Los estándares un ayuda a la hora de dar respuestas

  • 54 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
54
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
3
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. LOS ESTÁNDARES, UNA AYUDA A LA HORA DE DAR RESPUESTAS Uno de los problemas a los que nos enfrentamos a la hora de diseñar la implantación y el despliegue de medidas  de  seguridad  es,  por  una  parte,  estar  seguro  de  “que  no  estamos  matando  moscas  a cañonazos” y, por otra, asegurarnos que estamos implantando las medidas de seguridad necesarias para garantizar que alcanzaremos el nivel de protección óptimo.  Si  las  medidas  de  protección  que  diseñamos  e  implantamos  están  por  encima  del  nivel  de  protección necesario, estaremos incurriendo en sobrecostes que tienen muy difícil justificación. Por otra parte, si las  medidas  de  protección  que  diseñamos  e  implantamos  son  insuficientes  para  mantener  el  nivel  de protección necesario, estaremos exponiendo a la organización a riesgos que pueden poner en peligro la continuidad  de  las  operaciones  de  la  organización,  e  incluso  pueden  comprometer  su  propia supervivencia.              La  única  ayuda  que  tenemos  a  la  hora  de  enfrentarnos  a  este  problema,  además  de  la  legislación vigente, son las normas, los estándares y las buenas prácticas profesionales generalmente aceptadas por el sector.  Como hemos dicho, una ayuda a la hora de tomar decisiones, puede ser la legislación vigente, como es el caso de la Orden INT/317/2011, de 1 de febrero, sobre medidas de seguridad privada. Un ejemplo de aplicación puede ser cuando necesitamos decidir qué características tiene que tener una caja fuerte. Si se  trata  de  una  instalación  en  la  que  es  obligatorio  el  cumplimiento  de  la  citada  orden  que  establece que: “las cajas fuertes han de estar construidas con materiales con grado de seguridad 4 según la Norma UNE‐EN 1143‐1”, no hay duda ninguna. Si estamos ante una instalación en la que no existe la obligación de aplicar dicha orden, es una buena decisión utilizarla como referencia a la hora de decidir el grado de seguridad de la caja fuerte que vamos a instalar.  Pero  muchas  veces,  con  las  disposiciones  legales  no  es  suficiente,  nos  tendremos  que  enfrentar  a preguntas a las que no nos proporcionan respuestas ni referencias, como puede ser: ¿qué altura debe tener la valla de una instalación? En este caso, podemos utilizar como referencia las condiciones que se establecen  para  obtener  la  certificación  TAPA  FSR  (Freight  Security  Requirements)  de  la  Transported Asset  Protection  Association,  ya  que  para  obtenerla  es  necesario  tener  implantadas  en  la  instalación ciertas medidas de seguridad, que se valoran individualmente en una escala de 0, 1 y 2, y la suma de la 
  • 2. valoración  de  todas  las  medidas  tiene  que  superar  el  umbral  establecido.  En  el  caso  de  la  altura  del vallado los criterios de puntuación son:  0. La altura del vallado es inferior a 1,8 metros  1. La altura del vallado es de 1,8 metros o superior  2. La altura del vallado es como mínimo de 2,4 metros o su altura es superior a 1,8 metros y  además tiene instalado un sistema electrónico de alarma  Pero  no  sólo  debemos  enfrentarnos  a  preguntas  tan  sencillas  como  qué  caja  fuerte  elijo  o  qué  altura tiene que tener una valla, sino que a veces nos enfrentamos a decisiones más complejas que tenemos que justificar. Un caso podría ser la siguiente cuestión: ¿qué medidas de seguridad debo implantar para proteger una instalación contra un intento de  intrusión utilizando un vehículo? Se nos pueden ocurrir muchas soluciones, pero analizando éstas, ahora la pregunta es: ¿cuál es la más eficaz y eficiente?.  Una ayuda para la toma de estas decisiones pueden ser las disposiciones elaboradas por organismos con gran  experiencia  y  necesidades  de  seguridad  muy  exigentes.  En  este  caso  podríamos  utilizar  la Regulatory Guide 5.68 de la U.S. Nuclear Regulatory Commission “Protection against malevolent use of vehicles at nuclear power plants”.  A  la  hora  de  diseñar  e  implantar  medidas  de  protección  no  sólo  debemos  proteger  a  nuestra organización  de  amenazas  de  carácter  físico,  también  deberemos  protegerla  de  las  amenazas  de carácter lógico a las que está expuesta, de las ciberamenazas.  Proteger la información de nuestra organización, uno de sus activos más valiosos, es una tarea ardua y compleja, y en el diseño e implantación de las medidas de protección necesarias nos debemos apoyar en normas y estándares internacionales como son las de la familia ISO‐27000, junto con publicaciones de  organismos  oficiales,  tanto  nacionales  como  internacionales  como  pueden:  la  OR‐ASIP‐04‐01.03, “Orientaciones  para  el  Manejo  de  Información  Clasificada  con  Grado  de  Difusión  Limitada”  de  la Autoridad Nacional de Seguridad y la guía publicada por The European Network and Information Security Agency (ENISA) “Appropriate security measures for smart grid ‐ Guidelines to assess the sophistication of security measures implementation”.   Sin embargo, el mero hecho del cumplimiento estricto de la legislación no es suficiente. En la mayoría de los casos lo que establece es una exigencia de mínimos y, por lo tanto, no es suficiente, hay que ir un paso más adelante e implantar medidas de seguridad que garanticen a nuestra organización un nivel de seguridad mayor que el mínimo exigido por la legislación vigente.  Nuestra  experiencia  nos  demuestra  que  el  conocimiento  y  el  uso  de  las  normas,  los  estándares  y  las buenas  prácticas  profesionales  generalmente  aceptadas  por  el  sector,  nos  facilitan  las  toma  de decisiones, apoyando nuestro criterio profesional y permitiéndonos diseñar e implantar las medidas de seguridad  más  apropiadas  para  proteger  a  todos  los  activos,  tanto  tangibles  como  intangibles,  de  la organización y garantizar la continuidad de sus operaciones.   Ricardo Cañizares Sales Director de Consultoría de EULEN Seguridad