encuentro de la seguridad integral titular³nica iii... · cita profesional que defiende sin...

TitularTitularEntradillaEntradilla Entradilla Entradilla

8 red seguridad junio 2011 colaboración

La Seguridad Integral, el futuro ineludible de toda organizaciónLas empresas e instituciones evolucionan, UNAS MÁS QUE OTRAS, pero avanzan todas con la ayuda de herramientas organizativas, como LA CONVERGENCIA. LA GESTIÓN DE LA SEGURIDAD desde un punto de vista global ha sido corroborada por la 'Ley PIC', aprobada el pasado mes de abril. Así, el "III ENCUENTRO DE LA SEGURIDAD INTEGRAL" ha interpretado el papel de dinamizador de una estrategia donde LA INTELIGENCIA (SIN APELLIDOS), JUGARÁ un papel determinante.

especial seg2encuentro de la seguridad integral

El debate está en la calle, en la vida personal y profesional, y enriquece cualquier aspecto relevante en una sociedad activa. En su última edición, el Seg2 ha contado con más de 30 ponentes del más alto nivel, que han confrontado sus opiniones y manifestado diferencias, señal inequívoca de que la convergencia en Seguridad es un tema vivo, una materia que madura lentamente, pero con paso firme, cada vez más asumida y aceptada.

Tx: Ángel Gallego / Almudena Ruiz.Ft: Miguel Ángel Benedicto.

colaboración red seguridad junio 2011 9

especial seg2 encuentro de la seguridad integral

colaboración


10 red seguridad junio 2011

El ElEvado nivEl profesional y ejecu-tivo de los asistentes al "III Encuentro de la Seguridad Integral (Seg2)" dejó patente la relevancia que adquiere este modelo organizativo y evidenció que la convergencia está presente cada vez en más agendas. Organizado por RED SEGURIDAD y SEGURITECNIA, cabeceras de editorial Borrmart, el evento sirvió como espaldarazo a esta corriente de gestión global de la Seguridad, que acaparó el interés de más de 170 profesionales los pasados 12 y 13 de mayo.

El encuentro contó con la cola-boración del Instituto Nacional de Tecnologías de la Comunicación (Inteco) y con el patrocinio de Alcatel-Lucent, Eulen Seguridad, Telefónica Ingeniería de Seguridad (TIS) y Visiona Security, entidades que participaron con interesantes ponencias y pro-puestas. Asimismo, Deloitte, GMV y S21sec/SIEG fueron firmas copatroci-nadoras del foro, que participaron en tres mesas redondas, donde se dio pie a algunas ideas brillantes, tantas como puntos de desencuentro, lo que reflejó

la complejidad que implica abordar una estrategia de este calado en las organizaciones más tradicionales.

Tal y como comentó en sus palabras de bienvenida Ana Borredá, directora general de Borrmart: “Estamos vivien-do una transición, no solo en la eco-nomía o en los modelos de negocio y de comunicación, sino también en cómo debemos proteger y defender nuestros bienes, que van desde las vidas de las personas hasta los activos de las organizaciones”.

En este sentido, los cambios se suce-den sin demasiada celeridad, pero en la misma dirección, según Borredá: “En tan solo tres años, hemos pasado de hablar de falta de concienciación empre-sarial respecto a la integración, de par-celas independientes de seguridad física y lógica, de dos mundos también dis-juntos en el suministro y abastecimiento de servicios; a identificar y situar la figura del Chief Security Officer (CSO) como emblema de esta perspectiva holística, al lado de la Alta Dirección”.

Durante su intervención, la también consejera delegada de la editorial,

recordó al público asistente que cuan-do nació RED SEGURIDAD hace más de ocho años, “en Borrmart ya comen-zamos a pujar por la convergencia, porque la veíamos y la preveíamos tan necesaria como imprescindible". Asimismo, destacó el acercamiento de los profesionales de los distintos ámbi-tos de la Seguridad -que hoy parece casi un milagro- sobre todo, en estos últimos años, materializado en la inicia-tiva del Seg2: "No les va a sonar nada nuevo para muchos de ustedes, decir-les que en aquel año, 2002, ambas seguridades –la física y la lógica-, lejos de hablarse, ni se miraban”.

El hecho de que este encuentro profesional sea el único que defien-de sin cortapisas la visión global de la Seguridad no significa que tran-site por caminos de incomprensión, como demuestra la joven legislación vigente, que servirá para impulsarla: “Nos referimos al Esquema Nacional de Seguridad (ENS) (Real Decreto 3/2010, de 8 de enero, que se publi-có en el Boletín Oficial del Estado –BOE- el 29 de enero del año pasado)

El último Encuentro de la Seguridad Integral, que congregó a más de 170 asistentes, fue inaugurado oficialmente por el presidente de editorial Borrmart, Javier Borredá, y su consejera delegada y directora general, Ana Borredá.

La 'Ley PIC' actúa como aliadade excepción del tercer Seg2La reciente aprobación de la Ley 8/2011 se traduce en el mejor aval para la única cita profesional que defiende sin cortapisas el modelo de Seguridad Integral como necesidad competitiva y organizativa. En la edición de este año se ha experimentado un aumento del interés por parte de los asistentes, que reconocen en la adopción de la convergencia un valor añadido para el negocio.

colaboración


red seguridad junio 2011 11

–señaló Ana Borredá-, que regula la Administración electrónica desde esta concepción de Seguridad Integral; y a la ‘calentita’ “Ley PIC” (Ley 8/2011) por la que se establecen medidas para la Protección de las Infraestructuras Críticas, publicada en el BOE el pasa-do 29 de abril”.

Un matrimonio bien avenidoEl proceso de concentración de las cajas de ahorros españolas llevó a unir-se a Caixa Galicia y Caixanova, que die-ron como resultado Novacaixagalicia, una entidad donde Seguridad de la Información y Seguridad Corporativa funcionan como un matrimonio muy bien avenido. Tal es así, que sus por-tavoces no conciben otro modo de abordar esta estrategia. Andrés Martín Ludueña, director de Seguridad de Novacaixagalicia, dio comienzo a la ponencia "Seguridad Integral real: securización de la banca online y pro-yecto Hércules", en la que sostuvo que la Estrategia Nacional de Seguridad contribuirá a la madurez del sector porque incide en el maridaje de las diferentes seguridades. Para el direc-tivo fue una buena noticia que Javier Solana, ex Alto Representante de la Unión Europea, recomendase a José Luis Rodríguez Zapatero la creación de un Consejo de Seguridad Nacional

que dependa de la Presidencia del Gobierno. Se trataría del primer movi-miento serio, parte de la Estrategia española de Seguridad, que coordina Solana por encargo del presidente. “Precisamente, por la madurez del sec-tor, el Estado va a comenzar a ceder determinadas facetas a la Seguridad Privada. Se están haciendo las cosas bien, vamos con un poco de retraso pero en la buena dirección, ya que hasta ahora estábamos excluidos”.

En cuanto a la estrategia organizativa de la entidad gallega: “Emilio y yo somos

uno”, sentenció Andrés Martín en alu-sión a su compañero Emilio Santos, director de Seguridad Informática de Novacaixagalicia. “Todavía no entien-do por qué no estoy adscrito a la Dirección Adjunta de Sistemas y él no está adscrito a la Dirección Ejecutiva Primera, que es de la que yo dependo, porque nuestro trabajo es el mismo. Nuestras amenazas son las mismas y ‘levantamos’ las mismas liebres”, reflexionó Martín. Entre las medidas de carácter organizativo que sustentan su esta estrategia, el directivo citó el

En rElación con la EstratEgia Nacional y la 'Ley PIC', Andrés Martín advirtió del peligro de una bice-falia directiva: "Habrá que reportar determinadas cuestiones al Ministerio del Interior y otras habrá que comunicarlas al Ministerio de Economía y Hacienda, en casos como el nuestro (una entidad financiera). Ya nos lo aclararán porque la lectura hay que hacerla en profundidad”. En cuanto a los actores que intervie-nen en estas directrices nacionales, el directivo inter-pretó como una ausencia notable la del Ministerio de Educación, ya que en su opinión, es un elemento que no se ha tenido en cuenta, a sabiendas de que las organizaciones estarán obligadas a contar con un departamento y un director de Seguridad que se ha de tenido que formar adecuadamente.

Volviendo a la arena organizativa de Novacaixagalicia, Emilio Santos expuso que el ‘Proyecto Hércules’ de la entidad es un caso de Seguridad Integral real: “Estamos organizados como un solo departamen-to a la hora de actuar y existe entre Seguridad Tecnológica y Seguridad Corporativa una cola-boración total, ya que la defensa de Políticas de

Sin problemas de bicefaliaSeguridad y el Plan de Continuidad de negocio son las mismas”. La entidad gallega cuenta con técnicos específicos para cada área, pero en la práctica ambas unidades participan en el diseño de las medidas de Seguridad física, como por ejemplo en cajeros automáticos, dispensadores de efectivo, control de accesos, etc.

La lucha contra los delitos tecnológicos es una de las razones de ser del departamento que dirige Santos, como ha ocurrido con la persecución de skimming o clonación de tarjetas, que afectaron a la entidad gallega en Vigo, Valladolid o Valencia. “Se puso en marcha una persecución ‘en caliente’ sobre unos delincuentes que probaban en Metro de Madrid las tarjetas duplicadas para comprobar que funcionaban. La colaboración con la Brigada de Investigación Tecnológica (BIT) nos permitió ‘cazar-los’”, aclaró Santos. Asimismo, Andrés Martín apun-tó que por política de su departamento denuncian cualquier acto delictivo, incluso las tentativas, un hecho que facilita la colaboración con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

Andrés Martín (izquierda) y Emilio Santos, de Novacaixagalicia, dieron a conocer su visión sobre un modelo convergente de Seguridad y sobre cómo han logrado aplicarlo en una entidad financiera fruto de una fusión.

colaboración



Plan Director de Seguridad, “que pasa por retos futuros porque tenemos que aprender a entender lo que leemos”, como la recién aprobada Ley 8/2011 ('Ley PIC'), que forma parte de la Estrategia Nacional de Seguridad y nos dice que existen Infraestructuras Críticas que deben colaborar con el Estado para preservar la Seguridad de los ciudadanos.

Respecto a dicha estrategia, el directivo opinó que sus objetivos son muy claros y valoró positivamente que en la tarea de proteger los servicios esenciales al ciudadano se “manden deberes a todos a través de distin-tos planes”. Asimismo, también enco-mienda acciones a la Unidad Central de Seguridad Privada, las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), etc. “Esta ley también dice claramente que ha de existir un direc-tor de Seguridad, que es el respon-sable; uno por empresa o institución, que sirve de enlace con la Estrategia Nacional y debe ser autorizado para el ejercicio de sus funciones por el Ministerio del Interior –adujo Martín-. De este modo, una Estrategia de Seguridad Corporativa estará siempre alineada con la Estrategia Nacional de Seguridad”.

En otro orden de cosas, la ponencia de la entidad gallega analizó la proble-mática de los servicios online. Ante el aumento de la utilización de la banca electrónica, Santos reconoció que se tiende a culpar al cliente de que no tiene el sistema operativo actualizado o de que su antivirus sea pirata. No obstante, explicó cómo afrontaron la

solución en este terreno: “Tenemos que implantar las medidas necesarias para que nuestro cliente no sea víctima de un fraude, por lo que incluimos un factor de autenticación externo a la plataforma en Internet para la realiza-ción de operaciones, como el envío de coordenadas vía SMS, token móviles o eDNI”, aclaró el directivo. Estas medi-das y las políticas que la entidad aplica han permitido una situación casi 'ideal' en Seguridad: “Tenemos cero euros en fraude electrónico desde 2005, casi no tenemos phishing -lo que hace que siempre se vayan a dirigir a entidades más débiles-. Además, corre la voz de que perseguimos a las bandas sin contemplaciones”, expuso orgulloso Santos.

Esta ponencia a dúo despertó la curiosidad del público sobre un cami-no a seguir que ya han iniciado muchas entidades financieras españolas, como parte de un proceso de integración que pedían a gritos los expertos desde el origen de la crisis financiera. "¿Qué ha supuesto para ustedes el proceso de fusión, desde un punto de vista de organización?", preguntó un asistente. Según comentaron Andrés Martín y Emilio Santos, en Novacaixagalicia se emprendieron cuatro líneas de trabajo: el cumplimiento de la Ley (donde se

incluyen normativas propias del sec-tor); la identificación y puesta en mar-cha de mejores prácticas que faciliten el cumplimiento; la integración de las personas de ambas entidades; y, por último y no menos importante, la efi-ciencia económica. En ambas entida-des gallegas, hasta que se completase operativamente la nueva estructura de la caja de ahorros: "había que recortar gastos sin renunciar a la inversión y nuestra misión era hacerlo a toda velo-cidad", declaró Martín. "Las cajas no estaban tecnológicamente a la misma altura, pero estamos trabajando para igualarlas en términos máximos. Para ello es muy importante trabajar con aliados, no tenemos proveedores, sino socios que tienen la llave de nuestra casa", concluyó.

El MITyC, adaptado al ENSMiguel Ángel Rodríguez, jefe del Área Informática de la Subdirección General de TIC del Ministerio de Industria, Turismo y Comercio (MITyC), trató en su ponencia la aplicación de la Seguridad Integral desde el Esquema Nacional de Seguridad (ENS).

La aprobación de la Ley 11/2007, que garantiza el acceso de los ciuda-danos a la Administración por vía tele-mática, ha supuesto un gran esfuerzo para la Administración, atendiendo a Rodríguez. “Ya tenemos las autopis-tas, que son las conexiones de banda ancha, que facilitan las transacciones por vía electrónica en la mayoría de los casos. Sin embargo, el DNIe sólo

alcanza una cuota de utilización del cinco por ciento (sobre un total de 18 millones expedidos). Aporta confianza, pero no ha cuajado su uso y habría que analizar en serio por qué”, se preguntó el representante del MITyC. Por otra parte, Rodríguez defendió el Esquema Nacional de Interoperabilidad (ENI) como un elemento vital para evitar un caos administrativo y como com-plemento del ENS. Porque, para este ingeniero en Informática, el esquema "supuso un jarro de agua fría para una Administración en crisis y porque es

En banca electrónica se suele culpar al usuario de no tener el sistema operativo actualizado o de tener un antivirus pirata, pero la entidad tiene que implantar medidasnecesarias para que el cliente no sea víctima de fraude

Miguel Ángel Rodríguez, en primer término, y Daniel Calvo, del Área de Informática de la Subdirección General de TIC del MITyC abordaron la implantación del Esquema Nacional de Seguridad (ENS) en este Ministerio.

colaboración



un documento orientado a técnicos al que se le ha querido dar un formato legal y al leerlo por primera vez no se comprende nada. Después de unas cuantas lecturas piensas en él como un arma a favor de la Seguridad y para presionar a nuestros ‘mayores’ sobre la necesidad de estas medidas”.

En este sentido, en lo que concier-ne a Seguridad de la Información: “la Orden Ministerial ITC/657/2011 des-cribe de forma más detallada -según explicó Rodríguez- cuál es nuestro marco de trabajo en el MITyC, deter-minando quién es el responsable de cada área y las funciones de cada comité. A su vez, establece el proce-dimiento para el análisis y la gestión de riesgos”.

Para el portavoz gubernamental, el ENS propone un modelo de Seguridad

Integral donde la formación y la con-cienciación son fundamentales. “En el caso de la Administración, todavía no hay responsables de Seguridad Integral, pero sí debe haber coordi-nación entre seguridad física y lógi-ca” –argumentó-. La gestión de la Seguridad basada en riesgos ha de

disponer de un análisis y gestión per-manentemente actualizado, y el valor de las medidas de seguridad debe ser siempre proporcional a los riesgos”.

En el MITyC entienden que si se está familiarizado con normas como la ISO 27001, no es tan difícil la adopción del ENS, ya que estos estándares definen cómo establecer un Sistema de Gestión de la Seguridad de la Información (SGSI), que es lo que en definitiva per-sigue el esquema. “Hemos adaptado nuestras tareas y buenas prácticas de

ITIL, que nos ayudaban a cumplir con el ENS. Asimismo, las guías del Centro Criptológico Nacional (CCN) nos ayu-darán en todo momento y nos resol-verán un 80 por ciento de los posibles problemas", apuntó Rodríguez.

En el turno de preguntas se puso de relieve la cuestión de la responsabili-dad de los trabajadores, que es más difícil de determinar cuando se produ-cen pérdidas de información: "¿Y si es un troyano y no ha sido un robo delibe-rado?, ¿se contempla esto en la adap-tación al ENS?", preguntó Victorino Martín, director de Operaciones de AlienVault. Rodríguez respondió que el usuario es responsable si se puede demostrar su culpabilidad, pero al tra-tarse de un organismo público -como en el caso del MITyC- es complejo sancionar: "Salvo situaciones catas-tróficas, dudo que podamos depurar responsabilidades entre empleados públicos. Un caso distinto es en nues-tra relación con terceras partes, como otros proveedores".

En la línea de pérdida de datos inci-dió la directora de RED SEGURIDAD,

Daniel Castillo, De la subDireCCión General de TIC del MITyC, explicó que, antes de enfrentarse al ENS, realizaron un análisis profundo de los 140 sistemas de información inventariados en la CMDB (siglas de Configuration Management Database). Posteriormente, determinaron que de las 74 medidas que proponía el ENS cumplían con ocho de las 18 medidas de nivel alto sin estar obligados a ello, por lo que final-mente acabaron completándolas todas. De este modo, la cifra de cumplimiento parcial del ENS es, a día de hoy, del 68 por ciento, teniendo en cuenta que hasta 2014 disponen del tiempo suficiente para cubrir el cien por cien. El elevado porcentaje se debe a que gran parte del trabajo realizado en materia de buenas prácticas y Seguridad redundó en una adopción más rápida del ENS.

Por otra parte, Miguel Ángel Rodríguez, puntuali-zó que el Artículo 30 del ENS habla de Sistemas de Información no afectados, un punto de vista que no comparte, “ya que todos los sistemas están interrela-cionados y no tiene sentido dejarlos fuera si estamos

abordando un Plan de Seguridad Integral”. En opinión de los ponentes, una deficiencia de la legislación espa-ñola es que la calificación de la información (estructu-rarla por orden de importancia) no está clara: “entiendo

que se estará trabajando en este tema porque en otros países sí que tienen más clara la diferencia entre información clasificada, a la cual no afectaría el Esquema, y la que no lo es. Espero que la Ley de Transparencia y Acceso de los ciudadanos a la Información Pública sirva para esto”.

Finalmente, Rodríguez reve-ló que se echa en falta una figura equivalente a la Agencia

Española de Protección de Datos (AEPD), que sirve como institución que impone sanciones (aunque no sean económicas) si no se hacen las cosas bien.

“No me parece serio que se hable del cumplimiento del ENS en un año y luego en cuatro. Es algo que tenemos que asumir como costumbre, como sistema de trabajo. El objetivo es concienciar a las personas y en esta labor son fundamentales los responsables de Seguridad de la Información de cualquier institución o negocio”, concluyó Rodríguez.

El Ministerio de Industria logra un cumplimiento parcial del ENS del 68 por ciento

En el MITyC entienden que si la organización está familiarizada con normas como ISO 27001, no es tan difícil la adopción del Esquema Nacional de Seguridad

colaboración



Mercedes Oriol: "¿Afrontáis su pro-tección desde un punto de vista físi-co y también lógico?". Miguel Ángel Rodríguez respondió que es com-plicado y que echan en falta la inte-gración de Seguridad física y lógica en la Administración: "Espero que en futuras reestructuraciones, Seguridad de la Información se tenga en cuenta al margen de TI. En cuanto a fuga de datos, el hecho de disponer de información clasificada convierte en una tarea aún más complicada su protección. Si no podemos calificar la información, es difícil saber qué con-viene proteger y qué no. En Interior o en Defensa lo tendrán muy claro por-que están acostumbrados a trabajar con este tipo de datos confidenciales, nosotros no".

El modelo de MapfreMapfre es un ejemplo internacional en la integración de la Seguridad bajo un mismo paraguas -una única Dirección y una sola Gestión-, lidera-do con éxito desde los últimos años por Guillermo Llorente, director de Seguridad Corporativa, y ahora tam-bién de la Subdirección General de Medio Ambiente, de la multinacional española. Así lo reconoció reciente-mente Gartner y, más modestamente, el jurado de los Trofeos de la Seguridad TIC de esta revista, que en su última edición otorgó a la aseguradora uno de los Premios Extraordinarios.

Por tercer año consecutivo, y como entidad que "apadrina" -junto con Grupo Prisa- desde los inicios esta iniciativa de Borrmart, Mapfre brindó de nuevo todo su saber y disposición para estar presente en el Seg2 y acer-car a los asistentes los pasos que esta gran compañía continúa dando en su modelo de Seguridad Global. En esta ocasión, Jacinto Muñoz, subdi-rector de Seguridad en Aplicaciones de la firma, abordó y compartió con los presentes la metodología desarrollada por el equipo de Mapfre para lograr que la Seguridad se incardine como proceso transversal en el negocio. En este sentido, relató cómo han logrado en su organización establecer dicho proceso, una tarea ardua, a la altura del objetivo que se plantearon.

“Nos planteábamos la Seguridad desde el principio hasta el final, y las preguntas que nos surgían eran: ¿cómo lo hacemos?, ¿con qué meto-

dología?”. A la crisis había que añadir las nuevas oportunidades de negocio como cloud computing, redes socia-les, la dictadura del time-to-value, etc.”, reflexionó Muñoz. Estos nuevos modelos provocan que los profesiona-les aprovechen cualquier oportunidad que se les presenta sin pensar en las consecuencias, lo que supone que el director de Seguridad actúe pos-teriormente con su mejor voluntad y dedicación para “tapar agujeros”, pero hay momentos en los que es imposible dar más de sí.

El directivo sostiene que una empre-sa del tamaño de la suya precisa que ninguna de sus iniciativas tenga fallos: “El objetivo es especificar requisitos de seguridad y acompañarlos a lo largo de su ciclo de vida, pero noso-tros quisimos ser más ambiciosos y aprovechamos el ‘viaje’ para hacernos valer, huyendo de la Seguridad porque sí, e implementándola a medida”. Para Muñoz, la Seguridad tiene que ser una parte más de la Calidad.

El primer paso es realizar un aná-lisis profundo: “Hago una foto para ver hasta qué punto la organización cuenta conmigo y determinar quién me llama y por qué, si son innovado-res, adoptadores tempranos, mayoría tardía (conservadores), etc.”, añadió Muñoz, quien reconoció que en su organización se incluyó prácticamente a todos, de manera que la Seguridad formase parte de todo el proceso.

En este sentido, las fases estable-cidas en Mapfre son: desembarco, formalización de relaciones, indus-trialización y democratización. En la

primera de ellas, el trabajo consiste en definir la estrategia, argumentando a favor de la Seguridad: “Es mucho más caro no arreglar las cosas cuando se está a tiempo, al principio del ciclo de vida de las aplicaciones –aseveró-. Es necesario validar que los requisitos de producto que ponemos en el informe, se cumplen”.

En una segunda fase, 'Seguridad' debe ser alguien, una figura con voca-ción de servicio, que busque el éxito del proyecto. "En paralelo, seguire-mos manteniendo los mecanismos de

la primera fase. Además, como no se concibe Seguridad sin Calidad, nos integraremos con el departamento de Calidad, de modo que esta cues-tión esté presente en todos los nue-vos proyectos”, aclaró este ingenie-ro Superior en Telecomunicaciones. Durante esta fase, la organización debe tener claro cuáles son sus vul-nerabilidades y evitar “morir de éxito”, ya que los cuellos de botella se pue-den evitar a menudo con la contrata-ción de nuevos profesionales.

En este camino, que nace en la tecnología y en la securización de aplicaciones, la tercera fase es la de industrialización, que hace referencia a “hacer más con menos”, mejorar la eficiencia, algo que no se podría conseguir si se obvian las dos etapas anteriores. A partir de aquí es donde entra en marcha la estandarización, la optimización de los procesos de prue-ba y de los procesos de gestión de las eficiencias detectadas. Atendiendo a Jacinto Muñoz, es el momento de solicitar a los proveedores de TI inter-

Jacinto Muñoz, de Mapfre, realizó una didáctica exposición en la que dio a conocer cómo se plantea en su organización el concepto de Seguridad de principio a fin.

colaboración



locutores que sean especialistas en Seguridad y faciliten la comunicación.

El último escalón es la fase de democratización, donde la Seguridad se percibe como un facilitador, se precisa un cambio cultural e inculcar que es una cuestión que afecta a todos en la organización. Más concre-tamente, en Mapfre definieron un plan de formación específica, a través del cual enseñaron nuevas técnicas a los analistas y extendieron la utilización de herramientas tecnológicas. “Al depar-tamento de Seguridad los emplea-dos nos ven como alguien capaz de aportar cosas y de mejorar la calidad de los procesos”, refrendó Muñoz. En definitiva, el concepto de Seguridad Integral en Mapfre es un metódico tra-bajo de organización previa y planifica-ción, así como un proceso de mejora continua que, edición a edición, sus reponsables nos van narrando en este encuentro. "Con este planteamiento, ganamos todos”, apostilló Muñoz.

El factor humano Colt Technologies es un proveedor de telecomunicaciones de origen britá-nico, que hoy depende económica-mente del grupo inversor americano Fidelity, una circunstancia que refuer-za el posicionamiento de la com-pañía a favor de la Seguridad, un requisito que se le presupone a la idiosincrasia anglosajona. Juan Carlos González, Regional Head of Security and Operations Risk Corporate en la región del Sur de Europa de este operador, abordó la problemática del factor humano dentro de la Seguridad Integral. A través de ejemplos prácti-cos, el ejecutivo demostró que el este componente es vital para garantizar la protección de una organización. Si la persona que debe estar al tanto de estas cuestiones, no lo hace, “¿de qué sirve que una empresa tenga muchas certificaciones?”, preguntó González a la audiencia. Otro elemento facilitador es que el departamento de Recursos Humanos indicase quienes son las key person de la organización, que podrían componer un Equipo de Gestión de Crisis, por ejemplo.

En opinión de González, si no amplía sus miras, “la Seguridad tradicional tiene todas las de perder porque el riesgo no solo reside en el blanqueo de dinero, sino también en que quie-bren tus comunicaciones... La solu-

ción es compleja porque hay que revisar todo”.

“Aunque tengas todas las certifica-ciones, muchas normas ISO y cumplas con las últimas políticas de Seguridad, como nos ocurre en Colt, de nada sir-ven si falla el factor humano”, reconoció el directivo. “Dependiendo de cuál sea el incidente, vamos a seguir poniendo la vela a San Antonio para evitar un

mal momento. Es cierto que las certi-ficaciones favorecen la integración de las seguridades, pero los criterios que involucran a una persona o no en la Seguridad pueden ser muy variados: por ejemplo, hay personas que se certifican como vía para garantizar su puesto de trabajo porque suelen ser procesos largos”.

Respecto a la Protección de Infraestructuras Críticas (PIC), el porta-voz de Colt marcó diferencias entre las IC que dependen del Estado y las que no y manifestó un desacuerdo firme con algunos aspectos de la recién aprobada

‘Ley PIC’: “No entiendo que el director de Seguridad tenga que ser el interlo-cutor con la Administración, porque la formación exigida para esta responsa-bilidad no trata nada sobre continuidad del negocio”. González expresó que no se corresponde el nivel de exigencia de la Ley con la preparación requerida para ocupar este puesto de trabajo: “No es suficiente con un curso de 600 horas y un Bachiller Elemental; no debería servir para ser director de Seguridad sólo porque lo permita la Ley -opinó-.Nuestra preparación es nuestro conocimiento, nuestro saber hacer, y uno no puede parapetarse detrás de un carné [refiriéndose a la habilitación de director de Seguridad]; lo que las empresas necesitan son gestores de recursos, profesionales de verdad”.

Asimismo, el motivo por el que muchos programas de Seguridad fra-casan en las multinacionales es por-que existen vacíos legales y errores humanos: “Un 'power point' en una sala de juntas queda precioso, pero cuando llega a cada país y, después, a cada región, sin haber depurado las diferencias que hay entre unas y otras divisiones, aparecen muchos errores humanos y de compatibilidad”.

En este sentido, Juan Carlos González apeló a la responsabilidad de los direc-tores de Seguridad, que deben ampliar su visión porque ven a los profesionales de Seguridad TIC como una amena-za que puede relegarles a un segun-do plano. “Hay miedo al cambio por parte de la Seguridad tradicional”. La

"No es suficiente con un curso de

600 horas y un Bachiller Elemental para serdirector de Seguridad sólo porque lo permitala Ley", espetó Juan Carlos González, de Colt

Una de las visiones más críticas con la figura del director de Seguridad y la preparación académica que se le exige vino de la mano del portavoz de Colt, Juan Carlos González, en la imagen junto a Mercedes Oriol.

colaboración



conexión entre ambos mundos se pone de manifiesto con certificaciones como ISO 27001, que plantea un plan contra incendios entre sus exigencias. En este sentido, González se preguntó: “¿Quién se hace cargo de la Seguridad? Me cuesta pensar que sea el director de Seguridad el que lidere estos proyectos de certificación, que también suponen un elevado coste, y más en tiempos de crisis (hasta 20.000 euros/año en caso de la citada ISO). ¿Estamos preparados para asegurar que nuestros empleados van a responder?”.

Ante un planteamiento de Seguridad Integral, que se antoja necesario, la cuestión es si los responsables de los departamentos involucrados están preparados para convencer a la Alta Dirección de que todo está cubierto ante cualquier eventualidad: “Sin tener controlado el factor humano es muy complicado, porque un informático, por ejemplo, no va a dejar a su familia para acudir a la empresa en caso de que haya ocurrido una inundación”, afirmó González.

Para concluir, el portavoz de Colt hizo un llamamiento para que dejen de existir los “reinos de taifas”, ya que la interrelación entre departamentos es fundamental para tener una visión de conjunto de la Seguridad. González sostiene que surgirán conflictos de alto nivel hasta que no exista un profesional que tenga una visión de todo, desde el 'power point' inicial hasta los procesos reales del negocio. “Estamos abocados a que llegue –matizó-, pero dominará la Seguridad lógica o la física, dependien-

do de cada situación”. No obstante, el directivo se aventuró a predecir que “el que se esconde detrás de una titula-ción no tiene futuro", ya que según dijo, "hay que estar muy preparado” para los cambios y necesidades que vayan por otro camino en el futuro.

En respuesta a diferentes inter-venciones del público, Juan Carlos González definió positivamente la labor de las FCSE en la lucha contra delitos tecnológicos, aunque, desde su pers-pectiva, se centran en los casos de mayor impacto social como la piratería o la pornografía infantil, seguramen-te por falta de recursos. Además, ahondando en la profesión de director de Seguridad, González matizó que no es necesario que este profesio-nal sepa de todo, pero sí designar correctamente a las personas que van a atender una emergencia, que son profesionales muy especializados en cada área, y esta elección es una labor de buena gestión.

Financiarse es posibleMiguel Ortiz, responsable de la Promoción de la Innovación en el sec-tor de la Seguridad dentro del Centro para el Desarrollo Tecnológico Industrial del Ministerio de Ciencia e Innovación (CDTI), mostró a los asistentes a este encuentro profesional que es posible innovar y fomentar el crecimiento en las organizaciones, partiendo de la Seguridad como eje donde apoyarse. A pesar de la crisis, gran parte de los asistentes no era consciente de las ayudas de financiación que existen

para impulsar los negocios en un país que es más emprendedor de lo que a veces desde otras geografías nos hacen creer. “Ha habido recortes en subvenciones, pero no en préstamos”, esbozó Ortiz.

Dentro de la Dirección General de este organismo se halla la Dirección de Mercados Innovadores globales, dentro de la cual se encuentra el Departamento de Aeronáutica, Transporte y Seguridad. A partir de aquí, “se crea la figura de agente de referencia, que actúa como punto de contacto en el CDTI para las pymes innovadoras –expuso Ortiz-. Las empresas que innovan acaban obteniendo más beneficios y mejoran la productividad de sus empleados más que las que no innovan”, en virtud de las cifras que maneja el CDTI.

En cuanto a las posibilidades de financiación de la I+D+i para empresas, Miguel Ortiz recordó que la convocato-ria está abierta y es multitecnológica y la cobertura puede suponer hasta el 75 por ciento del proyecto. Los préstamos tienen un alcance de hasta tres años y un periodo de amortización (con caren-cia 2-3) de 10 años.

Los requisitos para acceder a estas condiciones de financiación son: tener un proyecto innovador y visibilidad técnico-comercial para desarrollarlo en la organización (sociedad mer-cantil) y disponer como mínimo del 30 por ciento del presupuesto nece-sario. A su vez, el portavoz de CDTI subrayó que la financiación mínima es de 240.000 euros por empresa y 500.000 euros si estamos hablando

El portavoz del CDTI, Miguel Ortiz, impartió una de las conferencias más prácticas en lo que se refiere a economía empresarial. El organimo dependiente del Ministerio de Ciencia e Innovación informó sobre las vías de financiación para I+D+i en Seguridad.

colaboración



Siempre eS poSitivo deSpertar la duda, la inquietud, invitar a la reflexión y generar debate. Síntoma del interés que suscitó el completo programa de esta edición del Seg2 fueron las numerosas cuestiones que planteó el público. La integración real de las diferentes facetas de la Seguridad en un organigrama directivo, la preocupación por la pérdida de información corporativa o el orgullo propio para defender que una Seguridad es más importante que otra fueron algunos de los aspectos que sobrevolaron por el 'patio de butacas' cuando la audiencia tomó la palabra. El reto de un próximo Seg2, entre otros muchos, será abonar este debate creciente e 'incomodar' a esas conciencias resistentes al cambio.

El público asistente generó ideas y enriqueció el debate

de un proyecto de colaboración entre varias organizaciones.

Las nuevas empresas que tienen como eje de actividad la tecnología (core del negocio) y que no hayan superado los seis años de actividad, pero iniciasen su andadura hace más de dos, pueden optar a las ayudas Neotec, que conceden hasta un millón de euros de préstamos.

Conviene recordar que, a través de este centro, las organizaciones que quieren impulsar su tecnología reciben apoyo para afrontar su inter-nacionalización, mediante la obtención de ayudas en los programas Eureka, Iberoeka, Eurostars, etc. “El Programa Marco 7 de la Unión Europea con-templa un Programa de Seguridad específico que engloba a ciudadanos, fronteras, infraestructuras, etc. Aún quedan 600 millones de euros pen-dientes de ser adjudicados en las con-vocatorias de 2011 y 2012”, comentó Ortiz, animando a los asistentes a presentarse si se ceñían a los requi-sitos solicitados. En cualquier caso, la financiación es descentralizada y cada país se encarga de gestionarla con las entidades elegidas.

CDTI también presta servicios a empresas emprendedoras con obje-to de orientarles y proporcionarles asistencia técnica en el proceso de articulación de proyectos de I+D+i. El aspecto más positivo de buscar asesoramiento a través del centro es la visión sectorial que ofrecen de las necesidades de las empresas, así como una visión global de los meca-nismos de financiación.

Como acciones futuras, CDTI se plantea otorgar préstamos para gran-des proyectos de investigación indus-trial entre un mínimo de cuatro empre-sas, que dispondrían de un presupues-to mínimo de 15 millones de euros por proyecto en cuatro años. Éste es el plan denominado Innpronta, mientras que con Feder – Innterconecta, las empresas de las regiones más desfa-vorecidas (entre tres y diez organizacio-nes independientes) podrán obtener subvenciones de hasta el 60 por ciento para sus proyectos. Las potenciales comunidades que se verán beneficia-das por esta medida serán Andalucía, Extremadura y Galicia, que exigirían un mínimo de subcontratación a organis-mos de investigación de las comunida-des autónomas en desarrollo.

encuentro de la seguridad integral titular³nica iii... · cita profesional que defiende sin...

Documents