TCI lidera la implementación del SGSI - ISO 27001, que permite garantizar la seguridad de la información.
Gestión eficiente y segura
La empresa Transporte Confidencial de Información – TCI se destaca como la primera empresa peruana operadora de servicios electrónicos y la primera proveedora de servicios electrónicos. Al respecto, Renzo Alcántara, Gerente General de TCI que entre las fortalezas de la empresa resalta: “Nosotros como especialistas en intermediación digital realizamos transacciones electrónicas de forma fácil, rápida, segura y, además, cumplimos con la normativa técnica de Sunat. Nos destacamos por nuestra experiencia de 26 años en el mercado con presencia en más de 15 departamentos en el Perú, con más de 800 clientes y más de 100 colaboradores capacitados en las normas tributarias, procesos y soluciones empresariales”.
Así también, expresa que brindan altos estándares de seguridad y arquitecturas robustas que permiten mejorar la velocidad del procesamiento de la información y “esto se demuestra a través de nuestra certificación ISO 27001, nuestra alianza con IBM y nuestro sólido soporte técnico 24x7x365”. Asimismo, se diferencian por liderar innovadoras soluciones de: aduanas, facturación electrónica y validación de comprobantes electrónicos, las cuales permiten conectar a las empresas y a las personas detrás de ellas. Estas innovaciones sostenibles se adaptan a los nuevos modelos de negocios, aplicando inteligencia artificial y tecnologías avanzadas, con la finalidad de facilitar los procesos y mejorar la productividad empresarial de nuestros clientes.
Importancia de la utilización del SGSI en las empresas
Acerca de la implementación del sistema de gestión de seguridad de la información (SGSI) alineado con el ISO/IEC 27001, Alcántara indica “nos permite como empresa seguir los lineamientos y mejores prácticas de un estándar de seguridad internacional para proteger la información de los procesos críticos y sensibles de nuestra empresa y de nuestros clientes”. El objetivo de realizar esta implementación es poder cumplir con requerimientos legales y regulatorios, reducir los riesgos de pérdida o fuga de información e identificar con anticipación los eventos o incidentes para poder asegurar la confidencialidad, integridad y disponibilidad de la información.
Y el alcance del sistema de gestión de seguridad de la información (SGSI) está enfocado principalmente a los servicios como:
- PSE (Proveedor de Servicios Electrónicos) con nuestra solución de facturación y
- OSE (Operador de Servicios Electrónicos) con nuestra solución de validación.
El directivo de TCI puntualiza que, contar con el certificado ISO/IEC 27001 acredita que una entidad de certificación externa e independiente determine que nuestro sistema de gestión de seguridad de la información este en conformidad de la norma ISO/IEC 27001. “Por lo que, nos permite como empresa gestionar de manera eficiente la seguridad de la información ya que la implementación de este sistema implica pasar por las fases de Planificación, Implementación, Verificación y Mejora (Ciclo de Deming) de ciertos procesos de seguridad para asegurar la confidencialidad, integridad y disponibilidad de la información”. Además, permite implementar controles de seguridad basados en análisis de riesgo que se implementan en los procesos de la organización. También, permite obtener una visión general del estado de la seguridad de la información en la empresa, lo cual ayuda a tomar mejores decisiones estratégicas. Finalmente, Alcántara subraya que exige que se documenten ciertas políticas y procedimientos de seguridad de la información que deben ser conocidos por todo el personal y esto ayuda a alinear a toda la empresa en la mejora continua.
Metodologías utilizadas en la implementación del proyecto del SGSI
Para la implementación del sistema de gestión de seguridad de la información (SGSI) se tomó como referencia la norma ISO/IEC 27003 que es una guía para la implementación de este sistema. Esta norma es importante porque define los requisitos de seguridad en las diferentes fases de la implementación, según el ciclo de Deming.
Además de esta norma se tomaron las siguientes referencias:
- ISO/IEC 27001: Esta norma proporciona los requisitos para el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de la seguridad de la información (SGSI). Esta norma es importante porque indica lineamientos mínimos que debe cumplir una empresa para gestionar adecuadamente la seguridad de la información dentro de una organización.
- ISO/IEC 27002: Esta norma proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información. Esta norma es importante porque indica las buenas prácticas en los controles de seguridad que debe cumplir una empresa para asegurar la información.
- ISO/IEC 27005: Esta norma trata la gestión de riesgos en seguridad de la información. Es importante porque proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de seguridad en la información.
- OSSTMM, (Open Source Security Testing Methodology Manual), es la Metodología Abierta de Comprobación de la Seguridad. Es uno de los estándares más completos y comúnmente utilizados en Auditorías de Seguridad para revisar la Seguridad de los Sistemas desde Internet.
Las fases del proceso de implementación del SGSI
Como la norma ISO/IEC 27001 está basado en el ciclo de mejora continua o Deming, también, se tomaron en cuenta estas fases en la implementación para alinearnos de forma natural en el cumplimiento de los requerimientos de la norma.
Los aspectos que se desarrollaron en cada fase de implementación del SGSI:
- Fase 1. Planificación:
En esta primera fase de planificación se conoció mejor a la organización para definir el alcance del sistema de gestión de seguridad de la información (SGSI), los objetivos del sistema de gestión, la política general de seguridad de la información. Además, se definió una metodología de gestión para la valoración de riesgos de seguridad de la información, se identificaron riesgos y se elaboraron los planes de tratamiento de los riesgos.
- Fase 2. Implementación:
Se puso en marcha el plan de tratamiento de los riesgos identificados en la fase previa, se implementaron las políticas y controles de seguridad de la información, esto con la ejecución de un plan general de capacitación y concientización para todos los empleados y clientes de la empresa.
Adicional: Ethical Hacking, se identificó las fallas de seguridad asociadas a la evaluación de los activos de información y/o sistemas de información de los procesos de la implementación del SGSI.
- Fase 3. Verificación:
Se revisó internamente el cumplimiento de las políticas y controles de seguridad de la información que se han implementado en la fase previa y se realizó la Auditoria Interna del sistema de Gestión según las cláusulas de la Norma ISO 27001. Además, se revisó el estado de los indicadores y objetivos de seguridad de la información.
- Fase 4. En base a las revisiones realizadas en la fase previa, se elaboran y ejecutaron planes de corrección y mejora sobre los procesos de seguridad de la información. En cumplimiento con la mejora continua del sistema de gestión de seguridad de la información.
Las fases para la Ley de Protección de Datos Personales (LPDP)
Aspectos desarrollados en la implementación de la LPDP:
- Fase 1. Entrevistas y reuniones para la identificación de bancos de datos personales
- Fase 2. Elaboración de la Política de Protección de Datos Personales
- Fase 3. Elaboración de Procedimientos ARCO
- Fase 4. Elaboración del Plan para obtener los consentimientos informados de los datos personales que TCI ya tiene.
Por último, el Gerente General de TCI señala que son pocas las empresas en el Perú que cuentan con la certificación ISO/IEC 27001, pero no existe un listado oficial de empresas. “Actualmente, nosotros tenemos una alianza con IBM, quienes también cuentan con la certificación ISO 27001”, destaca.