Cooperativa 29 de Octubre: Proyecto Plan Operativo de Seguridad de la Información

Share

Empresa:

Cooperativa 29 de Octubre fue constituía e inscrita oficialmente en 1972. Actualmente, las actividades y operaciones que realiza la Cooperativa están regidas por la aplicación de normas de solvencia, prudencia financiera, contable y al control directo de la Superintendencia de Economía Popular y Solidaria de Ecuador.

El Plan Operativo de Seguridad de la Información desarrollado durante el 2021, partió del proceso de hackeo ético y de los análisis de brecha de las normas ISO 27001y PCI DSS efectuados durante el 2020, los cuales permitieron definir el estado de seguridad de la Cooperativa a esa fecha, implementar acciones inmediatas sobre los riesgos críticos y establecer la estrategia y planificación presupuestaria que permitiría llevar a cabo las iniciativas que fueron concluidas en el año 2021.

Para Álvaro Barrera, Oficial de Seguridad de la Información de la Cooperativa, el Plan Operativo de Seguridad permitió el fortalecimiento de varios procesos y mejores prácticas de seguridad, optimizando el cumplimiento de las Normas PCI e ISO.

Menciona que se mejoraron los procesos de gestión de vulnerabilidades y gestión de parches, la hardenización de equipos, la actualización del Manual de Seguridad de la Información alineado a la ISO 27001 y finalmente la redefinición de las funciones del área de Seguridad de la Información garantizando el concepto de independencia de funciones.

Al referirse a los aspectos críticos de éxito, cita “El apoyo de la Alta Gerencia es crucial, no solamente por la aprobación del presupuesto planificado y seguimiento del proyecto, sino por su intervención ante la identificación de nuevos riesgos”, esto en referencia a los informes de análisis de riesgos presentados por el área de Seguridad de la Información derivados del incremento de ataques de ransomware en el 2021, en donde se efectuaron reasignaciones presupuestarias para la contratación de herramientas y servicios de inteligencia de ciberamenazas

Objetivo

Definir la estrategia y acciones necesarias para mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI) de la Cooperativa 29 de Octubre a través del plan Operativo de Seguridad de la Información.

Alcance

En el Plan Operativo Seguridad de la Información 2021 de la institución se planteó trabajar en ocho aspectos en función de minimizar los riesgos de seguridad identificados en el año 2020.

Las iniciativas planteadas: 

  • Cierre de brechas identificadas en el año 2020.
  • Concientización y sensibilización en seguridad.
  • Actualización de funciones de Seguridad de la Información y ciberseguridad.
  • Actualización del Manual de Políticas de Seguridad de la Información.
  • Monitoreo de controles de seguridad acorde al nuevo Manual de Políticas de Seguridad de la Información.
  • Análisis de reclamos de clientes, en función de identificar mejoras a los controles de seguridad.
  • Inventario de información clasificada y reservada
  • Diagnóstico de situación en seguridad posterior a la implementación de controles, mediante un nuevo hackeo ético y análisis de brecha de la norma ISO27001.

Beneficios institucionales

  • Apoyo a los objetivos estratégicos institucionales, manteniendo la alta disponibilidad en los servicios.
  • Minimizar el riesgo de afectación al negocio ante amenazas y ataques cibernéticos.
  • Mejorar la protección a la información de clientes, socios e información institucional.
  • Cumplimiento de normas emitidas por el ente de control relacionadas con Seguridad de la Información

Participantes COAC 29 de Octubre

  • Sponsor: Edison de la Torre, Gerente
  • Líder:  Alvaro Barrera, Oficial de Seguridad de la Información
  • Andres Castellanos, Director de Tecnología
  • Alexandra Zhinin, Jefe de Gestión Técnica
  • Marilyn Guamán, Jefe de Canales Electrónicos
  • Sandra Armijos, Jefe de Calidad y Procesos
  • Frank Villacis, Coordinador de Compras
  • David Romero, Analista de Seguridad de la Información
  • Vinicio Cevallos, Analista de Ciberseguridad
  • Edison Simbaña, Analista de Gestión Técnica
  • Edwin Guallichico, Analista de Gestión Técnica
  • Alfredo Defaz, Analista de Gestión Técnica
  • Paola Yépez, Analista Financiera