la normativa y

colaboración red seguridad junio 2012 7

especial seg2 encuentro de la seguridad integral

La normativa yla situación económica invitan a dar el pasoAhora más que nunca es necesario poner EL ACENTO EN LO QUE NOS UNE, MÁS QUE SOBRE LO QUE NOS SEPARA. La Seguridad Integral, más madura en Estados Unidos, encuentra en la optimización de costes una de sus principales motivaciones. ADEMÁS, EN ESPAÑA, UNA ESTRATEGIA DE CIBERSEGURIDAD EN CIERNES y la 'Ley PIC' tiran del carro del modelo convergente, que ha dejado de ser una opción, como ha quedado patente en el IV ENCUENTRO DE LA SEGURIDAD INTEGRAL.

Tx: Ángel Gallego de Nova, Enrique González Herrero y Almudena Ruiz Sevilla. Ft: Miguel Ángel Benedicto.

colaboración

especial seg2encuentro de la seguridad integral

8 red seguridad junio 2012

Un salón abarrotado por más de 160 asistentes aguardaba el pasado 10 de mayo el comienzo del IV Encuentro de la Seguridad Integral (Seg2), refle-jo fidedigno del interés que despierta la convergencia en las organizaciones. Ha calado hondo un mensaje, una filosofía a la que Borrmart pone voz desde hace más cuatro años: "Estamos convencidos de que seguridad lógica y seguridad física deben ir unidas", recordó Javier Borredá, presidente de esta editorial, que publica las dos cabe-ceras organizadoras del evento: RED SEGURIDAD y SEGURITECNIA.

Esta edición del Seg2 siempre será recordada por diferentes cuestiones, pero sobre todo por haber conseguido registrar el porcentaje más elevado de usuarios en el aforo -a la postre decisores en el orga-nigrama de sus compañías-. Asimismo, quedó meridianamente claro que la pro-funda crisis económica que asola Europa no puede servir de impedimento al desa-rrollo de iniciativas de Seguridad Integral, que, por otra parte, están recibiendo el aval de la Administración a todos los niveles, como hemos venido contando en estas páginas.

En este sentido, Javier Borredá, en sus palabras de bienvenida, puso en valor el compromiso con el Seg2 de cuatro empre-sas españolas: Deloitte, Eulen Seguridad, GMV y Telefónica Ingeniería de Seguridad (TIS), que dan vida a un congreso al que han dado muestras de su fidelidad en repetidas ocasiones. En este apartado, cabe mencionar al Instituto Nacional de Tecnologías de la Comunicación (Inteco), que ha vuelto a participar como entidad colaboradora, junto a la recién nacida Fundación Borredá.

"La mayor recompensa a nuestro esfuerzo es ver un salón repleto de pro-fesionales de altísimo nivel", comentó la directora de SEGURITECNIA, Ana Borredá, que junto a su homóloga en RED SEGURIDAD, Mercedes Oriol, desa-rrollaron la primera ponencia de la jor-nada: "Visión de la Seguridad Integral: realidad y avances". Borredá incidió en los pasos importantes que se están dando a favor de la Seguridad Integral, "una idea que al principio contaba con numerosos detractores y que hoy está presente en todos sitios".

El germen de la convergencia y el primer paso para que este encuentro

fuera posible tuvo lugar en 2002, con el nacimiento de la revista que tienen en sus manos en el seno de una editorial pro-fundamente conocedora de la Seguridad Privada: "Esto nos permitió acercarnos a los profesionales de la Seguridad de la Información y rápido observamos que debían trabajar junto a los profesionales de la seguridad física –continuó-, porque en muchos casos no se conocían y man-tenían posturas antagónicas. Era necesa-rio crear un foro donde ambos sectores compartieran sus experiencias y, por esto, en 2008 impulsamos el Seg2 como dina-mizador de la convergencia". La directo-ra de SEGURITECNIA no quiso olvidar que Mapfre y Prisa ya compartían esa visión en aquella época: "Sin ellos -nues-tros padrinos-, no hubiese sido posible arrancar". Ambas firmas presentaron su experiencia práctica en el I Encuentro de la Seguridad Integral, que se celebró en 2009, tal y como recordó Mercedes Oriol, "cuando eran pocos los que defendían la idea de la Seguridad Integral". Aquella edición logró sentar por primera vez en la misma mesa a las asociaciones más representativas de la seguridad informáti-ca y de la seguridad tradicional.

Como parte de este recorrido histórico, la directora de esta cabecera trajo a cola-ción la aparición del Esquema Nacional de Interoperabilidad (ENI), del Esquema Nacional de Seguridad (ENS) y del Real Decreto que dio lugar a la actual Ley de Protección de las Infraestructuras Críticas (Ley PIC) como vertebradores de la segunda edición del Seg2, que tam-bién fue testigo de la primera aparición pública de Fernando Sánchez, director del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC). En esta travesía, además de Mapfre y Prisa, usuarios como Ono, Iberdrola, el Ayuntamiento de Madrid o Novagalicia Banco (Novacaixagalicia en aquellas fechas), el Ministerio de Industria o Colt han nutrido de experiencias prácticas un

Distintos enfoques y una única meta: Protección Global CorporativaEl Seg2 se ha convertido en el encuentro de referencia para la convergencia de la Seguridad en nuestro país, y es testigo de los aspectos que van avanzando. El apoyo público del Gobierno a la gestión total de los riesgos se produce en un momento enel que aumenta el número de organizaciones que han iniciado el viaje hacia el despliegue de la Seguridad Integral como fundamento estratégico de presente y futuro.

El IV Encuentro de la Seguridad Integral ha destacado en esta edición por congregar al porcentaje más elevado de usuarios finales en su historia.

colaboración


red seguridad junio 2012 9

encuentro que el pasado año celebró su tercera convocatoria, en la que la relevan-cia y el dinamismo de sus mesas redon-das fue la nota dominante. El papel del CISO (Chief Information Security Officer) y del CSO (Chief Security Officer), la impor-tancia de la continuidad global del nego-cio y la inteligencia competitiva fueron los ejes de tres apasionantes debates, como rememoró Mercedes Oriol.

Con el respaldo de la leyAna Borredá hizo hincapié en que las diferentes legislaciones y normativas han supuesto un espaldarazo definitivo para que las organizaciones contemplen la Seguridad Integral en sus consejos de administración: La Ley Orgánica de Protección de Datos (LOPD) y la Ley PIC, pasando por los ENI y ENS, han contribuido indudablemente a ese empu-je. Asimismo, la directiva acentuó unas recientes declaraciones en una compa-recencia pública del ministro del Interior, Jorge Fernández Díaz, en las que decía que: "Las amenazas han dejado de ser únicamente de carácter físico. En 2012 la amenaza cibernética se configura como el principal riesgo potencial contra los ser-vicios esenciales de cualquier sociedad".

Por su parte, Mercedes Oriol recal-có otras iniciativas que se han desarro-llado alrededor de la convergencia de seguridades, como las promovidas por asociaciones profesionales como ASIS Internacional, que desde su Consejo Asesor Europeo creó, en junio de 2011, la Comisión Especializada en Convergencia de Seguridad, con el fin de difundir esta disciplina en Europa. "En esta línea, y junto con el Information Security Awareness Forum (ISAF), ambas organizaciones rea-lizaron un estudio mundial que nos acerca a la realidad del asunto, entre 216 profe-sionales de ambos sectores: hablamos del informe que realizaron, entre agosto y septiembre de 2011, y en el que pode-mos ver cómo la estrategia de la conver-gencia de seguridad está más asumida e implantada en Norte América (en un 48%), seguida por Reino Unido e Irlanda (en un 44%) y el resto de Europa (en un 30%)", resumió la periodista.

Por sectores de actividad industrial, el que se lleva la palma, según este estu-dio, es el Aeroespacial y Defensa (en un 100%), junto con el de Tecnologías de la Información y Servicios relacionados con la Seguridad y el de las Telecomunicaciones (ambos en más de un 70%); estando muy por detrás el sector farmacéutico (0%), detrás del de la Alimentación y

Manufactura y el de Servicios (que no llegan al 20%).

Asimismo, otro dato clave que extrajo de la investigación es que los profesiona-les consultados aprecian la convergencia de ataques, de tecnologías y el ahorro de costes como motivos principales que justi-fican una apuesta por la seguridad global.

Mercedes Oriol también tuvo palabras para Gartner, que destacó a Mapfre en 2010 como un caso de éxito a nivel mun-dial en el plano de la convergencia. En este informe la prestigiosa consultora ya auguraba que el CSO se convertiría, pre-sumiblemente, en un director de Riesgos (Chief Risk Officer -CRO-). La directora de RED SEGURIDAD tampoco pasó por alto las conclusiones del Estudio de la

Seguridad Privada 2012, de la Fundación ESYS y el ejercicio de ciberseguridad desarrollado por Isdefe y el CNPIC -que implicó a 18 operadores críticos-, como ejemplos de apoyo explícito a las tesis de la convergencia. Además, Oriol des-tacó la implicación personal del minis-tro Fernández Díaz en dicho simulacro, muestra fehaciente del primer compromi-so adoptado por un Ejecutivo español a favor de la ciberseguridad.

"Es el momento de tomarse en serio la formación del profesional de la Seguridad del futuro -reflexionó Ana Borredá-. El directivo debe ser gestor, consultor, inter-locutor hacia fuera y dentro de la orga-nización, estratega..., en definitiva, un supermán. Hay grandes profesionales

De izquierda a derecha, Mercedes Oriol, Ana Borredá y Javier Borredá, durante la ponencia inaugural, que puso foco en los avances de la convergencia.

Ana Borredá, flanqueada por los dos "padrinos" del congreso, Guillermo Llorente, director de Seguridad y Medio Ambiente de Mapfre (izquierda) y Enrique Polanco, experto en Seguridad y ex director de Seguridad Corporativa de Grupo Prisa.

colaboración



hoy día, pero se echa de menos una formación completa, un grado especiali-zado en Seguridad, bajo una perspectiva integral y con conocimientos profundos en las disciplinas necesarias". En esta línea, Borredá considera que la futura reforma de la Ley de Seguridad Privada será una oportunidad de oro para conse-guirlo, además de ayudar a solventar los distintos problemas del momento: "Desde las dos revistas, nuestro compromiso será tratar de influir y convencer a todos los implicados, incluidos los legisladores, para defender este concepto", incidió. La directora de SEGURITECNIA anunció

que la Fundación Borredá nace para estar "al servicio de la Seguridad", como reza su lema. "Una de sus líneas será la Seguridad Integral y defenderá que la nueva Ley incorpore este concepto".

Mapfre, evolución constanteMapfre, un referente internacional en la convergencia de Seguridad, como se ha reseñado anteriormente, ha desgra-nado en esta edición del Seg2 cómo continúa afrontando la concepción de la Seguridad desde una perspectiva global. "Una aproximación al análisis de riesgos integral. Luces y sombras" fue el atractivo título elegido para una ponencia a cargo de tres representantes de la Subdirección General de Seguridad y Medio Ambiente (DISMA) de la multinacional. "Venimos a contar nuestra experiencia y las leccio-

nes que hemos aprendido tratando de aproximarnos a la gestión integral de los riesgos de Seguridad dentro de nuestra compañía", anunció Andrés Peral, subdi-rector de Seguridad en Infraestructuras Tecnológicas de la DISMA. El primero de los portavoces de la aseguradora esgri-mió que el enfoque basado en análisis de riesgos no dista mucho del que cada ciudadano hace en su día a día -en la calle o en el trabajo- para evitar riesgos: "Cada vez que tomamos una medida de seguridad es para hacer frente a un riesgo y lo mismo da un firewall que un control volumétrico", aseveró. "En nues-

tro sector nos afectan normativas finan-cieras como Basilea II o Solvencia II, en las que se habla de tres tipos de riesgos: financieros, de mercado y operacionales. Dichas normativas 'premian' la correcta gestión de riesgos con la relajación de los requisitos de capital". En virtud de este marco, los supervisores instan a las compañías a gestionar bien los riesgos, de forma integral, siendo el asociado a la Seguridad un elemento relevante de estos riesgos. El enfoque integral lleva a la necesidad de proteger también de forma integral los activos en todas las capas que los 'envuelven': instalaciones, personas, infraestructura tecnológica y, por último, aplicaciones y procesos. "Una visión integral del análisis de ries-gos nos ayuda a ser más eficientes a la hora de implantar medidas de seguridad

-sostuvo Peral-. A menudo, es frecuente la aparición de dudas cuando se des-pliega un modelo y, por este motivo, la satisfacción es mayor cuando desde el exterior ves señales de que tu estrate-gia no anda desencaminada". El World Economic Forum (WEF) -más conocido como Foro de Davos- analiza los riesgos sistémicos a escala mundial y este año ha sido el primero que señala los riesgos de ciberseguridad como tales.

Existe una enorme interrelación entre los diferentes riesgos porque un ataque terrorista puede suponer un fallo crítico en los sistemas que soportan un proceso o servicio críticos, explicó Andrés Peral, que manifestó que para su organización fue muy grato comprobar que 12 de los 50 riesgos sistémicos globales identificados por el WEF se encuentran dentro del ámbito de gestión de la DISMA, entre ellos el 40 por cien de los catalogados en el 'top 5' de mayor probabilidad. "Lo que tenemos que conseguir es vender la importancia del trabajo que hacemos a nuestra organización y creemos que con-tamos con argumentos para ser tenidos en cuenta al más alto nivel dentro de la compañía", concluyó.

Paso a pasoPor su parte, Jacinto Muñoz, subdirec-tor de Seguridad en Aplicaciones de la DISMA en Mapfre, se propuso -durante los minutos de su intervención- ayudar a encontrar la salida al laberinto de cómo llevar a cabo un análisis integral de ries-gos en la compañía: "Al no disponer de soluciones mágicas, aplicamos aproxima-ciones sucesivas para solucionar los pro-blemas que José María Cortés ha puesto sobre la mesa [despiece de la página 12]. Para conseguirlo, la primera iteración que hemos realizado pasa por incluir el análi-sis integral de riesgos dentro de nuestro marco estratégico, consiguiendo de este modo el apoyo de la alta Dirección, aplicar el pragmatismo, buscando aplicaciones con alcance limitado pero que tengan un rápido retorno y llevar el análisis a la capa de procesos, con objeto de tener una visión realmente integral".

La multinacional española creó un marco estratégico de Seguridad Integral en el que el análisis integral de riesgos ocupaba un lugar primordial, atendiendo a Muñoz, todo ello plasmado en el Plan Director de Seguridad y Medio Ambiente (PDSMA), para cuya elaboración: "fue necesaria una tarde solo para ponernos de acuerdo sobre terminología en el ámbi-to del análisis global de riesgos". Una vez

De izquierda a derecha, José María Cortés, Jacinto Muñoz y Andrés Peral, que desvelaron la aproximación de Mapfre a un análisis de riesgos integral.

"Una visión integral de los riesgos nos ayuda a sermás eficientes al implantar medidas de seguridad.La satisfacción es mayor cuando refuerzan tu estrategia desde el exterior", declaró Andrés Peral, de Mapfre

colaboración



establecido el lenguaje común y definidos el resto de elementos del marco estra-tégico (visión, misión, principios, pilares, etc.), se definió un Modelo de Actuación, basado en análisis y gestión integral de riesgos, que identificaba los activos a proteger, las fases del proceso y las dife-rentes tipologías de riesgos del ámbito de la Seguridad y el Medio Ambiente.

La primera aproximación práctica al análisis integral de riesgos, alineada con el pragmatismo que defiende Mapfre, fue la creación de un algoritmo para el análisis del entorno físico. Esto se plasmó en una herramienta de trabajo (checklist) que incluye un formulario con casi 600 elementos que establecen en torno a 2.000 relaciones con los diferentes 'ries-gos tipo' definidos. La siguiente estación en este viaje hacia el análisis integral fue lanzar una base de datos de incidentes, donde además de la propia experiencia, se recopilan los incidentes publicados en los diferentes medios, como indicó Jacinto Muñoz. Otra aplicación fue la rea-lizada en el ámbito de la Continuidad de Negocio, "Diseñamos una métrica para evaluar el impacto de la interrupción de las diferentes actividades de los procesos analizados, partiendo de los escenarios de crisis identificados -razonó-. Después se analiza, el valor obtenido y se incorpo-

ra al proceso de toma de decisiones. en cuanto a tiempo de recuperación".

Otro hito en el camino que Mapfre se ha marcado, es el de elevar las revisiones y análisis a la capa de procesos: "Estamos poniendo en marcha una herramienta que nos permitirá relacionar todos los activos, unos con otros, así como con los pro-cesos a los que soportan, de modo que podamos hablar de una visión global de las interrelaciones entre los distintos elemen-tos, imprescindible para el análisis y gestión integral del riesgo". En palabras del propio Muñoz, para el equipo de la DISMA es una obsesión "pasar de una Seguridad Integral a una seguridad integrada en el negocio", que es la manera más fácil de “tener la casa ordenada” y de comunicar al resto de la organización el valor que aporta la Seguridad. Para concluir, Muñoz aconsejó a los asistentes disfrutar del camino, sin perder de vista el objetivo principal. Con esta mentalidad se multiplican las opciones de hallar algo que no esperabas durante el trayecto: "Recordemos que América se descubrió buscando una ruta alternativa hacia las Indias", reflexionó.

Un viaje que empezó ayerVodafone España nació a partir de Airtel, primera compañía telefónica alternativa, que se mantuvo independiente hasta

2001, fecha en que el operador británico se hizo con la totalidad de la compañía española. Más de una década ha transcu-rrido desde entonces, un tiempo en el que la Seguridad ha experimentado un viaje que José Damián García Medina, Head of Corporate Security de Vodafone España, compartió con los asistentes a este Seg2. "En los últimos 30 años, la tecnología ha cambiado el comportamiento del ciuda-dano más que en el resto de la historia de la humanidad, pero: ¿la Seguridad ha evolucionado?", inquirió. Para el portavoz de Vodafone, sí que ha avanzado, aunque a un ritmo inferior que las TI: "La petición típica para el departamento de TI ha sido: quiero escribir, calcular, almacenar…, tareas para las que se ha experimen-tado una evolución enorme desde los 80 hasta las actuales tablets -especificó García Medina-. Sin embargo, la petición para Seguridad ha sido: quiero detectar intrusiones, controlar accesos, monito-rizar la actividad…, un escenario donde se ha evolucionado menos". El ejecutivo ilustró su tesis con un vigilante y un torno, como escenarios menos adelantados y todavía presentes en la seguridad físi-ca: "Perdonadme que sea crítico; todos sabemos que esto no es cierto, pero ésta es la imagen que los directivos de la com-pañía tienen sobre Seguridad -apuntó-.

Ni modelos de análisis poco ajustados ala realidad, ni alejados de un enfoque integralJosé María Cortés, subdireCtor de Análisis de Riesgos de la DISMA, interpretó el papel menos amable de la exposi-ción de Mapfre, al poner sobre la mesa las dificultades que entraña un proceso de Análisis de Riesgos Integral, comen-zando por el "caos terminológico": "Todos creemos saber lo que es vulnerabilidad, amenaza, riesgo, peligro, pero no tenemos unos criterios comunes… Por ejemplo, en el sector asegurador, cuando se habla de riesgo tecnológico, se incluye el incendio". Cortés prosiguió argumentando que "las organizaciones suelen contar, en su áreas de riesgos, con modelos de análisis, provenientes del ámbito financie-ro, difíciles de ajustar a la práctica de seguridad y bajar a la realidad, cuando lo que interesa a Seguridad es el detalle".

A su vez, expuso lo enormemente complejo y costoso que era para los equipos de seguridad, tratar de aplicar los métodos de análisis de riesgos específicos en el campo de la llamada Seguridad de la Información, y que tan de moda estuvieron hace unos años.

También explicó el desacuerdo conceptual con los modelos matemáticos como el método Mosler: "¿Es un modelo científico solo porque aplicamos una fórmula? -Riesgo (R) = probabilidad (P) x impacto (I)-. Nos llevó mucho tiempo saber de dónde venía esta fórmula y cono-cer su fundamento -esgrimió Cortés-. Se entiende el riesgo

como la esperanza matemática de que algo no suceda, un valor medio esperado, pero no sabemos pasar de ahí… ¿Cómo lo aplicamos al riesgo de que se queme la oficina?". En este recorrido por la espinosa senda esbozada por Cortés, la cuantificación de la probabilidad y del impacto se convierten en piedras en el camino de un análisis de riesgos fiable: "¿Se pueden determinar casos posibles o probables de que alguien entre y te robe? Si lo ajustamos al número de veces que ha ocurrido, estaremos confundiendo proba-bilidad con frecuencia", apostilló. Profundizando en esta cuestión, y para engrosar aún más la lista de dificultades, Cortés citó la carencia de bases de datos de incidentes y las correlaciones entre riesgos que, unidas a un gran volu-men de información, evidencian la complejidad de culminar un verdadero análisis de riesgos integral. A pesar de la oscuridad del horizonte dibujado por Cortés, el experto se mostró optimista: "A veces no se entiende la gestión integral de riesgos de Seguridad como algo factible y aplicable, y esto tiene que cambiar porque, al menos, hemos identifica-do un amplio número de caminos que no llevan a ninguna parte, lo cual es una buena noticia". José María Cortés ha recopilado en un libro el análisis realizado, y que ha alum-brado la metodología de gestión global de riesgos que están aplicando en Mapfre.

colaboración



Queremos que nos acepten como gesto-res de riesgos y avanzar mucho más, pero es difícil si no nos ponemos de acuerdo en la imagen que queremos dar", comentó, haciéndose eco del caos terminológico citado por Mapfre.

Asimismo, el ponente sostuvo que los bailes de siglas (CSO, CISO, CRO...) pue-den acabar interpretados por la Dirección como disputas internas por cuotas de poder, lo que conlleva una pérdida de atención hacia la causa común de la Seguridad, que es "salvar los revenues y proteger los activos, incluidas las perso-nas", según García Medina.

De vuelta al periplo que inició Vodafone, su portavoz se remontó a 1996, cuando Airtel implantó su área de Seguridad: "Añoro esos tiempos en los que naci-mos para competir contra una de las mejores operadoras de telecomunica-ciones, logrando crecimientos de doble dígito y con dinero para lo que pidiésemos -expresó-. Pero estábamos alejados de los objetivos empresariales y con un enfo-que reactivo de la Seguridad".

Hasta 2001, dicho departamento estaba centrado en la protección de las instalaciones, en el fraude interno y en la protección contra incendios (PCI). "A partir de ese año, nos comenzamos a lla-mar Seguridad Corporativa (2001-2004), a pesar de que, básicamente, nos dedi-cábamos a lo mismo -aseveró García Medina-. La principal diferencia es que se

unió a nuestra responsabilidad Seguridad TI, que empieza a relacionarse con la tra-dicional seguridad física".

Según el directivo, siguiendo la moda de cambiar nombres, impuesta por el mundo anglosajón, Vodafone designa a esta área otra nueva, la de Fraude, Riesgo y Seguridad (FRS) para el periodo 2005-2008. Las múltiples adquisiciones de la

firma por todo el mundo elevaron el rango de responsabilidad del departamento, que pasó a contemplar el cumplimiento normativo, la gestión de crisis y la con-cienciación sobre Seguridad como nue-vas dependencias.

En 2009, el hecho de que apareciese la palabra 'fraude' -que no el del área de Fraude Financiero de la operadora- en este departamento hizo reflexionar a la alta Dirección de Vodafone, que recuperó de nuevo la denominación de Seguridad Corporativa FRS hasta 2011, dejando en segundo plano el controvertido vocablo detrás de las siglas FRS. "Nos hizo sen-tirnos con más responsabilidades, pero no éramos capaces de hacer todo lo que deseábamos -reconoció-. No logramos presionar lo suficiente a TI para imple-mentar medidas de Seguridad que con-sideramos necesarias, pero no porque no

quieran, sino porque entran en conflicto con prioridades que ellos tienen estable-cidas para el negocio".

La solución a este dilema fue que una persona de Seguridad de la Información (perteneciente a Seguridad Corporativa) pasase con su equipo al departamento de TI, de manera que mantuviese un con-tacto directo con el CIO (Chief Information

Officer) y diseñasen conjuntamente las hojas de ruta desde el punto de vista de Seguridad, aclaró el ponente, para quien esta acción no significó para él ninguna pérdida de cuota de poder. "Tenemos que responder a los riesgos de manera pro-fesional y eso no significa que tengamos que gestionarlos de manera directa".

Situación actualLa evocación de García Medina por los presupuestos de antaño, encuentra aquí su explicación: "Nos hemos adaptado a los tiempos de crisis -como todas las empresas-, con recursos escasos, lo que nos obliga a disponer de una 'bolsa común' de recursos y a priorizar unas acciones sobre otras -aceptó-. Pero no es una riña de gatos entre responsables de área, porque los objetivos son comunes para todos. Si hay que rebajar en dos

Ha cambiado de denominación en repetidas ocasiones, pero el depar-tamento de Seguridad Corporativa de Vodafone España tiene la virtud de saber adaptarse a las necesidades del negocio y a la constricción presupuestaria sin perder el norte de la Seguridad Global. Las amenazas externas como el hacktivismo y, sobre todo, el fraude suponen un desafío preocupante para el responsable de esta división.

Al concluir su intervención, José Damián García Medina fue preguntado desde la audiencia acerca del futuro de Vodafone. En el terreno económico, el ponente reconoció que la filial española está sufriendo la crisis, y que es necesario que las inversiones lleguen con urgencia a nuestro país para que éste sea más fuerte y la marca España vuelva a ser atractiva. Al margen de las perspectivas económicas, cada vez más estrechamente ligadas a la lucha contra el Fraude y la Seguridad, el directivo reflexionó sobre un hipo-tético futuro para el departamento que él dirige: "Seguridad Corporativa es un área vinculada al impacto del fraude en el negocio y desconocemos lo que sucederá en un futuro: si al final resulta que está tan relacionada con el fraude financiero, no hay que ser egoístas en este sentido". En definitiva, García Medina abogó por una Seguridad Corporativa siempre al servicio del negocio y sin miedo a compartir responsabilidades o cuotas de poder.

Seguridad y crisis

José García Medina, de Vodafone España, habló de la estrecha relación entre Seguridad y Fraude.

El área de Seguridad Corporativa de Vodafone fue incorporando paulatinamente más responsabilidades, aunque permanecía latente un conflicto con TI

colaboración



puntos la cifra de fraude, es un objetivo idéntico para el director de seguridad física, de riesgos, etc.".

Este experto se mostró satisfecho con la receptividad que la Dirección de Vodafone España muestra hacia Seguridad y ase-gura que "todos los objetivos empresa-riales están integrados en virtud de una visión donde no hay distintos mundos, sino diferentes especialidades, y donde la gestión está orientada a la prevención".

Respecto al profesional de Seguridad Corporativa, aseguró que se tiende hacia "un perfil generalista”. El directivo entiende que no es necesario saber de todo, pero sí conocer las preocupaciones del com-pañero de al lado y conocer cómo puede afectarle cada decisión de su competen-cia. En un modelo integral de Seguridad, los riesgos afectan a todos los niveles.

Rapidez, simplicidad y credibilidad son los principales valores que defiende el área que dirige José García Medina. "No sirve eso de 'yo ya lo dije'. Tienes que colabo-rar con todos y si es necesario, subcon-tratar especialistas para los flancos que lo requieran, especialmente los que no sean el core de nuestro negocio". No obstante, este profesional invita a tener cuidado con este tipo de relaciones contractuales, por muy bien atadas que puedan estar en base a un acuerdo de nivel de servicio firmado (Service Level Agreement -SLA-) porque: "de nada sirven las multas si te ocasionan un gran daño reputacional".

El público asistente conoció por boca del portavoz de Vodafone que a la operadora le preocupa el hackti-vismo; el robo de información confi-dencial, alentado por la competencia salvaje en algunos mercados; y la ingeniería social. Respecto al fraude de operaciones, a la filial española de la operadora le preocupan los canales online, el robo de identidad, las opera-ciones de comercio móvil y el crimen organizado. "No hay una foto fija del

ideal del departamento de Seguridad, que cambiará al ritmo de las necesida-des de la compañía".

El Parlamento, de par en parLa madurez de un evento no se mide exclusivamente por la respuesta del públi-co, aunque ciertamente pueda ser lo más importante. Contar con profesionales de prestigio que deseen compartir su expe-riencia generosamente también es un excelente indicador del interés que suscita

¿Es posiblE quE una institución como el Parlamento Europeo no entendiese la información como un activo susceptible de proteger? Aunque pueda parecer increí-ble, así era, por lo menos hasta hace un par de años, cuando la institución europea comenzó a plantearse una estrategia de Seguridad Global, gracias a la implicación de una Unidad de Gestión de Riesgos liderada por el español Manuel Rodríguez Vico. ¿Cómo se abordó el necesario cambio de mentalidad que precisaba el Parlamento? "Incorporando a la estrategia no solo personas y activos (físicos), sino también la información -matizó el ponente-. Defendimos también una Seguridad integrada, que respaldase los planes de contingencia de la organización. Es cierto que en otros sitios hay empresas externas que son las responsables del plan de continuidad, pero aquí no se optó por ese modelo".

Como piedra angular de un proyecto de este tipo, la cultura de seguridad es clave: "La Seguridad se debe entender basándose en el riesgo, pues no es lógico implementar las mismas medidas preventivas en todos los rincones del globo, como hacía Naciones Unidas en todas sus sedes", aclaró. Además, se establecieron

diferentes niveles de acceso a dependencias e informa-ción y se inició un proceso de profesionalización de las tareas de seguridad que todavía continúa.

A partir de ese momento, se establecieron cuatro niveles distintos de intervención, siempre en función del nivel de riesgo: gestión del Centro de Control, gestión de eventos de seguridad, gestión de incidentes de seguridad y gestión de crisis. El siguiente paso fue el de la creación de perfiles de usuario y "zonificación" (seg-mentación por áreas y usuarios), obedeciendo a las distintas necesidades de seguridad: "Crear zonas sepa-radas no es fácil en el PE, porque existen diferentes niveles físicos conectados y virtualmente también está todo conectado". Por último, el portavoz del Parlamento puso el acento sobre una cuestión deseable, pero que no ha logrado convertirse aún en una realidad generali-zada: "Toda la Seguridad pasa por el intercambio de información. Como institución, tenemos comunicación formal -no intercambio informativo- con las autoridades de cada país, pero si de algo me sirve la invitación a este evento es para compartir, hablar y que pregunten lo que consideren oportuno", concluyó Rodríguez.

La información, principal activo

Manuel Rodríguez Vico impregnó de naturalidad la difícil tarea de exponer cómo organiza su Seguridad una organización del calibre del Parlamento Europeo.

colaboración



un tema, concretamente la convergencia en el caso que nos ocupa. Así sucedió con Manuel Rodríguez Vico, jefe de la Unidad de Gestión de Riesgos del Parlamento Europeo (PE), que expuso de un modo claro y conciso la problemática de esta institución europea y su nueva estrategia en la materia, que han bautizado como Concepto de Seguridad Global.

El ponente quiso agradecer a la orga-nización el hecho de que pudieran con-vencer a instancias superiores de que "hay que abrirse" y dar a conocer el fun-cionamiento del Parlamento porque "en Seguridad, comunicar es lo más difícil". En primer lugar, el experto tuvo a bien explicar aspectos sobre esta institución que son desconocidos para el gran públi-co, como su ubicación en tres sedes dife-rentes -Bruselas (Bélgica), Estrasburgo (Francia) y Luxemburgo-. Según explicó Rodríguez Vico, la mayoría de los emplea-dos trabaja tres semanas al mes en Bruselas y una en Estrasburgo, quedando destinada la sede luxemburguesa para la Secretaría General (servicios de traduc-ción y gestión, entre otros).

El complejo de edificios pertenecientes al Parlamento en Bruselas es "inmenso", unos 500.000 metros cuadrados, donde está todo conectado, del mismo modo que en Estrasburgo, aunque la sede gala está mucho mejor diseñada desde el punto de vista de seguridad, de acuerdo con el jefe de unidad, que facilitó algunas cifras para ilustrar el volumen de una organización supranacional: 750 dipu-tados de 28 países, 2.000 empleados de los diferentes grupos políticos, 3.000 funcionarios de la Secretaría General y 7.000 trabajadores externos. A su vez, el

PE recibe medio millón de visitas al año y organiza una media de 300 eventos oficiales a la semana.

Según Rodríguez, apesar de estas magnitudes, su reto y el de todos los profesionales que trabajan en su área es que "la Seguridad sea invisible", ya que las distintas culturas de los países que allí trabajan y se dan cita no tienen la misma visión, historia y tradición respecto a lo

que es la Seguridad. Por otra parte, este experto enumeró las preocupaciones o inquietudes más relevantes en la unidad que él rige: manifestaciones, terrorismo, ataques de personas perturbadas, inci-dentes, ataques TI, espionaje...

Objetivos 2012El reto de mantener a salvo un espacio lógico y físico de esta dimensión es her-cúleo. Organizativamente, "la Seguridad está vista como parte de la Secretaría General del Parlamento, más allá de ser considerada únicamente como un área de Recursos Humanos (que es como la entiende la Comisión Europea)”, explicó Rodríguez, quien desempeñó los cargos

de jefe de la Sección Contra Terrorismo en la Dirección de la Seguridad de la Comisión Europea y responsable de la Seguridad de la Dirección General de Ayuda Humanitaria de la Unión Europea, antes de ocupar su puesto actual.

Entre los diferentes objetivos que la institución se ha marcado para el presente ejercicio está la creación de la Unidad de Acreditación y la Unidad de Seguridad Técnica para las tres sedes al mismo tiempo. "Nuestros planes de contingencia son fáciles, en el sentido de que absoluta-mente todo está duplicado, y si ocurriese algo en Bruselas, se podría seguir traba-jando desde Estrasburgo. Es un modelo carísimo, pero así está concebido".

Además de profesionales de la 'casa', como Manuel Rodríguez Vico, dentro de Seguridad cabe incluir a los empleados de compañías privadas, que son adjudicata-rias de consursos públicos, entre los que, curiosamente, según alarmó este espe-cialista, no se suelen presentar empresas españolas. "El Parlamento Europeo no pertenece a Bélgica y por eso necesita más seguridad privada -aclaró-. Esos 600 empleados forman parte integral de la Seguridad".

Por otra parte, Manuel Rodríguez dio a conocer cómo se organiza el PE en virtud de la joven estrategia de Seguridad Integral -el Concepto de Seguridad Global, que empezó a dibujarse en abril de 2009-. El objetivo era combatir las inquietudes y prepararse de la mejor forma posible para afrontar cuestiones que debían cambiar, como por ejemplo la inexistencia de perímetros o áreas de seguridad ("zonificación"): "Antes podías ir desde una de las seis entradas principales

A lo largo de toda la jornada, el público concurrente se mantuvo expectante ante la nueva deriva que adopta su ocupación profesional. Se precisan perfiles pluridisciplinares, dispuestos a compartir más información entre departamentos.

El Parlamento Europeo, después

de iniciar su estrategia de Seguridad Global,se plantea estrechar lazos de colaboración con la seguridad privada y la policía belga

colaboración



hasta el hemiciclo sin pasar por ningún control. Está todo conectado y lo único cerrado con llave eran los despachos pri-vados. La Seguridad es muy importante en un complejo con peluquerías, bancos, oficinas de correos, etc. como si de una ciudad se tratase", comentó.

Resulta curioso que antes de la crea-ción de la Unidad de Gestión de Riesgos, la propia empresa privada se encargara de la gestión de la Seguridad y fue des-pués de tres atracos y algún que otro episodio desagradable cuando comenzó a replantearse el modelo. En palabras de Rodríguez Vico, otro aspecto a mejorar en Bruselas es la colaboración entre la segu-ridad privada y la policía belga, que no es suficiente, a diferencia de lo que ocurre en Estrasburgo.

Posteriormente, llegó el turno de pre-guntas y tomó la palabra Javier Osuna García-Malo de Molina, jefe de División de Consultoría de Seguridad y Procesos de GMV, que se interesó por los ata-ques sufridos por la Comisión Europea y el Parlamento en sus servidores: "¿Con qué frecuencia actualizáis el catálogo de amenazas? ¿Estaban contemplados en él estos ataques hace un año y medio o dos años?". Manuel Rodríguez matizó que durante su intervención no hacía alusión a un catálogo de amenazas -que, además, no se puede compartir-, sino a un listado de preocupaciones. Respecto a los ataques "bastante serios" a los que hacía referencia Osuna, el ponente res-pondió en estos términos: "Participé en la mesa de crisis creada a tal efecto y puedo decir claramente que el Parlamento no sufrió ese tipo de ataques, al no tener la información clasificada que se buscaba; los ataques incidieron en la Comisión y en el Servicio Exterior Europeo. Según los expertos, fueron hostiles, muy políticos, orientados a conocer relaciones entre países, porque hay potencias a las que puede interesar información geopolítica o sobre tratados de pesca, por ejemplo", relató. Abundando en esta cuestión, el jefe de unidad manifestó que el objeti-vo final de esas acciones delictivas era conseguir las contraseñas de acceso al servicio de webmail, que permiten conec-tarse en remoto al correo corporativo: "Se trataba de un ataque bien diseñado y personalizado, dirigido a funcionarios de departamentos muy concretos".

Respecto a la estrategia de divulgación sobre políticas seguridad, otro de los asis-tentes -el consultor Tomás Arroyo- pre-guntó a Rodríguez Vico acerca de la for-mación y entrenamientos que se llevan a

cabo en el PE: "¿Cómo lo hacéis ante un colectivo tan extenso?". El ponente res-pondió que, efectivamente, se realizan tres tipos de comunicaciones, dependien-do de los roles y perfiles. Además, "se efectúa una entrevista personal a los dipu-tados con objeto de sensibilizarlos, y para

el personal en general, se suelen hacer campañas de concienciación con pós-ters, mensajes en la web, etc. Todo ello se encuadra dentro de la nueva estrategia de Seguridad Integral, aprobada por esta institución europea en junio de 2011", puntualizó.

Como algún ponente sugirió durante la jornada, algunos de los temas abordados en el Seg2 servirían para exponer conceptos y debatir ideas en otro evento especializado al margen, debido al interés y la importancia de los mismos. Al igual que en ocasiones precedentes, la participación del público fue activa y enriquecedora, consiguiendo así que el número de dudas en el aire fuese el mínimo posible.

La convergencia como concepto al que todavía presentan reticencias en algunos modelos organizativos, las famosas y recurridas "parcelas de poder" y la preocupación por los daños reputacionales que puede suponer un ataque lógico y físico combinado fueron algunas de las inquietudes manifestadas por los asistentes. Mención destacada merecieron las Infraestructuras Críticas (IC), en boca de todos como una suerte de 'Estrella Polar' que guía a la convergencia. En torno dichos operadores críticos no se ha marcado una metodología común de análisis de riesgos que facilite obtener resultados en un mismo idioma, el que hablan las IC. La situación deseable, como manifestó un profesional, es lograr un mapa de riesgos global, un supuesto que todavía parece lejano, según pudimos deducir.

Como adelantó el equipo de la DISMA de Mapfre, uno de los grandes problemas es no contar con reglas comunes y partir en casi todas las situaciones de una carga subjetiva que impide determinar para todos los ámbitos qué es un riesgo medio, bajo o alto. La unidad de criterio se antoja básica en una tesitura sin reglas para cuantificarlo.

Dudas en el aire y voluntad de aunar esfuerzos entre el público


colaboración18 red seguridad junio 2012

Más allá de la teroría, nuevas soluciones para nuevas necesidadesEulen Seguridad trasciende el papel de patrocinador del Seg2. La compañía española puede presumir de ser una adelantada a su tiempo y de haber defendido en este foro la filosofía ‘convergente’ desde el año 2009. En esta edición, el público ha sido testigo de la evolución de esta organización como prestadora de servicios de Seguridad Integral.

RicaRdo cañizaRes, director de Consultoría de Eulen Seguridad, es un fiel seguidor de este encuentro, del que no se ha perdido ni una convoca-toria: “En 2009 fuimos los primeros en ofrecer servicios de convergencia y en 2010 ya anunciamos que la Protección de Infraestructuras Críticas (PIC) iba a convertirse en un elemento dinámico de este camino”. Cañizares insistió en que algunos de los posicionamientos defendidos durante el I Seg2 están vigentes hoy en las organizaciones: “El futuro es presente y la sociedad exige a las empresas de seguridad que sean ágiles y flexibles en sus plantea-mientos para adaptarse a las nuevas amenazas”.

Eulen ejemplificó la evolución de las amenazas actuales con las del ámbito naval, desde que un barco solo podía verse amenazado por otro barco, hasta que apareció el sub-marino y, posteriormente, los cazas aéreos. “La respuesta fue un trabajo coordinado por un mando común. Cada especialista tenía su cometido con la tecnología disponible en el momento –subrayó Cañizares-. Éste es el modelo que hemos aplicado en Eulen desde que apareció el ciberes-pacio como un vector de riesgo”.

Demanda más exigenteManuel Sansegundo, consultor de Seguridad de la firma española pres-tadora de servicios, ha constatado que los clientes tienden a elevar el nivel de exigencia de su demanda, solicitando una gran variedad de ser-vicios que requieren a su vez un desarrollo integral de los mismos. Para dar respuesta, este experto asegura: "Nuestro catálogo es un reflejo de esa demanda, al disponer de todos los servicios dentro de nuestra apuesta por la Seguridad Integral”.

En el plano de PIC, la compañía cubre ambas parcelas -consultoría e implantación de servicios- para el Plan de Seguridad del Operador (PSO), metodología de análisis de riesgos, Planes de Protección Específicos (PPE) e implantación de las medidas de pro-tección. “Utilizamos la metodología Magerit, internacionalmente reconoci-da, para el análisis de riesgos, y la plas-mamos en una herramienta propia”, declaró Sansegundo. “Nuestro modelo de gestión es el plan de mejora conti-nua (Plan, Do, Check, Act –PDCA-) y facilitamos en todo momento un sopor-te experto para todo lo que precise el operador de principio a fin”.

Toda planificación teórica ha de plas-marse en la práctica, que en el caso de Eulen adquiere el nombre de Centro de Control de Seguridad Integral (CCSI), donde confluyen una Central Receptora de Alarmas (CRA), un Centro de Operaciones de Seguridad de la Información, un Centro de Control de Seguridad Patrimonial y un Centro de Control de Seguridad en Sistemas Industriales, que se haría responsable

de los sistemas SCADA. Para convertir esta propuesta en un traje a la medida de cada cliente, se torna esencial la labor de consultoría de la que hablaba Sansegundo: “Les ayudamos a mejorar el nivel de seguridad y a alinearla con el objetivo del negocio. Aquí vemos las necesidades específicas del interesado y le ayudamos a conseguir la madu-rez”. Más concretamente, la compañía completará la implantación de un plan de continuidad de negocio, de un Sistema de Gestión de la Seguridad de la Información (SGSI), y comprobará de manera fehaciente el nivel de cum-plimiento normativo en áreas como la protección de datos (LOPD) o medios de pago (estándar PCI DSS).

A los escépticos que ven a Eulen alejada de la Seguridad TIC, fundamen-tándose en sus orígenes, Manuel Sansegundo dirigió este mensaje: “Contamos con aliados estratégicos y venimos haciéndolo desde hace tiem-po. Ofrecemos servicios como test de intrusión, securización de redes, pues-tos de trabajo y configuración segura de servidores, entre otros”.

INTERVENCIÓN FIRMAS PATROCINADORAS

En el atril, el veterano experto, Ricardo Cañizares, durante la ponencia de Eulen Seguridad. En la mesa, sentados, Mercedes Oriol y Manuel Sansegundo.



Las redes IP, objetivo 'top'de los ataques convergentesDeloitte hizo suyo el dicho de que una imagen vale más que mil palabras y se ganó a los asistentes con dos demostraciones prácticas que revelaron de manera cristalina hasta dónde llega el límite de fragilidad de los sistemas de videovigilancia basados en redes IP y a qué riesgos se exponen quienes no adoptan prácticas de Seguridad Global.

Ver para creer. Como si la audiencia se caracterizase por tener la misma fe que Santo Tomás, que necesitaba poner el dedo en la llaga para creer lo que tenía ante sus ojos, Deloitte demostró que la integridad de una organización puede ser vulnerada con extrema facilidad. En primer lugar, Miguel Rego, director del Grupo de Riesgos Tecnológicos (ERS-IT) de la consultora, incidió sobre el cambio de naturaleza de las amenazas: “Los vectores de ataque son cada vez más complejos y el nivel de sofisticación es más alto. Aumenta el grado de inte-ligencia detrás de las actividades de 'los malos'. Muchos se preguntarán qué hace Deloitte en convergencia”, reflexionó en voz alta. El directivo disipó las dudas al exponer la relación directa entre los departamentos de TI de las organizaciones y la auditoría financiera. “No queremos quedarnos en la consultoría sin más, tenemos vocación de pisar suelo y, por este motivo, impulsamos laboratorios muy técnicos, con perfiles muy hacker, como nuestro CyberSOC”.

Para Rego, una realidad tangible es que los ataques al ámbito de la segu-ridad física se dirigen cada vez más a redes IP, provocando un aumento de los riesgos: “Aunque sigan existiendo cámaras analógicas, la tecnología IP va a seguir creciendo por la calidad de imagen, la capacidad de integración y la escalabilidad de estos sistemas”.

En Deloitte interpretan que los ries-gos de seguridad lógica no van a ser muy diferentes a los de seguridad física: “Para los sistemas de graba-ción será necesario establecer planes de evaluación periódica, realizar una configuración segura, etc. igual que sucede en los sistemas informáticos. ¿Se está haciendo?”, preguntó Miguel Rego antes de dar paso a las demos-

traciones. Como adelantábamos, den-tro de la intervención de la consultora, lo más impactante fue la oportunidad que brindó de visualizar en vivo las con-secuencias de ser hackeado, a manos de Víctor Lucas, experto técnico del departamento ERS-IT de Deloitte.

En el primer ejercicio, Lucas tra-bajó sobre un sistema de red con un switch local y una cámara IP activada, semejante al entorno que se podría encontrar en una joyería o en un banco. “Vamos a demostrar que el control de acceso definido en la cámara no es seguro y que -a través de Internet- nos lo podemos saltar y entrar en la cámara sin problema -reveló-. Podemos hacer-lo sin necesidad de saber usuario y contraseña, pero algo tendremos que conocer para adentrarnos en la parte autenticada”. Para conseguirlo, Víctor Lucas utilizó un buscador público de cámaras IP, routers, móviles o sistemas industriales: Shodan, capaz de identifi-car un dispositivo expuesto. “Los token de acceso -nada que ver con los token de los bancos, que cambian periódica-mente de contraseña- son muy débiles

y predecibles”. Posteriormente, Lucas introdujo en un programa de creación propia los resultados de direcciones IP obtenidas en Shodan, demostrando lo fácil que es no sólo ver qué ocurre al otro lado, sino hacerse con el control completo de la cámara.

En la segunda demo, Víctor Lucas simuló un escenario en el que un ladrón deseaba robar los activos de una compañía. El objetivo final era suplantar la imagen grabada por otra, logrando dejar la cámara ciega a efec-tos de videovigilancia. El mero acceso a un switch conecta al atacante al sistema de grabación. La imagen (un pequeño cofre de juguete) fue copiada para utilizarla después como foto fija. “Hemos conseguido engañar al siste-ma con un pequeño programa al que hemos suministrado las direcciones IP de la cámara que queríamos atacar", comentó Lucas.

En definitiva, Deloitte aboga por que la gestión del ciclo de vida de la Seguridad de los sistemas se traslade a la seguridad física, tal y como sugirió Miguel Rego en su conclusión.

INTERVENCIÓN FIRMAS PATROCINADORAS

De izquierda a derecha, Víctor Lucas, Mercedes Oriol, Miguel Rego y Javier Espasa, gerente de ERS-IT de Deloitte, que colaboró durante las demostraciones.



La mesa redonda "Internacionalización de la Seguridad", que estuvo moderada por José Luis de la Fuente OĆonnor (en el centro), contó con interesantes intervenciones por parte (de izquierda a derecha) de: Juan Gros, de Ferrovial; José Luis Nieto, de Aena; José Luis Soria, de Telefónica Ingeniería de Seguridad; Guillermo Llorente, de Mapfre; Luis Pérez, de Acciona; y Enrique Polanco, consultor y experto en Seguridad.

Los usuarios exigen más apoyos para la internacionalización

Hace tiempo que los mercados nacio-nales se quedaron cortos para las empresas que quieren ser competiti-vas. Ni siquiera el ámbito regional es a veces suficiente, ahora la aspiración es ser global. Eso sí, este modelo implica asumir riesgos en todos los sentidos, entre ellos los relacionados con la protección de los activos. Es en este aspecto donde las compañías de seguridad tienen la oportunidad de aumentar su actividad más allá de las fronteras patrias, acompañando a sus socios en la travesía de la inter-nacionalización. Sin embargo, parece que este enfoque no ha calado aún lo suficiente entre las firmas españolas que se dedican a estos servicios. Por el momento, muy pocas de ellas son

capaces de proporcionar un servicio realmente integral en cualquier punto del planeta, a tenor de lo que piensan algunos grandes usuarios.

Esta cuestión fue objeto de análisis en la mesa titulada “Internacionalización de la Seguridad”, en la que varios expertos opinaron sobre la capacidad del sector español de la Seguridad Privada para ‘exportar’ sus servicios. José Luis de la Fuente OĆonnor, presidente de la Asociación Española para la Promoción de la Inteligencia Competitiva (ASEPIC), llevó las riendas de un debate en el que parti-ciparon Juan Gros, director de Seguridad de Ferrovial; José Luis Nieto, jefe de la División de Seguridad Operativa de la Dirección de Seguridad Aeroportuaria de Aena; José Luis Soria, director Técnico de

Telefónica Ingeniería de Seguridad (TIS); Guillermo Llorente Ballesteros, director de Seguridad y Medio Ambiente de Mapfre; Luis Pérez Dávila, gerente de Protección en la Dirección de Seguridad de Acciona; y Enrique Polanco, consultor y experto en Seguridad Integral.

El moderador puso de manifiesto el escaso interés que, a su parecer, han mostrado hasta hace poco los provee-dores de seguridad hacia los mercados exteriores. Estas compañías no han atendido, criticó OĆonnor, “al océa-no de la oportunidad” que representa la expansión geográfica. “La interna-cionalización se ha convertido en un componente esencial para la cuenta de resultados y también para consolidar los resultados anteriores”, apuntó.

MESA REDONDA SOBRE INTERNACIONALIZACIÓN

Cada vez más organizaciones buscan nuevas oportunidades en el extranjero. Esta aventura entraña riesgos sobre su seguridad, por lo que necesitan contar con gestores capacitados en la materia, así como con proveedores que les apoyen en su proyecto. Sin embargo, esto último no siempre sucede, lamentan algunos responsables de Seguridad de compañías internacionalizadas. La diversidad normativa y la falta de soporte del Estado añaden piedras a este camino, ya de por sí complicado.




Ferrovial es una de las compañías españolas que desarrollan proyectos en el exterior. Hasta la creación de una Dirección de Seguridad, hace aproximadamente dos años y medio, la gestora de infraestructuras confiaba en la consultoría externa para resolver sus necesidades de protección, según explicó el responsable de dicha área. A partir de entonces, Juan Gros ha encontrado que una de las principales complicaciones que se presentan para el encargado de Seguridad cuando se mueve en el ámbito internacional es la disparidad legal entre países; una cues-tión que preocupa de manera genera-lizada, como pusieron de manifiesto el resto de los componentes de la mesa en sus intervenciones.

Otra de las dificultades es la diferencia del nivel de capacitación de sus colegas extranjeros, que, bajo el parecer de Gros, suscita dudas en ocasiones: “Es difícil entender a veces cuál es tu nivel de competencias, tu nivel de forma-ción. Para ello, la homogeneización de los procesos de formación puede ser una herramienta muy importante para ayudar a que los criterios de seguridad sean lo más unificados posible, estés donde estés”.

La inteligencia competitiva, uno de los principales temas a debate, es una función clave en la internacionalización. Sobre esta cuestión, el director de Seguridad de Ferrovial sostuvo que las empresas “viven en la medida en la que son capaces de analizar el entorno

mercantil que les rodea y los riesgos que tienen que afrontar”. El departa-mento de Seguridad debe aportar su experiencia en el análisis de riesgos, siendo “absolutamente abierto” a las consideraciones del resto de áreas de la organización, defendió Gros.

Normas comunesUno de los sectores industriales donde más se ha profundizado para estable-cer normas internacionales comunes de Seguridad es la aviación. José Luis Nieto recordó que los atentados del 11-S marcaron el cambio de las medi-das de protección en este ámbito.

Según explicó el invitado, a raíz de aquellos fatídicos atentados, la industria marcó las pautas de seguri-

dad, que hasta ese momento tenían como única referencia el anexo 17 de la Organización de Aviación Civil Internacional (Seguridad: protección de la aviación civil internacional contra los actos de interferencia ilícita, que fue incluido en 1974 entre los anexos del Convenio de Chicago, celebrado en 1944), un documento que recogía nor-mas y métodos recomendados sobre seguridad. “Hubo que indagar mucho más del anexo 17 y la Unión Europea

reguló, en 2002, el primer reglamento que legislaba la seguridad aeroportua-ria (Reglamento 2320/2002)”, explicó el representante de Aena.

Diez años después de los ata-ques, hoy día todos los aeropuertos del mundo cuentan con “un umbral mínimo” de seguridad común. Para cumplir con ese estándar, los operado-res necesitan “empresas preparadas y competitivas de servicios de seguridad privada, que colaboren con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y que tengan unas exigencias de formación”, apuntó.

Pero los usuarios no son los únicos que encuentran escollos a la hora de desarrollar sus actividades lejos de su país de origen. José Luis Soria, que

acudió en calidad de representante de una empresa proveedora, defen-dió la existencia en el mercado de algunas empresas globales proveedo-ras de servicios de Seguridad Integral, pero advirtió de la dificultad que tienen estas compañías para llegar al cliente, y no solo por la distancia geográfi-ca. “Tenemos problemas serios para encontrar unificados en los clientes las diferentes disciplinas de Seguridad; si encima tenemos instalaciones fuera,

Juan Gros (a la izquierda) destacó los problemas que plantea la diversidad normativa, algo compartido por el resto de invitados. Por su parte, Enrique Polanco (a la derecha) calificó la internacionalización como “un verdadero nuevo acicate para la convergencia”.

La capacidad de los proveedores españoles paraprestar servicios globales de Seguridad fue el asunto que suscitó mayor controversia entre los invitados




veo realmente complicada la gestión”, lamentó el director Técnico de TIS.

Soria considera que la capacidad de las compañías de Seguridad para desarrollar sus servicios en el extranjero viene determinada por la propia deman-

da. “Si el cliente demanda unos servi-cios globales, integrales, las empresas tendremos que estar preparadas; pero si por el contrario los proyectos se hacen ‘en local’, sin criterios técnicos, poco evolucionados y se ven como un problema económico, al final los proveedores nunca llegaremos a tener la calidad que se demande”, defendió el representante de TIS.

Por otro lado, para este invitado no existe una figura -en la mayoría de las empresas- que aglutine todos los conoci-mientos de las diferentes especialidades de la seguridad (lógica, física, protección contra incendios…). Si a esto se añade

el desplazamiento a otras latitudes “con otras políticas y otras normativas”, el traba-jo del proveedor “se hace complicado”.

Guillermo Llorente salió al paso para rebatir esta idea. Para el represen-tante de Mapfre, sí existen profesionales con esa suficiencia (haciendo alusión directa a parte de los profesionales de la DISMA presentes en el salón). Desde su punto de vista, el responsable de Seguridad ha de saber gestionar los

riesgos y rodearse de un equipo multi-disciplinar capaz de ejecutar las tareas. “Conforme se van aglutinando funcio-nes, la persona que asume ese cargo va, lógicamente, careciendo de expertise inmediato o de bajo nivel y va necesi-tando dotarse y poner en practica otras capacidades más orientadas a la gestión directiva”, sostuvo. Por lo tanto, la función de este profesional pasa por su capaci-

dad de organizar la estructura, funciones y objetivos del departamento, asi como alinear estos con los de la compañía”.

Por otro lado, Llorente lamentó la difi-cultad de encontrar prestadores de ser-vicios de seguridad globales para firmas como Mapfre, con implantación en 46 países. Cuando una multinacional trata de abrir una oficina en una localización lejana "no se encuentran" proveedores españoles de este tipo, manifestó. Ante esto, reiteró que las compañías que operan en el ámbito internacional requie-ren proveedores que lleguen allí donde se les necesite, al igual que sucede con los de telecomunicaciones o del ámbito de la seguridad de los Sistemas de Información.

A modo de conclusión, Llorente indicó que es imprescindible que exista “flexibi-lidad y una capacidad de gestión impor-tante para administrar y saber adaptarse al entorno” cuando una compañía traba-ja en el ámbito internacional.

Enrique Polanco, por su parte, rom-pió una lanza a favor de los proveedo-res de servicios: “Si se coge el mapa de los lugares en los que están las grandes empresas [de seguridad], se puede ver que están allí, donde hay compañías internacionalizadas”, obser-vó. El problema para este profesional se encuentra en la “dualidad” que se genera cuando el cliente y el prestatario “no saben qué pedirse el uno al otro”.

Según este invitado, los proveedores deben ajustar sus ofertas a las necesi-dades del cliente, ya que éstos últimos demandan básicamente protección. Las compañías de seguridad son las que han de proporcionarle los medios y recursos para conseguir ese objetivo.

Polanco, que considera la internacio-nalización como “un verdadero nuevo acicate para la convergencia”, señaló que han de tenerse en cuenta dos facto-res importantes cuando una empresa se implanta en el extranjero: “se internacio-naliza la amenaza y se internacionalizan las vulnerabilidades, porque hemos inter-nacionalizado nuestros activos”. El con-sultor sostuvo que conocer estos últimos es fundamental para contextualizar el análisis de riesgos y así advertir las ame-nazas y las vulnerabilidades del negocio. “El liderazgo” es una pieza fundamental para que la gestión sea eficaz.

Por último, se refirió a la inteligencia, que para él supone “la base de la seguri-

José Luis Nieto (en primer plano) se refirió a la necesidad de contar con empresas de seguridad preparadas.

DesDe la primera eDición del Encuentro de la Seguridad Integral (Seg2), Telefónica Ingeniería de Seguridad (TIS) ha apostado por este evento, defendiendo la convergencia como un modelo inexorable para la protección de las empresas. Más si cabe de aquellas con grandes aspira-ciones tanto en los mercados regionales como en el escenario global.

La estrategia internacional de la multinacional española se focaliza actualmente en Latinoamérica, donde ha desarrollado proyectos integra-les en países como Perú, Brasil, Chile, Argentina o México. En todos esos lugares ha demostrado su potencial para implementar medidas de seguridad tan diversas como el monitoreo urbano, seguridad contra incendios, seguimiento centralizado vía IP, control de flujo de transpor-tes, gestión de riesgos en Internet, sistemas electrónicos de seguridad o cumplimiento normativo de Seguridad de la Información.

TIS, un proveedor de seguridad con vocación internacional




dad”. En ese sentido demandó un mayor apoyo por parte de la Administración en este tipo de labores. “Las empresas necesitan apoyarse en los sistemas de seguridad del Estado y de inteligencia de los países”. El consultor solicitó más generosidad y atención al respecto por parte de los organismos públicos, de manera que se ayude a las compañías internacionalizadas.

ExpatriadosAl margen de los escollos mencionados, surgió otro tema de enorme interés para las multinacionales con presencia extranjera: los expatriados. La protec-ción de estos trabajadores es un asunto de vital importancia para compañías como Acciona cuando se habla de seguridad en el ámbito internacional. “Nuestra prioridad es prestarles el máxi-mo apoyo para que ellos tengan total tranquilidad; pero no solo ellos, sino también sus familias, porque el ingeniero tiene que estar centrado en su proyecto y tener una estabilidad emocional”, indi-có Luis Pérez.

Para conservar la integridad de sus empleados cuando se encuentran a miles de kilómetros de sus casas, el grupo cuenta con múltiples recursos de

prevención y protección, como estudios previos, contactos institucionales, guías del país, recomendaciones, protección personal, contravigilancia o el Centro Nacional de Seguridad de respuesta frente a crisis, entre otros apoyos.

En estos casos, la compañía adopta un “perfil bajo” a la hora de proteger a los expatriados. “Para nosotros, la fase de prevención es esencial, pero hay un condicionante fundamental, que es que bajo ninguna circunstancia alguien

puede identificar ese servicio de segu-ridad con nuestros empleados”, explicó el gerente de Protección de la Dirección de Seguridad Corporativa de la compa-ñía de construcción e infraestructuras. “Eso daría a entender que detrás de esa persona hay una gran multinacional, y aumenta el riesgo”, argumentó.

Antes de finalizar dejó un aviso a nave-gantes al afirmar que hay proveedores globales “que no funcionan como debie-ran en determinados países”.

El dEbatE acErca de las dificultades que encuentran las empresas que salen al extranjero cuando de seguridad se trata se extendió a los asistentes al encuen-tro. Entre el público, Manuel Rodríguez, jefe de la Unidad de Gestión de Riesgos del Parlamento Europeo, destacó la importancia del informe de seguridad antes de llevar a cabo una ope-ración en mercados exteriores. Es "la clave", consideró, en países de alto riesgo. Al respecto, Juan Gros señaló que dicho documento no siempre es vinculante para la compañía. “Desde la Dirección de Seguridad debemos facilitar la actividad y solo en circunstancias excepciona-les poner trabas de máximos”, apuntó el responsable de Seguridad de Ferrovial.

Eduardo González, director general de Securitas Transport Aviation Security, quiso apuntar que el debate sobre la seguridad en la internacionalización no debe limitarse únicamente a una cuestión de oferta y demanda. “El mercado, además de los proveedores y los consumidores, está formado por una serie de entornos, como el legal, económico, social, demográfico y cultural”. La compañías han de analizar previamente todos esos aspectos para decidir correctamente, sostuvo este profesional.

Finalmente intervino Carlos Blanco, director Nacional de Eulen Seguridad, para defender la capacidad de los proveedores españoles. "El ser global no es que seamos capaces de poner a un vigilante en cualquier parte del mundo", matizó. Para este profesional, la globalización "es una tendencia" que siguen las empresas para atender a sus clientes. Por ello, Blanco pidió que se tenga en cuenta a los proveedores españoles y se mostró convencido de que éstos podrán atender las necesidades de los clientes que se implanten en el extranjero.

Otras claves para comprender el mercado global

Guillermo Llorente (a la derecha) defendió la flexibilidad y la capacidad de gestión como claves para la internacionalización. A la izquierda, José Luis de la Fuente.



Marcos Gómez Hidalgo, representante de Inteco (en el centro), moderó el debate, en el que participaron (de izquierda a derecha): Óscar Pastor, de Isdefe; Óscar de la Cruz, del Grupo de Delitos Telemáticos de la Guardia Civil; Javier Zubieta, de GMV; Pablo Alonso, de la Brigada de Investigación Tecnológica de la Policía Nacional; Rafael Pedrera, del CNPIC; y Javier García Carmona, de Iberdrola.

Las amenazas TIC exigen una actuación nacional y convergente

Stuxnet ha paSado a la historia por ser el primer malware conocido capaz de espiar y reprogramar aplicaciones de control industrial. En el verano de 2010, el 'gusano' había infectado casi 100.000 ordenadores en países como Irán, Indonesia, India, Estados Unidos, Australia, Gran Bretaña, Malasia, Pakistán y Alemania. Pero su fama se debió sobre todo a la sospecha de que se trataba en realidad de un arma cibernética dirigida contra los siste-mas SCADA (Supervisory Control and Data Acquisition) que monitorizaban los procesos de varias plantas nucleares iraníes. Algunos medios de comunica-ción acusaron a los servicios secretos norteamericanos e israelíes de estar detrás de esa posible agresión contra el régimen de los ayatolás.

Con Stuxnet, por tanto, saltó a la palestra la vulnerabilidad de las infra-estructuras críticas ante las ciberame-nazas. De nada servían ya las medidas de seguridad física para garantizar la

salvaguarda y el correcto funcionamiento de esos entornos si no se contemplaba también la seguridad de las Tecnologías de la Información y la Comunicación (TIC). La legislación que regula la protec-ción de este tipo de infraestructuras -Ley PIC- ha supuesto un avance sin pre-cedentes al establecer la necesidad de partir de un enfoque en el que conver-jan ambos aspectos para gestionar su seguridad. El propio ministro del Interior, Jorge Fernández Díaz, fue un paso más allá al señalar, durante las I Jornadas Técnicas de Protección de Sistemas de Control en Infraestructuras Críticas (PSCIC), que "en el año 2012 la amena-za cibernética se configura como el prin-cipal riesgo potencial contra los servicios esenciales de cualquier sociedad".

Sin embargo, ¿son verdaderamen-te conscientes los distintos agentes implicados de la importancia que tienen la ciberseguridad y dicha perspectiva integral para hacer frente a los ataques? Para tratar de resolver esta duda, RED

SEGURIDAD y SEGURITECNIA sen-taron en torno a una misma mesa a representantes de cada uno de esos actores: del lado de los operado-res, Javier García Carmona, director de Seguridad de la Información y las Comunicaciones de Iberdrola; como fabricante, Javier Zubieta Moreno, res-ponsable de Desarrollo de Negocio de Seguridad de GMV Soluciones Globales Internet; en nombre de las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), el comandante Óscar de la Cruz Yagüe, jefe del Grupo de Delitos Telemáticos (GDT) de la Guardia Civil, y Pablo Alonso Fernández, jefe del Grupo de Seguridad Lógica de la Brigada de Investigación Tecnológica (BIT) del Cuerpo Nacional de Policía; y por parte de la Administración, Rafael Pedrera Macías, del servicio de Seguridad Lógica del Centro para la Protección de las Infraestructuras Críticas (CNPIC), y Óscar Pastor Acosta, Security Manager en la Dirección de Defensa y Seguridad

MESA REDONDA SOBRE CIBERSEGURIDAD Y PIC

Los ataques cibernéticos contra infraestructuras críticas han demostrado que las amenazas lógicas pueden comprometer la seguridad de las instalaciones físicas. Los gobiernos –el español, entre ellos– han tomado conciencia de la magnitud de este fenómeno y se han puesto manos a la obra para elaborar planes que definan la actuación del Estado en materia de seguridad y defensa del ciberespacio.




de Ingeniería de Sistemas para la Defensa de España (Isdefe).

Ejerciendo como excepcional 'maes-tro de ceremonias', Marcos Gómez Hidalgo, subdirector de Programas del Instituto Nacional de Tecnologías de la Comunicación (Inteco), empezó diciendo que se han realizado ya varios simulacros destinados a entrenar a los operadores en la prevención y el control de las amenazas TIC. España ha sido pionera en este terreno con el desarrollo entre abril y mayo de un ejercicio en el que han participado 18 compañías ges-toras de infraestructuras críticas perte-necientes a los sectores del transporte, la energía y el nuclear. La prueba, que fue promovida y dirigida por el equipo de Óscar Pastor, con la colaboración del CNPIC, simuló una ofensiva infor-mática que consiguió llegar a la red SCADA de una planta energética ficticia y detener el suministro de gas.

Fuera de nuestras fronteras, se han llevado a cabo también diferentes ensa-yos de ataques TIC a entornos críticos. Así por ejemplo, el Cyber Atlantic 2011, el primer ejercicio de ciberseguridad en el que han intervenido conjuntamente la Unión Europea y Estados Unidos, recreó un posible escenario de crisis en una instalación eólica –española preci-samente–. "Todo hace pensar que se va a continuar en esa línea de intentar testar el grado de madurez de los sis-temas de protección y de respuesta o recuperación frente a incidentes", indicó Gómez, que informó de que se realizará otro Cyber Atlantic este año.

Estrategias nacionalesVarios son igualmente los países que han definido su plan de seguridad y defensa online. En Estados Unidos, Barak Obama ha dado un decidido impulso a este asunto al promover lo que se ha denominado la Estrategia Internacional para el Ciberespacio, que busca elevar al máximo rango la res-puesta del Gobierno ante los delitos TIC. "Y siempre desde un punto de vista integral", recalca el portavoz de Inteco, uniendo la seguridad lógica y la ciberdefensa con la seguridad física, la protección de fronteras y la lucha contra el terrorismo.

En Europa, naciones como Reino Unido, Alemania, Francia, Países Bajos o República Checa han presentado ya

sus planes que, a diferencia del nor-teamericano, "son documentos muy ligeros, bastante estratégicos", según explica Gómez, pues en ellos se fijan la misión a perseguir, los valores en los que se fundamentan y, especialmente, los ejes de actuación. Tal como decla-ra el experto, todos esos programas hacen hincapié en las infraestructuras críticas y se apoyan en dos patas prin-cipales: la legislación (que sirve "como punta de lanza") y el establecimiento de un organigrama y de un liderazgo claro.

En España, el ministro del Interior anunció en febrero que el Gobierno tiene previsto aprobar -previsiblemente en junio- la Estrategia Española de

Ciberseguridad. Aunque podría parecer que caminamos con retraso respecto a esos otros estados, Óscar Pastor espetó que antes que "ser los prime-ros" es preferible partir de "un mensaje bien acotado". La Agencia Europea para la Seguridad de Redes y de la Información (ENISA, por sus siglas en inglés) ha publicado un informe sobre los planes de ciberseguridad que están desarrollándose a lo largo del continente y ha constatado que existe "una gran dispersión" en esas iniciativas, según el responsable de Seguridad de Isdefe. El paper, que incluye una guía para la redacción de esas estrategias, insiste en la colaboración público-privada: "Hay que tener en cuenta al sector privado para su elaboración –sostiene Pastor–,

pues está claro que la ciberseguridad no puede abordarse solamente desde el ámbito público.

Para Óscar de la Cruz, el principal problema que existe aún hoy es la falta de concienciación. "Es necesario ver la amenaza cibernética como un problema real y del presente", afirmó. "La seguri-dad no es ni fácil ni cómoda", subrayó el comandante de la Benemérita, y de ahí que haya todavía tantas organizaciones que no tienen debidamente cubierta la protección de sus activos lógicos.

En contraposición a esa percepción "pesimista" –tal como la calificó el pro-pio De la Cruz–, el otro miembro de las FCSE, Pablo Alonso, considera que

el hecho de que se haya confeccio-nado un borrador de la estrategia de ciberseguridad significa que existe esa sensibilización.

Javier Zubieta, por su parte, defendió que España ha alcanzado bastante madurez en el terreno de la "práctica de ciberseguridad", sobre todo en lo que se refiere a la prevención de incidentes y la minimización de los riesgos y del impacto de los ataques. El directivo de GMV subrayó asimismo que los depar-tamentos de Seguridad Lógica llevan varios años trabajando en la profesiona-lización de la actividad.

En opinión de Rafael Pedrera, las orga-nizaciones están ya acometiendo medi-das para garantizar la ciberseguridad, por lo que el plan nacional va a servir para

"Para implementar la Estrategia Española de Ciberseguridad hay que buscar la colaboración entre los actores, públicos y privados", según Óscar Pastor

A pesar de lo intensa que había sido la jornada, los asistentes no quisieron perderse el debate y volvieron a abarrotar el salón del Hotel Husa Princesa.




"reforzar esas actuaciones individuales y marcar una única dirección; de lo que se trata es de compartir información y coordinar esfuerzos", apostilló.

Javier García Carmona piensa que aún queda mucho camino por recorrer hasta que las compañías adquieran esa

visión de 360 grados de la Seguridad. Además, entiende que es prácticamen-te imposible establecer el nivel de ciber-seguridad que tienen las compañías, ya que "no hay un marco de referencia".

Marco regulatorioEn nuestro país hay diferentes textos normativos que afectan a la seguri-dad lógica, como la Ley Orgánica de Protección de Datos (LOPD), la Ley para la Protección de las Infraestructuras Críticas ('Ley PIC'), el Esquema Nacional

de Seguridad (ENS) o la futura reforma de la Ley de Seguridad Privada. "¿Pero son suficientes para continuar armando la estrategia de ciberseguridad?", pre-guntó el moderador.

Pastor declaró que España posee un marco regulatorio bastante amplio

en este terreno, que en todo caso habría que sim-plificar para evitar solapamientos, y alabó nuestra 'Ley PIC', que es "más ambiciosa y por-menorizada que la directiva europea de la que emana". No obstante, para este profesional, "la herramienta para implementar la estrategia no debe ser un excesivo desarrollo normati-vo, sino buscar la

colaboración entre todos los acto-res, públicos y privados". Al respecto, Pedrera afirmó que desde el CNPIC se ha intentado contar con el sector privado para que "la legislación no les suponga una piedra en el zapato".

El representante de Iberdrola reco-noció que, de no haber sido por las exigencias normativas, los operadores no tendrían el grado de seguridad que han alcanzado actualmente. Eso sí, cree que el marco regulatorio es "malo", ya que resulta demasiado extenso, hay

contradicciones entre las diferentes reglas y no está actualizado a los pro-blemas de hoy.

Por otro lado, De la Cruz y Alonso alegaron que existen carencias, espe-cialmente en el ámbito penal y procesal. Las leyes se han quedado anticuadas (la de Enjuiciamiento Criminal, por ejemplo, data de 1882) y, además, no se tiene en cuenta que ahora la mayoría de los delitos son trasnacionales y se necesi-tan mecanismos que agilicen las inves-tigaciones. Según el jefe de Seguridad Lógica de la BIT del Cuerpo Nacional de Policía, se está produciendo algún avance en este sentido, como la crea-ción del Fiscal de Sala Delegado en materia de Delitos Informáticos, "pero el ritmo es demasiado lento para la rápida evolución de las nuevas tecnologías".

Zubieta señaló que las organizacio-nes no se encuentran verdaderamente protegidas contra las agresiones ciber-néticas desde el punto de vista legisla-tivo: "Si alguien quiere atacarnos desde el extranjero, no se va a echar atrás por-que se le vaya a sancionar en España", aseguró. Es más, el portavoz de GMV duda de que las leyes pudieran servir para disuadir a los criminales.

Intercambio de informaciónPara que cualquier plan nacional de ciberseguridad funcione es clave que se dé un fluido intercambio de informa-ción entre todos los actores implicados. Sin embargo, actualmente la normativa de protección de datos dificulta –si no impide– que tal colaboración se lleve a cabo. "En Inteco tenemos un centro de respuesta ante incidentes de seguri-dad informática (CERT, por sus iniciales inglesas) –explica Gómez– y para enviar o recibir datos de otras entidades nece-sitamos firmar acuerdos de confiden-cialidad impresionantes, comunicarlo a la Agencia Española de Protección de Datos (AEPD), encriptarlos... ¿Es una utopía que llegue a producirse un inter-cambio eficaz?".

El directivo de Isdefe destacó que esa cooperación no puede acotarse al ámbito nacional. Puesto que "el cibe-respacio no tiene fronteras", es nece-sario firmar acuerdos con otros países para hacer posible la colaboración. "La vía para conseguir esto es la concien-ciación y el fomento de los ejercicios prácticos" –como el Cyber Atlantic–,

Javier Zubieta sostuvo que nuestro país cuenta con una gran experiencia en seguridad TIC.

Es ya un clásico la colaboración de GMV en el Seg2. Desde la segunda edición del Encuentro de la Seguridad Integral, la multinacional tecnológica ha participado con su patrocinio en la consolidación del simposio. Este año, lo ha hecho a través de GMV Soluciones Globales Internet, su sociedad filial especializada en los mercados de telecomu-nicaciones y el negocio en la Red, que ha copatrocinado el evento y ha aportado a los asistentes, a través de Javier Zubieta, el punto de vista del proveedor de soluciones de seguridad. Un socio tecnológico espe-cializado en las tecnologías más avanzadas, los productos y servicios especializados y, sobre todo, los sistemas integrados.

Fundado en 1984, el grupo dirige sus soluciones al sector de la aero-náutica, el espacio, la defensa, la seguridad, la banca y las finanzas, la sanidad, el transporte, las telecomunicaciones y las TIC para las admi-nistraciones públicas y la gran empresa.

GMV apuesta por la integración




que están enfocados a detectar esos problemas de interoperabilidad.

De la Cruz admitió que es fundamen-tal compartir información, tanto para la investigación como para la elaboración de inteligencia. El jefe del GDT de la Guardia Civil se quejó de que en su operativa diaria encuentran obstáculos no solo a la hora de intercambiar datos con el sector privado a causa de la LOPD, sino también con la propia poli-cía, debidos en este caso a la obliga-toriedad de garantizar los derechos de las personas investigadas. En el terreno europeo, aunque se han hecho impor-tantes avances a nivel de cooperación policial y judicial, falta todavía "la visión global". Y mayor aún es el problema con los llamados "paraísos tecnológicos", países que no comparten información sobre delitos cibernéticos.

Alonso anunció que la Interpol tiene prevista para 2014 la apertura en Singapur de un centro de colaboración internacional, al igual que Europol pre-tende crear en 2013 en La Haya (Países Bajos) una oficina para la cooperación en materia de ciberdelincuencia. La idea es que en estos centros se encuentre un representante policial de cada país, lo que agilizará los trámites.

En el entorno privado, no se está produciendo tampoco un intercambio de información profesional, según el portavoz de GMV, "a no ser que exista un interés económico", matizó. Para el director de Seguridad de la Información y de las Comunicaciones de Iberdrola, el principal escollo radica en que no se ha realizado un análisis funcional de la estrategia de ciberseguridad en el que hayan participado todos los agentes involucrados. "Primero hay que pensar qué queremos hacer y luego cómo hacerlo", resaltó García Carmona. En su opinión, la interoperabilidad no se da ni siquiera entre los departamentos de seguridad física y lógica de una misma empresa, al tiempo que las organiza-ciones no se sienten cómodas en su relación con las FCS.

En el caso del CNPIC, el intercambio de información se vuelve más complica-do, puesto que los datos que manejan son secretos. Pedrera expuso que se pretende contar con los operadores y la Seguridad Pública a la hora de desarrollar la futura herramienta que permita ese intercambio, la cual constará de un foro

y una 'wiki'. Eso sí, la información com-partida debe convertirse previamente en confidencial y, aunque pueden manejarse datos de IP atacantes, habrá que prote-ger siempre la identidad de las víctimas.

Para cerrar el panel, el moderador preguntó a los tertulianos si creían que algunas agencias gubernamentales podían estar utilizando las TIC para llevar a cabo ofensivas contra otros paí-ses. Hubo en la mesa un acuerdo casi unánimo en que así era.

Pastor opinó que detrás de esas agresiones hay, además de criminales y activistas, agencias de inteligencia y ciberejércitos. De la Cruz aseguró que la delincuencia organizada y el terro-rismo se encuentran cada vez más entremezclados, mientras que Alonso cree que, debido a la complejidad de

muchos de esos ataques, posiblemente sean obra de servicios de inteligencia. Pedrera afirmó que, en el ámbito de la defensa, el ciberespacio se considera ya comúnmente el quinto dominio en los que se desarrollan conflictos –junto al de tierra, mar, aire y espacio– y, en consecuencia, es uno de los escenarios donde se podrían llegar a poner en mar-cha acciones bélicas. García Carmona apuntó que la guerra tecnológica siem-pre ha existido, solo que ahora se llama cibernética, y que es ahí donde reside el verdadero potencial bélico hoy en día.

Únicamente discrepó con estos plan-teamientos Zubieta, que señaló que esa "leyenda negra" se ha creado por la admiración que provocó Stuxnet, la cual llevó a pensar que debía de haber sido lanzado por una gran organización.

CoinCidiendo Con el Día Internacional de Internet Seguro, el ministro del Interior, Jorge Fernández Díaz, informó en febrero de que el Gobierno estaba trabajando en la redacción de una estrategia española de ciber-seguridad. El texto está actualmente en fase de borrador y va a partir, según avanzó Fernández Díaz, de dos puntos principales: el refuerzo de las unidades del Cuerpo Nacional de Policía y la Guardia Civil espe-cializadas en delitos telemáticos, así como del CNPIC; y el impulso de la colaboración entre la Seguridad pública y la privada.

Aunque el borrador no ha salido a la luz a cierre de este número, parece ser que es el Centro Criptológico Nacional (CCN) el organismo que se ha ocupado de la confección del documento, por lo que es previsible que sea esta institución, dependiente del Centro Nacional de Inteligencia (CNI), la que lidere el plan.

En este sentido, la directora de RED SEGURIDAD, Mercedes Oriol, se interesó por la opinión que merecía a los integrantes de la mesa redonda esa noticia: que una estrategia nacional de ciberseguridad la lidere Inteligencia, en vez de Interior o Defensa. Óscar Pastor defendió que inteligencia y seguridad "deben vivir muy juntas, pues el resultado de una alimenta a la otra", pero matizó que tienen focos distintos.

En cuanto a sobre en qué organismo debería recaer el liderazgo de la estrategia, Rafael Pedrera recalcó que lo importante no es quién la encabece, sino que en ella se incluya a todos los agentes que traba-jan en el negocio de la seguridad. Por su parte, para Pablo Alonso lo fundamental es que se defina claramente a quién se debe informar de los hechos conocidos, así como que los elementos de comunicación sean ágiles.

Óscar de la Cruz declaró que no le parece inadecuado que sea el CNI quien lidere el plan, "porque alguien tiene que hacerlo", pero piensa que podrían encargarse también otras instituciones; una idea con la que coincidió Javier Zubieta. Finalmente, Javier García Carmona remarcó que la inteligencia es actualmente "el elemento diferenciador" de las grandes organizaciones.

¿Debe Inteligencia liderar la Estrategia de Ciberseguridad?



Ana Borredá, directora de SEGURITECNIA (en el centro), orquestó el debate, que reunió a presidentes de asociaciones de profesionales y empresas tanto de la seguridad física como de la lógica. De izquierda a derecha, Gianluca d'Antonio, de ISMS Forum Spain; Carlos Blanco, de APROSER; Antonio Ramos, de ISACA Madrid; y Álvaro Martín, de ASIS España.

Una oportunidad clave para redefinir la actividad del sector

En 1992 sE aprobó la Ley de Seguridad Privada para ordenar los servicios de protección que, de forma paralela a los realizados por las Fuerzas y Cuerpos de Seguridad (FCS), venían prestando los parti-culares. Por aquella época, había un elevado número de vigilantes y empresas que ejercían esa actividad, pero no existía una normativa unitaria y adecuada a los tiempos que fuera capaz de establecer un control eficaz sobre esos servicios. La Ley 23/1992 sirvió por tanto para regular el sec-tor tal y como se concebía enton-ces, pero qué duda cabe de que los numerosos y profundos cambios

que ha experimentado la Seguridad Privada en las dos últimas décadas obligan a verla desde una perspectiva bien distinta. Primero, porque su cre-ciente papel –y su potencial– dentro del mantenimiento de la seguridad ciudadana aconseja trascender el rol de mero complemento de la pública que le otorgaba la norma de 1992. Y segundo, porque la evolución de las amenazas convierte en prioritario incorporar la seguridad lógica a la regulación del sector.

En estos términos se expresó Ana Borredá, directora de SEGURITECNIA y directora general de Borrmart –empresa editora de las dos publi-

caciones organizadoras–, durante la mesa redonda con la que se cerró esta cuarta edición del Seg2. Tal como explicó la moderadora, el pasa-do 31 de enero el ministro del Interior, Jorge Fernández Díaz, planteó una “más que posible” reforma de la Ley de Seguridad Privada. El problema es que esa revisión de la norma podría quedarse en la superficie y limitarse a “solucionar problemas puntuales” relacionados con la crisis económica, en lugar de aprovechar esta opor-tunidad para llegar hasta el meollo de la cuestión: “Sería un momento excepcional para sentarnos y definir qué es la Seguridad Privada y qué

MESA REDONDA SOBRE FUTURA LEY DE SEGURIDAD PRIVADA

Tras la anunciada revisión de la Ley de Seguridad Privada, se abre un escenario más que favorable para incluir en el marco regulador de estos servicios el área de la protección TIC, un ámbito aún sin legislar. Las asociaciones del sector vislumbran ahí una vía para determinar cómo será –y cómo debería ser– la actividad en el futuro, en el que se espera asistir a la verdadera unión de la seguridad física y la lógica bajo la responsabilidad de un directivo con visión integral.




pretendemos que sea de aquí al futu-ro -declaró Borredá-. Y mi sueño es que en esa nueva ley tenga cabida el concepto de seguridad integral y se contemple a ese directivo superhom-bre que se requiere para estar al frente de esa área en las organizaciones”, apostilló.

Para debatir acerca de este tema, RED SEGURIDAD y SEGURITECNIA convocaron a cuatro presidentes de sendas asociaciones del sector: del lado de la seguridad física, Carlos Blanco, de la Asociación Profesional de Compañías Privadas de Servicios de Seguridad (APROSER), y Álvaro Martín, del Capítulo 143 de ASIS International (ASIS España); y pro-cedentes del mundo de las tecnolo-gías de la información y la comunica-ción (TIC), Gianluca d'Antonio, de la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum Spain), y Antonio Ramos, de la sección madrileña de la Asociación para la Auditoría y el Control de los Sistemas de la Información (ISACA Madrid).

Reforma en profundidadTomó la palabra en primer lugar D'Antonio, como representante de los profesionales de la seguridad lógica, para coincidir con Borredá en que, ya que se va a modificar la ley vigente, debería hacerse en profundidad: “Si estamos de acuerdo en que el pano-rama tecnológico se ha poblado de numerosos elementos nuevos, nece-sitamos empezar de cero en lugar de proponernos arreglar lo que tenemos”. Un punto que compartió Ramos, por-tavoz de los colectivos de auditores de sistemas, gestores de riesgo, expertos en gobierno TIC y responsables de seguridad de la información: “La rea-lidad de 1992 y esta son diferentes, y espero que esa anunciada reforma no se desaproveche”. El presidente de ISACA Madrid añadió que no tiene sentido separar la seguridad física y la lógica y que, por tanto, no deberían regularse de forma distinta. “En la medida en que la legislación ha de reflejar la situación actual, necesita adecuarse al escenario de riesgos glo-bales al que se enfrenta hoy en día un responsable de Seguridad”, matizó.

Desde la perspectiva de los profe-

sionales de la seguridad física, Martín subrayó que hay que empezar por precisar qué es Seguridad Privada. Admitió que se está produciendo un proceso de convergencia entre los dos tipos de la actividad, pero defendió que debe haber profesionales y especialis-tas de cada uno de ellos. "Tenemos que buscar maneras de interrelacio-narnos –manifestó el ponente de ASIS España–, una colaboración física-lógi-ca que muchas veces ni siquiera se da con las FCS ni tampoco dentro de una misma organización".

Por su parte, Blanco, presidente de la única asociación exclusivamente de empresas participante en la mesa redonda, destacó que a pesar de que las compañías suelen preferir que haya el menor número de normas posible para operar con mayor libertad, pien-sa que lo que va a hacer la nueva ley del sector es potenciar la actividad de las firmas de seguridad. "Deseo que recoja específicamente las funciones que se enmarcan dentro de la pro-tección de la información para que las empresas puedan desarrollar su labor en este ámbito sin ningún problema legal", apuntó. Esta es, según Blanco, la primera condición que ha de reunir la futura Ley de Seguridad Privada,

aunque reconoció que le "gustaría" que incluyera también ese plantea-miento integral, pues "lo que están haciendo las compañías es proteger bienes, sea cual sea su naturaleza: un millón de euros o de bytes".

En este sentido, D'Antonio comentó que existe un marco regulador para la seguridad física pero no para la lógica, lo que crea dudas acerca de hasta dónde pueden llevar su actuación las entidades privadas a la hora de repeler un ataque. "El hecho de no tener legis-lación no nos hace más libres, sino que nos expone más –aclaró el experto–, y esta sería una buena oportunidad para acabar con esa situación".

Al respecto, Martín afirmó que ese marco regulador "cuesta mucho dine-

ro" a las compañías, ya que exige a estas fuertes inversiones en seguridad, pero coincidió en que tiene como lado positivo que sirve para fijar el terreno en el que se mueve la protección física.

Tras comprobar el acuerdo unánime que hubo en la mesa en torno a la necesidad de utilizar la posible reforma de la Ley de Seguridad Privada para regular la vertiente TIC e incluir la visión integral, la moderadora conminó a las asociaciones a "influir en el legislador para enfilar ese camino" o, al menos, "para cambiar mentalidades".

Perfil del directivo integralA continuación, Borredá preguntó a los contertulios cuál creían que debería ser el perfil y la formación de la perso-na que se situara al frente de la segu-ridad integral de una organización. La 'Ley PIC' establece la obligación de que los operadores de infraestructuras críticas designen a un responsable de Seguridad y Enlace, que será el interlocutor entre la Administración y la organización, y exige que esa persona cuente con la habilitación de director de Seguridad. ¿Pero es suficiente esa certificación profesional para liderar de forma eficaz la protección de una

empresa –ya sea prestataria de un servicio esencial o no– desde un punto de vista convergente?

Para el presidente de ASIS España, el perfil del director de Seguridad dependerá de las necesidades de cada empresa: “Si hace falta una relación con la Administración o con las FCS, tendrá que tener unas carac-terísticas, y si no, tendrá que tener otras...”. Como señaló Martín, en tér-minos generales, está figura debe-rá poseer capacidades de gestión y rodearse de los técnicos necesarios en cada área.

En cuanto a la capacitación, el invita-do sostuvo que la formación obligato-ria que recibe el director de Seguridad es adecuada, aunque ve positivo que

Puesto que la regulación debe reflejar el panorama actual, necesita adecuarse al escenario de riesgos globales al que se enfrenta hoy en día el responsable de Seguridad de cualquier organización




se complemente con otras mate-rias, como Prevención de Riesgos Laborales o Seguridad Lógica, “como la misma norma de Seguridad Privada recogió el año pasado”. “Un paso más sería analizar que hubiese un grado de seguridad”, añadió.

Como conclusión argumentó: “Yo mismo me defino como ‘director comercial de la seguridad’; parte de mi trabajo es tratar de vender la segu-ridad a mi organización. Luego habrá técnicos que tengan que desarrollar el trabajo, bajo mi supervisión”.

El representante de ISACA Madrid mantuvo que ese profesional ha de poseer el perfil de un "director de orquesta", pues su labor consiste en liderar a los técnicos de cada área para que el conjunto funcione con armonía. Según expuso Ramos, el acuerdo firmado recientemente entre ASIS España y la asociación encabe-zada por él va en esa línea: "Se trata de que empecemos a hablar todos de lo mismo, tanto los que venimos de la seguridad TIC como los que vienen de la física". El experto informó de que ambos colectivos están elaborando un documento sobre lo que entienden por Seguridad Integral para hacerlo llegar a las FCS.

¿Formación específica?En cuanto a la formación del directivo de Seguridad Integral, el interviniente entiende que la enseñanza universita-ria aporta un background a ese profe-sional, pero piensa que los requisitos

exigibles a ese trabajador no tienen por qué proceder necesariamente de esos estudios. "Lo importante es que cuente con unos conocimientos míni-mos, experiencia y habilidades directi-vas", recalcó Ramos.

D'Antonio discrepó con lo dicho por su compañero de mesa y afirmó que, si se va a modificar la Ley de Seguridad Privada y a introducir en ella nociones de seguridad lógica para llegar así a un planteamiento integral, es aconsejable establecer un mecanismo que garan-tice que los trabajadores de esa área

disponen de las capacidades y aptitu-des adecuadas para desempeñar su función. "Actualmente hay multitud de certificaciones, lo que indica que existe la necesidad de demostrar que se tie-nen esos conocimientos", alegó.

Además, a juicio del presidente de ISMS Forum Spain, el hecho de crear una formación superior específica faci-litaría enormemente la preparación de los futuros directivos de Seguridad y avalaría que esta se ha impartido "con calidad y rigor": "Yo por ejemplo estu-dié Derecho y, para adquirir las com-petencias necesarias para dedicarme a la protección TIC, he tenido que cursar cinco certificaciones", ilustró el tertuliano. Se simplificaría asimismo el

acceso a la profesión, ya que todos los aspirantes partirían de la misma formación.

Antonio Ramos continuó insistiendo en que lo primordial es tener los cono-cimientos apropiados, pero convino en que la instauración de un grado uni-versitario podría servir para mejorar las capacidades en el terreno del análisis de riesgos.

Finalmente, Carlos Blanco señaló que, bajo su punto de vista, existe en el área de la Seguridad Privada "una laguna" respecto a otras materias, ya

que no hay un título superior y oficial de especialista en Seguridad. "Las ofertas formativas actuales se quedan cortas –agregó–. Hay que elevar el nivel". Para el portavoz de APROSER, está claro que "las personas que ten-gan responsabilidad en Seguridad dentro de una organización deben contar con preparación universitaria". Y es imprescindible que esa forma-ción aúne todas las disciplinas perti-nentes para conseguir que los profe-sionales adquieran las competencias necesarias para proteger a las com-pañías, organizaciones e institucio-nes, incluso gobiernos, "frente a ata-ques cada vez más integrados", con-cluyó Blanco.

Los participantes de la mesa redonda debatieron sobre cómo ha de entenderse la Seguridad Privada del futuro y acerca del perfil y la formación que debe tener el directivo de Seguridad para abordar esta actividad desde un punto de vista convergente.

Crear una formación superior de especialista en Seguridad Privada facilitaría la preparación delos directivos y simplificaría el acceso a la profesión




"Ya no haY marcha atrás. En los Estados no hay dinero, y las Fuerzas y Cuerpos de Seguridad (FCS) van a disponer cada vez de menores recursos, por lo que ten-drán que ir delegando tareas. Los funcionarios de estas institucio-nes, a los que tanto cuesta formar, deben reservarse para labores más importantes". Con esta alocución hizo referencia Roberto Hermida, director de Seguridad, a la nece-sidad de redefinir el concepto de Seguridad Privada, el cual según él, podría entenderse como aquella protección "no pública".

Para este profesional, que se encontraba entre los asistentes que presenciaron el debate, es impres-cindible mejorar la formación del director de Seguridad para que este pueda "hablar de tú a tú" con los responsables de los demás departamentos de la empresa y con el propio director general. Es urgente también incrementar la preparación de los vigilantes: "Es absurdo que una persona que tiene formación de electricista ¡esté pro-tegiendo vidas! –resaltó Hermida–, al igual que lo es que un sistema de seguridad se venda en un super-mercado y lo instale cualquiera".

En relación a este asunto, el comisario Ángel Álvarez, jefe de la Brigada Operativa de Empresas de la Unidad Central de Seguridad Privada (UCSP) del Cuerpo Nacional de Policía, subrayó que las FCS creen que el director de Seguridad debe poseer conocimientos sobre legislación, medidas y sistemas físi-cos, TIC... "Pero no hay que olvidar que es un directivo, y por tanto no tiene que ser necesariamente espe-cialista en las distintas materias", aclaró. En opinión del comisario, las funciones de esa figura van mucho más allá que las de un jefe de seguridad, por lo que convino con Hermida en que contar con una formación superior aporta a

ese profesional "un plus" a la hora de relacionarse con la dirección de la compañía para la que trabaja.

En cuanto a la preparación de los vigilantes, el representante de la UCSP admitió que era "insufi-ciente". Si el ámbito privado va a adquirir competencias hasta ahora vedadas a la Seguridad Pública, es primordial que la formación de los vigilantes se equipare con la de los miembros de las FCS.

Lo que no es Seguridad PúblicaPor su parte, el coronel César Álvarez, jefe del Servicio de Protección y Seguridad (SEPROSE) de la Guardia Civil, manifestó que

para este Cuerpo la Seguridad Privada son "todas aquellas labo-res que realizan las personas físicas o jurídicas para proteger-se". En este contexto, las leyes son fundamentales "para crear el marco de desarrollo de esas activida-des y conseguir integrar los esfuerzos privados con los públicos".

El coronel afirmó que la formación de los profesionales del sector debe aumentar "en todos los casos". En cuanto a la capacitación del director de Seguridad, César Álvarez señaló que el hecho de que debiera ser o no universitaria estaría en función de la labor que fuera a realizar dentro de la empresa: "Si va a tener un puesto dentro del organigrama, es evidente que ha de poseer la forma-

ción adecuada para tratar con los otros directivos", explicó.

El jefe del SEPROSE concluyó que no concibe que pueda desa-rrollarse ningún marco regulador de la Seguridad Privada sin que se tenga en cuenta la protección TIC "y, por ende, la integral". La dificul-tad, según César Álvarez, estriba en que esa actividad se ha ido desenvolviendo sin ninguna norma-tiva, "y a ver quién le pone ahora puertas al campo".

Siendo así, y si nadie es capaz de acotar ese segmento: "¿Cómo vamos a controlar la seguridad lógi-ca si ni siquiera sabemos lo que es?", interrogó Ignacio Vargas, direc-tor de Consultoría y Desarrollo de Securitas Seguridad España. Como respuesta, Miguel Rego, miembro de ISMS Forum Spain, que ocupó el lugar de Gianluca d'Antonio, recono-ció que determinar el perfil del direc-tor de Seguridad es fácil. "Lo compli-cado es trasladar esa figura a la protección TIC", concluyó.

El director de Seguridad requiere una capacitación que le equipare a los demás directivos y a las FCS

la normativa y

Documents