Actividad para el

alumno – Caso de
Estudio II

Boris Bernal Lavarreda Zimeri

Carnet: 20005470

1 September 1, 2021
Caso de Estudio
NTI y otras 2 empresas de telecomunicaciones (AstraQom y Bell Canada), aparecieron en los archivos de Edward Snowden y fueron
espiados por la Agencia Nacional de Seguridad (NSA). NTI aún no está segura de cómo pudo suceder y decidieron contar con una enorme
campaña de concientización interna distribuida a lo largo de varios meses, y combinada con técnicas de ingeniería social, cumplimiento
de las políticas de seguridad y continuidad del negocio, y técnicas de phishing.
NTI descubrió que la Política Corporativa de Seguridad de la Información y Continuidad de Negocio era bien conocida por los miembros
de las organizaciones, pero aún no sabe hasta qué nivel de granularidad debería llegar para las otras políticas.
El Departamento de Marketing lanzó un canal de YouTube el cual fue manejado por un responsable externo pero utilizando su propia
cuenta de Gmail. Cuando dejó la empresa para irse a otro país, nadie sabía la contraseña y cómo recuperar el acceso a la cuenta.
En los últimos meses:
• Se ha detectado un ransomware en las instalaciones de Súplex, sobre varios equipos terminales (endopoints), y los servidores del
almacenamiento también recibieron el código malicioso. Los códigos fuentes del algoritmo de compresión y de las interfaces VOD
por suerte se encuentran en dos servidores de almacenamiento diferentes y en dos redes diferentes. Un trascendido aparece en la
prensa donde se menciona que Suplex recibió una oferta pública de adquisición por parte de NTI. Después de un par de días, un
grupo de hackers activistas amenazan a Suplex para que libere el código fuente de la interfaz VOD en GitHub. Si esto sucede, NTI
perdería los beneficios de haber adquirido a Suplex, y probablemente Suplex perdería también mucho dinero. A la fecha, el código
no ha sido liberado en GitHub y Suplex, ha sido adquirida por NTI, siguen operando desde sus instalaciones.
• Se ha detectado un fraude debido a una llamada perdida mediante la Red Móvil de NTI. Los clientes reciben una llamada perdida,
cuando devuelven la llamada al remitente son redirigidos a un número Premium. Se necesitaron varios meses para identificar el
problema, porque no todos los clientes reaccionaron, la mayoría de ellos estaban pensando que hacían un uso indebido de su móvil
o porque era utilizado por sus niños. Es así que cuando NTI comenzó a perder clientes por sus costosas tarifas, entonces analizaron
en profundidad la causa raíz del problema. El CISO llamado Charles Murray solicitó una rápida intervención y decidió tratar este

2| | September 8, 2021Postgrado en Auditoría de Sistemas - Plan de Continuidad del Negocio

Caso de Estudio
incidente de forma interna junto a dos Administradores de Redes. Designó a la servicio de asistencia técnica para coordinar la
información.
• Un ingeniero de I+D reinstaló su portátil nueva que venía instalada con Windows 10, con una versión de Windows 8 ya que algunos
de sus programas de software instalados ya no estaban funcionando sobre Windows 10. El programa de Antivirus de base que venía
con Windows 10 fue sustituido por un Antivirus gratuito ya que ni el empleado ni NTI querían pagar por este tipo de software. El
Oficial de
Seguridad de Redes ya se quejó ante el CISO acerca de la situación y no quería ser responsable de nuevo por las estaciones terminales
(endpoints) del Departamento de I+D. Se ha registrado un incidente de seguridad pero el CISO tiene dificultades para validar, por
parte de la Junta Directiva y de la unión de las empresas, la nueva política para las estaciones terminales (endpoints). Recursos
Humanos también piensa que una Política para las estaciones terminales (endpoints) sería un escollo para poder alcanzar su objetivo
de obtener el Premio.
Sucedió en uno de aquellos días:
• El centro de servicio de asistencia técnica recibe en promedio 1500 llamadas por día. Parece que este número se redujo a 1000 y 500
en sólo dos días. No se ha detectado ningún incidente de seguridad ni se ha informado. NTI comienza a recibir reclamos de clientes
pre-pago desde la recepción de la propia empresa. Explican que cuando llaman al número gratuito de servicio de asistencia técnica
son redirigidos a un número premium el cual les consume todo el crédito en cuestión de minutos. El CISO analizó el incidente con el
equipo de redes - descubrieron una vulnerabilidad potencial en el sistema operativo que se ejecuta en los servidores que gestionan
el Redireccionamiento de Llamadas (conexión remota mediante una cuenta genérica), pero no han encontrado ningún rastro del
atacante en su Sistema de Información. Tienen demasiada información que no pueden correlacionar.
• Un grupo de hackers publicó en redes oscuras (Darknet) la base de datos completa de los clientes con sus contraseñas, y datos
privados. NTI notificó a todos los clientes a través del equipo de marketing mediante una campaña de correo electrónico específico y
restablecieron todas las contraseñas de cliente con caracteres aleatorios de modo tal que los clientes necesitan cambiarlo en el

3| | September 8, 2021Postgrado en Auditoría de Sistemas - Plan de Continuidad del Negocio

Caso de Estudio
primer inicio de sesión en el sitio Web. Ningún incidente ha sido registrado y NTI decidió no revelar esta información públicamente
por el momento (durante las investigaciones del incidente).

• Ante esta situación, presentada la alta gerencia solicita apoyo al equipo de Auditoria para que
pueda realizar un diagnostico de la situación y en base a ello otorgar recomendaciones. El DEA/CAE
del equipo de Auditoria selecciona 02 equipos de trabajo uno enfocado a
temas de seguridad y otro en temas de continuidad del negocio, usted en
este caso pertenece al equipo de continuidad del negocio.

• En ese sentido se pide lo siguiente:

1. Mencione 03 aspectos importantes que fallaron o faltan mejorar
relacionados a continuidad de negocio
• Considero que le falto definir en su plan de continuidad de negocio un escenario de
los impactos que tendrían con este tipo de incidentes, dado que el no tener esta
claridad fue lo que permitió que el impacto del incidente fuera grande.
• Asegurarse de proteger la información y los derechos de los clientes interesados quienes depositan la confianza
en NTI.
• Incluir un impacto en el plan de continuidad donde se de claridad de que sucedería con incidentes similares.

4| | September 8, 2021Postgrado en Auditoría de Sistemas - Plan de Continuidad del Negocio

Caso de Estudio

2. Mencione 03 recomendaciones asociadas a los aspectos que fallaron, que daría a la alta
gerencia.
• Solicitar al departamento de TI sobre las tecnologías que actualmente se adquirieron para detener ataques de
ramsonware, y que se realice un escenario de pruebas y mejora continua para evitar efectos de este tipo de
ataques.
• Blindar la red de comunicaciones con software especiales para proteger la intrusión.
• Delegar autoridad a su CISO para proceder al momento inmediato para así proteger la información.
•
3. De acuerdo a su criterio que planes de continuidad de negocio se debieron activar.
• En cualquier organización es necesario proteger los principales procesos de negocio a través de un conjunto de
tareas que nos permita recuperarnos tras un incidente grave en un plazo de tiempo que no comprometa nuestra
continuidad. De esta forma, se garantiza que se puede dar una respuesta planificada ante cualquier fallo de
seguridad. Esto repercutirá positivamente en el cuidado de nuestra imagen y reputación como empresa, además
de mitigar el impacto ocasionado por la pérdida de información crítica ante estos incidentes. ¡Asegura la
continuidad de tu negocio, protege tu empresa! Lo cual me hace considerar que se debieron activar el Plan de
continuidad de TIC y plan de comunicación de crisis

5| | September 8, 2021Postgrado en Auditoría de Sistemas - Plan de Continuidad del Negocio