eulen seguridad - convergencia de la seguridad

7/30/2019 Eulen Seguridad - Convergencia de la Seguridad

1/11

CONVERGENCIA DE LASEGURIDAD

EULEN SEGURIDAD, S.A.A-28369395

C/ Gobelas 25-27 28023 MadridTel. 91 631 08 00 Fax. 91 372 81 98

Noviembre -2012


2/11

CONVERGENCIA DE LA SEGURIDAD

Pgina 2 de 11

INDICE

1 Eulen Seguridad .............................................................................. 32 Paradigma de la Convergencia de la Seguridad ........................... 63 La gestin ......................................................................................... 74 Anlisis de Riesgos ......................................................................... 95 El modelo de madurez .................................................................. 10


3/11


Pgina 3 de 11

1 Eulen Seguridad

A principios del 2008 Eulen Seguridad ante la evolucin de las necesidades de seguridadintegral a las que se enfrentaban todas las organizaciones, tanto del sector pblico comoprivado, comenz a estudiar el modelo de gestin y prestacin de servicios que daba mejorrespuesta a esta necesidad.

El modelo que Eulen Seguridad consider y considera que mejor respuesta da a estanecesidad de seguridad integral, es el paradigma de la Convergencia de la Seguridad, estemodelo fue propuesto inicialmente en el ao 2005 por la Alliance for Enterprise SecurityRisk Management (AESRM) de la que forman parte las dos mayores asociaciones deprofesionales de la seguridad, ASIS e ISACA, la primera de ellas focalizada en la seguridadfsica y la segunda en seguridad de la informacin (seguridad lgica).

Una vez adoptada la decisin de apostar por el paradigma de la Convergencia de laSeguridad, se comenz a preparar a la compaa para empezar a prestar servicios deseguridad bajo este modelo, para ello se cre la Unidad de Seguridad de la Informacin conel objeto de adquirir las capacidades y conocimientos necesarios para ello.

En el mes de octubre del 2008 durante la celebracin en Len del II Encuentro Nacional dela Industria de la Seguridad en Espaa (ENISE), organizado por el Instituto Nacional deTecnologas de la Informacin (INTECO), Eulen Seguridad hizo pblica su apuesta por elparadigma de la Convergencia de la Seguridad, con una ponencia de su Director NacionalCarlos Blanco, titulada La Convergencia de la Seguridad: la seguridad integral.

Con dicha apuesta pblica Eulen Seguridad se convirti en la primera empresa de seguridadprivada que comenzaba a prestar servicios de seguridad fsica y de seguridad lgica bajo elparadigma de la convergencia de la seguridad.

Es necesario hacer notar que en el objeto social de Eulen Seguridad, como empresa deseguridad privada, figura que una de sus actividades es la vigilancia y proteccin de bienes

y el Diccionario de la Lengua Espaola de la Real Academia Espaola, define bienes(sexta acepcin), como Cosas materiales o inmateriales en cuanto objetos de derecho.


4/11


Pgina 4 de 11

Por ello, como dentro de los bienes inmateriales se encuentra comprendida la informacin,uno de los activos ms valiosos, hoy en da, de las empresas y organizaciones, y dentro de

los bienes materiales, los sistemas informticos que procesan, almacenan y transmiten lainformacin.

Por lo anterior, era lgico y previsible que las empresas de seguridad privada, como EulenSeguridad, comenzaran a prestar servicios de seguridad, bajo un modelo de integracin,que contemplara tanto la seguridad fsica como lgica, como es el de la Convergencia de laSeguridad.

Adems, aunque Eulen Seguridad fue la primera empresa de seguridad privada que apostopor este modelo, lo cierto es que empresas como el Grupo MAPFRE, llevaban aosutilizando este modelo de integracin con muy buenos resultados, un claro ejemplo de ello

es el Centro de Control General de MAPFRE que lleva aos funcionando bajo un modelo deConvergencia de la Seguridad.

Una vez hecha pblica la apuesta de Eulen Seguridad por este nuevo modelo, se comenza ofrecer y prestar estos servicios a nuestros clientes, en algunos casos de formaindependiente y en otros de forma integrada.

Durante el ao 2009, el mercado empez a considerar la Convergencia de la Seguridadcomo una alternativa de futuro, prueba de ello es la celebracin del I Encuentro de laSeguridad Integral (Seg2) organizado por la editorial Borrmart, que reuni por primera vezen Espaa al sector de la Seguridad Lgica y al de la Seguridad Fsica.

Igualmente, durante el ao 2009, Eulen Seguridad fue madurando sus procesos internos,mejorndolos y adaptndolos a las nuevas necesidades, y en mes de octubre durante lacelebracin en Leon del III Encuentro Nacional de la Industria de la Seguridad en Espaa(ENISE), organizado por el Instituto Nacional de Tecnologas de la Informacin (INTECO),Eulen Seguridad hizo pblica su visin de lo que deba ser la Empresa de Seguridad delFuturo.

En esta ponencia se expuso la visin de Eulen Seguridad respecto a los servicios que debe

prestar una empresa de seguridad y cmo los debe prestar.


5/11


Pgina 5 de 11

Segn est visin, la principal necesidad de las empresas es garantizar la continuidad desus operaciones y para ello necesitan garantizar la seguridad de todos sus activos tantotangibles como intangibles.

Las empresas se enfrentan a nuevas amenazas y nuevos retos, entre ellos:

La proteccin de los activos tangibles e intangibles El tratamiento integrado de los riesgos La proteccin del ciclo productivo completo La visin de la seguridad como un proceso ms de negocio

Para ayudar a las empresas a hacer frente a estas amenazas y retos, las empresas deseguridad deben ser capaces de dar respuesta a la necesidad actual de seguridad globalante cualquier amenaza y en cualquier escenario.

Con la finalidad de cumplir dicho objetivo, las empresas de seguridad deben ser aliadosestratgicos de sus clientes, colaborando en la consecucin de sus objetivos, ayudndoles agarantizar la continuidad de sus operaciones, dando proteccin a todos sus activos, tantomateriales cmo inmateriales, todo ello aportando generacin de valor.

De acuerdo con esta visin, Eulen Seguridad se define como una empresa: Innovadora Flexible y gil para adaptarse a los nuevos escenarios y riesgos Comprometida con la excelencia en la prestacin de servicios Comprometida con la honestidad y tica profesional Comprometida con la Seguridad de nuestra Sociedad Consciente del rol que representa

En junio del 2010 durante la celebracin del II Encuentro de la Seguridad Integral (Seg2),Eulen Seguridad siguiendo la lnea marcada desde el ao 2008, volvi a hacer pblica suapuesta por el paradigma de la Convergencia de la Seguridad con el convencimiento deque la legislacin sobre proteccin de infraestructuras crticas (que en aquel momento seencontraba en fase de elaboracin), iba a suponer el impulso definitivo a la Convergenciade la Seguridad.


6/11


Pgina 6 de 11

Y en este momento, cuatro aos despus de la apuesta pblica de Eulen Seguridad por elparadigma de la Convergencia de la Seguridad, ya nadie discute que el modelo deseguridad integral que estamos impulsando desde entonces, es una alternativa a tener en

cuenta, ya que cada vez son ms las empresas pblicas y privadas que estn adoptandoeste modelo de seguridad integral, incluso como objetivos estratgicos en su rea, sinolvidar que su aplicacin ha sido refrendada por la actual legislacin de Proteccin deInfraestructuras Crticas que establece como obligatorio el modelo de seguridad integral en

su mbito de aplicacin.

2 Paradigma de la Convergencia de la Seguridad

En la visin tradicional, la seguridad se ha entendido como un conjunto de procesosindependientes sin apenas relaciones entre ellos, donde, en funcin de la seguridad que se

tratase, fsica, lgica, ciudadana, patrimonial, ambiental etc., que se gestionaban porseparado, lo que poda (y puede) dar lugar a ineficiencias y a un uso excesivo de recursos yfunciones de seguridad duplicadas.

La visin de la Convergencia de la Seguridad es la integracin, de manera formal,corporativa y estratgica de todos los recursos dedicados a la Seguridad de unaorganizacin, para garantizar la gestin de riesgos a la que est expuesta la organizacin,con efectividad, eficiencia operacional creciente y ahorro de costes, minimizando el riesgo alos niveles establecidos por la Poltica de Seguridad Global Corporativa.

La convergencia de la seguridad es la cooperacin formal de las diferentes funciones deseguridad de la organizacin. Cuando decimos "cooperacin", hablamos de una accin

concertada y orientada a los resultados del esfuerzo de un trabajo en conjunto. En laConvergencia de la Seguridad, no slo se est integrando las funciones de seguridad fsicay de seguridad lgica, sino a todas las funciones de la organizacin que gestionen riesgosque puedan suponer una amenaza para la supervivencia de la organizacin.

La Convergencia de la Seguridad tiene como principal prioridad la alineacin de todas lasfunciones de seguridad con las necesidades del negocio en cada momento, definiendo estehecho como la integracin de:

Seguridad fsica

Seguridad de la informacin

Seguridad reputacional

Seguridad del personal

Seguridad legal

Seguridad medioambiental

Seguridad laboral

Seguridad industrial

Seguridad patrimonial

Continuidad del negocio.


7/11


Pgina 7 de 11

Forjar vnculos entre las distintas funciones, departamentos o responsables de Seguridad deuna organizacin es parte de la Convergencia de la Seguridad, pero no lo es todo. LaConvergencia de la Seguridad se centra en la gestin global de los riesgos, para integrar ycoordinar las diferentes funciones de seguridad, siendo su principal objetivo proteger de laforma ms eficiente posible todos los activos, tanto tangibles como intangibles de unaorganizacin, de todas las amenazas, de cualquier tipo, a las que estn expuestos,independientemente de su origen.

La adopcin de este nuevo paradigma, la Convergencia de la Seguridad exige una reflexinpor parte de las personas implicadas en la direccin y gestin de las funciones de seguridadde la organizacin, con el fin de que abran su mente e intenten superar las fronteras de susreas de conocimiento, estableciendo actuaciones armonizadas por el nico objetivo, deestablecer en la organizacin una cultura de Seguridad Corporativa, que sumado con unlenguaje comn, pueda permitirles garantizar la adecuada proteccin de los activos de laorganizacin y la continuidad de las operaciones.

La finalidad de la convergencia es realizar una gestin global de las funciones de seguridad,unificar funciones de seguridad o incentivar la comunicacin entre ellas (aprender a hablarun lenguaje comn, el lenguaje del riesgo), unificar eventos y tecnologas, etc. todo ello conla finalidad de reducir costes, aumentar el nivel de seguridad, la eficiencia en las acciones yalinear la seguridad con las necesidades de la organizacin.

3 La gestin

El reto de la Convergencia de la Seguridad, es gestionar el riesgo de la organizacin

(eliminarlo, prevenirlo, transferirlo y minimizar su impacto), tal como se gestiona cualquier

otro proceso de negocio, ya que la seguridad es un proceso ms dentro de los procesos de

la organizacin.

La Convergencia de la Seguridad plantea un modelo de gestin integral que comprendetodos los procesos de seguridad de una organizacin, que tienen por objeto garantizar laadecuada proteccin de todos los activos de la organizacin y la continuidad de sus


8/11


Pgina 8 de 11

operaciones, todo ello con una filosofa clara de alineacin con el negocio. Por ello, lafuncin de seguridad integral no slo comprende las funciones de seguridad fsica y deseguridad lgica, sino todas las funciones de la organizacin orientadas a la gestin de

todos aquellos riesgos que puedan suponer una amenaza para el funcionamiento ysupervivencia de la organizacin.

La funcin de seguridad integral se centra en la gestin global de los riesgos, siendo suprincipal objetivo proteger de la forma ms eficiente posible todos los activos, tanto tangiblescomo intangibles de una organizacin, de todas las amenazas, de cualquier tipo, a las queestn expuestos, independientemente de su origen.

Si tenemos en cuenta que la seguridad es un proceso ms dentro del conjunto de losprocesos productivos de la organizacin tenemos que gestionarlo de la misma forma que segestionan dichos procesos, utilizando un sistema de gestin como el marco defuncionamiento de una organizacin en el que se integran tanto la misin, visin, valores,objetivos principales y secundarios de la organizacin, como las polticas, procedimientos,registros e indicadores, que dan forma al sistema.

Disponer del marco de trabajo que proporciona un sistema de gestin permite que se

incremente la eficiencia y eficacia de la organizacin.El modelo de sistema de gestin de seguridad integral propuesto est basado en la mejoracontinua, del ciclo de Deming o PDCA (Plan-Desarrollo-Control-Accin) compuesto porcuatro fases diferenciadas y alineado con los estndares internacionales comnmenteaceptados.

A continuacin, se describen las fases de este ciclo de mejora continua:

Estudio de la situacin de la Organizacin (desde el punto de vista de laseguridad), para estimar las medidas que se van a implantar en funcin delas necesidades detectadas.Realizacin de un Anlisis de Riesgos integral que ofrezca una valoracin delos activos, amenazas y las vulnerabilidades a las que estn expuestos.

Elaboracin del plan de gestin de riesgos.


9/11


Pgina 9 de 11

Ejecucin del plan de accin e implantacin de los controles.

Revisin de la documentacin (polticas, procedimientos, instrucciones yregistros).Formacin y concienciacin.Documentacin del trabajo elaborado

Revisin del sistemaEvaluacin de la eficacia y eficiencia de los controles implantadosVerificacin de registros e indicadores.Verificacin del correcto funcionamiento del sistema (auditora interna)Documentacin de conclusiones

Mantenimiento del sistema

Aplicar nuevas mejoras, si se han detectado errores en el paso anteriorAcciones preventivas y correctivas

4 Anlisis de Riesgos

En la visin tradicional, la seguridad, en funcin de la seguridad que se tratase, seanalizaban ciertas amenazas especficas y se gestionaban los riesgos por separado, lo quepuede dar lugar a ineficiencias, debido a una proteccin excesiva en algunos casos oinsuficiente, en otros.

La visin de una seguridad global e integrada en todas sus disciplinas significa disponer deuna nica visin ante las amenazas y vulnerabilidades, tratndolas de forma conjunta,independientemente del origen y naturaleza de las mismas. De esta forma se gestionan demodo integral los riesgos, lo que redunda en un mejor aprovechamiento de los recursos y enuna toma de decisiones ms eficiente y efectiva, facilitando una mayor alineacin con elnegocio.

Uno de los pilares en los que se basa el paradigma de la Convergencia de la Seguridad esla gestin de forma integral de los riesgos a los que est expuesta una organizacin, Lo quehace imprescindible realizar un anlisis de riesgos integral, de forma que contemple de unamanera global cualquier tipo de amenaza, tanto de carcter fsico como lgico, para ello esnecesario disponer de una metodologa lo suficientemente robusta e integrada que lopermita, que est preparada para analizar todas las amenazas y vulnerabilidades a las queest expuesta la organizacin, de forma conjunta, independientemente del origen ynaturaleza de dichas amenazas, teniendo en cuenta la posibilidad de que exista un ataquecombinado, y la materializacin de un ataque de este tipo pueda causar un impacto sobre elfuncionamiento de la organizacin muy superior al que causara un ataque que provenga deun slo vector.

.


10/11


Pgina 10 de 11

Las implicaciones que supone la aplicacin del paradigma de la Convergencia de laSeguridad, nos ha llevado a analizar las metodologas de anlisis y gestin de riesgosexistentes, para seleccionar la metodologa que mejor de respuesta a las necesidadesplanteadas, al tratar los riegos de manera integrada. La metodologa que ha adoptado EulenSeguridad es una adaptacin de la metodologa Magerit Versin 2 basada en la experienciaque ha adquirido en la realizacin de anlisis de riesgos integrados, tanto en proyectos deSeguridad Corporativa como en proyectos de Proteccin de Infraestructuras Crticas einstalaciones de alto riesgo, esta ampliacin de la metodologa Magerit Versin 2 estalineada con las metodologas de anlisis de riesgos de los estndares ISO 31000 Gestin

del riesgo. Principios y directrices e ISO 27005 Information technology -- Security techniques-- Information security risk management. As como en distintas guas y publicaciones delCentro Criptolgico Nacional (CCN-CNI), National Institute of Standards and Technology(NIST) y del U.S. Department of Homeland Security

5 El modelo de madurez

Al considerar que la Seguridad es un proceso de negocio ms, y que por lo tanto debe estaralineado con los objetivos de negocio de la organizacin, dentro de un ciclo de mejoracontinua, es necesario disponer de mtricas que nos permitan medir el cumplimiento de susobjetivos y de un modelo de madurez que nos permita disponer de un Benchmarking de lacapacidad de nuestros procesos de Seguridad. La utilizacin de mtricas y modelos demadurez es algo habitual en el resto de procesos de negocio de las organizaciones.

La inmensa mayora de los modelos de madurez existentes actualmente, por no decir todos,son modelos basados en el Modelo de Madurez de Capacidades o CMM (Capability MaturityModel) desarrollado la Universidad Carnegie-Mellon para el SEI (Software EngineeringInstitute). El CMM es un modelo de evaluacin de la capacidad de los procesos de unaorganizacin, que permite a las empresas valorar sus capacidades comparndolas con lasestablecidas en estndares y buenas prcticas generalmente aceptadas, y con respecto aempresas de su competencia (Benchmarking).

En el escenario actual en el que nos encontramos, mayor necesidad de seguridad,escenarios dinmicos, amenazas en continua evolucin y regulaciones cada vez ms

exigentes, es necesario disponer de un Modelo de Madurez de la Seguridad Corporativa(MMSC).


11/11


Pgina 11 de 11

Disponer de un MMSC nos va a facilitar la evaluacin de los procesos de seguridad pormedio del Benchmarking y nos va a permitir identificar las mejoras en la capacidad que esnecesario llevar a cabo en los procesos de seguridad de nuestra organizacin.

Los responsables de la Seguridad Corporativa de una organizacin deben ser capaces deresponder a las siguientes cuestiones:

Qu est haciendo nuestra competencia, y cmo estamos posicionados en relacin aellos?

Cules son las mejores prcticas de Seguridad Corporativa, y cmo estamosposicionados con respecto a estas prcticas?

Con base en estas comparaciones, Se puede decir que estamos haciendo losuficiente?

Cmo identificamos las acciones necesarias hacer para alcanzar un nivel adecuadode proteccin de nuestros activos?

Es difcil responder adecuadamente a estas cuestiones. El responsable de SeguridadCorporativa debe disponer de procedimientos y herramientas que le ayuden a dar respuestaa estas cuestiones, lo que se traduce en la necesidad de disponer de:

Una medida relativa de dnde se encuentra la organizacin

Una manera de decidir hacia dnde ir de forma eficaz y eficiente

Una herramienta para medir el avance de la organizacin en el cumplimiento delobjetivo

La utilizacin de un MMSC nos va a ayudar a responder a las cuestiones anteriores y a darrespuesta a las necesidades de Seguridad Corporativa de nuestra organizacin.

El MMSC desarrollado por Eulen Seguridad se basa en un mtodo de evaluacin de losprocesos de seguridad de una organizacin, inspirado en el CMM del SEI y alineado con elmodelo de madurez de COBIT (Objetivos de Control para la Informacin y la Tecnologarelacionada) de ISACA, utilizando los mismos seis niveles de madurez definidos en dichosmodelos:

0. No existente1. Inicial/Ad Hoc2. Repetible pero intuitivo3. Proceso Definido4. Administrado y Medible5. Optimizado

La evolucin de los procesos de Seguridad Corporativa de una organizacin, con el objetode incrementar su nivel de madurez, tiene que desarrollarse en un proceso de mejoracontinua basado en el modelo PDCA, incrementando su nivel de madurez en cada vuelta delciclo.

eulen seguridad - convergencia de la seguridad

Documents