ProCredit implementa SGSI alineado a las ISO 27001

Share

En Banco ProCredit, el departamento de Seguridad de la Información tiene una línea directa de reporte con la alta gerencia y el Comité de Seguridad de la Información. Además, cuenta con una planificación estratégica y presupuesto completamente independiente al de IT, lo que le permite llevar a cabo proyectos e iniciativas generados por el propio departamento. 

Christian Fuertes, Jefe de Seguridad de la Información y Continuidad del Negocio, destaca que en la organización, la seguridad de la información y su componente de ciberseguridad son fundamentales para ofrecer servicios financieros seguros y gestionar la información de los clientes con base en los principios de disponibilidad, integridad y confidencialidad. “Los proyectos de Seguridad de la Información se implementan con alcance transversal a la organización, considerando un análisis de riesgos y pruebas antes de su implementación”. 

La entidad financiera se encuentra en pleno proceso de transformación digital, lo que implica un cambio en la forma de prestar sus servicios, con un enfoque digital para la entrega de servicios a través de canales electrónicos. 

Uno de los mayores desafíos que implica la adopción de nuevas tecnologías en una organización es la identificación de los riesgos que pueden afectar la seguridad de la información y la ciberseguridad. Esta tarea se considera fundamental para diseñar e implementar controles que permitan mitigar los riesgos identificados. 

Una de las iniciativas más importantes en temas de seguridad y ciberseguridad que llevado a cabo la institución es la implementación del Sistema de Gestión de Seguridad de la Información alineado a la normativa ISO 27001. “El proyecto que se encuentra en marcha, implica la actualización e implementación de varias prácticas”, comenta Fuertes. 

 También basados en los riesgos identificados promueven la implementación de controles para salvaguardar el acceso a la información de sus clientes.  Christian Fuertes indica que debido a que la concientización sobre riesgos y vulnerabilidades han creado una plataforma de autoeducación, tanto para empleados y clientes, desde la cual se ha desarrollado varias campañas con una llegada más directa hacia los clientes. “La cultura de seguridad entre los colaboradores del Banco ha mejorado de manera significativa”. 

La adopción de herramientas es una tarea que el área de Seguridad de la Información la ejecuta de manera cercana con la Unidad de Proyectos y Procesos y con el área de Tecnología. El ejecutivo indica que la adopción de nuevas herramientas o la implementación de controles se da en base a dos aspectos fundamentales: el análisis de riesgo asociado y el presupuesto disponible para su implementación. “Para la adopción de las nuevas herramientas o controles procedemos con la ejecución de pruebas de concepto o en algunos casos pruebas piloto con pocos usuarios. De esta manera los resultados son bastante efectivos”. 

La principal mejor práctica que está desarrollando ProCredit es la implementación del estándar ISO 27001 relacionado al Sistema de Gestión de Seguridad de la Información y todas sus adaptaciones necesarias a implementar.