Como a ISO 27001 pode ajudar a proteger sua organização contra ransomware?

Advisera Carla Bouca Carla Bouca
novembro 16, 2016

Ransomware é um software malicioso sofisticado que bloqueia o acesso do usuário aos seus arquivos através do uso de criptografia. Os atacantes pedirão por um resgate para liberar o computador infectado. Embora o ransomware já seja um conhecido método de ataque há muito tempo, ele ainda está muito em uso – ainda não existem defesas que podem eliminar 100% desta ameaça.

A proteção contra este software malicioso envolve um conjunto de camadas de segurança. Organizações deveriam olhar não só para a tecnologia, mas também para as pessoas e processos como formas de solução. A implementação da ISO 27001 pode ajudar a combater esta ameaça sofisticada e viral aos nosso dados.

O que é um ransomware?

Existem vários tipos diferentes de ransomware, mas em termos gerais as características são:

  • Ele usa criptografia sofisticada de forma que a vítima não possa desbloqueá-lo.
  • Ele exibe uma mensagem para a vítima informando a elas que seus dados foram criptografados e eles terão que pagar um resgate para poder recuperar os arquivos.
  • Ele solicita pagamento em Bitcoins, porque este tipo de moeda não pode ser rastreada.
  • Normalmente, o resgate tem que ser pago em um curto período de tempo e aumenta se ele não é feito. Após o fim do prazo, os dados serão destruídos.
  • Proteção tradicional por antivírus não pode detector este tipo de software malicioso.
  • Ele pode se espalhar para outros PCs conectados em uma rede local, diretórios em rede, ou arquivos armazenados na nuvem.

A origem deste software malicioso é uma estrutura de crime organizado que é tecnologicamente evoluída, e ela envolve grandes quantias de dinheiro. Não é suficiente instalar software antivírus contra esta ameaça. Aqui está como a norma ISO 27001 pode ajudar a combatê-lo:

Camadas de segurança

A mais eficaz forma de ser capaz de combater o ransomware, assim como qualquer software malicioso, é a implementação de camadas de segurança que atrapalham a exploração de diferentes vulnerabilidades que cada organização pode ter. Exemplos de tais camadas incluem:

A implementação da ISO 27001 provê um conjunto de controles que cobrem todas estas camadas.

Controles do Anexo A da ISO 27001

O Anexo A contém uma lista de controles que são selecionados como resultado da avaliação de riscos, permitindo o tratamento para mitigar este risco. Leia o artigo Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas para saber mais sobre a avaliação de risco. Estes são alguns dos controles que ajudam você a se proteger contra ransomware:

  • Controle A.7.2.2 (conscientização, educação e treinamento em segurança da informação) – Este controle assegura que “todos os empregados recebam conscientização, educação e treinamento adequado e atualizações regulares nas políticas e procedimentos organizacionais”. Sem treinamento apropriado, não existe tecnologia resistente o suficiente a ameaças de ransomware. A exploração deste software malicioso pode ser causada por ações de engenharia social, links maliciosos em mensagens de e-mail, ou anexos enviados por contatos conhecidos. Empregados precisam se preparar para estarem atentos a estes ataques. Leia o artigo 8 Práticas de Segurança para Usar em seu Programa de Treinamento e Conscientização para Empregados e Como realizar treinamento e conscientização para a ISO 27001 e ISO 22301 para saber mais.
  • Controle A.12.4.1 (Registro de eventos) – Como mencionei, este é um software malicioso sofisticado. A análise do comportamento do Sistema pode ser crucial para sua detecção em tempo hábil. Este controle sugere não apenas a criação de logs de evento, mas também revisões regulares. Leia o artigo Logging and monitoring according to ISO 27001 A.12.4 para saber mais sobre este controle.
  • Controle A.12.3.1 (Cópia de segurança de informações) – Como descrito nos objetivos deste controle, “Cópias de segurança …devem ser realizadas e testadas regularmente”. O ransomware tem a habilidade de se espalhar por diretórios de rede e cópias de segurança. A validação destas cópias é essencial para assegurar o sucesso da restauração quando necessário.
  • Controle A.12.6.1 (Gestão de vulnerabilidade técnicas) – O conhecimento de vulnerabilidades do sistema é essencial para se proteger contra este ou qualquer tipo de ameaça. Leia o artigo Como gerenciar vulnerabilidades técnicas de acordo com o controle A.12.6.1 da ISO 27001 para saber mais sobre este controle.
  • Controle A.13.1.3 (Segregação de redes) – a rápida proliferação da criptografia de arquivos na rede causada pelo ransomware pode ser contida se a rede é organizada por segmentos, ao invés de estar acessível todos juntos. Leia o artigo Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001 para saber mais sobre este controle.
  • Controle A.12.2.1 (Controles contra softwares maliciosos) – Mesmo assim, não é possível prevenir todo tipo de software malicioso que pode atacar uma organização, mas software antimalware está melhorando no reconhecimento e combate a ataques de ransomware.

A evolução do ransomware

A evolução do ransomware é prevista pelos especialistas como sendo o maior e mais eficaz ataque em nossos sistemas em todos os tempos. É uma batalha sem fim, e é por isso que recomendamos que você foque na prevenção, implementação de estrutura de segurança da informação, e melhoria contínua. A seleção de controles da ISO 27001 é baseada em análise de riscos definida pela organização de forma a proteger a confidencialidade, integridade e disponibilidade das suas informações. Os riscos associados com software malicioso terão que ser contemplados na análise de riscos, de forma que os controles sejam adequados para combater de forma eficaz a ameaça de ransomware. A ISO 27001 não foca apenas em controles de IT, mas também em controles para assegurar a conscientização de todos os empregados, técnicos ou outros, sobre softwares maliciosos. Adequadamente alinhada com estas ameaças, a ISO 27001 é a ferramenta ideal para proteção contra ransomware ou qualquer outro tipo de software malicioso.

Para saber mais sobre controles de segurança na ISO 27001, e obter idéias sobre como usá-los para combater ransomware, por favor veja nosso treinamento online gratuito:  ISO 27001:2013 Foundations Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Tag: #ISO 27001
Post anterior Segregação de funções em seu SGSI de acordo com a ISO 27001 A.6.1.2
Próximo post Estudo de caso da ISO 22301 no setor de viagens: Continuidade do Negócio como uma necessidade no atendimento ao cliente

Próximo webinar grátis

Advisera Carlos Pereira da Cruz
Apresentador
Carlos Pereira da Cruz
How to Perform an ISO Internal Audit
Quinta-feira – 2 de maio de 2024
Registrar agora

Suggested reading

Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001
by Rhand Leal
Classificação da Informação de acordo com a ISO 27001
by Dejan Kosutic
Política de mesa limpa e tela limpa – O que a ISO 27001 requer?
by Rhand Leal