Uno de los valores corporativos de Cooperativa Policía Nacional (CPN), es la seguridad. Para Eduardo Alvarado, Gerente de Seguridad de la Información – Ciberseguridad , la participación de la alta dirección en los distintos comités ha permitido el apoyo, entendimiento y empoderamiento de este apoyo estratégico a más de la concientización sobre la seguridad empresarial existente.
El Plan Estratégico de Seguridad de la Información (PESI) es uno de los procesos a corto, mediano y largo plazo de ejecución, con un alcance que cubre todos los procesos de negocio como son en cada ciclo de desarrollo, procesos y proyectos de innovación. “La SEGURIDAD está embebida en la transformación digital y forma parte del ADN en la CPN”, agrega Alvarado. En esa medida, han diseñado acciones como la implementación de las normas ISO 27001 y actualmente la normativa SEPS 2022-002 relacionado con seguridad de la información en instituciones financieras del Segmento uno (1) al cual pertenece la CPN, dentro de ellos se puede mencionar a algunos como son : clasificación de información, control de accesos, cifrado, gestión de incidentes, ciberseguridad, políticas, procedimientos, el Plan Estratégico de Seguridad de la Información que prevé una agenda a tres años donde se definen las acciones a desarrollar y en las que se incluye, por ejemplo: Ethical hacking externo, corrección de vulnerabilidades, seguridad de canales electrónicos, entre otros.
Pero también, continuamente evalúan y analizan los requerimientos del negocio y las unidades de proyectos que constantemente diseñan nuevos productos y servicios. En noviembre anterior, integraron una solución de evaluación de seguridad en su App y página Web para garantizar la transaccionalidad a través del comportamiento del usuario mediante un score de riesgos que ayuda a la prevención de fraudes en los canales digitales.
Esta herramienta de seguridad ayuda a detectar el origen y destino de las transacciones en la página web o app, garantizando su autenticidad, realiza el seguimiento del comportamiento de los usuarios, detecta comportamientos anómalos independiente del tipo de dispositivo y lugar geográfico donde se realiza la transacción, dando así como resultado el análisis de riesgo de ejecución de esta transacción en base a este comportamiento.
Para Eduardo Alvarado, la herramienta por lo tanto, debe ser óptima y disponible a todo momento con el fin de mantener este nivel de protección activa siempre para la seguridad de sus usuarios y su transaccionalidad.
Debido a que la seguridad es transversal a todos los procesos de la organización, la implementación de la herramienta debió cumplir con todos los procesos, incluyendo una fase de capacitación y concientización sobre la seguridad. En su implementación participaron equipos de trabajo multidisciplinario del área de innovación, tecnología, seguridad de la información y negocios. “Las áreas se complementan entre ellas para producir los mejores productos de innovación posibles en base a estrategias bien definidas desde su nacimiento hasta su finalización considerando metodologías ágiles en el desarrollo de productos”, finaliza Eduardo.
Más allá de estas estrategias antes mencionadas, la adopción de herramientas para el control de la fuga de información u otras como el control de accesos, donde la CPN ha adquirido buenas experiencias a través de estas iniciativas de seguridad y ciberseguridad. Para Eduardo Alvarado, las mejores prácticas adquiridas están basadas en el actual comportamiento de la transformación digital, el aseguramiento en canales y ambientes en línea que se necesitan , nos regimos a normativas internacionales como las ISO 27001, 27035 de ciberseguridad, ISO 27701 de Protección y privacidad, NIST ,OWASP, enmarcadas en el contexto de desarrollo y agilismo con interacción entre el negocio y las necesidades de seguridad empresarial en la organización”