Caso Estudio LEAD CIBERSECURITY

MANAGER 27032

TELCO INTERNACIONAL

Juan Jose Diaz

Agosto de 2020
 Política de Ciberseguridad
Resumen
La presente Política establece el marco de referencia para asegurar debida
protección de los activos que soportan los procesos de la Organización, con
el fin de garantizar confidencialidad, integridad y disponibilidad de la
información.

Introducción
La Política de Ciberseguridad está orientada a proteger la información y
recursos tecnológicos de La Compañía y gestionar los riesgos cumpliendo el
apetito de riesgo.

Alcance
La presente Política aplica para la organización La Compañía, sus directivos,
colaboradores o funcionario, proveedores y todo aquella persona o entidad
que tenga acceso a la información o recurso tecnológico de La Compañía
 Política de Ciberseguridad
Objetivos
Proteger los activos de información y tecnológicos que soportan los procesos de La
Compañía.

Los objetivos específicos son:

• Establecer los lineamientos generales relacionados con la ciberseguridad de La
Compañía.
• Identificar y gestionar los riesgos relacionados con ciber amenazas y seguridad de
la información garantizando que permanecen dentro de los niveles de aceptación
definidos por La Compañía.
• Mantener la disponibilidad de los servicios, red y activos o recursos tecnológico
que interactúen con el ciberespacio.

Principios
• Toda persona que forme parte de la Organización o de terceros o proveedores que
presten servicio a la Organización deben cumplir la presente política.
• Mantener la confidencialidad e integridad de la información; y la disponibilidad de
los activos críticos de la Organización es parte de la estrategia de la Organización
 Política de Ciberseguridad
Responsables
Los colaboradores o funcionares, administradores, proveedores y/o contratistas y los
demás interesados que accedan a la información de Compañía TELCO
INTERNACIONAL, son responsables por el cumplimiento de la presente Política.

El área de Seguridad de la Informacion y Ciberseguridad actuará como segunda línea

de defensa, definirá y comunicará directrices y lineamientos a la primera línea de
defensa, apoyándose en la tercera línea quien verificará el avance del despliegue del
modelo de seguridad y ciberseguridad.
 Política de Ciberseguridad
Resultados Importantes
1. No deben existir riesgos fuera del nivel de aceptación de riesgo.
2. Los incidentes relacionados con la seguridad de la información y ciberseguridad,
deben ser tratados y gestionados en su totalidad. No deben existir incidentes sin
gestionar.

Políticas relacionadas
• Política Especifica control de acceso Lógico.
• Política Especifica Escritorio Limpio
• Política Especifica para el uso de software.
• Política Especifica para terceros o proveedores
• Política Especifica para gestión de incidentes.
 Clasificación de activos
Listado de Activos
Identificación General de Activos Valoración
LISTADO DE ACTIVOS TIPO Valoración
Confidencialidad Integridad Disponibilidad
(Nombre exacto) (Clasificación) Activo

Servicio Almacenamiento Organizacional Virtual Alta Alta Alta Alto

Unidad de Negocio Suplex
Organizacional Virtual Alta Alta Alta Alto
(Competidor)
CPD Organizacional Físico Alta Alta Alta Alto
Base de Datos Clientes Personal Virtual Alta Alta Alta Alto
CRM Personal Virtual Alta Alta Alta Alto
SO Servidor de Llamadas Organizacional Virtual Alta Alta Alta Alto
Laptop I+D Organizacional Físico Alta Alta Media Alto
Intranet Organizacional Virtual Alta Alta Alta Alto
Desktop (Usuario Final) Organizacional Físico Media Media Media Medio
Portal Web Organizacional Virtual Alta Alta Alta Alto
Servidores Suplex Organizacional Virtual Alta Alta Alta Alto
Phablet (Servicios video) Personal Virtual Baja Baja Baja Bajo
Canal Youtube Organizacional Virtual Media Media Baja Medio
Red Móvil Organizacional Virtual Alta Alta Alta Alto
Interfaz VOD Organizacional Virtual Media Media Alta Medio
 Análisis de Riesgos
Criterios

Probabilidad

Nivel de Probabilidad Criterio

No se identifican controles o medidas de control. Ausencia total de controles y medidas

Frecuente
de control.

Se identifica un ausencia de controles formales y las medias existentes se ejecutan de

Ocasional forma parcial.

Existen controles implementados, sin embargo su ejecución es parcial y no tienen una

Remoto frecuencia establecida.

Existen controles implementados y se ejecutan de forma correcta.

Improbable
 Análisis de Riesgos
Criterios

Impacto
Nivel de Impacto Criterio

Compromiso en la confidencialidad, integridad y/o disponibilidad de la información privada de

Catastrófico la Organización o de terceros, con implicaciones legales o de carácter reputacional

Compromiso en la confidencialidad, integridad y/o disponibilidad de la información privada de

Grave la entidad o de terceros, sin implicaciones legales o de carácter reputacional

Compromiso en la confidencialidad, integridad y/o disponibilidad de la información de uso

Moderado interno de la Organización o de terceros

Compromiso en la confidencialidad, integridad y disponibilidad de la información pública de la

Bajo Organización
 Análisis de Riesgos
Riesgos Identificados
Riesgo Medición del Riesgo

Consecutivo Activo Descripción del Riesgo Amenaza Vulnerabilidad Probabilidad Impacto Severidad

Propagación de software malicioso en la infraestructura considerada - Baja protección por vigencia y funcionalidades limitadas por uso de
1 Laptop I+D - Ciberdelincuentes Ocasional Grave Importante
crítica de NTI antivirus gratuito
Fuga de información confidencial gestionada en el área de
2 Laptop I+D - Ciberdelincuentes - Incompatibilidad de software Ocasional Grave Importante
Innovación
Exposición de información confidencial relacionada con contratos
3 Interfaz VOD - Ciberdelincuentes - Acceso no autorizado a información confidencial y/o estrategica Frecuente Grave Crítico
establecidos con proveedore y terceros
-Software Malicioso - Acceso a Internet sin controles o restricción de navegación
4 Laptop I+D Victimas u objetos a ciber-ataques debido a la usencia de controles Ocasional Grave Importante
-Colaboradores - Privilegios elevados de los usuarios sobre los recursos asignados.
Unidad de Negocio Suplex - Incertidumbre del nivel adecuado seguridad en el competidor
5 Victima de ciber-ataques por intermedio de externos. - Software Malicioso Ocasional Catastrófico Crítico
(Competidor) Suplex (Unidad de negocio)
Perdida de dinero por fraude ejecutado en servicios hacia clientes - Colaboradores - Bajo nivel de conciencia o cultura de seguridad por personal
6 Red Móvil Ocasional Catastrófico Crítico
en el canal móvil - Colaboradores de Terceros interno de NTI
- Colaboradores
7 Intranet Fuga de información confidencial de clientes - No se cuenta con segregacion de ambientes o redes. Ocasional Catastrófico Crítico
- Colaboradores de Terceros
Interceptación y exposición de datos sensibles de clientes en el - Colaboradores - Ausencia de medidas de cifrado para informacion confidencial de
8 Intranet Ocasional Grave Importante
portal web - Colaboradores de Terceros contraseñas
9 Base de Datos Clientes Exposición y fuga de información confidencial de clientes - Ciberdelincuente - No se existe gobierno de accesos de usuarios Frecuente Catastrófico Crítico
Explotación de vulnerabilidades técnicas que no se hayan detectado
10 SO Servidor de Llamadas - Software Malicioso - Falla de aplicación de parches de software Ocasional Catastrófico Crítico
o tratado
Afectación de la entrega del servicio de video en phablet, por - Colaboradores de Terceros - Concentración de responsabilidades criticas
11 Phablet (Servicios video) Ocasional Grave Importante
ausencia inesperada de personal clave en momentos críticos. - Colaboradores - Dependencia de personal clave
 Análisis de Riesgos
Mapa de Riesgos
 Planes de Tratamiento

Ref. de Opción de
Descripción del riesgo Activo Severidad Descripción del plan
Riesgo Tratamiento
- Establecer e implementar NDA (acuerdos de confidecialidad) con el personal
de terceros y proveedores.
- Definir e implementar medidas de seguridad sobre los sistemas que
Exposición de información confidencial relacionada con
3 Interfaz VOD Crítico Mitigar solportan el proceso de contratación, con el fin de incrementar los niveles de
contratos establecidos con proveedore y terceros
confidencialidad
'- Analizar la viabilidad de registrar el modelo de negocio para la gestión de la
Interfaz VOD
Realizar ejercicios de revisión de las condiciones de seguridad del tercero
Unidad de Negocio
5 Victima de ciber-ataques por intermedio de externos. Crítico Mitigar Suplex, determinando la viabilidad de adquisición.
Suplex (Competidor)
En caso de adquirirlo definir un plan de seguridad para esa Entidqad.
Contar con un solo proveedor de atención a clientes y analizar la viabilidad e
contar con un unico canal.
Perdida de dinero por fraude ejecutado en servicios Se deben establecer requerimientos de seguridad que deben ser cumplidos
6 Red Móvil Crítico Mitigar
hacia clientes en el canal móvil por el proveedor, con el fin de asegurar un cumplimiento y nivel de seguridad
acorde con proceso.

Definir un proyecto que permita implementar segregación de ambientes y

7 Fuga de información confidencial de clientes Intranet Crítico Mitigar
segmentación de redes.
Contar con un solo proveedor de atención a clientes y analizar la viabilidad e
Exposición y fuga de información confidencial de Base de Datos
9 Crítico Mitigar contar con un unico canal.
clientes Clientes
Centralizar la gestión de clientes en el CRM bajo un único proveedor.
- Realizar un análisis de las vulnerabildiades identificadas, priorizando
aquellas que presentan una mayor probabilidad de explotación.

Explotación de vulnerabilidades técnicas que no se SO Servidor de Identificar controles o medidas mitigantes compensatorias o parches que
10 Crítico Mitigar
hayan detectado o tratado Llamadas mitigan la vulnerabilidad.
- Analizar la viabilidad y necesidad de adquirir una solución tipo SIEM, que
permitan monitorear los activos criticos.
 Planes de Tratamiento

Ref. de Opción de
Descripción del riesgo Activo Severidad Descripción del plan
Riesgo Tratamiento

- Adquirir un software antivirus con consola de administración y que permite

Propagación de software malicioso en la infraestructura actualizaciones automáticas y actualizadas de firmas de virus. Además que
1 Laptop I+D Importante Mitigar
considerada crítica de NTI permita establecer diferentes reglas de negocios en los equipos.

- Realizar un upgrade de versión de los programas requeridos en los recursos

Fuga de información confidencial gestionada en el área tecnologicos del área de I+D.
2 Laptop I+D Importante Mitigar
de Innovación - Realizar la contratación de esquema de soporte para los euipos.

Implementar en cada uno de los recursos del área principio del menor
Victimas u objetos a ciber-ataques debido a la usencia privilegio o zwero trust, restringiendo el acceso de los recursos a lo
4 Laptop I+D Importante Mitigar
de controles estrictamente necesario por el negocio.

Implmentar el MFA en el portal Web.

Aplicar politica que permita y obligue a los usuarios realizar el cambio
Interceptación y exposición de datos sensibles de
8 Intranet Importante Mitigar inmediato de clave.
clientes en el portal web
Analizar la viabilidad de comunicar a los usuarios las situaciones identifcadas.

1. Establecer un esquema de segregacion de funciones y respaldo de

personal clave que permita al área distribuir las funciones en caso de
Afectación de la entrega del servicio de video en
Phablet (Servicios ausencia de personal de manera inesperadas.
11 phablet, por ausencia inesperada de personal clave en Importante Mitigar
video) 2. Analizar la viabilidad de contar con un proveedor que suministre personal
momentos críticos.
por demanda.
 Gestión de Incidentes: Redireccionamiento de
llamadas a cuentas Premium
Gestión
• Realizar un análisis de vulnerabilidad al servidor que soporta el proceso de direccionamiento de
llamadas.
• Ejecutar un análisis de los logs, con el fin de identificar posibles cambios o accesos no
autorizados.
• Determinar el puerto o servicio que ejecuta el direccionamiento de llamadas con el fin de
establecer medidas que puedan determinar el responsable de las acciones.
• Restringir el acceso al servidor de llamadas únicamente al personal que lo requiere por la
ejecución de sus funciones.
• Implementar segmentación de redes destinando una red exclusiva para el servidor y mediante
ACLS realizar un control de acceso estricto.

Lecciones Aprendidas
• Se debe contar con un monitoreo permanente del ambiente de control de los recursos críticos
de la Organización.
• La Gestión de riesgos en la Organización debe ser proceso transversal y no solo a partir de
incidentes o brechas identificadas.
• Realizar un análisis de viabildiad y necesidad de contar con mecanismos como SIEM e IPS.
• Implementar esquemas de contingencia y/o respaldo.
 Despliegue Ciberseguridad

• Realizar un análisis de suficiencia y del área de Seguridad de la Informacion, tanto en recurso

humano como de soluciones o mecanismos requeridos para el despliegue del programad de
seguridad.
• Definir e implementar una metodología de gestión de riesgos.
• Definir un marco de seguridad identificando brechas o gaps de las medidas o controles
existentes frente a lo solicitado por el marco seleccionado, y definiendo las acciones para su
cierre.
• Implementar procesos de gestión de vulnerabilidades durante el periodo de transición al to be
del marco deseado, determinando baselines de seguridad para los activos.
• Implementar segmentación de ambientes y lógica la red de la organización.
• Apoyar la iniciativa del CISO en cuanto a estructurar un equipo de gestión y respuesta a
incidentes de seguridad.
• Generar y desplegar campañas de cultura en seguridad, gestión de riesgos y ciberseguridad.
 Plan de Contingencia
Recomendaciones
• Establecer un esquema de segregación de funciones y respaldo de personal clave que permita
al área distribuir las funciones en caso de ausencia de personal de manera inesperadas.
• Analizar la viabilidad de contar con un proveedor que suministre personal por demanda.
• En caos de adquirir Suplex, analizar la viabilidad de implementar servicios en sus instalaciones
que balanceen la carga y capacity de la organización.
• Realizar un análisis BIA.
• Implementar segmentación de ambientes y lógica la red de la organización.
Gracias..!