Ponencia de Eulen Seguridad en el La 6ª Edición del Seminario Internacional de Seguridad Integral y Gestión de Riesgos en Ferrocarriles Metropolitanos se ha celebrado en la ciudad de Cartagena de Indias (Colombia) del 20 al 23 de abril, y ha sido organizado por ALAMYS en colaboración con la Fundación Mapfre.
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
1. Convergencia en Seguridad
Integrando la Gestión de los Riesgos de la Empresa
Ricardo Cañizares Sales
Director de Consultoría
EULEN SEGURIDAD, S.A.
23 de Abril de 2. 010
2. INDICE
• Breve presentación.
• Convergencia de la Seguridad.
• Pilares de la Convergencia.
• Nuestra Propuesta.
2
8. Actividades
• Servicios de Vigilancia y protección personal.
• Consultoría internacional.
• Ingeniería de Seguridad.
• Instalación y mantenimiento de sistemas de
seguridad.
• Seguridad de la Información.
• Inteligencia y prospectiva.
• Formación avanzada.
8
10. Estado Inicial
• Seguridad Física
• Seguridad reputacional
• Previsión de riesgos laborales
• Seguridad Medioambiental
• Seguridad de la Información
• Continuidad del negocio
• Seguridad Legal
• Gestión y transferencia de riesgos
• ………
10
11. Convergencia de la seguridad
Procesos de Gestión de la Seguridad del Negocio
Monitorización y Planificación de
Establecimiento Provisión de Gestión de Respuesta a
auditoría de la continuidad
de Políticas usuarios activos incidentes
seguridad del negocio
Gestión seguridad Seguridad Gestión seguridad
física Corporativa IT
Seguridad Investigaciones Seguridad
perimetral criminales perimetral
Prevención y
Desarrollo de
Custodia de medios detección de
políticas
intrusiones
Provisión y gestión Seguridad de los Provisión y gestión
de acceso físico empleados de acceso lógico
Protección de Detección y
Investigaciones
instalaciones e remediación de
éticas
infraestructuras vulnerabilidades
Planes de respuesta Auditoría de Respaldo y
a emergencias seguridad recuperación
12. Factores facilitadores
• Convergencia de las amenazas
• Convergencia tecnológica
• Convergencia de los proveedores
• Convergencia de la comunidad de seguridad
• Convergencia de la formación
12
13. Conclusiones
• El modelo tradicional de la seguridad está superado
• La integración de funciones de seguridad dentro de las
organizaciones es un factor crucial para lograr la calidad y
la competitividad
• El modelo de convergencia es prácticamente una
obligación para las empresas que quieran ser líderes en
sus sectores
13
15. Pilares de la Convergencia
• Plan Director de Seguridad Corporativa
• Sistema de Gestión de Seguridad Corporativa
(SGSC)
• Modelo de Madurez
15
16. Plan Director de Seguridad Corporativa
• OBJETIVO
– Sentar las bases teóricas para dotar a la organización
de un Sistema Integrado de prevención y
protección, ante los riesgos que puedan afectar a:
• Las personas
• El patrimonio tangible
• Los activos intangibles
16
17. Plan Director de Seguridad Corporativa
• CÓMO
– Definiendo la estructura técnica y organizativa necesaria, los
planes y procedimientos, y el programa de mantenimiento y
auditoria.
– Analizando:
• Los valores (activos) a proteger.
• La situación actual de la seguridad.
• El análisis de riesgos y vulnerabilidades.
• Estado de los procesos de seguridad y su
integración con las diferentes
áreas de negocio.
17
18. Plan Director de Seguridad Corporativa
• Objetivos: Mentalidad necesaria en la organización
– Contribuir a la simplificación de los
sistemas de gestión de la seguridad
y de sus procesos.
– Facilitar a la Dirección una garantía
de viabilidad y rentabilidad a futuro.
– Actuar como vehículo de
comunicación que permita divulgar
las líneas de actuación que se
quieran seguir.
– Establecer los planes de actuación
de la empresa. Planificando a corto
plazo y visionando a largo.
18
20. Plan Director de Seguridad Corporativa
• Enmarcado
dentro del
proceso de
mejora continua
de la seguridad
20
21. Sistema de Gestión de la Seguridad Corporativa
• El principal Objetivo de un Sistema de Gestión de
Seguridad Corporativa es lograr la adecuación y
alineación de la seguridad de las organizaciones de
una forma global, de manera que reporte una mayor
garantía de efectividad de los procesos de la
organización.
21
22. ¿Para qué un Sistema de Gestión?
Gestionar la seguridad y la
continuidad de la organización en un
Mejora Continua
circulo de retroalimentación.
RETROALIMENTACIÓN
Tiempo
22
24. Sistema de Gestión de la Seguridad Corporativa
• El SGSC da respuesta a la necesidad actual
de seguridad global en las organizaciones
24
25. Sistema de Gestión de la Seguridad Corporativa
• El Sistema de Gestión de Seguridad
Corporativa concibe la seguridad como
una integración de:
Seguridad lógica.
Seguridad física.
Seguridad reputacional. Hablando el lenguaje del
Seguridad legal. riesgo.
Seguridad patrimonial.
PRL
…
25
26. Modelo de Madurez
• Una mejora en la Gestión de la Seguridad nos va
a permitir avanzar en la madurez de los procesos
de seguridad
• ISO/IEC 21827 SSE-CMM.
– System Security Engineering Capability Maturity Model
26
27. Modelo de Madurez
0 No-existente
1 Inicial/Ad Hoc
2 Repetible pero intuitivo
3 Proceso definido
4 Administrado y Medible
5 Optimizado
27
28. 1 Inicial/Ad Hoc
• La organización reconoce la necesidad de seguridad
• La conciencia de la necesidad de seguridad depende principalmente
del individuo.
• La seguridad se lleva a cabo de forma reactiva.
• No se mide la seguridad.
28
29. 1 Inicial/Ad Hoc
• Los incidentes de seguridad ocasionan respuestas con acusaciones
personales, debido a que las responsabilidades no son claras.
• Las respuestas a las incidentes de seguridad son impredecibles.
29
30. 2 Repetible pero intuitivo
• Las responsabilidades de seguridad, están asignadas a un
responsable de seguridad, pero su capacidad de gestión es limitada.
• La conciencia sobre la necesidad de la seguridad esta fraccionada y
limitada.
• Aunque los sistemas producen información relevante respecto a la
seguridad, pero ésta no se analiza.
• Los servicios prestados por terceros pueden no cumplir con los
requerimientos específicos de seguridad de la empresa.
30
31. 2 Repetible pero intuitivo
• Las políticas de seguridad se han estado desarrollando, pero las
herramientas y las habilidades son inadecuadas.
• Los informes de la seguridad son incompletos, engañosos o no
aplicables.
• La capacitación sobre seguridad está disponible, pero depende
principalmente de la iniciativa del individuo.
• El negocio no ve la seguridad como parte de su propia actividad.
31
32. 3 Proceso Definido
• Existe conciencia sobre la seguridad y ésta es promovida por la
dirección.
• Los procedimientos de seguridad están definidos y alineados con la
política de seguridad.
• Las responsabilidades de la seguridad están asignadas y entendidas,
pero no continuamente implementadas.
32
33. 3 Proceso Definido
• Existe un plan de seguridad y existen soluciones de seguridad
basadas en los resultados de un análisis de riesgo.
• Los informes no contienen un enfoque claro de negocio.
• Se realizan pruebas de seguridad adecuadas.
• Existe formación en seguridad, pero se programa y se comunica de
manera informal
33
34. 4 Administrado y Medible
• Las responsabilidades sobre la seguridad son asignadas,
administradas e implementadas de forma clara.
• Se realizan periódicamente análisis de impacto y de riesgos de
seguridad.
• Las pruebas de seguridad se hacen utilizando procesos formales y
normalizados que ayudan a mejorar los niveles de seguridad.
• Los procesos de seguridad están coordinados con la función de
seguridad de toda la organización.
34
35. 4 Administrado y Medible
• Los informes de seguridad están ligados con los objetivos del negocio.
• La capacitación sobre seguridad se imparte a todo el personal.
• La formación sobre seguridad se planifica y se administra de manera
que responda a las necesidades del negocio y a los perfiles de riesgo
de seguridad.
• Los KGIs y KPIs ya están definidos pero no se miden aún.
35
36. 5 Optimizado
• Los requisitos de seguridad están definidos de forma clara,
optimizados e incluidos en un plan de seguridad aprobado.
• Los incidentes de seguridad son atendidos de forma inmediata con
procedimientos formales de respuesta soportados por herramientas
automatizadas.
• Se llevan a cabo valoraciones de seguridad de forma periódica para
evaluar la efectividad de la implementación del plan de seguridad.
• La información sobre amenazas y vulnerabilidades se recoge y analiza
de manera sistemática.
36
37. 5 Optimizado
• Se estudian e implementan en tiempo y forma los controles
necesarios para mitigar los riesgos.
• Se llevan acabo pruebas de seguridad, análisis de causa-efecto e
identificación pro-activa de los riesgos para la mejora continua de los
procesos.
• La información de los KGIs y KPIs del sistema de gestión de la
seguridad es recogida y utilizada.
• La dirección utiliza los KGIs y KPIs para ajustar el plan de seguridad
en un proceso de mejora continua.
37
39. Servicios de Seguridad Integral
Seg. Física Seg. Medioambiental
SEGURIDAD
INTEGRAL
Seg. Reputacional
Seg. información
Continuidad negocio
39
40. Nuestra Propuesta
• La propuesta de EULEN SEGURIDAD es un
precedente en Seguridad Corporativa en España. Usa
todo su potencial para ofrecer a las empresas la
integración en la gestión de sus riesgos y soluciones de
seguridad.
40
41. más de 35 años innovando para
proteger
su patrimonio
41