01Salud. S.A., es una empresa de medicina prepagada con más de 29 años de presencia en el mercado ecuatoriano, enfocada en satisfacer las necesidades de sus clientes y promover un estilo de vida saludable.
Contexto
Frente a las amenazas informáticas y la nueva realidad que atraviesan las empresas ecuatorianas producto de la aparición de la Covid 19, Ecuador es uno de los objetivos más atractivos para los ciberdelincuentes. Según Kaspersky, una empresa global de ciberseguridad y privacidad digital, Ecuador esta entre los 50 países con más riesgo de sufrir ciberataques. Con este panorama y respondiendo al compromiso que tiene con sus clientes, Salud S.A., decidió gestionar el riesgo como parte de sus proyectos estratégicos a través de la creación de un área especializada para la implementación de procesos, políticas, y procedimientos en Seguridad de Información, Tecnología y Ciberseguridad.
En julio de 2020 creó el área de Seguridad Digital, definiendo y priorizando un conjunto de proyectos en materia de seguridad, asegurando la operatividad de cara al cliente y cumplimiento con la legislación vigente en materia de protección de datos, hasta alcanzar niveles aceptables de seguridad. Entre ellos, desarrollar un Plan estratégico de Seguridad de la Información.
Objetivos:
Táctico: Asegurar que los sistemas de información de la compañía dispongan de los controles de seguridad, técnicos, legales y organizacionales, conforme lo especifican las normas y estándares internacionales ISO/IEC 27001 y NIST, en un 65% hasta diciembre 2021
Mediano Plazo: Definir e Implementar un SGSI que permita alcanzar los niveles y estándares de seguridad necesarios para garantizar los principios de Integridad, Disponibilidad y Confidencialidad, proporcionando las directrices necesarias para tratar los riesgos operacionales y estratégicos en seguridad de la información en un
65% hasta diciembre 2021
Desempeño: Incrementar el nivel de madurez de seguridad de la información de la compañía hasta alcanzar una madurez del 65%, a través de la gestión técnica, de identidad, de riesgo e incidentes, a diciembre 2021.
Desafíos
- Adoptar el cambio y nuevos procesos.
- Asumir una cultura de seguridad.
- Asignar tiempos para validación y análisis de seguridad en aplicaciones e infraestructura previa a su puesta en producción.
- Cumplir por parte de proveedores y terceras partes de las normas, reglamentos y procedimientos, diseñados e implementados para reducir brechas de seguridad.
- Cumplir los procesos y controles en la gestión de accesos para obtener información.
- acceso a aplicaciones de la empresa.
Factores que contribuyeron al éxito de la implementación
- Capacitación permanente para el personal
- Inversión en tecnología para realizaron inversiones para contratar servicios y herramientas que permitan identificar, contener y responder ante ataques
- Implementación de un marco normativo propio basado en la norma ISO/IEC 27001, mismo que contiene las políticas, normas y procedimientos para una correcta gestión de la seguridad.
Beneficios
- Concientización de los usuarios que ha facilitado la detección de amenazas que son
- informadas al departamento de seguridad.
- Uso de información para evitar phishing y suplantación de identidad.
- La gestión de riesgos permite la operatividad 24/7 para los clientes
- Apalancar mejores prácticas según los principios de sostenibilidad de la empresa
Participantes:
- Fernanda Ulloa, Gerente de Auditoría y Control Interno
- Líder del proyecto: Juan Carlos Marca, Jefe Seguridad Digital
- Alejandra Bonilla, Analista de Seguridad Digital
- Alejandra Ruiz, Analista de Seguridad Digital