CPN: Marco de gestión de Seguridad de la Información basado en el ISO27001:2013 como marco de referencia para la CPN

Share

La Cooperativa de Ahorro y Crédito Policía Nacional, CPN, es una entidad financiera para todo público, nacida jurídicamente en 1976. Cuenta con oficinas y presencia en todas las provincias con un total de 32 oficinas y más de 170 cajeros.

Los proyectos de seguridad desarrollados por el área de Seguridad de la Información de CPN va articulado a los objetivos de la transformación digital. Los controles y herramientas tecnológicas de seguridad implementadas forman parte de todas las gestiones y procesos digitales de la institución.

Proyectos postulados:

  • Marco de gestión de Seguridad de la Información basado en el ISO27001:2013 como marco de referencia para la CPN
  • Implementación de controles de seguridad de la información implementados por la Cooperativa Policía Nacional (CPN) y los controles de seguridad indicados en el Anexo A de la norma ISO/IEC 27001:2013 y sus requisitos

Objetivo:

Contar con un sistema de gestión de seguimiento y mejora continua, basado en mejores prácticas internacionales para aplicarlas a la realidad de la CPN y en su transformación digital.

Contexto

La organización ha mantenido el compromiso con la seguridad. La implementación del marco ha significado un esfuerzo financiero, tecnológico y humano que ha contado con el total apoyo de la alta dirección, gerencia y los consejos administrativos, permitiendo fomentar la ejecución de buenas prácticas locales e internacionales.

Solución

La aplicación de la norma ISO27001:2013 es una buena práctica asumida desde el nacimiento del área de Seguridad de la Información de la CPN, de manera que, frente a la normativa promovida por la SEPS en mayo de este año, para su estricta ejecución y cumplimiento obligatorio al 2023, brindaba una ventaja. La institución había logrado un nivel de madurez en cuanto a su aplicabilidad, seguimiento y formalidad.

La Cooperativa Policía Nacional, CPN, en cumplimiento a lo exigido por la SEPS, actualmente mantiene mejores prácticas de seguridad implementada en el Sistema de Gestión de Seguridad de la Información (SGSI) basándose en la norma NTE INEN-ISO/IEC 27001:2013 y a las buenas prácticas de implementación de dichos controles establecidos por la guía ISO/IEC 27002:2013, para las 31 agencias distribuidas a nivel nacional.

El cumplimiento no es la única razón por la que las empresas deben considerar implementar ISO 27001. Gestionar los riesgos a los que está expuesta la organización aportará competitividad a la organización, pero también será una herramienta eficaz para proteger secretos de propiedad Intelectual sea cual fuere el giro del negocio, así como documentos confidenciales y el futuro de las empresas digitales como son los datos.

La implementación establece la revisión de controles de seguridad definidos e implementados por la Cooperativa Policía Nacional (CPN) en cumplimiento a Anexo A de la norma ISO/IEC 27001:2013 y sus requisitos, los cuales se encuentren registrados en procedimientos, estándares, políticas, registros en documentos o sistemas de información y demás documentos que estuviesen relacionados a la norma ISO/IEC 27001:2013.

Beneficios

  • Mantener un Sistema de Gestión para la medición, seguimiento, cumplimiento y determinar falencias para corregirlas.
  • Contar con mejores prácticas que completen la seguridad como un desempeño optimo en los canales digitales
  • Tener un marco de gestión de seguimiento y en base a sus mejores prácticas y aplicarlas a la realidad de la CPN.
  • Conocer brechas existentes entre los controles de seguridad de la información implementados por la Cooperativa Policía Nacional (CPN)
  • Realizar un mejoramiento continuo de la seguridad empresarial para determinar nuevas brecha que debieran implementarse a nivel digital o en los procesos de innovación.

Participantes CPN:

  • Eduardo Alvarado, CISO y líder del proyecto
  • Marcela Balseca, Analista Protección de Información
  • Wilmer Andrango, Analista de Seguridad de la Información
  • Andrés Espinosa, Arquitecto de Seguridad de la Información
  • Giovanny Sandoval, Especialista de Ciberseguridad

Proveedores

  • Ricardo Rojas, director Comercial, Mnemo – SOC – Threatmark
  • Kelly Bermúdez, consultora de Seguridad, Maint – ISO27001:2013 GAP
  • Henry Vargas, Director de Seguridad, Mnemo -SOC- Seguridad y Operaciones
  • Rodrigo Quingaluiza, Gerente de IT, Captec . Integración TC/ TD
  • Elías Escalante, Director Comercial, Smartsoft – Monitoreo tarjetas Crédito y Débito