La Cooperativa de Ahorro y Crédito Policía Nacional, CPN, es una entidad financiera para todo público, nacida jurídicamente en 1976. Cuenta con oficinas y presencia en todas las provincias con un total de 32 oficinas y más de 170 cajeros.
Los proyectos de seguridad desarrollados por el área de Seguridad de la Información de CPN va articulado a los objetivos de la transformación digital. Los controles y herramientas tecnológicas de seguridad implementadas forman parte de todas las gestiones y procesos digitales de la institución.
Proyectos postulados:
- Marco de gestión de Seguridad de la Información basado en el ISO27001:2013 como marco de referencia para la CPN
- Implementación de controles de seguridad de la información implementados por la Cooperativa Policía Nacional (CPN) y los controles de seguridad indicados en el Anexo A de la norma ISO/IEC 27001:2013 y sus requisitos
Objetivo:
Contar con un sistema de gestión de seguimiento y mejora continua, basado en mejores prácticas internacionales para aplicarlas a la realidad de la CPN y en su transformación digital.
Contexto
La organización ha mantenido el compromiso con la seguridad. La implementación del marco ha significado un esfuerzo financiero, tecnológico y humano que ha contado con el total apoyo de la alta dirección, gerencia y los consejos administrativos, permitiendo fomentar la ejecución de buenas prácticas locales e internacionales.
Solución
La aplicación de la norma ISO27001:2013 es una buena práctica asumida desde el nacimiento del área de Seguridad de la Información de la CPN, de manera que, frente a la normativa promovida por la SEPS en mayo de este año, para su estricta ejecución y cumplimiento obligatorio al 2023, brindaba una ventaja. La institución había logrado un nivel de madurez en cuanto a su aplicabilidad, seguimiento y formalidad.
La Cooperativa Policía Nacional, CPN, en cumplimiento a lo exigido por la SEPS, actualmente mantiene mejores prácticas de seguridad implementada en el Sistema de Gestión de Seguridad de la Información (SGSI) basándose en la norma NTE INEN-ISO/IEC 27001:2013 y a las buenas prácticas de implementación de dichos controles establecidos por la guía ISO/IEC 27002:2013, para las 31 agencias distribuidas a nivel nacional.
El cumplimiento no es la única razón por la que las empresas deben considerar implementar ISO 27001. Gestionar los riesgos a los que está expuesta la organización aportará competitividad a la organización, pero también será una herramienta eficaz para proteger secretos de propiedad Intelectual sea cual fuere el giro del negocio, así como documentos confidenciales y el futuro de las empresas digitales como son los datos.
La implementación establece la revisión de controles de seguridad definidos e implementados por la Cooperativa Policía Nacional (CPN) en cumplimiento a Anexo A de la norma ISO/IEC 27001:2013 y sus requisitos, los cuales se encuentren registrados en procedimientos, estándares, políticas, registros en documentos o sistemas de información y demás documentos que estuviesen relacionados a la norma ISO/IEC 27001:2013.
Beneficios
- Mantener un Sistema de Gestión para la medición, seguimiento, cumplimiento y determinar falencias para corregirlas.
- Contar con mejores prácticas que completen la seguridad como un desempeño optimo en los canales digitales
- Tener un marco de gestión de seguimiento y en base a sus mejores prácticas y aplicarlas a la realidad de la CPN.
- Conocer brechas existentes entre los controles de seguridad de la información implementados por la Cooperativa Policía Nacional (CPN)
- Realizar un mejoramiento continuo de la seguridad empresarial para determinar nuevas brecha que debieran implementarse a nivel digital o en los procesos de innovación.
Participantes CPN:
- Eduardo Alvarado, CISO y líder del proyecto
- Marcela Balseca, Analista Protección de Información
- Wilmer Andrango, Analista de Seguridad de la Información
- Andrés Espinosa, Arquitecto de Seguridad de la Información
- Giovanny Sandoval, Especialista de Ciberseguridad
Proveedores
- Ricardo Rojas, director Comercial, Mnemo – SOC – Threatmark
- Kelly Bermúdez, consultora de Seguridad, Maint – ISO27001:2013 GAP
- Henry Vargas, Director de Seguridad, Mnemo -SOC- Seguridad y Operaciones
- Rodrigo Quingaluiza, Gerente de IT, Captec . Integración TC/ TD
- Elías Escalante, Director Comercial, Smartsoft – Monitoreo tarjetas Crédito y Débito