Eulen Seguridad - Servicios de Protección de Infraestructuras Críticas

577 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
577
On SlideShare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
32
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Eulen Seguridad - Servicios de Protección de Infraestructuras Críticas

  1. 1. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS“PROTECCION DE INFRAESTRUCTURAS CRITICAS” EULEN SEGURIDAD, S.A. A-28369395 C/ Gobelas 25-27 28023 Madrid Tel. 91 631 08 00 Fax. 91 372 81 98
  2. 2. PROTECCIÓN DE INFRAESTRUCTURAS CRITICASINDICE1  ANTECEDENTES ............................................................................. 3 2  DESCRIPCION DE LOS SERVICIOS ............................................... 4  2.1  PLAN DE SEGURIDAD DEL OPERADOR......................................................................... 4  2.2  METODOLOGÍA DE ANÁLISIS DE RIESGOS.................................................................... 5  2.3  ELABORACIÓN PLANES DE PROTECCIÓN ESPECÍFICOS................................................. 6  2.4  PRESENTACIÓN DE LOS PLANES ANTE EL CNPIC ........................................................ 7  2.5  MODELO DE GESTIÓN ................................................................................................. 7  Página 2 de 8
  3. 3. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS1 ANTECEDENTESLa visión y experiencia, que posee Eulen Seguridad tanto en el campo de laseguridad física, como lógica, tratadas ambas desde un punto de vista integral quecubre todos los aspectos de la seguridad dentro del campo de la protección de lasinfraestructuras críticas, le permiten postularse como un aliado de confianza paratodas aquellas organizaciones que necesiten acometer las acciones necesarias paradar cumplimento a lo establecido en la Ley 8/2011, de 28 de abril, por la que seestablecen medidas para la protección de las infraestructuras críticas, y sureglamento de desarrollo aprobado por el RD 704/2011.Entre los servicios que Eulen Seguridad puede ofrecer entre otros, son: Colaboración en la elaboración o revisión del Plan de Seguridad del Operador Colaboración en la selección y adopción de la metodología utilizada en la realización de los Análisis de Riesgos Integral, para su incorporación al PSO y posterior utilización en la elaboración de los PPEs. Todo ello enmarcado en estándares reconocidos internacionalmente como puede ser un modelo ISO. Colaboración en la elaboración de los Planes de Protección Específicos Acompañamiento como expertos en la presentación del PSO y los PPEs ante el CNPIC y los Delegados del Gobierno Colaboración en la elaboración y puesta en marcha de un modelo de gestión para la revisión y actualización del PSO y de los PPEs Página 3 de 8
  4. 4. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS2 DESCRIPCION DE LOS SERVICIOS2.1 Plan de Seguridad del OperadorLa colaboración en la elaboración o revisión de este plan será realizada por unequipo multidisciplinar, que conjuga experiencia y conocimientos en los diferentesaspectos de seguridad que debe contemplar el PSO.La elaboración o revisión del PSO se realizará desde un punto de vista integrador dela seguridad, centrando el foco no sólo en los aspectos de seguridad física, sinotambién en los de seguridad lógica y en todas aquellas funciones que dentro de laorganización estén orientadas a la gestión del riesgo que pueda suponer unaamenaza para la supervivencia de la misma.Dentro de esta visión integradora de la seguridad, alineada tanto con el paradigmade la Convergencia de Seguridad, como con lo establecido en la Ley 8/2011 y sureglamento de desarrollo aprobado por RD 704/2011, se contempla: Seguridad física Seguridad de la información Seguridad reputacional Seguridad del personal Seguridad legal Seguridad medioambiental Seguridad laboral Seguridad industrial Seguridad patrimonial Continuidad del negocio ……Este proceso de elaboración o revisión, se realizará prestando una especial atencióne interés a los puntos claves de PSO que establece el RD 704/2011, entre los quecitaremos a: La Política General de Seguridad, aspecto crítico mediante el cual se pretende garantizar la seguridad del conjunto de las instalaciones y sistemas que posee el Operador Critico en todo el territorio nacional, tal y como dicta el Real Decreto 704/2011 en su artículo 22.1. Página 4 de 8
  5. 5. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS La metodología adoptada por el Operador Critico para la elaboración del análisis de riesgos en el que se garantice la continuidad de los servicios proporcionados por el mismo, así como los criterios de aplicación de las diferentes medidas de seguridad, tal como se indica en el RD 704/2011 en su artículo 22.3. Los operadores críticos responsables de la elaboración de los respectivos planes deberán custodiar los mismos, implantando para ello las medidas de seguridad de la información exigibles conforme a la Ley, tal y como expresa el RD 704/2011 en su artículo 23.4.La elaboración o revisión del PSO por parte de Eulen Seguridad estará sujeta a unmodelo de gestión de proyecto enmarcado en la mejora continua. Este marco detrabajo permitirá que tanto en el caso de creación de un nuevo documento (PSO),como en la revisión del mismo, se estudien los informes presentados por EulenSeguridad en el que se propongan los cambios y las mejoras que se considerennecesarias. Dicha propuesta de cambios y mejoras será presentada al cliente paraque estudie la conveniencia de incluir éstas en su PSO, para su posteriorpresentación al CNPIC.2.2 Metodología de Análisis de RiesgosPara realizar un análisis de riesgos, de forma que “contemple de una manera global,tanto las amenazas físicas como lógicas” es necesario disponer de una metodologíalo suficientemente robusta e integrada que lo permita, que esté preparada paraanalizar todas las amenazas y vulnerabilidades a las que está expuesta lainfraestructura crítica, de forma conjunta, independientemente del origen ynaturaleza de dichas amenazas, teniendo en cuenta la posibilidad de que exista un“ataque combinado”, y la materialización de un ataque de este tipo pueda causar unimpacto sobre el funcionamiento de la infraestructura crítica muy superior al quecausaría un ataque que provenga de un sólo vector.  Las implicaciones que supone la aplicación del paradigma de la Convergencia de laSeguridad, nos ha llevado a analizar las metodologías de análisis y gestión deriesgos existentes, para seleccionar la metodología que mejor de respuesta a lasnecesidades planteadas, al tratar los riegos de manera integrada. La metodologíaque adoptado Eulen Seguridad es un desarrollo propio, basado en la metodologíaMagerit Versión 2 y en la experiencia adquirida en la realización de análisis deriesgos integrados, esta ampliación de la metodología Magerit Versión 2 estáalineada con las metodologías de análisis de riesgos de los estándares ISO 31000Gestión del riesgo. Principios y directrices e ISO 27005 Information technology --Security techniques -- Information security risk management. Así como en distintas Página 5 de 8
  6. 6. PROTECCIÓN DE INFRAESTRUCTURAS CRITICASguías y publicaciones del Centro Criptológico Nacional (CCN-CNI), National Instituteof Standards and Technology (NIST) y del U.S. Department of Homeland Security.En base a la experiencia anterior, Eulen Seguridad está en condiciones de adaptardicha metodología a las necesidades de cualquier organización y cualquier sector,para que una vez evaluada por el Operador Critico, y si éste lo estima oportuno seincorpore al PSO y sea utilizada en la elaboración de los PPEs.2.3 Elaboración Planes de protección específicosComo complemento de su metodología, Eulen Seguridad ha desarrollado unaherramienta de análisis y gestión de riesgos escalable, manejable y dúctil, para darrespuesta a la necesidad de analizar y gestionar los riesgos de manera global, noparcial, y así contemplar todas las amenazas y vulnerabilidades a las que estánexpuestas las organizaciones, evitando que existan riesgos no valorados o por elcontrario que existan riesgos que se evalúen varias veces, al estar contemplados endiferentes análisis de riesgos parciales.La herramienta propuesta cubre completamente los requisitos de los proyectosrelativos a la protección de infraestructuras críticas, al tratar los riesgos de una formaglobal e integral, y además es totalmente parametrizable para ajustarla a lasnecesidades específicas de cualquier organización. Página 6 de 8
  7. 7. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS2.4 Presentación de los planes ante el CNPICTal como se indica en el artículo 22.2 del RD 704/2011 “cada operador crítico deberáhaber elaborado un Plan de Seguridad del Operador y presentarlo al CNPIC, que loevaluará y lo informará para su aprobación, si procede, por el Secretario de Estadode Seguridad u órgano en el que éste delegue”Para llevar a cabo las actividades y tareas de soporte que contempla esta fase,Eulen Seguridad elaborará toda la documentación necesaria para efectuar laspresentaciones del PSO y los PPEs ante el CNPIC y los Delegados del Gobierno.Esta documentación estará adaptada al plan concreto a presentar y al formato de lapresentación, e incluirá, además del propio plan, presentaciones, resumen ejecutivoy cualquier otro documento que se considere necesario.Igualmente se elaborará un informe del resultado de la presentación, y del mismomodo, se realizarán los cambios que se deriven de dichas presentaciones.2.5 Modelo de gestiónLa Seguridad Global comprende todos los procesos de seguridad de unaorganización, que tienen por objeto garantizar la adecuada protección de todos losactivos de la organización y la continuidad de sus operaciones, todo ello con unafilosofía clara de alineación con el negocio. Por ello, la función de seguridad global ointegrada no sólo comprende las funciones de seguridad física y de seguridad lógica,sino todas las funciones de la organización orientadas a la gestión de todos aquellosriesgos que puedan suponer una amenaza para el funcionamiento y supervivenciade la organización.La función de seguridad integrada se centra en la gestión global de los riesgos,siendo su principal objetivo proteger de la forma más eficiente posible todos losactivos, tanto tangibles como intangibles de una organización, de todas lasamenazas, de cualquier tipo, a las que estén expuestos, independientemente de suorigen.Si tenemos en cuenta que la seguridad es un proceso más dentro del conjunto delos procesos productivos del Operador Crítico, tenemos que gestionarlo de igualforma que se gestionan el resto de procesos de la organización, utilizando unsistema de gestión como el marco de funcionamiento de una organización en el quese integran tanto la misión, visión, valores, objetivos principales y secundarios de laorganización, como las políticas, procedimientos, registros e indicadores, que danforma al sistema. Página 7 de 8
  8. 8. PROTECCIÓN DE INFRAESTRUCTURAS CRITICASDisponer del marco de trabajo que proporciona un sistema de gestión permiteincrementar la eficiencia y eficacia de la organización.En este sentido, Eulen Seguridad en base a la experiencia de proyectos enseguridad corporativa, propone para la elaboración, revisión o actualización del PSOy de los PPEs, un modelo de gestión basado en el “círculo de Deming”, tambiénconocido como modelo o ciclo PDCA (Plan – Do – Check – Act).El modelo de gestión propuesto está basado en la mejora continua, por ello tanto elPSO, como los PPEs estarán en continua evolución retroalimentándose en cadavuelta de ciclo. Página 8 de 8

×