Eulen Seguridad - Convergencia de la Seguridad (noviembre 2012)

684 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
684
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
37
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Eulen Seguridad - Convergencia de la Seguridad (noviembre 2012)

  1. 1. CONVERGENCIA DE LA SEGURIDAD EULEN SEGURIDAD, S.A. A-28369395 C/ Gobelas 25-27 28023 Madrid Tel. 91 631 08 00 Fax. 91 372 81 98 Noviembre -2012
  2. 2. CONVERGENCIA DE LA SEGURIDADINDICE1  Eulen Seguridad .............................................................................. 3 2  Paradigma de la Convergencia de la Seguridad........................... 6 3  La gestión......................................................................................... 7 4  Análisis de Riesgos ......................................................................... 9 5  El modelo de madurez .................................................................. 10  Página 2 de 11
  3. 3. CONVERGENCIA DE LA SEGURIDAD1 Eulen SeguridadA principios del 2008 Eulen Seguridad ante la evolución de las necesidades de seguridadintegral a las que se enfrentaban todas las organizaciones, tanto del sector público comoprivado, comenzó a estudiar el modelo de gestión y prestación de servicios que daba mejorrespuesta a esta necesidad.El modelo que Eulen Seguridad consideró y considera que mejor respuesta da a estanecesidad de seguridad integral, es el paradigma de la “Convergencia de la Seguridad”, estemodelo fue propuesto inicialmente en el año 2005 por la “Alliance for Enterprise SecurityRisk Management (AESRM)” de la que forman parte las dos mayores asociaciones deprofesionales de la seguridad, ASIS e ISACA, la primera de ellas focalizada en la seguridadfísica y la segunda en seguridad de la información (seguridad lógica).Una vez adoptada la decisión de apostar por el paradigma de la Convergencia de laSeguridad, se comenzó a preparar a la compañía para empezar a prestar servicios deseguridad bajo este modelo, para ello se creó la Unidad de Seguridad de la Información conel objeto de adquirir las capacidades y conocimientos necesarios para ello.En el mes de octubre del 2008 durante la celebración en León del II Encuentro Nacional dela Industria de la Seguridad en España (ENISE), organizado por el Instituto Nacional deTecnologías de la Información (INTECO), Eulen Seguridad hizo pública su apuesta por elparadigma de la “Convergencia de la Seguridad”, con una ponencia de su Director NacionalCarlos Blanco, titulada “La Convergencia de la Seguridad: la seguridad integral”.Con dicha apuesta pública Eulen Seguridad se convirtió en la primera empresa de seguridadprivada que comenzaba a prestar servicios de seguridad física y de seguridad lógica bajo elparadigma de la convergencia de la seguridad.Es necesario hacer notar que en el objeto social de Eulen Seguridad, como empresa deseguridad privada, figura que una de sus actividades es la “vigilancia y protección de bienes”y el Diccionario de la Lengua Española de la Real Academia Española, define “bienes”(sexta acepción), como “Cosas materiales o inmateriales en cuanto objetos de derecho”. Página 3 de 11
  4. 4. CONVERGENCIA DE LA SEGURIDADPor ello, como dentro de los bienes inmateriales se encuentra comprendida la información,uno de los activos más valiosos, hoy en día, de las empresas y organizaciones, y dentro delos bienes materiales, los sistemas informáticos que procesan, almacenan y transmiten lainformación.Por lo anterior, era lógico y previsible que las empresas de seguridad privada, como EulenSeguridad, comenzaran a prestar servicios de seguridad, bajo un modelo de integración,que contemplara tanto la seguridad física como lógica, como es el de la “Convergencia de laSeguridad”.Además, aunque Eulen Seguridad fue la primera empresa de seguridad privada que apostopor este modelo, lo cierto es que empresas como el Grupo MAPFRE, llevaban añosutilizando este modelo de integración con muy buenos resultados, un claro ejemplo de elloes el Centro de Control General de MAPFRE que lleva años funcionando bajo un modelo de“Convergencia de la Seguridad”.Una vez hecha pública la apuesta de Eulen Seguridad por este nuevo modelo, se comenzóa ofrecer y prestar estos servicios a nuestros clientes, en algunos casos de formaindependiente y en otros de forma integrada.Durante el año 2009, el mercado empezó a considerar la “Convergencia de la Seguridad”como una alternativa de futuro, prueba de ello es la celebración del I Encuentro de laSeguridad Integral (Seg2) organizado por la editorial Borrmart, que reunió por primera vezen España al sector de la Seguridad Lógica y al de la Seguridad Física.Igualmente, durante el año 2009, Eulen Seguridad fue madurando sus procesos internos,mejorándolos y adaptándolos a las nuevas necesidades, y en mes de octubre durante lacelebración en Leon del III Encuentro Nacional de la Industria de la Seguridad en España(ENISE), organizado por el Instituto Nacional de Tecnologías de la Información (INTECO),Eulen Seguridad hizo pública su visión de lo que debía ser la “Empresa de Seguridad delFuturo”.En esta ponencia se expuso la visión de Eulen Seguridad respecto a los servicios que debeprestar una empresa de seguridad y cómo los debe prestar. Página 4 de 11
  5. 5. CONVERGENCIA DE LA SEGURIDADSegún está visión, la principal necesidad de las empresas es garantizar la continuidad desus operaciones y para ello necesitan garantizar la seguridad de todos sus activos tantotangibles como intangibles.Las empresas se enfrentan a nuevas amenazas y nuevos retos, entre ellos:  La protección de los activos tangibles e intangibles  El tratamiento integrado de los riesgos  La protección del ciclo productivo completo  La visión de la seguridad como un proceso más de negocioPara ayudar a las empresas a hacer frente a estas amenazas y retos, las empresas deseguridad deben ser capaces de dar respuesta a la necesidad actual de seguridad globalante cualquier amenaza y en cualquier escenario.Con la finalidad de cumplir dicho objetivo, las empresas de seguridad deben ser aliadosestratégicos de sus clientes, colaborando en la consecución de sus objetivos, ayudándoles agarantizar la continuidad de sus operaciones, dando protección a todos sus activos, tantomateriales cómo inmateriales, todo ello aportando generación de valor.De acuerdo con esta visión, Eulen Seguridad se define como una empresa:  Innovadora  Flexible y ágil para adaptarse a los nuevos escenarios y riesgos  Comprometida con la excelencia en la prestación de servicios  Comprometida con la honestidad y ética profesional  Comprometida con la Seguridad de nuestra Sociedad  Consciente del rol que representaEn junio del 2010 durante la celebración del II Encuentro de la Seguridad Integral (Seg2),Eulen Seguridad siguiendo la línea marcada desde el año 2008, volvió a hacer pública suapuesta por el paradigma de la “Convergencia de la Seguridad” con el convencimiento deque la legislación sobre protección de infraestructuras críticas (que en aquel momento seencontraba en fase de elaboración), iba a suponer el impulso definitivo a la “Convergenciade la Seguridad”. Página 5 de 11
  6. 6. CONVERGENCIA DE LA SEGURIDADY en este momento, cuatro años después de la apuesta pública de Eulen Seguridad por elparadigma de la “Convergencia de la Seguridad”, ya nadie discute que el modelo deseguridad integral que estamos impulsando desde entonces, es una alternativa a tener encuenta, ya que cada vez son más las empresas públicas y privadas que están adoptandoeste modelo de seguridad integral, incluso como objetivos estratégicos en su área, sinolvidar que su aplicación ha sido refrendada por la actual legislación de Protección deInfraestructuras Críticas que establece como obligatorio el modelo de seguridad integral ensu ámbito de aplicación.2 Paradigma de la Convergencia de la SeguridadEn la visión tradicional, la seguridad se ha entendido como un conjunto de procesosindependientes sin apenas relaciones entre ellos, donde, en función de la seguridad que setratase, física, lógica, ciudadana, patrimonial, ambiental etc., que se gestionaban porseparado, lo que podía (y puede) dar lugar a ineficiencias y a un uso excesivo de recursos yfunciones de seguridad duplicadas.La visión de la Convergencia de la Seguridad es la integración, de manera formal,corporativa y estratégica de todos los recursos dedicados a la Seguridad de unaorganización, para garantizar la gestión de riesgos a la que está expuesta la organización,con efectividad, eficiencia operacional creciente y ahorro de costes, minimizando el riesgo alos niveles establecidos por la Política de Seguridad Global Corporativa.La convergencia de la seguridad es la cooperación formal de las diferentes funciones deseguridad de la organización. Cuando decimos "cooperación", hablamos de una acciónconcertada y orientada a los resultados del esfuerzo de un trabajo en conjunto. En laConvergencia de la Seguridad, no sólo se está integrando las funciones de seguridad físicay de seguridad lógica, sino a todas las funciones de la organización que gestionen riesgosque puedan suponer una amenaza para la supervivencia de la organización.La Convergencia de la Seguridad tiene como principal prioridad la alineación de todas lasfunciones de seguridad con las necesidades del negocio en cada momento, definiendo estehecho como la integración de: Seguridad física Seguridad de la información Seguridad reputacional Seguridad del personal Seguridad legal Seguridad medioambiental Seguridad laboral Seguridad industrial Seguridad patrimonial Continuidad del negocio …. Página 6 de 11
  7. 7. CONVERGENCIA DE LA SEGURIDADForjar vínculos entre las distintas funciones, departamentos o responsables de Seguridad deuna organización es parte de la Convergencia de la Seguridad, pero no lo es todo. LaConvergencia de la Seguridad se centra en la gestión global de los riesgos, para integrar ycoordinar las diferentes funciones de seguridad, siendo su principal objetivo proteger de laforma más eficiente posible todos los activos, tanto tangibles como intangibles de unaorganización, de todas las amenazas, de cualquier tipo, a las que estén expuestos,independientemente de su origen.La adopción de este nuevo paradigma, la Convergencia de la Seguridad exige una reflexiónpor parte de las personas implicadas en la dirección y gestión de las funciones de seguridadde la organización, con el fin de que abran su mente e intenten superar las fronteras de susáreas de conocimiento, estableciendo actuaciones armonizadas por el único objetivo, deestablecer en la organización una cultura de Seguridad Corporativa, que sumado con unlenguaje común, pueda permitirles garantizar la adecuada protección de los activos de laorganización y la continuidad de las operaciones.La finalidad de la convergencia es realizar una gestión global de las funciones de seguridad,unificar funciones de seguridad o incentivar la comunicación entre ellas (aprender a hablarun lenguaje común, el lenguaje del riesgo), unificar eventos y tecnologías, etc. todo ello conla finalidad de reducir costes, aumentar el nivel de seguridad, la eficiencia en las acciones yalinear la seguridad con las necesidades de la organización.3 La gestiónEl reto de la Convergencia de la Seguridad, es gestionar el riesgo de la organización(eliminarlo, prevenirlo, transferirlo y minimizar su impacto), tal como se gestiona cualquierotro proceso de negocio, ya que la seguridad es un proceso más dentro de los procesos dela organización.La Convergencia de la Seguridad plantea un modelo de gestión integral que comprendetodos los procesos de seguridad de una organización, que tienen por objeto garantizar laadecuada protección de todos los activos de la organización y la continuidad de sus Página 7 de 11
  8. 8. CONVERGENCIA DE LA SEGURIDADoperaciones, todo ello con una filosofía clara de alineación con el negocio. Por ello, lafunción de seguridad integral no sólo comprende las funciones de seguridad física y deseguridad lógica, sino todas las funciones de la organización orientadas a la gestión detodos aquellos riesgos que puedan suponer una amenaza para el funcionamiento ysupervivencia de la organización.La función de seguridad integral se centra en la gestión global de los riesgos, siendo suprincipal objetivo proteger de la forma más eficiente posible todos los activos, tanto tangiblescomo intangibles de una organización, de todas las amenazas, de cualquier tipo, a las queestén expuestos, independientemente de su origen.Si tenemos en cuenta que la seguridad es un proceso más dentro del conjunto de losprocesos productivos de la organización tenemos que gestionarlo de la misma forma que segestionan dichos procesos, utilizando un sistema de gestión como el marco defuncionamiento de una organización en el que se integran tanto la misión, visión, valores,objetivos principales y secundarios de la organización, como las políticas, procedimientos,registros e indicadores, que dan forma al sistema.Disponer del marco de trabajo que proporciona un sistema de gestión permite que seincremente la eficiencia y eficacia de la organización.El modelo de sistema de gestión de seguridad integral propuesto está basado en la mejoracontinua, del ciclo de Deming o PDCA (Plan-Desarrollo-Control-Acción) compuesto porcuatro fases diferenciadas y alineado con los estándares internacionales comúnmenteaceptados.A continuación, se describen las fases de este ciclo de mejora continua: Estudio de la situación de la Organización (desde el punto de vista de la seguridad), para estimar las medidas que se van a implantar en función de las necesidades detectadas. Realización de un Análisis de Riesgos integral que ofrezca una valoración de los activos, amenazas y las vulnerabilidades a las que están expuestos. Elaboración del plan de gestión de riesgos. Página 8 de 11
  9. 9. CONVERGENCIA DE LA SEGURIDAD Ejecución del plan de acción e implantación de los controles. Revisión de la documentación (políticas, procedimientos, instrucciones y registros). Formación y concienciación. Documentación del trabajo elaborado Revisión del sistema Evaluación de la eficacia y eficiencia de los controles implantados Verificación de registros e indicadores. Verificación del correcto funcionamiento del sistema (auditoría interna) Documentación de conclusiones Mantenimiento del sistema Aplicar nuevas mejoras, si se han detectado errores en el paso anterior Acciones preventivas y correctivas4 Análisis de RiesgosEn la visión tradicional, la seguridad, en función de la seguridad que se tratase, seanalizaban ciertas amenazas específicas y se gestionaban los riesgos por separado, lo quepuede dar lugar a ineficiencias, debido a una protección excesiva en algunos casos oinsuficiente, en otros.La visión de una seguridad global e integrada en todas sus disciplinas significa disponer deuna única visión ante las amenazas y vulnerabilidades, tratándolas de forma conjunta,independientemente del origen y naturaleza de las mismas. De esta forma se gestionan demodo integral los riesgos, lo que redunda en un mejor aprovechamiento de los recursos y enuna toma de decisiones más eficiente y efectiva, facilitando una mayor alineación con elnegocio.Uno de los pilares en los que se basa el paradigma de la Convergencia de la Seguridad esla gestión de forma integral de los riesgos a los que está expuesta una organización, Lo quehace imprescindible realizar un análisis de riesgos integral, de forma que contemple de unamanera global cualquier tipo de amenaza, tanto de carácter físico como lógico, para ello esnecesario disponer de una metodología lo suficientemente robusta e integrada que lopermita, que esté preparada para analizar todas las amenazas y vulnerabilidades a las queestá expuesta la organización, de forma conjunta, independientemente del origen ynaturaleza de dichas amenazas, teniendo en cuenta la posibilidad de que exista un “ataquecombinado”, y la materialización de un ataque de este tipo pueda causar un impacto sobre elfuncionamiento de la organización muy superior al que causaría un ataque que provenga deun sólo vector.. Página 9 de 11
  10. 10. CONVERGENCIA DE LA SEGURIDADLas implicaciones que supone la aplicación del paradigma de la Convergencia de laSeguridad, nos ha llevado a analizar las metodologías de análisis y gestión de riesgosexistentes, para seleccionar la metodología que mejor de respuesta a las necesidadesplanteadas, al tratar los riegos de manera integrada. La metodología que ha adoptado EulenSeguridad es una adaptación de la metodología Magerit Versión 2 basada en la experienciaque ha adquirido en la realización de análisis de riesgos integrados, tanto en proyectos deSeguridad Corporativa como en proyectos de Protección de Infraestructuras Críticas einstalaciones de alto riesgo, esta ampliación de la metodología Magerit Versión 2 estáalineada con las metodologías de análisis de riesgos de los estándares ISO 31000 Gestióndel riesgo. Principios y directrices e ISO 27005 Information technology -- Security techniques-- Information security risk management. Así como en distintas guías y publicaciones delCentro Criptológico Nacional (CCN-CNI), National Institute of Standards and Technology(NIST) y del U.S. Department of Homeland Security5 El modelo de madurezAl considerar que la Seguridad es un proceso de negocio más, y que por lo tanto debe estaralineado con los objetivos de negocio de la organización, dentro de un ciclo de mejoracontinua, es necesario disponer de métricas que nos permitan medir el cumplimiento de susobjetivos y de un modelo de madurez que nos permita disponer de un “Benchmarking” de lacapacidad de nuestros procesos de Seguridad. La utilización de métricas y modelos demadurez es algo habitual en el resto de procesos de negocio de las organizaciones.La inmensa mayoría de los modelos de madurez existentes actualmente, por no decir todos,son modelos basados en el Modelo de Madurez de Capacidades o CMM (Capability MaturityModel) desarrollado la Universidad Carnegie-Mellon para el SEI (Software EngineeringInstitute). El CMM es un modelo de evaluación de la capacidad de los procesos de unaorganización, que permite a las empresas valorar sus capacidades comparándolas con lasestablecidas en estándares y buenas prácticas generalmente aceptadas, y con respecto aempresas de su competencia (“Benchmarking”).En el escenario actual en el que nos encontramos, mayor necesidad de seguridad,escenarios dinámicos, amenazas en continua evolución y regulaciones cada vez másexigentes, es necesario disponer de un Modelo de Madurez de la Seguridad Corporativa(MMSC). Página 10 de 11
  11. 11. CONVERGENCIA DE LA SEGURIDADDisponer de un MMSC nos va a facilitar la evaluación de los procesos de seguridad pormedio del “Benchmarking” y nos va a permitir identificar las mejoras en la capacidad que esnecesario llevar a cabo en los procesos de seguridad de nuestra organización.Los responsables de la Seguridad Corporativa de una organización deben ser capaces deresponder a las siguientes cuestiones: ¿Qué está haciendo nuestra competencia, y cómo estamos posicionados en relación a ellos? ¿Cuáles son las mejores prácticas de Seguridad Corporativa, y cómo estamos posicionados con respecto a estas prácticas? Con base en estas comparaciones, ¿Se puede decir que estamos haciendo lo suficiente? ¿Cómo identificamos las acciones necesarias hacer para alcanzar un nivel adecuado de protección de nuestros activos?Es difícil responder adecuadamente a estas cuestiones. El responsable de SeguridadCorporativa debe disponer de procedimientos y herramientas que le ayuden a dar respuestaa estas cuestiones, lo que se traduce en la necesidad de disponer de: Una medida relativa de dónde se encuentra la organización Una manera de decidir hacia dónde ir de forma eficaz y eficiente Una herramienta para medir el avance de la organización en el cumplimiento del objetivoLa utilización de un MMSC nos va a ayudar a responder a las cuestiones anteriores y a darrespuesta a las necesidades de Seguridad Corporativa de nuestra organización.El MMSC desarrollado por Eulen Seguridad se basa en un método de evaluación de losprocesos de seguridad de una organización, inspirado en el CMM del SEI y alineado con elmodelo de madurez de COBIT (Objetivos de Control para la Información y la Tecnologíarelacionada) de ISACA, utilizando los mismos seis niveles de madurez definidos en dichosmodelos: 0. No existente 1. Inicial/Ad Hoc 2. Repetible pero intuitivo 3. Proceso Definido 4. Administrado y Medible 5. OptimizadoLa evolución de los procesos de Seguridad Corporativa de una organización, con el objetode incrementar su nivel de madurez, tiene que desarrollarse en un proceso de mejoracontinua basado en el modelo PDCA, incrementando su nivel de madurez en cada vuelta delciclo. Página 11 de 11

×