ITSEG CONSULTORES ESPECIALIZADOS

RESULTADOS PRELIMINARES AUDITORIA DE SEGURIDAD

PRINCIPALES ACTIVOS DE INFORMACIÓN IDENTIFICADOS

 3 datacenters ubicados en Brasil – Son importantes porque sobre ellos esta la operación crítica para la
prestación de servicios de NTT.
 Software CRM – Por tener toda la base de información de los clientes, siendo el insumo más importante
para la operación comercial
 Base de datos de clientes – Por ser la información de los clientes, teniendo información privada y sensible.
 Algoritmos de compresión – Por ser parte del know how de la compañía además de ser una ventaja
competitiva.
 Canal de Youtube y demás redes sociales – Por ser un medio por el que se maneja mucha información
comercial, además de ser un medio de manejo de imagen de la compañía.
 2 diferentes programas para atención de incidentes de la mesa de servicio (interno/ clientes) – por
manejar la información de los incidentes de los clientes, siendo información sensible y de carácter
privado.
 Contraseñas de acceso – Se evidencia en muchos niveles del análisis que hace falta la implementación de
políticas de acceso y manejo de contraseñas.

POLÍTICAS POR IMPLEMENTAR

 Política de control de acceso
 Política de uso adecuado de recursos tecnológicos
 Política de tratamiento de datos personales
 Política de control criptográfico
 Política de desarrollo seguro

ANÁLISIS DE RIESGOS
Situación Vulnerabilidad Amenaza C I D Impacto
Potencial
Los datacenter sobre lo que Ubicación en la misma Fenómenos X Perdida del servicio por
se soporta la operación están área (sin backup) meteorológicos, falta de acceso
ubicados en el mismo punto catástrofes naturales,
geográfico pérdida de suministro de
energía

El CISO quiere implementar el
CSIRT pero no cuenta con
presupuesto asignado para
esto
Ausencia del personal, Incumplimiento en la X X X Puede dar cabida a
entrenamiento disponibilidad del ataques por falta de
insuficiente en personal personal de respuesta
seguridad y falta de calificado
conciencia acerca de
la seguridad
Los oficiales de seguridad de
redes pueden acceder a
cualquier equipo, y manejan
los ingresos a todas las
aplicaciones
Los empleados tienen acceso
a teletrabajo desde sus
dispositivos personales y
acceso sin límites a redes
sociales dentro de la
organización
No hay segregación de redes
Pruebas de nuevas
herramientas sin el
consentimiento de los
administradores de seguridad
La mesa de ayuda maneja dos
programas diferentes para
atención de incidentes
(interno/externo)
Contraseñas no encriptadas
información confidencial en
archivos de Edward Snowden
Cuenta personal de Gmail
para canal de YouTube
Gestión deficiente de Abuso de derechos X X Compromiso de la
las contraseñas. información confidencial
alojada en los equipos de
cómputo
Uso incorrecto de Hurto de equipo X Filtración o pérdida de
software y hardware información por falta de
Divulgación
control en el manejo de la
Falta de políticas para
información por parte de
el uso correcto de los
los empleados en equipos
medios de
propios
telecomunicaciones y
mensajería.
Conexión deficiente
Arquitectura insegura Espionaje X X Filtración de información
de la red por acceso no autorizado
Acceso no autorizado
Uso incorrecto de Error en el uso X X X Pruebas inseguras de
software y hardware desarrollos que pueden ser
Errores y omisiones no
aprovechadas por ataques
Falta de mecanismos intencionales
que exploten las
de monitoreo
vulnerabilidades
Falta de conciencia de planteadas
la seguridad
Uso no controlado de Error en el uso de las X Posible duplicidad de
software herramientas información, sin garantía
de que la información
Falta de control en el
almacenada sea correcta
manejo de la
información de
incidentes
Gestión deficiente de Falsificación de derechos X X X Posible acceso no
las contraseñas autorizado por extracción
de la contraseña en
paquetes no encriptados
Ubicación el Divulgación de X     Divulgación de
almacenamiento información sensible de información privada
inseguro la compañía
Gestión deficiente de Divulgación X  X  Divulgación por uso
las contraseñas indebido de la información
Uso no autorizado de los
por terceros
Uso correcto de los datos
medios de
telecomunicaciones y

Código malicioso en los
servidores
mensajería.
Falta de mecanismos Hurto de medios o X X X Pérdida o secuestro de
de monitoreo documentos información causadas por
establecidos para las una inminente intrusión
brechas de seguridad

Fraude en llamadas en Red Líneas de  Interceptación de     X Redireccionamiento

Móvil NTT comunicación sin señales inadecuado de llamadas
protección por interceptaciones
maliciosas

Antivirus gratuito (Equipos en
Windows 8)
Sistema operativo Uso de software falso, X X X Afectación por código
desactualizado copiado o gratuito malicioso.
Antivirus Eventuales problemas
desactualizado o no legales por uso no
eficiente autorizado de software

CONTROLES FALTANTES (ISO27001 - ANEXO A)

 Se evidenció que cualquier trabajador interno o externo podría tener acceso al software de datos.
o A.9.4.5 – Control de acceso a códigos fuente de programas: Relacionada con el control de acceso
a código fuente de programas, se detecta en las auditorias que no se aplicó el correspondiente
control en cuanto al acceso a software o código fuente en la compañía.
 Se evidenció que hay una falta total de registros de personas que entran y salen del departamento de
R&D de la organización.
o A.9.1.1 – Política de control de acceso: El cual consiste en establecer, documentar y revisar una
política de control de acceso con base en los requisitos del negocio y de seguridad de la
información, esto con el fin de que haya registros y controles de las personas que ingresan a las
distintas áreas de la compañía, y como se menciona en el ejemplo, una área tan importante
como es la de investigación y desarrollo la cual maneja información muy valiosa.
o A.11.1.1 – Perímetro de seguridad física: El cual consiste en definir y usar perímetros de
seguridad, para proteger áreas que contengan información confidencial o critica, e instalaciones
de manejo de información, ya que las personas pueden entrar y salir sin tener registros de esto.
o A.11.1.2 – Controles de acceso físicos: Que consiste en proteger las áreas seguras, mediante
controles de acceso apropiados, para asegurar que solo se permite el acceso a personal
autorizado, y como vimos en el ejemplo, no se tienen registros de quien entra y sale al área R&D
o A.12.4.1 – Registro de eventos: Que consiste en elaborar, conservar y revisar regularmente los
registros acerca de actividades del usuario excepciones, fallas y eventos de seguridad de
información, dado que en el ejemplo nos dicen que no se lleva ningún tipo de registro
 Se evidenció que no existe una política de gestión de acceso.
 o A.9.1.1 – Política de control de acceso: no se cuenta con una política de control de acceso
debidamente establecida, documentada y revisada, y para redactar esta política se deben tener
en cuenta los objetivos de la organización. Para la realización de esta política se debe tener en
cuenta toda la información que se debe proteger y los respectivos accesos de todos los usuarios,
ya que no existen controles a raíz de la falta de la política. Además, esta política debe ser
compartida con los miembros de la organización interesados con el fin que estén enterados de la
misma.
o A.9.1.2 – Acceso a redes y a servicios de red: se debe contar con segregación de red, y contar con
un control documentado con el fin de que el acceso a ciertos segmentos de red sea controlado y
así mismo documentado, esto de acuerdo con lo mencionado en el anexo 9.1.2. Dentro de esta
política, se requiere contar con un documento el cual debe ser diligenciado cada vez que se
requiera acceso de algún tipo, bien sea de red o de privilegios, así se llevan registros y controles a
los privilegios que se brinden en la organización.
 Se evidencio que no había identificación para los empleados que trabajan como contratistas.
o A.7.1.2 – Términos y condiciones del empleo: Antes de asumir el empleo el cual consiste en los
acuerdos contractuales con empleados y contratistas deben establecer responsabilidades de la
organización. De igual manera se incumple con él ya que la misma dirección debe exigir la
aplicación de las políticas y procedimientos que se deben aplicar en la empresa.
o A.7.2.1 – Responsabilidades de la dirección: Todos los empleados de la organización en donde
sea pertinente los contratistas deben recibir la educación y formación y actualización regulares
sobre las políticas y procedimientos de la organización pertinente para el cargo
 Se evidencio que los empleados tenían acceso a cualquier computadora, ya que tenían las contraseñas de
todos los sistemas de seguridad.
o A.6.1.2 – Separación de deberes: Se deben separar los deberes de los roles que tengan contacto
con sistemas informáticos para reducir las posibilidades de modificación no autorizada o no
intencional, o el uso indebido de los activos de la organización
o A.9.1.1 – Política de control de acceso: Se debe establecer, documentar y revisar una política de
control de acceso con base en los requisitos del negocio y de seguridad de la información,
evitando que todos los empleados tengan acceso total.
o A.9.1.2 – Acceso a redes y a servicios de red: Se deben establecer perfiles de acceso y luego de
eso solo se debe permitir acceso de los usuarios a la red y a los servicios de red para los que
hayan sido autorizados específicamente.
o A.9.2.1 – Registro y cancelación del registro de usuarios: Luego de segregar las funciones y
asignar perfiles y usuarios se debe implementar un proceso formal de registro y de cancelación
de registro de usuarios, para posibilitar la asignación de los derechos de acceso.
o A.9.2.2 – Suministro de acceso de usuarios: Se debe implementar un proceso de suministro de
acceso formal de usuarios para asignar o revocar los derechos de acceso para todo tipo de
usuarios para todos los sistemas y servicios.
o A.9.4.1 – Restricción de acceso a la información: El acceso a la información y a las funciones de
los sistemas de las aplicaciones se debe restringir de acuerdo con la política de control de acceso.

ANÁLISIS DE INCIDENTES PRESENTADOS

 NTT y otras dos compañías de telecomunicaciones aparecieron en los archivos de
Edward Snowden y fueron espiados por la NSA.
Lecciones aprendidas
o Realizar campañas de sensibilización de seguridad a tiempo, acción que ya
fue tomada por la empresa.
o Cumplir a cabalidad con las políticas de seguridad establecidas.
o Ser estrictos con el manejo y acceso a la información altamente sensible.
o Es bastante importante tener implementado un SGSI.

Sugerencias de mitigación

o Aparte de las campañas de sensibilización, se debe comprometer con el SGSI

a toda la organización.
o Es muy importante que a la mayor brevedad se implemente un SGSI, que
cuente con políticas fuertes de seguridad y que se vele por su cumplimiento.

 NTT descubrió que la política de seguridad de la información era conocida por los
miembros de la organización, pero no sabían a qué nivel de granularidad llegar con
las otras políticas.
Lecciones aprendidas
o Es fundamental que toda la organización conozca la política de seguridad y
sus políticas y objetivos conexos, se establecen muchas campañas tendientes
a generar una cultura de apropiación de los empleados de la compañía, se
establecen diferentes mecanismos o técnicas para esta generación de cultura
corporativas, técnicas de juegos, premiaciones, iniciativas que busca la
participación de los colaboradores de la compañía.

Sugerencias de mitigación

o Si bien en este caso los colaboradores tenían conocimiento de la política de

seguridad de la información de la compañía, las fallas están en la forma como
se desconoció o no se mostró de forma adecuada a los colaboradores.
o Se recomienda el manejo de granularidad en la información digital, existen
muchos motores de base de datos que implementan mecanismos para el
control y filtros de granularidad enfocados en el manejo de mayor seguridad
sobre la información.

 El departamento de mercadeo creó un canal de YouTube, y era manejado por un

tercero con su cuenta privada de Gmail, al irse se perdió acceso al canal.
Lecciones aprendidas
o Dentro de la política de seguridad y los objetivos de esta en la organización,
el manejo de las credenciales es un activo de información de alta importancia,
por lo cual este debe estar debidamente custodiado y protegido por áreas
internas de la compañía, no solo para la garantía de la custodia, sino también
para su administración y buen uso.

Sugerencias de mitigación
 o El establecimiento de las políticas de control de cuentas o credenciales, para
las cuales debe haber un seguimiento especial y una medición del control en
su efectividad sobre esta.

 Se detectó un ransomware en las instalaciones de Suplex, una compañía adquirida

por NTT, y algunos hacktivistas hurtaron el código fuente del algoritmo de
compresión.
Lecciones aprendidas
o Si se van a realizar negocios con compañías externas, es muy importante
revisar que estas manejen de forma segura su información, ya que al realizar
acuerdos, compra, o integraciones, ellos van a manejar información que
puede ser de carácter sensible para ambas compañías.
o Es muy importante implementar el desarrollo seguro, con metodologías como
la de OWASP para minimizar las filtraciones de código fuente ya que esto es
un activo muy valioso.
o Los ambientes de desarrollo deben estar completamente aislados de los de
producción, para que en caso de un ataque, los códigos fuente de las
aplicaciones estén protegidos.
o Implementar un SGSI es muy importante, ya que como vimos en el ejemplo,
por una filtración, el valor completo de una compañía se puede comprometer.

Sugerencias de mitigación

o Antes de realizar negocios o acuerdos con otras compañías, es muy

importante revisar que sus procesos de manejo de información sean seguros.
o Aislar ambientes de desarrollo con los de producción, para minimizar riesgos
de filtración de códigos fuente.
o Implementación de un SGSI, para minimizar los riesgos asociados al manejo
de la información.

 Se detectó un fraude de llamadas perdidas usando las redes de NTT.

Lecciones aprendidas
o Es importante realizar pruebas constantes del sistema, para detectar
anomalías, como la que vimos en el ejemplo, que las llamadas eran
redireccionadas hacia otro operador, causando sobre costos en los clientes.
o La retroalimentación de los clientes es importante, ya que puede aportar
mejoras de los sistemas y detectar anomalías en estos, por tanto, es
importante tener un canal de comunicación con ellos.
o En incidentes grandes como el del ejemplo, no se debe dar únicamente
solución urgente y olvidarlos, hay que documentarlos y crear soluciones para
que no vuelvan a ocurrir.

Sugerencias de mitigación

o Realizar pruebas constantes de los sistemas ayudan a detectar anomalías o

mal funcionamiento de estos.
 o Documentar el incidente y buscar soluciones para que no vuelva a ocurrir.

 Un ingeniero de I&D degradó el sistema operativo de su equipo por compatibilidad de

una de sus aplicaciones, y le instaló un antivirus gratuito.
Lecciones aprendidas
o Cuando se realizan actualizaciones de software, muchas veces se realizan con
el fin de brindar protección a los sistemas, por lo que desactualizar un
software, como en este caso un Sistema Operativo, ya que deja brechas de
seguridad que pudieron ser descubiertas antes de la actualización, en este
caso a Windows 10.
o En una organización todo su Software debe ser licenciado y pagado
correctamente, el contar con Software gratuito, incrementa el riesgo de un
ataque al equipo, e incluso la empresa podría recibir acciones legales por el
uso de Software gratuito.
o Cuando no existen políticas claras sobre el uso correcto de los equipos de
trabajo se puede presentar que los usuarios realicen malas prácticas en sus
equipos, incrementando el riesgo de un ataque o de perdida de información.

Sugerencias de mitigación

o Si el usuario necesitaba estrictamente un equipo con Windows 8 para poder

trabajar, se le podía:
 Instalar una máquina virtual con Windows 8 en su estación de trabajo
que estuviera aislada de la red, y que por transferencia de archivos
manejara la información que necesitara para trabajar.
 Si los recursos de la estación de trabajo no le permiten correr
máquinas virtuales se podría facilitar un equipo con Windows 8
diferente, el cual se encontrará totalmente aislado de la red y de
internet para que el usuario trabajara en el mismo sin comprometer
los equipos en red o los sistemas de información de la organización.
o Implementar la compra de Software Antivirus para todos los dispositivos en la
organización y externos (en caso de que sea estrictamente necesario que los
usuarios trabajen en sus dispositivos personales, ya que esta práctica debe
ser evitada). Las compañías de Antivirus ofrecen precios especiales cuando se
requiere proteger a varios equipos, además de brindar beneficios como una
administración central o controles de navegación.
o Implementar una política clara, concisa y al alcance de todos, donde se
manifieste que los usuarios no pueden instalar Software de ningún tipo, ni
cambiar configuraciones de la estación de trabajo que se les entrega sin
previa autorización de las personas encargadas de la seguridad de la
información.

 Un empleado se quejó con TH de un Oficial de Seguridad en Redes que estaba

espiando sus conversaciones de mensajería instantánea.
Lecciones aprendidas
 o Las conversaciones empresariales no se deben manejar en aplicaciones de
mensajería instantánea, a menos que se cuente con una herramienta que
haya sido adquirida por la organización con fines de comunicación interna
entre usuarios, y tener una cuenta en aplicaciones de mensajería instantánea
a nombre de la organización no es garantía de que la información esté
protegida, ya que estas aplicaciones se dan la libertad de hacer con la
información de las conversaciones lo que deseen y al final el usuario autoriza.
o Estos actos de espionaje deben ser estudiados en profundidad, y determinar
el motivo de este, y así mismo ser contados como incidentes de seguridad.
Esto debido a que este tipo de espionajes en su mayoría de ocasiones no se
hacen con buenas intenciones.
o Cuando no se cuenta con acuerdos de confidencialidad estrictos, los usuarios
pueden realizar intrusiones no autorizadas, y usar la información tomada para
actuar de manera incorrecta.

Sugerencias de mitigación

o Evitar que las personas utilicen las aplicaciones de mensajería instantánea

para tener conversaciones internas y confidenciales, si se requiere el uso de
estas aplicaciones se debe cerciorar que no sea para compartir información
confidencial.
o Implementar acuerdos de confidencialidad donde se manifieste que el usuario
no podrá acceder a información privada o confidencial sin previa autorización
de la persona encargada de la misma, y de igual manera que no la compartirá
en caso de que la reciba.
o Concienciar a los usuarios sobre el correcto uso de la información y de la
prudencia en las conversaciones confidenciales, y sobre el uso de las
aplicaciones de mensajería instantánea.
o Implementar una herramienta que facilite de manera interna y
confidencialidad las conversaciones entre los empleados de la organización,
como por ejemplo Microsoft Teams.

 NTT descubre una vulnerabilidad potencial en el sistema operativo que se ejecuta en

los servidores que manejan la redirección de llamadas.
Lecciones aprendidas
o Monitorear constantemente los avisos de últimas vulnerabilidades conocidas o
que sean reportadas.
o Realizar pruebas de penetración para detectar posibles vulnerabilidades tanto
externas como internas.
o Mantener los sistemas informáticos siempre actualizados.

Sugerencias de mitigación

o Se debe limitar el acceso a la base de datos Sólo unos pocos usuarios deben
tener acceso a los datos sensibles y a los procedimientos importantes.
 o Se debe utilizar los últimos algoritmos disponibles para cifrar la información
ubicada en las bases de datos de los servidores.

 NTT identificó posibles técnicas de enumeración durante meses en la red.

Lecciones aprendidas
o Realizar campañas de seguridad a tiempo para informar a los usuarios de los
posibles riesgos.
o Realizar pruebas a los sistemas en búsquedas de posibles brechas.

Sugerencias de mitigación

o Se debe tener en conocimiento que puertos están expuestos.

o Se debe realizar un escaneo de puertos por parte de los administradores del
sistema para diagnosticar problemas en nuestras redes.

 Durante una junta de arquitectura mientras se exponía las virtudes de una nueva
herramienta de diseño, se evidenció que en las redes de producción se pueden los
usuarios y contraseñas de los consumidores de la página a través de esa
herramienta.
Lecciones aprendidas
o Las pruebas o demos no se pueden hacer en ambiente productivo.
o Se debe manejar encriptación de contraseñas para que no sean fácilmente
identificables con herramientas de análisis de paquetes.

Sugerencias de mitigación

o Debe haber una política de desarrollo seguro que incluya la separación de

ambientes para evitar hacer pruebas con bases de datos de producción.
o Para las pruebas que involucren datos de clientes se debe ofuscar la
información para evitar divulgar información real.
o Se debe implementar una política de acceso que incluya encriptar las
contraseñas de acceso a la página.

 Un grupo de hackers publicó un listado de los clientes, contraseñas de acceso e

información privada en la Darknet, para lo que NTT solamente envió un correo a sus
clientes para solicitar un cambio de contraseña y no se registró ningún incidente al
respecto.
Lecciones aprendidas
o Es estrictamente necesario que se registre en la bitácora de incidentes
cualquier incidente de seguridad de la información sea leve o grave.
o Es necesario fortalecer la seguridad de los servidores en los que se contiene
la información de los clientes para evitar fugas de información sensible.
o Las políticas de control de acceso deben involucrar el manejo de las
contraseñas por parte de los clientes.
 Sugerencias de mitigación

o Se debe registrar todo incidente presentado, sin importar su gravedad.

o Se debe realizar un trabajo de hardening en el acceso a los servidores en los
que se encuentran las bases de datos de clientes.
o Las contraseñas de acceso de los clientes deben manejar un nivel de
encriptación alto.
o Se debe solicitar cambio de contraseñas periódico a los clientes para mitigar
riesgos de seguridad en el acceso a sus cuentas.

MARCO LEGAL PARA LA IMPLEMENTACIÓN DEL SGSI

 Ley 594 de 2000 – Ley general de archivos, para la gestión documental de NTT.
 Ley 1266 de 2008 – Habeas data financiera, y seguridad en datos personales, porque NTT debe poder
conocer, actualizar o rectificar información financiera propia y de sus clientes.
 Ley 1273 de 2008 – Delitos Informáticos y protección del bien jurídico tutelado que es la información, por
manejar la información de clientes.
 Ley 1341 de 2009 – Tecnologías de la Información y aplicación de seguridad, por ser una empresa de
telecomunicaciones y manejar el espectro electromagnético.
 Ley 1480 de 2011 – Protección al consumidor por medios electrónicos Seguridad en transacciones
electrónicas, por la cantidad de clientes que maneja y por que pueden realizar pagos de facturación por
medios electrónicos.
 Ley 1581 de 2012 – Ley estatutaria de Protección de datos personales, por manejar datos personales de
sus clientes.
 Decreto 1704 de 2012 – Interceptación legal de comunicaciones, por ser una empresa de
telecomunicaciones.
 Decreto 1377 de 2013 – Protección de datos personales, por manejar datos personales de sus clientes.
 Decreto 886 de 2014 – Registro Nacional de Bases de Datos, por el manejo de la base de datos de sus
clientes.
 Decreto 1413 de 2017 – Acceso y uso de mensajes de datos, comercio electrónico y firmas digitales, por
ser una empresa del campo de las telecomunicaciones.
 Circular externa 029 de 2014 – Superintendencia Financiera, por