Estudio de Caso

Nice Telco Internacional

Introducción e Historia

NTI inició sus actividades como una empresa de telecomunicaciones en marzo de 1998.
Frank Bell y Christian Vodoski están en el origen del proyecto. Tras varios años de
negociaciones con angeles de negocios (business angels), también estaban buscando los
sitios adecuados para la construcción de varios Centros de Procesamiento de Datos con el
fin de brindar los servicios. El Gobierno canadiense les ayudó mucho a adquirir los
permisos de construcción para iniciar las operaciones a tiempo, siempre y cuando
estuvieran representados en la Junta Directiva.

Frank Bell fue promovido naturalmente a la función de CEO por la Junta, mientras que
Christian Vodoski asumió el cargo de Director de Operaciones. Ellos están en su lugar
desde hace casi dos décadas.

Desde los inicios de la empresa, NTI gozaba de cierto éxito comercial gracias a la excelente
cobertura de red a través de todo el país en comparación con sus competidores.

NTI fue un pionero de Internet, han incorporado la visión de Frank Bell que quería ver en
cada hogar una conexión a la cada vez más emergente red web mundial. Sus servicios
han evolucionado y ahora son una de las grandes industrias a nivel mundial en la
prestación de Servicios de Internet.

NTI ofrece servicios de Alta Disponibilidad a través de 3 Centros de Procesamiento de

Datos en Canadá y considerando construir otros 2 en América del Norte para soportar el
crecimiento de sus Servicios en la Nube. Más allá de los Centros de Procesamiento de
Datos destinados a soportar los propios servicios de NTI, ahora también quieren ofrecer
otro servicio a sus clientes al beneficiarse de su experiencia y madurez, y que se tratará
de la comercialización de Hosting/Housing/Tercerización dentro de sus Centros de
Procesamiento de Datos para propósitos de negocios del tipo B2B.

De esta forma, NTI quiere mantener una posición fuerte en el mercado, tanto para la
adquisición de nuevas cuotas de mercado, como también para evitar perderlas. Este es
un entorno altamente competitivo y el espionaje industrial por parte de otras agencias de
gobierno fue recientemente revelada. Por lo tanto, NTI decidió iniciar una gran campaña
de concientización y certificar sus operaciones mediante una Certificación bajo la Norma
ISO 27001 (Telecomunicaciones) y que ya fueron certificadas hace 2 años atrás. La alta
dirección está comprometida con la Seguridad de la Información. NTI es una
Infraestructura Crítica, y debe ser resiliente, por lo tanto se orientarán hacia una
certificación bajo la norma ISO 22301 y para ello han elegido establecer ambas

1
auditorías, tanto de la norma ISO 27001, como la de la norma ISO 22301, como un
Sistema Integrado de Gestión (IMS) con el fin de optimizar los pasos hacia la certificación.

Cuentan con un mercado masivo de millones de clientes y el aumento reciente de los

"Aspectos de Privacidad" y las normativas regulatorias mundiales introduce otro punto a
tener en cuenta dentro de su Programa de Ciberseguridad.

El Director de Seguridad de la Información (CISO), Charles Murray, quiere crear un

Equipo de Respuesta ante Incidentes (CSIRT) para ir un paso más allá con relación a la
Ciberseguridad, ya que es totalmente dependiente de su entorno, pero no ha recibido el
presupuesto necesario.

NTI aprobó un Plan de Política Ecológica para las operaciones de sus Centros de
Procesamiento de Datos.

CEO
Frank Bell

CISO
Charles
Murray

CTO Ingrid Servicio al

COO Christian RRHH Ventas Cumplimiento Mercadeo R&D
Henro cliente
Vodoski
(Telecomunica Christopher
ciones) Infraestructura Pago por GoodWill
Servicios de
crítica móvil
gestión

Telefonía (teléfono fijo,

TI Ecológico Video por Nube (híbrida,
móvil, de prepago,
(Green IT) Demanda privada)
pospago, VoIp)
en Phablets

Internet (ISP, Privacidad

B2B, B2C) TV en vivo
en Phablets
(TV Digital,
VOD)

COO (Christian Vodoski) también es jefe del departamento de Telecomunicaciones. Los

Oficiales de Seguridad de Redes tienen acceso a cualquier equipo ya que poseen las
contraseñas de todos los sistemas de seguridad.

Abarca los tres primeros productos y servicios de NTI.

Telefonía: línea fija, móvil, tarjeta SIM de prepago y pospago, VoIP (Voz sobre IP)

2
(Un Hecho Reciente: después de un ataque terrorista, el gobierno decidió vincular
sistemáticamente Tarjeta SIM de Prepago con la identidad del solicitante y así prohibir
cualquier Tarjeta SIM de Prepago anónima).

Internet: línea fija, móvil, tarjeta SIM de prepago y pospago, VoIP (Voz sobre IP)

TV: comenzaron con la TV analógica, aunque ahora ya ha sido reemplazada

completamente con la TV Digital.

Video por Demanda es el último producto de NTI, y donde el cliente puede comprar
películas, las cuales son cargadas de formal mensual a la cuenta del cliente.

El Departamento de RRHH quiere lograr obtener, en el 2016, el premio "Un Gran Lugar
para Trabajar". Están convencidos de que permitir el Teletrabajo y una gran autonomía a
los empleados, es un paso clave para alcanzar la felicidad en lugar de solo ofrecerles el
aumento salarial. Por lo tanto, la Junta Directiva aprobó permitirle a sus empleados que
puedan navegar en Redes Sociales (Linkedin, Facebook, Twitter, YouTube).

El Departamento de Ventas utiliza un software CRM en la nube provisto por un tercero

externo y así pueden tener acceso a sus datos desde sus propios dispositivos móviles.
Cuando los representantes de ventas se encuentran fuera de la oficina o bien en las
instalaciones de sus clientes, pueden crear rápidamente ofertas para dichos clientes con
los precios y condiciones actualizadas.

El Departamento de Cumplimiento se ocupa de toda la legislación específica vinculada

a la actividad empresarial tales como la Privacidad, TI Ecológica (Green IT),
Infraestructuras Críticas, etc.

El Departamento de Marketing se relaciona con redes sociales, trabaja con campañas

de nuevos productos y precios, ofertas con otras terceras partes tales como socios de
negocios para llegar al Usuario Final con los diferentes productos de la marca NTI.
También están a cargo de las distintas campañas de concientización hacia los clientes
(Phishing, Antivirus, Contraseñas). El Departamento de Marketing también está
encantado con la Junta Directiva sobre las nuevas decisiones para que los empleados
puedan utilizar las redes sociales y pueden pedirle a los empleados de transformarse en
representantes de la marca en las diferentes redes sociales. El Departamento de
Marketing tiene acceso directo a la Base de Datos de Clientes para enviarle campañas
específicas. Por su facilidad de uso y gracias a la nueva política de RRHH respecto del
Teletrabajo - pueden también enviar campañas desde su propio computador portátil
desde sus casas o por medio de dispositivos móviles, o desde su propia estación de
trabajo.

Antes de introducir un nuevo producto y/o servicio en producción es analizado por el

Departamento de Investigación y Desarrollo. No existe una segregación de redes y por
lo tanto la servicio de asistencia técnica o los Ingenieros de Infraestructura pueden tener
control sobre una estación de trabajo en caso de problemas o incidentes. El
Departamento de I+D también trabaja sobre algoritmos de compresión, Capacidades de
Alimentación de Antenas, 5G, Fibra Óptica, ... Este departamento es visto, por parte de
los demás, como si fuesen "artistas". Cuentan con un gran acceso a Internet, a fin de

3
probar nuevas herramientas/productos o software, pero sin el consentimiento de los
Administradores de Seguridad.

El Video por Demanda en Phablet y la TV en vivo en Phablet fueron desarrollados por

primera vez por NTI pero ambos proyectos han quedado en suspenso. NTI se centra ahora
en la adquisición de un competidor especializado en Algoritmos de Compresión. Este
competidor se llama Suplex, y ellos cuentan con una interfaz para todas las phablets del
mercado junto con su algoritmo de compresión que permite reproducir Películas o TV en
Vivo en distintos dispositivos para clientes residenciales. La adquisición de este
competidor es una ventaja competitiva real para NTI.

Servicio de Asistencia Técnica cuenta con un número gratuito local - son libremente
accesibles desde un teléfono fijo o móvil en el país- el cual permite escalar las llamadas o
casos al Servicio o Departamento adecuado. También son contactados desde todos los
servicios internos ya que gestionan los incidentes de seguridad sólo para Telecom
(ISO27001). Este servicio está parcialmente subcontratado a un tercero especializado en
servicio al cliente, el cual utiliza agencias de contratación temporal para satisfacer el
número de operadores necesarios por contrato para poder cubrir los picos de llamadas.
Christophe Goodwill está a cargo de las operaciones de servicio de asistencia técnica. Las
llamadas relacionadas con la infraestructura de NTI son tomadas por empleados de la
servicio de asistencia técnica, mientras que las restantes por operadores externos. No
existe ninguna comunicación oficial entre los equipos y aún usan dos programas de
software de servicio de asistencia técnica separados entre sí. Los empleados tercerizados
no poseen sus ID's.

NTI contrató el año pasado a un nuevo CTO para implementar Servicios Gestionados y
Servicios en la Nube para los clientes. NTI decidió ofrecer estos servicios a los clientes ya
que lo dominan y practican para sus propios servicios. Ingrid Henro estará a cargo de la
Certificación ISO 22301 y deberá proveerse alinearse con Telecom

Ataques

El año pasado:

NTI y otras 2 empresas de telecomunicaciones (AstraQom y Bell Canada), aparecieron en

los archivos de Edward Snowden y fueron espiados por la Agencia Nacional de Seguridad
(NSA). NTI aún no está segura de cómo pudo suceder y decidieron contar con una enorme
campaña de concientización interna distribuida a lo largo de varios meses, y combinada
con técnicas de ingeniería social, cumplimiento de las políticas de seguridad, y técnicas
de phishing.

NTI descubrió que la Política Corporativa de Seguridad de la Información era bien

conocida por los miembros de las organizaciones, pero aún no sabe hasta ué nivel de
granularidad debería llegar para las otras políticas.

El Departamento de Marketing lanzó un canal de YouTube el cual fue manejado por un

responsable externo pero utilizando su propia cuenta de Gmail. Cuando dejó la empresa

4
para irse a otro país, nadie sabía la contraseña y cómo recuperar el acceso a la cuenta.
Este incidente no fue documentado ya no está en el alcance de la Certificación ISO
27001.

En los últimos meses:

- Se ha detectado un ransomware en las instalaciones de Súplex, sobre varios

equipos terminales (endopoints), y los servidores del almacenamiento también
recibieron el código malicioso. Los códigos fuentes del algoritmo de compresión y
de las interfaces VOD por suerte se encuentran en dos servidores de
almacenamiento diferentes y en dos redes diferentes. Un trascendido aparece en la
prensa donde se menciona que Suplex recibió una oferta pública de adquisición
por parte de NTI. Después de un par de días, un grupo de hackers activistas
amenazan a Suplex para que libere el código fuente de la interfaz VOD en GitHub.
Si esto sucede, NTI perdería los beneficios de haber adquirido a Suplex, y
probablemente Suplex perdería también mucho dinero. A la fecha, el código no ha
sido liberado en GitHub y Suplex, ha sido adquirida por NTI, siguen operando
desde sus instalaciones.

- Se ha detectado un fraude debido a una llamada perdida mediante la Red Móvil de

NTI. Los clientes reciben una llamada perdida, cuando devuelven la llamada al
remitente son redirigidos a un número Premium. Se necesitaron varios meses para
identificar el problema, porque no todos los clientes reaccionaron, la mayoría de
ellos estaban pensando que hacían un uso indebido de su móvil o porque era
utilizado por sus niños. Es así que cuando NTI comenzó a perder clientes por sus
costosas tarifas, entonces analizaron en profundidad la causa raíz del problema.
El CISO llamado Charles Murray solicitó una rápida intervención y decidió tratar
este incidente de forma interna junto a dos Administradores de Redes. Designó a
la servicio de asistencia técnica para coordinar la información.

- Un ingeniero de I+D reinstaló su portátil nueva que venía instalada con Windows
10, con una versión de Windows 8 ya que algunos de sus programas de software
instalados ya no estaban funcionando sobre Windows 10. El programa de
Antivirus de base que venía con Windows 10 fue sustituido por un Antivirus
gratuito ya que ni el empleado ni NTI querían pagar por este tipo de software. El
Oficial de Seguridad de Redes ya se quejó ante el CISO acerca de la situación y no
quería ser responsable de nuevo por las estaciones terminales (endpoints) del
Departamento de I+D. Se ha registrado un incidente de seguridad pero el CISO
tiene dificultades para validar, por parte de la Junta Directiva y de la unión de las
empresas, la nueva política para las estaciones terminales (endpoints). Recursos
Humanos también piensa que una Política para las estaciones terminales
(endpoints) sería un escollo para poder alcanzar su objetivo de obtener el Premio.

5
 - Un empleado se quejó a Recursos Humanos acerca de un el Oficial de Seguridad
de Red que escucha las conversaciones de Mensajería Instantánea. El empleado lo
descubrió porque el tema sólo era tratado y discutido en la aplicación de
mensajería instantánea privada corporativa. Una reclamación interna fue
informada pero no se reportó ningún incidente de seguridad.

Sucedió en uno de aquellos días:

- El centro de servicio de asistencia técnica recibe en promedio 1500 llamadas por

día. Parece que este número se redujo a 1000 y 500 en sólo dos días. No se ha
detectado ningún incidente de seguridad ni se ha informado. NTI comienza a
recibir reclamos de clientes pre-pago desde la recepción de la propia empresa.
Explican que cuando llaman al número gratuito de servicio de asistencia técnica
son redirigidos a un número premium el cual les consume todo el crédito en
cuestión de minutos. El CISO analizó el incidente con el equipo de redes -
descubrieron una vulnerabilidad potencial en el sistema operativo que se ejecuta
en los servidores que gestionan el Redireccionamiento de Llamadas (conexión
remota mediante una cuenta genérica), pero no han encontrado ningún rastro del
atacante en su Sistema de Información. Tienen demasiada información que no
pueden correlacionar.

- El Ingeniero de Redes de NTI identificó posibles técnicas de enumeración durante

meses en la red.

- Durante una junta de arquitectura, uno de los arquitectos de I+D mostró que el
último software de prueba instalado permite analizar la inspección profunda de
paquetes. El CISO observó que estaba en la Red de Producción y todos los
usuarios/contraseñas de los usuarios del sitio web fueron observados en formato
de texto plano en la pantalla.

- Un grupo de hackers publicó en redes oscuras (Darknet) la base de datos

completa de los clientes con sus contraseñas, y datos privados. NTI notificó a
todos los clientes a través del equipo de marketing mediante una campaña de
correo electrónico específico y restablecieron todas las contraseñas de cliente con
caracteres aleatorios de modo tal que los clientes necesitan cambiarlo en el primer
inicio de sesión en el sitio Web. Ningún incidente ha sido registrado y NTI decidió
no revelar esta información públicamente por el momento (durante las
investigaciones del incidente).

6
Ante esta situación, la Agencia Estatal de Seguridad le sugirió a la alta gerencia tomar en
consideración la elaboración de un plan de ciberseguridad para sus sistemas de
información organizacional, esperando que después de la implementación de los controles
de ciberseguridad, el riesgo de ciberseguridad junto con los problemas actuales no serían
un problema en el futuro. Además, se recomendó que la organización establezca un
sistema de intercambio y coordinación de información, a fin de ayudarles a prepararse
mejor, responder y prevenir eventos e incidentes de Ciberseguridad.