Proyecto: Cooperativa 29 de Octubre implementa un esquema integral de seguridad innovación y mejora continua

Share

La Cooperativa de Ahorro y Crédito 29 de Octubre obtuvo por segunda vez el primer lugar en los Premios Líder IT Ecuador 2023, en la categoría de Proyecto de Seguridad de la Información. Edwin Égüez Lupera, Gerente de la Cooperativa, señaló que es un verdadero honor recibir este reconocimiento, considerando el prestigio del concurso y el alto nivel de las empresas participantes, el jurado calificador y de la firma auditora que lo avala. “Es muy gratificante que el trabajo y el esfuerzo que llevamos a cabo constantemente en la Cooperativa 29 de Octubre sean reconocidos,” dijo.

La Cooperativa lleva cincuenta y seis años ofreciendo servicios y productos financieros a sus clientes. Para abordar los desafíos críticos en seguridad, cuentan con una estrategia que involucra a la Alta Dirección. Egüez menciona que mantienen una activa participación en el seguimiento de los indicadores y en la evolución de las iniciativas de seguridad de la institución. Esto se logra no solo mediante la asignación presupuestaria pertinente, sino también a través del Comité de Seguridad de la Información, del Comité de Administración Integral de Riesgos, y de una comunicación diaria con el Oficial de Seguridad de la Información, quien reporta directamente a la gerencia.

El proyecto, dijo el ejecutivo, ha contribuido a minimizar los riesgos cibernéticos y de seguridad de la información, lo que se refleja en la alta disponibilidad de los servicios. “Protegemos la reputación que la institución ha forjado con esfuerzo y afianzamos así la confianza depositada por las familias de nuestros socios y clientes, mediante una adecuada gestión de sus activos financieros y de su información.”

Álvaro Barrera, Oficial de Seguridad de la Información y líder del proyecto, señaló que la seguridad de la información es un proceso que requiere de una evaluación y mejora continua. La institución inició este proceso hace varios años aplicando estándares y mejores prácticas como la ISO 27001 y NITS, así como evaluaciones de seguridad anuales efectuadas por firmas auditoras reconocidas.

La estrategia ha incluido el uso de herramientas y sistemas de seguridad integrales que visibilicen en tiempo real la exposición y el nivel de riesgo de la infraestructura tecnológica. “Medir continuamente y de una forma imparcial la efectividad de los controles nos obliga a innovar en búsqueda de soluciones holísticas que empleen bases de conocimientos como Mitre y tecnologías para la administración, gestión del riesgo que dispongan de playbooks apoyados en inteligencia artificial, que prevengan y contengan las amenazas de manera proactiva”.

Para los procesos no tecnológicos como capacitación, señala que evalúan su efectividad, simulando ataques de phishing en base al uso de una plataforma especializada de e-learning, actualizada con las amenazas de ciberseguridad más comunes.

Las prácticas y estrategias de seguridad implementadas por la Cooperativa 29 de Octubre pueden ser consideradas como un modelo aplicable en cualquier empresa, teniendo presente que las normativas reconocidas a nivel internacional como la ISO 27001 o la NITS son aplicables y beneficiosas para cualquier industria o sector. Sin embargo, es necesario tener presente que toda aplicación adecuada de controles dependerá necesariamente del tipo de riesgos, de los servicios y de la naturaleza de cada negocio.

Álvaro Barrera, al referirse a los aprendizajes adquiridos, cita varios factores de éxito del proyecto, empezando por dejar el paradigma de que la seguridad de la información es un elemento aislado. Ello ha motivado un cambio cultural que considera que el riesgo operativo lo comparten todos quienes forman parte del ecosistema institucional.

Destaca la importancia del apoyo de la alta gerencia, que se refleja en la aprobación del Plan Estratégico, la asignación de presupuesto y un seguimiento riguroso de su progreso. Además, resalta la colaboración entre departamentos, el apoyo de proveedores especializados y con experiencia, así como la selección de soluciones reconocidas en el mercado que operen como un sistema integrado, asegurando la innovación y mejora frente a las constantes amenazas cibernéticas.

Para mantener la relevancia y adaptabilidad del proyecto ante cambios tecnológicos futuros, el Consejo de Administración de la Cooperativa 29 de Octubre formaliza, año a año, la aprobación del Plan Estratégico de Seguridad de la Información institucional. Para Barrera, este esquema de trabajo ha sido clave para avanzar de una manera continua en el mantenimiento, afinamiento y mejora del esquema integral de seguridad de la Cooperativa, alineándose al cumplimiento de mejores prácticas y del marco normativo.

Descripción del proyecto:

Nombre del proyecto: Proyecto de Ciberseguridad.

Objetivo:

Apoyar los objetivos estratégicos de la Cooperativa 29 de Octubre, mediante el fortalecimiento de los controles de seguridad de la información y ciberseguridad que permitan mitigar riesgos y cumplir el marco normativo.

Para el año 2022, con el objetivo de garantizar el apoyo al negocio, la continuidad de los controles de seguridad implementados en años previos, el cumplimiento normativo, así como la mejora continua del proceso de seguridad de la información institucional, se planteó el “Proyecto de Ciberseguridad del año 2022” que abarcó cinco iniciativas.

Iniciativas realizadas

Para la ejecución del proyecto de Ciberseguridad de Cooperativa 29 de Octubre abarcó cinco iniciativas:

  • Mejoras de seguridad en el servicio de canales electrónicos y control de fraude.
  • Mejora de controles para minimizar ataques de phishing y suplantación de identidad en internet y redes sociales.
  • Implementación de controles para mejorar la administración y minimizar el riesgo de ataques dirigidos a cuentas privilegiadas.
  • Ejecución de auditorías y análisis de seguridad internas y externas, en función de evaluar los controles de seguridad y el nivel de exposición.
  • Implementación de controles para minimizar riesgos de fuga de información.

Beneficios

  • Apoyo al logro de objetivos estratégicos.
  • Provisión de servicios financieros sustentados por una arquitectura sólida de seguridad.
  • Fortalecimiento de la confianza de los clientes y de la imagen institucional.
  • Evaluación constante de controles en función de validar su efectividad y de definir mejoras oportunamente.
  • Minimización de riesgos en los servicios, sistemas e información crítica.

Participantes:

Cooperativa 29 de Octubre: Líder del proyecto: Álvaro Barrera, Oficial de Seguridad de la Información.

Vinicio Cevallos, Analista de Ciberseguridad; Danny Toctaguano, Analista de Seguridad de la Información; Andrés Castellanos, Director de Tecnología, Alexandra Zhinin, Jefe de Gestión Técnica, Edison Simbaña, Jefe de Gestión de Aplicaciones, Juan Carlos Mantilla, Jefe de Mesa de Servicios.

Proveedores:

Securesoft: Karelly Brito

Binaria: Elena Estévez

IST Américas: Karla Estrella

Isacnet: Jimmy Gallardo

Hawa: Carlos Regalado