidad de sistemas se verán afectados y Sophos puede revertirla muy rápidamente.
E. Opcionalmente, a nuestros clientes podemos controlarles las actualizaciones de productos Sophos Endpoint (no las actualizaciones de protección) mediante la configuración de la política de gestión de actualizaciones, con la capacidad de programar el día y la hora en que deben realizarse las actualizaciones.
3. ¿Qué vector deben cubrir las empresas en paralelo para no afectar sus operaciones?
“Stuff happens”, y cuando pasa, sencillamente pasa, entonces no debemos perder de vista que el riesgo de que algo ocurra y afecte nuestras operaciones críticas está siempre latente. Entonces, aunque definitivamente hay una afectación de parte del proveedor, debemos preguntarnos: ¿Estamos listos para la recuperación cuando pase un infortunio, o un ataque real?
Quienes cuentan con soluciones de DRaaS es posible que en cuestión de minutos hayan recuperado sus operaciones; quienes no, sufrieron consecuencias económicas y reputacionales. La ciberseguridad tiene altos niveles de complejidad y está en constante cambio.
Estamos seguros de que los fabricantes hacen grandes esfuerzos para evitar situaciones como éstas; de la misma forma, debemos ser conscientes de que existe la forma de tener capacidad de recuperación; sin embargo, esto muchas veces no es tomado en cuenta por las organizaciones que enfrentan situaciones producto de su inacción y su falta de previsión.
Esperamos que Crowdstrike y sus clientes se recuperen satisfactoriamente, y de la misma forma que esto se convierta en un análisis estratégico en el corazón de cada empresa, porque no es que puede pasar otra vez, es un hecho que situaciones como estas van a suceder nuevamente, lo que no sabemos es cuándo.
¿Estás listo? Si no, contáctanos. Nos especializamos en lograr Continuidad de Negocio con énfasis en ciberseguridad.
Comments