Que no te ocurra!!!
¿Conoces a alguien que haya sido víctima de un Ciberataque?
¿Conoces a alguna Empresa que haya sido víctima de un ciberataque, comprometiendo seriamente su actividad?
Mesa Familiar participa en diversas Juntas Directivas y Asesoras y recientemente hemos visto muy de cerca esta realidad que a veces solemos descartar porque nos parece lejana o que nunca nos pasará a nosotros.
Desde comienzos de Abril, uno de nuestros clientes más importantes, que tiene más de 80 puntos de venta y de cuya Junta hacemos parte, ha sido víctima de un ataque cibernético.
Por fortuna, en la actualidad han superado parcialmente la contingencia, pero las afectaciones son gigantes, en términos de continuidad de negocio y riesgo reputacional. Es un daño del que tardarán mucho tiempo en reponerse.
Así que queremos darles más información acerca de lo sucedido, para que no sea una anécdota más y, ojalá, ayudemos a evitar que les suceda a ustedes en sus empresas. Los ataques cibernéticos están a la orden del día y todos debemos ser cuidadosos y responsables.
El Ataque cibernético que sufrió nuestro cliente
No somos expertos en temas tecnológicos, así que narraremos a continuación la información que hemos recibido.
El ataque se dió desde un equipo que logró vulnerar los servidores, aparentemente a través de phishing, logrando capturar un usuario del equipo de tecnología en desuso (retirado de la compañía 15 días antes del ataque), que tenía permisos de administrador, permitiendo a los atacantes ejecutar los programas de encriptación sobre los servidores.
Con el fin de no permitir la recuperación, los atacantes ingresaron al servidor ServBackup donde se encuentra la consola de backup para los backups locales y los backups de nube. El procedimiento de los atacantes fue borrar los discos externos conectados y los backups en nube.
Las razones por las cuales los atacantes lograron vulnerar la seguridad implementada en la compañía son:
- Falta de conciencia y cuidado de los usuarios (alguien abrió un email contaminado, o phishing, que permitió el ingreso del virus).
- Fallas en el control de manejo de permisos de Administrador.
- Falla en procedimiento de backup.
- Proyectos definidos para mitigar riesgos en la seguridad de la información sin presupuesto asignado.
- Brechas en el perfil ideal para cargos críticos en tecnología.
- Un Servidor desactualizado desde octubre de 2023.
¿Cómo se ha venido superando la contingencia?
- Implementación de un comité de crisis permanente desde donde se gobierna la situación: definición, coordinación, priorización y articulación.
- Claridad de las acciones a implementar, con un sola voz de mando.
- Seguimiento en ciclo corto (minuto a minuto).
- Activación de los planes de contingencias: venta, facturación manual previa aprobación de la DIAN, gestión de compras e inventario, control de la tesorería.
- Reseteo de todos los equipos de cómputo de la compañía y declaración de vacaciones generales para los empleados administrativos (con el fin de identificar y controlar el virus implantado).
- Bajada de backup.
- Puesta en producción en nube.
- Implementación de los servicios más cruciales.
- Blindaje de red, dada por el proveedor antivirus.
- Reubicación de los forti
- Envío de los discos borrados para recuperación de información.
En marcha
- Adecuación en tierra para ERP.
- Adecuación fortalecimiento seguridad.
- Adecuación red corporativa.
- Recuperación servicios adicionales.
Nuestra reflexión
Este tipo de situaciones las vemos lejanas, pero están ocurriendo y mucho, y su impacto puede ser devastador.
Desde las Juntas Directivas / Juntas Asesoras debemos:
- Tener en la agenda anual un espacio para el tema de protección frente a ataques internos y externos a los sistemas de información.
- Tener un Mapa de Riesgos de la Compañía donde este tema sea visibilizado.
- Exigir que Revisoría Fiscal y Auditoría Interna articulen su planes de trabajo para mitigar / gestionar este riesgo de continuidad de negocio (visibilizado desde el Mapa de Riesgos).
- Exigir a la Gerencia la definición de un plan de contingencia para cuando ocurra este tipo de situaciones y evitar que si se materializan no sea catastrófico para la compañía.
- Exigir a la Gerencia un Plan integral de gestión y control* a uno de los activos más importantes de las compañías… su información, donde la cultura del autocontrol se vuelve el factor crítico.
*Este plan debe entender que la información de la compañía puede ser robada / secuestrada por externos o manipulada, adulterada o eliminada por los empleados. ¿Se imaginan empleados borrando inventarios o carteras por cobrar?
Queremos destacar que todas estas recomendaciones fueron implementadas por la Gerencia General pero, aún así, la Compañía fue atacada y lograron vulnerar sus sistemas. Esto nos lleva a la recomendación de que es ideal completar lo anterior con el establecimiento de programas externos de “Hackers Éticos” que buscan fallos en los sistemas para hacer evidentes las fallas o vulnerabilidades y mejorarlas.
Nuestro cliente estuvo 7 días sin poder operar, y hoy, un mes después, está al 70%. ¿Cuánto cuesta esto?