Seguridad de la información en Metro

Este estudio de casos forma parte de una serie desarrollada por Terranova que describe el perfil de empresas que implementaron con éxito campañas de concientización.

Estudio de casos

Compruébelo usted mismo

¿Le gustaría saber cómo también su empresa puede beneficiarse de las soluciones de Terranova en materia de concientización sobre la seguridad de la información?

Solicite su prueba gratuita completando el formulario a continuación.

"Los cursos de capacitación en línea de Terranova, su módulo LMS y sus boletines nos proporcionaron las herramientas necesarias para implementar un programa de seguridad de la información equilibrado e inspirado en las mejores prácticas".

– Lauréat Desmeules
Director de Actividades de Apoyo,
Sistemas de Información
Metro Richelieu

Visión

Mucho antes de que leyes como la Ley Sarbanes-Oxley (SOX, por sus siglas en inglés), la Ley de Modernización de los Servicios Financieros (GLBA, por sus siglas en inglés), la Ley de Transferibilidad y Responsabilidad del Seguro de Salud (HIPAA, por sus siglas en inglés), o la Norma de Seguridad de la Información para la Industria de las Tarjetas de Crédito (PCI –DSS, por sus siglas en inglés) se volvieran moneda corriente en el seno de las empresas, el equipo de seguridad de Metro, líder en la industria alimentaria y farmacéutica en las provincias de Quebec y Ontario, comprendió la necesidad de concientizar a sus empleados en materia de seguridad de la empresa y de sus clientes.

Acerca de Metro
Con ventas anuales de casi 11.000 millones de dólares y más de 65.000 empleados, Metro Inc. es una empresa líder en los sectores alimentario y farmacéutico en las provincias de Quebec y Ontario. La empresa opera una red de casi 600 supermercados bajo distintas marcas, incluyendo Metro, Metro Plus, Super C y Food Basics, así como 250 farmacias bajo las marcas Brunet, Clini Plus, The Pharmacy y Drug Basics.


Problemática

Incrementación del marco regulatorio
En 2003, la ley estadounidense SOX estaba dando sus primeros pasos. La misma se había sancionado el 30 de julio de 2002 como consecuencia de varios importantes escándalos financieros como los de Tyco International, Enron y WorldCom. En Canadá, la Autoridad Canadiense de Títulos Valores (CSA, por sus siglas en inglés) y la Comisión de Valores de Ontario (OSC, por sus siglas en inglés) iniciaron en 2003 un extenso proceso de consulta. Más tarde, dichas organizaciones publicaron una serie de instrumentos jurídicos diseñados para aplicar la mayoría de las disposiciones principales de la Ley Sarbanes-Oxley al mercado financiero canadiense, ofreciendo al público la posibilidad de presentar comentarios al respecto.

Norma de seguridad internacional
Luego de dicha consulta, las empresas canadienses que cotizan en la bolsa debieron observar los requisitos de la ley SOX, con algunos ajustes específicos para adaptarse a la naturaleza de los mercados canadienses. La norma PCI-DSS, otro estándar importante para las empresas que procesan información de tarjetas de crédito, es un instrumento de seguridad diseñado para prevenir el fraude relacionado con las tarjetas de pago, la piratería y otras vulnerabilidades y amenazas de seguridad.

Todas las normas y leyes mencionadas exigen que las empresas demuestren la adopción de las mejores prácticas para capacitar a sus empleados e implementar políticas y procedimientos de seguridad que garanticen la protección correcta de la información de la empresa.


Solución

Sensibilización a la seguridad de la información
"En 2003, nos dimos cuenta de que, independientemente de las normas y reglas de las que se hablaba en la industria, para lograr un programa de seguridad verdaderamente eficaz, debíamos capacitar a nuestros empleados para que pudieran reconocer los riesgos potenciales a la seguridad y comprender las políticas de seguridad", dijo Lauréat (Larry) Desmeules, Director de TI de Metro. "Era evidente para nosotros hacia dónde se encaminaba la conformidad en materia de seguridad y respondimos con un plan claro y preciso para cubrir las necesidades de la empresa".



Capacitación en línea
La capacitación en línea se consideró, por lo tanto, un componente rentable y oportuno dentro del programa de concientización sobre seguridad de Metro. La implementación de un programa de capacitación integral listo para usar y que incluía un plan de comunicaciones y materiales de refuerzo brindó a la empresa herramientas poderosas y económicas para alcanzar sus objetivos.

"Habíamos evaluado la posibilidad de confeccionar el curso nosotros mismos, pero nos dimos cuenta rápidamente de que el costo sería prohibitivo", agrega el Sr. Desmeules. "Con Terranova, tuvimos la oportunidad de acceder a un producto que nuestros empleados podían usar inmediatamente, sin necesidad de realizar una gran inversión para comenzar".


Implementación

Seis años más tarde, Metro continúa utilizando activamente el programa de sensibilización a la seguridad de Terranova.

Los nuevos empleados deben tomar el curso cuando comienzan a trabajar en Metro. Asimismo, cuando se realizan modificaciones debido a la adopción de nuevas políticas, se comunican dichos cambios a los empleados y estos deben conectarse para actualizar sus conocimientos.

Palabra clave: "Flexibilidad"

"Si bien el equipo de seguridad de TI preparó e implementó este programa, actualmente es el departamento de RR. HH. el que se ocupa de su gestión. La facilidad y la capacidad de adaptación del programa de Terranova permite que nuestro departamento de TI pueda concentrarse en la tarea principal, es decir, brindar contenido actualizado sobre seguridad, mientras que el equipo de RR. HH. se ocupa de impartir el programa a los usuarios", explica el Sr. Desmeules. "Así, miles de empleados han realizado la capacitación sobre seguridad. Durante todos estos años, Terranova ha colaborado con nosotros para ayudarnos a satisfacer nuestras necesidades que evolucionan constantemente".


Beneficios

Actualmente, es de público conocimiento que las empresas necesitan capacitación y comunicaciones eficaces en materia de procedimientos y políticas internas de seguridad ya que deben cumplir con distintas leyes y normas. Metro satisfizo estas exigencias desde un principio brindando a la empresa una herramienta pedagógica perfeccionada que logró modificar el comportamiento de sus empleados con relación a la seguridad.

"Los cursos de capacitación en línea de Terranova, su módulo LMS y sus boletines nos proporcionaron las herramientas necesarias para implementar un programa de seguridad de la información equilibrado e inspirado en las mejores prácticas".

– Lauréat Desmeules
Director de Actividades de Apoyo,
Sistemas de Información
Metro Richelieu