eulen seguridad - convergencia de la seguridad (noviembre 2012)

CONVERGENCIA DE LA SEGURIDAD

EULEN SEGURIDAD, S.A. A-28369395

C/ Gobelas 25-27 28023 Madrid Tel. 91 631 08 00 Fax. 91 372 81 98

Noviembre -2012


Página 2 de 11

INDICE

1 Eulen Seguridad .............................................................................. 3

2 Paradigma de la Convergencia de la Seguridad ........................... 6

3 La gestión ......................................................................................... 7

4 Análisis de Riesgos ......................................................................... 9

5 El modelo de madurez .................................................................. 10


Página 3 de 11

1 Eulen Seguridad

A principios del 2008 Eulen Seguridad ante la evolución de las necesidades de seguridad integral a las que se enfrentaban todas las organizaciones, tanto del sector público como privado, comenzó a estudiar el modelo de gestión y prestación de servicios que daba mejor respuesta a esta necesidad. El modelo que Eulen Seguridad consideró y considera que mejor respuesta da a esta necesidad de seguridad integral, es el paradigma de la “Convergencia de la Seguridad”, este modelo fue propuesto inicialmente en el año 2005 por la “Alliance for Enterprise Security Risk Management (AESRM)” de la que forman parte las dos mayores asociaciones de profesionales de la seguridad, ASIS e ISACA, la primera de ellas focalizada en la seguridad física y la segunda en seguridad de la información (seguridad lógica).

Una vez adoptada la decisión de apostar por el paradigma de la Convergencia de la Seguridad, se comenzó a preparar a la compañía para empezar a prestar servicios de seguridad bajo este modelo, para ello se creó la Unidad de Seguridad de la Información con el objeto de adquirir las capacidades y conocimientos necesarios para ello. En el mes de octubre del 2008 durante la celebración en León del II Encuentro Nacional de la Industria de la Seguridad en España (ENISE), organizado por el Instituto Nacional de Tecnologías de la Información (INTECO), Eulen Seguridad hizo pública su apuesta por el paradigma de la “Convergencia de la Seguridad”, con una ponencia de su Director Nacional Carlos Blanco, titulada “La Convergencia de la Seguridad: la seguridad integral”. Con dicha apuesta pública Eulen Seguridad se convirtió en la primera empresa de seguridad privada que comenzaba a prestar servicios de seguridad física y de seguridad lógica bajo el paradigma de la convergencia de la seguridad. Es necesario hacer notar que en el objeto social de Eulen Seguridad, como empresa de seguridad privada, figura que una de sus actividades es la “vigilancia y protección de bienes” y el Diccionario de la Lengua Española de la Real Academia Española, define “bienes” (sexta acepción), como “Cosas materiales o inmateriales en cuanto objetos de derecho”.


Página 4 de 11

Por ello, como dentro de los bienes inmateriales se encuentra comprendida la información, uno de los activos más valiosos, hoy en día, de las empresas y organizaciones, y dentro de los bienes materiales, los sistemas informáticos que procesan, almacenan y transmiten la información. Por lo anterior, era lógico y previsible que las empresas de seguridad privada, como Eulen Seguridad, comenzaran a prestar servicios de seguridad, bajo un modelo de integración, que contemplara tanto la seguridad física como lógica, como es el de la “Convergencia de la Seguridad”. Además, aunque Eulen Seguridad fue la primera empresa de seguridad privada que aposto por este modelo, lo cierto es que empresas como el Grupo MAPFRE, llevaban años utilizando este modelo de integración con muy buenos resultados, un claro ejemplo de ello es el Centro de Control General de MAPFRE que lleva años funcionando bajo un modelo de “Convergencia de la Seguridad”. Una vez hecha pública la apuesta de Eulen Seguridad por este nuevo modelo, se comenzó a ofrecer y prestar estos servicios a nuestros clientes, en algunos casos de forma independiente y en otros de forma integrada. Durante el año 2009, el mercado empezó a considerar la “Convergencia de la Seguridad” como una alternativa de futuro, prueba de ello es la celebración del I Encuentro de la Seguridad Integral (Seg2) organizado por la editorial Borrmart, que reunió por primera vez en España al sector de la Seguridad Lógica y al de la Seguridad Física. Igualmente, durante el año 2009, Eulen Seguridad fue madurando sus procesos internos, mejorándolos y adaptándolos a las nuevas necesidades, y en mes de octubre durante la celebración en Leon del III Encuentro Nacional de la Industria de la Seguridad en España (ENISE), organizado por el Instituto Nacional de Tecnologías de la Información (INTECO), Eulen Seguridad hizo pública su visión de lo que debía ser la “Empresa de Seguridad del Futuro”.

En esta ponencia se expuso la visión de Eulen Seguridad respecto a los servicios que debe prestar una empresa de seguridad y cómo los debe prestar.


Página 5 de 11

Según está visión, la principal necesidad de las empresas es garantizar la continuidad de sus operaciones y para ello necesitan garantizar la seguridad de todos sus activos tanto tangibles como intangibles. Las empresas se enfrentan a nuevas amenazas y nuevos retos, entre ellos:

La protección de los activos tangibles e intangibles El tratamiento integrado de los riesgos La protección del ciclo productivo completo La visión de la seguridad como un proceso más de negocio

Para ayudar a las empresas a hacer frente a estas amenazas y retos, las empresas de seguridad deben ser capaces de dar respuesta a la necesidad actual de seguridad global ante cualquier amenaza y en cualquier escenario. Con la finalidad de cumplir dicho objetivo, las empresas de seguridad deben ser aliados estratégicos de sus clientes, colaborando en la consecución de sus objetivos, ayudándoles a garantizar la continuidad de sus operaciones, dando protección a todos sus activos, tanto materiales cómo inmateriales, todo ello aportando generación de valor. De acuerdo con esta visión, Eulen Seguridad se define como una empresa:

Innovadora Flexible y ágil para adaptarse a los nuevos escenarios y riesgos Comprometida con la excelencia en la prestación de servicios Comprometida con la honestidad y ética profesional Comprometida con la Seguridad de nuestra Sociedad Consciente del rol que representa

En junio del 2010 durante la celebración del II Encuentro de la Seguridad Integral (Seg2), Eulen Seguridad siguiendo la línea marcada desde el año 2008, volvió a hacer pública su apuesta por el paradigma de la “Convergencia de la Seguridad” con el convencimiento de que la legislación sobre protección de infraestructuras críticas (que en aquel momento se encontraba en fase de elaboración), iba a suponer el impulso definitivo a la “Convergencia de la Seguridad”.


Página 6 de 11

Y en este momento, cuatro años después de la apuesta pública de Eulen Seguridad por el paradigma de la “Convergencia de la Seguridad”, ya nadie discute que el modelo de seguridad integral que estamos impulsando desde entonces, es una alternativa a tener en cuenta, ya que cada vez son más las empresas públicas y privadas que están adoptando este modelo de seguridad integral, incluso como objetivos estratégicos en su área, sin olvidar que su aplicación ha sido refrendada por la actual legislación de Protección de Infraestructuras Críticas que establece como obligatorio el modelo de seguridad integral en su ámbito de aplicación.

2 Paradigma de la Convergencia de la Seguridad

En la visión tradicional, la seguridad se ha entendido como un conjunto de procesos independientes sin apenas relaciones entre ellos, donde, en función de la seguridad que se tratase, física, lógica, ciudadana, patrimonial, ambiental etc., que se gestionaban por separado, lo que podía (y puede) dar lugar a ineficiencias y a un uso excesivo de recursos y funciones de seguridad duplicadas. La visión de la Convergencia de la Seguridad es la integración, de manera formal, corporativa y estratégica de todos los recursos dedicados a la Seguridad de una organización, para garantizar la gestión de riesgos a la que está expuesta la organización, con efectividad, eficiencia operacional creciente y ahorro de costes, minimizando el riesgo a los niveles establecidos por la Política de Seguridad Global Corporativa. La convergencia de la seguridad es la cooperación formal de las diferentes funciones de seguridad de la organización. Cuando decimos "cooperación", hablamos de una acción concertada y orientada a los resultados del esfuerzo de un trabajo en conjunto. En la Convergencia de la Seguridad, no sólo se está integrando las funciones de seguridad física y de seguridad lógica, sino a todas las funciones de la organización que gestionen riesgos que puedan suponer una amenaza para la supervivencia de la organización. La Convergencia de la Seguridad tiene como principal prioridad la alineación de todas las funciones de seguridad con las necesidades del negocio en cada momento, definiendo este hecho como la integración de:

Seguridad física

Seguridad de la información

Seguridad reputacional

Seguridad del personal

Seguridad legal

Seguridad medioambiental

Seguridad laboral

Seguridad industrial

Seguridad patrimonial

Continuidad del negocio

….


Página 7 de 11

Forjar vínculos entre las distintas funciones, departamentos o responsables de Seguridad de una organización es parte de la Convergencia de la Seguridad, pero no lo es todo. La Convergencia de la Seguridad se centra en la gestión global de los riesgos, para integrar y coordinar las diferentes funciones de seguridad, siendo su principal objetivo proteger de la forma más eficiente posible todos los activos, tanto tangibles como intangibles de una organización, de todas las amenazas, de cualquier tipo, a las que estén expuestos, independientemente de su origen. La adopción de este nuevo paradigma, la Convergencia de la Seguridad exige una reflexión por parte de las personas implicadas en la dirección y gestión de las funciones de seguridad de la organización, con el fin de que abran su mente e intenten superar las fronteras de sus áreas de conocimiento, estableciendo actuaciones armonizadas por el único objetivo, de establecer en la organización una cultura de Seguridad Corporativa, que sumado con un lenguaje común, pueda permitirles garantizar la adecuada protección de los activos de la organización y la continuidad de las operaciones. La finalidad de la convergencia es realizar una gestión global de las funciones de seguridad, unificar funciones de seguridad o incentivar la comunicación entre ellas (aprender a hablar un lenguaje común, el lenguaje del riesgo), unificar eventos y tecnologías, etc. todo ello con la finalidad de reducir costes, aumentar el nivel de seguridad, la eficiencia en las acciones y alinear la seguridad con las necesidades de la organización.

3 La gestión

El reto de la Convergencia de la Seguridad, es gestionar el riesgo de la organización (eliminarlo, prevenirlo, transferirlo y minimizar su impacto), tal como se gestiona cualquier otro proceso de negocio, ya que la seguridad es un proceso más dentro de los procesos de la organización.

La Convergencia de la Seguridad plantea un modelo de gestión integral que comprende todos los procesos de seguridad de una organización, que tienen por objeto garantizar la adecuada protección de todos los activos de la organización y la continuidad de sus


Página 8 de 11

operaciones, todo ello con una filosofía clara de alineación con el negocio. Por ello, la función de seguridad integral no sólo comprende las funciones de seguridad física y de seguridad lógica, sino todas las funciones de la organización orientadas a la gestión de todos aquellos riesgos que puedan suponer una amenaza para el funcionamiento y supervivencia de la organización.

La función de seguridad integral se centra en la gestión global de los riesgos, siendo su principal objetivo proteger de la forma más eficiente posible todos los activos, tanto tangibles como intangibles de una organización, de todas las amenazas, de cualquier tipo, a las que estén expuestos, independientemente de su origen.

Si tenemos en cuenta que la seguridad es un proceso más dentro del conjunto de los procesos productivos de la organización tenemos que gestionarlo de la misma forma que se gestionan dichos procesos, utilizando un sistema de gestión como el marco de funcionamiento de una organización en el que se integran tanto la misión, visión, valores, objetivos principales y secundarios de la organización, como las políticas, procedimientos, registros e indicadores, que dan forma al sistema.

Disponer del marco de trabajo que proporciona un sistema de gestión permite que se incremente la eficiencia y eficacia de la organización.

El modelo de sistema de gestión de seguridad integral propuesto está basado en la mejora continua, del ciclo de Deming o PDCA (Plan-Desarrollo-Control-Acción) compuesto por cuatro fases diferenciadas y alineado con los estándares internacionales comúnmente aceptados.

A continuación, se describen las fases de este ciclo de mejora continua:

Estudio de la situación de la Organización (desde el punto de vista de la seguridad), para estimar las medidas que se van a implantar en función de las necesidades detectadas.

Realización de un Análisis de Riesgos integral que ofrezca una valoración de los activos, amenazas y las vulnerabilidades a las que están expuestos.

Elaboración del plan de gestión de riesgos.


Página 9 de 11

Ejecución del plan de acción e implantación de los controles. Revisión de la documentación (políticas, procedimientos, instrucciones y

registros). Formación y concienciación. Documentación del trabajo elaborado

Revisión del sistema Evaluación de la eficacia y eficiencia de los controles implantados Verificación de registros e indicadores. Verificación del correcto funcionamiento del sistema (auditoría interna) Documentación de conclusiones

Mantenimiento del sistema Aplicar nuevas mejoras, si se han detectado errores en el paso anterior Acciones preventivas y correctivas

4 Análisis de Riesgos

En la visión tradicional, la seguridad, en función de la seguridad que se tratase, se analizaban ciertas amenazas específicas y se gestionaban los riesgos por separado, lo que puede dar lugar a ineficiencias, debido a una protección excesiva en algunos casos o insuficiente, en otros.

La visión de una seguridad global e integrada en todas sus disciplinas significa disponer de una única visión ante las amenazas y vulnerabilidades, tratándolas de forma conjunta, independientemente del origen y naturaleza de las mismas. De esta forma se gestionan de modo integral los riesgos, lo que redunda en un mejor aprovechamiento de los recursos y en una toma de decisiones más eficiente y efectiva, facilitando una mayor alineación con el negocio.

Uno de los pilares en los que se basa el paradigma de la Convergencia de la Seguridad es la gestión de forma integral de los riesgos a los que está expuesta una organización, Lo que hace imprescindible realizar un análisis de riesgos integral, de forma que contemple de una manera global cualquier tipo de amenaza, tanto de carácter físico como lógico, para ello es necesario disponer de una metodología lo suficientemente robusta e integrada que lo permita, que esté preparada para analizar todas las amenazas y vulnerabilidades a las que está expuesta la organización, de forma conjunta, independientemente del origen y naturaleza de dichas amenazas, teniendo en cuenta la posibilidad de que exista un “ataque combinado”, y la materialización de un ataque de este tipo pueda causar un impacto sobre el funcionamiento de la organización muy superior al que causaría un ataque que provenga de un sólo vector.

.


Página 10 de 11

Las implicaciones que supone la aplicación del paradigma de la Convergencia de la Seguridad, nos ha llevado a analizar las metodologías de análisis y gestión de riesgos existentes, para seleccionar la metodología que mejor de respuesta a las necesidades planteadas, al tratar los riegos de manera integrada. La metodología que ha adoptado Eulen Seguridad es una adaptación de la metodología Magerit Versión 2 basada en la experiencia que ha adquirido en la realización de análisis de riesgos integrados, tanto en proyectos de Seguridad Corporativa como en proyectos de Protección de Infraestructuras Críticas e instalaciones de alto riesgo, esta ampliación de la metodología Magerit Versión 2 está alineada con las metodologías de análisis de riesgos de los estándares ISO 31000 Gestión del riesgo. Principios y directrices e ISO 27005 Information technology -- Security techniques -- Information security risk management. Así como en distintas guías y publicaciones del Centro Criptológico Nacional (CCN-CNI), National Institute of Standards and Technology (NIST) y del U.S. Department of Homeland Security

5 El modelo de madurez

Al considerar que la Seguridad es un proceso de negocio más, y que por lo tanto debe estar alineado con los objetivos de negocio de la organización, dentro de un ciclo de mejora continua, es necesario disponer de métricas que nos permitan medir el cumplimiento de sus objetivos y de un modelo de madurez que nos permita disponer de un “Benchmarking” de la capacidad de nuestros procesos de Seguridad. La utilización de métricas y modelos de madurez es algo habitual en el resto de procesos de negocio de las organizaciones.

La inmensa mayoría de los modelos de madurez existentes actualmente, por no decir todos, son modelos basados en el Modelo de Madurez de Capacidades o CMM (Capability Maturity Model) desarrollado la Universidad Carnegie-Mellon para el SEI (Software Engineering Institute). El CMM es un modelo de evaluación de la capacidad de los procesos de una organización, que permite a las empresas valorar sus capacidades comparándolas con las establecidas en estándares y buenas prácticas generalmente aceptadas, y con respecto a empresas de su competencia (“Benchmarking”).

En el escenario actual en el que nos encontramos, mayor necesidad de seguridad, escenarios dinámicos, amenazas en continua evolución y regulaciones cada vez más exigentes, es necesario disponer de un Modelo de Madurez de la Seguridad Corporativa (MMSC).


Página 11 de 11

Disponer de un MMSC nos va a facilitar la evaluación de los procesos de seguridad por medio del “Benchmarking” y nos va a permitir identificar las mejoras en la capacidad que es necesario llevar a cabo en los procesos de seguridad de nuestra organización.

Los responsables de la Seguridad Corporativa de una organización deben ser capaces de responder a las siguientes cuestiones:

¿Qué está haciendo nuestra competencia, y cómo estamos posicionados en relación a ellos?

¿Cuáles son las mejores prácticas de Seguridad Corporativa, y cómo estamos posicionados con respecto a estas prácticas?

Con base en estas comparaciones, ¿Se puede decir que estamos haciendo lo suficiente?

¿Cómo identificamos las acciones necesarias hacer para alcanzar un nivel adecuado de protección de nuestros activos?

Es difícil responder adecuadamente a estas cuestiones. El responsable de Seguridad Corporativa debe disponer de procedimientos y herramientas que le ayuden a dar respuesta a estas cuestiones, lo que se traduce en la necesidad de disponer de:

Una medida relativa de dónde se encuentra la organización

Una manera de decidir hacia dónde ir de forma eficaz y eficiente

Una herramienta para medir el avance de la organización en el cumplimiento del objetivo

La utilización de un MMSC nos va a ayudar a responder a las cuestiones anteriores y a dar respuesta a las necesidades de Seguridad Corporativa de nuestra organización.

El MMSC desarrollado por Eulen Seguridad se basa en un método de evaluación de los procesos de seguridad de una organización, inspirado en el CMM del SEI y alineado con el modelo de madurez de COBIT (Objetivos de Control para la Información y la Tecnología relacionada) de ISACA, utilizando los mismos seis niveles de madurez definidos en dichos modelos:

0. No existente 1. Inicial/Ad Hoc 2. Repetible pero intuitivo 3. Proceso Definido 4. Administrado y Medible 5. Optimizado

La evolución de los procesos de Seguridad Corporativa de una organización, con el objeto de incrementar su nivel de madurez, tiene que desarrollarse en un proceso de mejora continua basado en el modelo PDCA, incrementando su nivel de madurez en cada vuelta del ciclo.

eulen seguridad - convergencia de la seguridad (noviembre 2012)

Documents