Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estudio de Caso
Estudio de Caso
Introducción e Historia
NTI inició sus actividades como una empresa de telecomunicaciones en marzo de 1998.
Frank Bell y Christian Vodoski están en el origen del proyecto. Tras varios años de
negociaciones con angeles de negocios (business angels), también estaban buscando los
sitios adecuados para la construcción de varios Centros de Procesamiento de Datos con el
fin de brindar los servicios. El Gobierno canadiense les ayudó mucho a adquirir los
permisos de construcción para iniciar las operaciones a tiempo, siempre y cuando
estuvieran representados en la Junta Directiva.
Frank Bell fue promovido naturalmente a la función de CEO por la Junta, mientras que
Christian Vodoski asumió el cargo de Director de Operaciones. Ellos están en su lugar
desde hace casi dos décadas.
Desde los inicios de la empresa, NTI gozaba de cierto éxito comercial gracias a la excelente
cobertura de red a través de todo el país en comparación con sus competidores.
NTI fue un pionero de Internet, han incorporado la visión de Frank Bell que quería ver en
cada hogar una conexión a la cada vez más emergente red web mundial. Sus servicios
han evolucionado y ahora son una de las grandes industrias a nivel mundial en la
prestación de Servicios de Internet.
De esta forma, NTI quiere mantener una posición fuerte en el mercado, tanto para la
adquisición de nuevas cuotas de mercado, como también para evitar perderlas. Este es
un entorno altamente competitivo y el espionaje industrial por parte de otras agencias de
gobierno fue recientemente revelada. Por lo tanto, NTI decidió iniciar una gran campaña
de concientización y certificar sus operaciones mediante una Certificación bajo la Norma
ISO 27001 (Telecomunicaciones) y que ya fueron certificadas hace 2 años atrás. La alta
dirección está comprometida con la Seguridad de la Información. NTI es una
Infraestructura Crítica, y debe ser resiliente, por lo tanto se orientarán hacia una
certificación bajo la norma ISO 22301 y para ello han elegido establecer ambas
1
auditorías, tanto de la norma ISO 27001, como la de la norma ISO 22301, como un
Sistema Integrado de Gestión (IMS) con el fin de optimizar los pasos hacia la certificación.
NTI aprobó un Plan de Política Ecológica para las operaciones de sus Centros de
Procesamiento de Datos.
CEO
Frank Bell
CISO
Charles
Murray
Telefonía: línea fija, móvil, tarjeta SIM de prepago y pospago, VoIP (Voz sobre IP)
2
(Un Hecho Reciente: después de un ataque terrorista, el gobierno decidió vincular
sistemáticamente Tarjeta SIM de Prepago con la identidad del solicitante y así prohibir
cualquier Tarjeta SIM de Prepago anónima).
Internet: línea fija, móvil, tarjeta SIM de prepago y pospago, VoIP (Voz sobre IP)
Video por Demanda es el último producto de NTI, y donde el cliente puede comprar
películas, las cuales son cargadas de formal mensual a la cuenta del cliente.
El Departamento de RRHH quiere lograr obtener, en el 2016, el premio "Un Gran Lugar
para Trabajar". Están convencidos de que permitir el Teletrabajo y una gran autonomía a
los empleados, es un paso clave para alcanzar la felicidad en lugar de solo ofrecerles el
aumento salarial. Por lo tanto, la Junta Directiva aprobó permitirle a sus empleados que
puedan navegar en Redes Sociales (Linkedin, Facebook, Twitter, YouTube).
3
probar nuevas herramientas/productos o software, pero sin el consentimiento de los
Administradores de Seguridad.
Servicio de Asistencia Técnica cuenta con un número gratuito local - son libremente
accesibles desde un teléfono fijo o móvil en el país- el cual permite escalar las llamadas o
casos al Servicio o Departamento adecuado. También son contactados desde todos los
servicios internos ya que gestionan los incidentes de seguridad sólo para Telecom
(ISO27001). Este servicio está parcialmente subcontratado a un tercero especializado en
servicio al cliente, el cual utiliza agencias de contratación temporal para satisfacer el
número de operadores necesarios por contrato para poder cubrir los picos de llamadas.
Christophe Goodwill está a cargo de las operaciones de servicio de asistencia técnica. Las
llamadas relacionadas con la infraestructura de NTI son tomadas por empleados de la
servicio de asistencia técnica, mientras que las restantes por operadores externos. No
existe ninguna comunicación oficial entre los equipos y aún usan dos programas de
software de servicio de asistencia técnica separados entre sí. Los empleados tercerizados
no poseen sus ID's.
NTI contrató el año pasado a un nuevo CTO para implementar Servicios Gestionados y
Servicios en la Nube para los clientes. NTI decidió ofrecer estos servicios a los clientes ya
que lo dominan y practican para sus propios servicios. Ingrid Henro estará a cargo de la
Certificación ISO 22301 y deberá proveerse alinearse con Telecom
Ataques
El año pasado:
4
para irse a otro país, nadie sabía la contraseña y cómo recuperar el acceso a la cuenta.
Este incidente no fue documentado ya no está en el alcance de la Certificación ISO
27001.
- Un ingeniero de I+D reinstaló su portátil nueva que venía instalada con Windows
10, con una versión de Windows 8 ya que algunos de sus programas de software
instalados ya no estaban funcionando sobre Windows 10. El programa de
Antivirus de base que venía con Windows 10 fue sustituido por un Antivirus
gratuito ya que ni el empleado ni NTI querían pagar por este tipo de software. El
Oficial de Seguridad de Redes ya se quejó ante el CISO acerca de la situación y no
quería ser responsable de nuevo por las estaciones terminales (endpoints) del
Departamento de I+D. Se ha registrado un incidente de seguridad pero el CISO
tiene dificultades para validar, por parte de la Junta Directiva y de la unión de las
empresas, la nueva política para las estaciones terminales (endpoints). Recursos
Humanos también piensa que una Política para las estaciones terminales
(endpoints) sería un escollo para poder alcanzar su objetivo de obtener el Premio.
5
- Un empleado se quejó a Recursos Humanos acerca de un el Oficial de Seguridad
de Red que escucha las conversaciones de Mensajería Instantánea. El empleado lo
descubrió porque el tema sólo era tratado y discutido en la aplicación de
mensajería instantánea privada corporativa. Una reclamación interna fue
informada pero no se reportó ningún incidente de seguridad.
- Durante una junta de arquitectura, uno de los arquitectos de I+D mostró que el
último software de prueba instalado permite analizar la inspección profunda de
paquetes. El CISO observó que estaba en la Red de Producción y todos los
usuarios/contraseñas de los usuarios del sitio web fueron observados en formato
de texto plano en la pantalla.
6
Ante esta situación, la Agencia Estatal de Seguridad le sugirió a la alta gerencia tomar en
consideración la elaboración de un plan de ciberseguridad para sus sistemas de
información organizacional, esperando que después de la implementación de los controles
de ciberseguridad, el riesgo de ciberseguridad junto con los problemas actuales no serían
un problema en el futuro. Además, se recomendó que la organización establezca un
sistema de intercambio y coordinación de información, a fin de ayudarles a prepararse
mejor, responder y prevenir eventos e incidentes de Ciberseguridad.