Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MANAGER 27032
TELCO INTERNACIONAL
Introducción
La Política de Ciberseguridad está orientada a proteger la información y
recursos tecnológicos de La Compañía y gestionar los riesgos cumpliendo el
apetito de riesgo.
Alcance
La presente Política aplica para la organización La Compañía, sus directivos,
colaboradores o funcionario, proveedores y todo aquella persona o entidad
que tenga acceso a la información o recurso tecnológico de La Compañía
Política de Ciberseguridad
Objetivos
Proteger los activos de información y tecnológicos que soportan los procesos de La
Compañía.
Principios
• Toda persona que forme parte de la Organización o de terceros o proveedores que
presten servicio a la Organización deben cumplir la presente política.
• Mantener la confidencialidad e integridad de la información; y la disponibilidad de
los activos críticos de la Organización es parte de la estrategia de la Organización
Política de Ciberseguridad
Responsables
Los colaboradores o funcionares, administradores, proveedores y/o contratistas y los
demás interesados que accedan a la información de Compañía TELCO
INTERNACIONAL, son responsables por el cumplimiento de la presente Política.
Políticas relacionadas
• Política Especifica control de acceso Lógico.
• Política Especifica Escritorio Limpio
• Política Especifica para el uso de software.
• Política Especifica para terceros o proveedores
• Política Especifica para gestión de incidentes.
Clasificación de activos
Listado de Activos
Identificación General de Activos Valoración
LISTADO DE ACTIVOS TIPO Valoración
Confidencialidad Integridad Disponibilidad
(Nombre exacto) (Clasificación) Activo
Probabilidad
Impacto
Nivel de Impacto Criterio
Consecutivo Activo Descripción del Riesgo Amenaza Vulnerabilidad Probabilidad Impacto Severidad
Propagación de software malicioso en la infraestructura considerada - Baja protección por vigencia y funcionalidades limitadas por uso de
1 Laptop I+D - Ciberdelincuentes Ocasional Grave Importante
crítica de NTI antivirus gratuito
Fuga de información confidencial gestionada en el área de
2 Laptop I+D - Ciberdelincuentes - Incompatibilidad de software Ocasional Grave Importante
Innovación
Exposición de información confidencial relacionada con contratos
3 Interfaz VOD - Ciberdelincuentes - Acceso no autorizado a información confidencial y/o estrategica Frecuente Grave Crítico
establecidos con proveedore y terceros
-Software Malicioso - Acceso a Internet sin controles o restricción de navegación
4 Laptop I+D Victimas u objetos a ciber-ataques debido a la usencia de controles Ocasional Grave Importante
-Colaboradores - Privilegios elevados de los usuarios sobre los recursos asignados.
Unidad de Negocio Suplex - Incertidumbre del nivel adecuado seguridad en el competidor
5 Victima de ciber-ataques por intermedio de externos. - Software Malicioso Ocasional Catastrófico Crítico
(Competidor) Suplex (Unidad de negocio)
Perdida de dinero por fraude ejecutado en servicios hacia clientes - Colaboradores - Bajo nivel de conciencia o cultura de seguridad por personal
6 Red Móvil Ocasional Catastrófico Crítico
en el canal móvil - Colaboradores de Terceros interno de NTI
- Colaboradores
7 Intranet Fuga de información confidencial de clientes - No se cuenta con segregacion de ambientes o redes. Ocasional Catastrófico Crítico
- Colaboradores de Terceros
Interceptación y exposición de datos sensibles de clientes en el - Colaboradores - Ausencia de medidas de cifrado para informacion confidencial de
8 Intranet Ocasional Grave Importante
portal web - Colaboradores de Terceros contraseñas
9 Base de Datos Clientes Exposición y fuga de información confidencial de clientes - Ciberdelincuente - No se existe gobierno de accesos de usuarios Frecuente Catastrófico Crítico
Explotación de vulnerabilidades técnicas que no se hayan detectado
10 SO Servidor de Llamadas - Software Malicioso - Falla de aplicación de parches de software Ocasional Catastrófico Crítico
o tratado
Afectación de la entrega del servicio de video en phablet, por - Colaboradores de Terceros - Concentración de responsabilidades criticas
11 Phablet (Servicios video) Ocasional Grave Importante
ausencia inesperada de personal clave en momentos críticos. - Colaboradores - Dependencia de personal clave
Análisis de Riesgos
Mapa de Riesgos
Planes de Tratamiento
Ref. de Opción de
Descripción del riesgo Activo Severidad Descripción del plan
Riesgo Tratamiento
- Establecer e implementar NDA (acuerdos de confidecialidad) con el personal
de terceros y proveedores.
- Definir e implementar medidas de seguridad sobre los sistemas que
Exposición de información confidencial relacionada con
3 Interfaz VOD Crítico Mitigar solportan el proceso de contratación, con el fin de incrementar los niveles de
contratos establecidos con proveedore y terceros
confidencialidad
'- Analizar la viabilidad de registrar el modelo de negocio para la gestión de la
Interfaz VOD
Realizar ejercicios de revisión de las condiciones de seguridad del tercero
Unidad de Negocio
5 Victima de ciber-ataques por intermedio de externos. Crítico Mitigar Suplex, determinando la viabilidad de adquisición.
Suplex (Competidor)
En caso de adquirirlo definir un plan de seguridad para esa Entidqad.
Contar con un solo proveedor de atención a clientes y analizar la viabilidad e
contar con un unico canal.
Perdida de dinero por fraude ejecutado en servicios Se deben establecer requerimientos de seguridad que deben ser cumplidos
6 Red Móvil Crítico Mitigar
hacia clientes en el canal móvil por el proveedor, con el fin de asegurar un cumplimiento y nivel de seguridad
acorde con proceso.
Explotación de vulnerabilidades técnicas que no se SO Servidor de Identificar controles o medidas mitigantes compensatorias o parches que
10 Crítico Mitigar
hayan detectado o tratado Llamadas mitigan la vulnerabilidad.
- Analizar la viabilidad y necesidad de adquirir una solución tipo SIEM, que
permitan monitorear los activos criticos.
Planes de Tratamiento
Ref. de Opción de
Descripción del riesgo Activo Severidad Descripción del plan
Riesgo Tratamiento
Implementar en cada uno de los recursos del área principio del menor
Victimas u objetos a ciber-ataques debido a la usencia privilegio o zwero trust, restringiendo el acceso de los recursos a lo
4 Laptop I+D Importante Mitigar
de controles estrictamente necesario por el negocio.
Lecciones Aprendidas
• Se debe contar con un monitoreo permanente del ambiente de control de los recursos críticos
de la Organización.
• La Gestión de riesgos en la Organización debe ser proceso transversal y no solo a partir de
incidentes o brechas identificadas.
• Realizar un análisis de viabildiad y necesidad de contar con mecanismos como SIEM e IPS.
• Implementar esquemas de contingencia y/o respaldo.
Despliegue Ciberseguridad