CONVERGENCIA DE LA SEGURIDAD

EULEN SEGURIDAD, S.A. A-28369395 C/ Gobelas 25-27 28023 Madrid Tel. 91 631 08 00 Fax. 91 372 81 98

Noviembre -2012

CONVERGENCIA DE LA SEGURIDAD

INDICE 1 Eulen Seguridad .............................................................................. 3 2 Paradigma de la Convergencia de la Seguridad........................... 6 3 La gestin......................................................................................... 7 4 Anlisis de Riesgos ......................................................................... 9 5 El modelo de madurez .................................................................. 10

Pgina 2 de 11

CONVERGENCIA DE LA SEGURIDAD

1 Eulen Seguridad
A principios del 2008 Eulen Seguridad ante la evolucin de las necesidades de seguridad integral a las que se enfrentaban todas las organizaciones, tanto del sector pblico como privado, comenz a estudiar el modelo de gestin y prestacin de servicios que daba mejor respuesta a esta necesidad. El modelo que Eulen Seguridad consider y considera que mejor respuesta da a esta necesidad de seguridad integral, es el paradigma de la Convergencia de la Seguridad, este modelo fue propuesto inicialmente en el ao 2005 por la Alliance for Enterprise Security Risk Management (AESRM) de la que forman parte las dos mayores asociaciones de profesionales de la seguridad, ASIS e ISACA, la primera de ellas focalizada en la seguridad fsica y la segunda en seguridad de la informacin (seguridad lgica).

Una vez adoptada la decisin de apostar por el paradigma de la Convergencia de la Seguridad, se comenz a preparar a la compaa para empezar a prestar servicios de seguridad bajo este modelo, para ello se cre la Unidad de Seguridad de la Informacin con el objeto de adquirir las capacidades y conocimientos necesarios para ello. En el mes de octubre del 2008 durante la celebracin en Len del II Encuentro Nacional de la Industria de la Seguridad en Espaa (ENISE), organizado por el Instituto Nacional de Tecnologas de la Informacin (INTECO), Eulen Seguridad hizo pblica su apuesta por el paradigma de la Convergencia de la Seguridad, con una ponencia de su Director Nacional Carlos Blanco, titulada La Convergencia de la Seguridad: la seguridad integral. Con dicha apuesta pblica Eulen Seguridad se convirti en la primera empresa de seguridad privada que comenzaba a prestar servicios de seguridad fsica y de seguridad lgica bajo el paradigma de la convergencia de la seguridad. Es necesario hacer notar que en el objeto social de Eulen Seguridad, como empresa de seguridad privada, figura que una de sus actividades es la vigilancia y proteccin de bienes y el Diccionario de la Lengua Espaola de la Real Academia Espaola, define bienes (sexta acepcin), como Cosas materiales o inmateriales en cuanto objetos de derecho.

Pgina 3 de 11

CONVERGENCIA DE LA SEGURIDAD

Por ello, como dentro de los bienes inmateriales se encuentra comprendida la informacin, uno de los activos ms valiosos, hoy en da, de las empresas y organizaciones, y dentro de los bienes materiales, los sistemas informticos que procesan, almacenan y transmiten la informacin. Por lo anterior, era lgico y previsible que las empresas de seguridad privada, como Eulen Seguridad, comenzaran a prestar servicios de seguridad, bajo un modelo de integracin, que contemplara tanto la seguridad fsica como lgica, como es el de la Convergencia de la Seguridad. Adems, aunque Eulen Seguridad fue la primera empresa de seguridad privada que aposto por este modelo, lo cierto es que empresas como el Grupo MAPFRE, llevaban aos utilizando este modelo de integracin con muy buenos resultados, un claro ejemplo de ello es el Centro de Control General de MAPFRE que lleva aos funcionando bajo un modelo de Convergencia de la Seguridad. Una vez hecha pblica la apuesta de Eulen Seguridad por este nuevo modelo, se comenz a ofrecer y prestar estos servicios a nuestros clientes, en algunos casos de forma independiente y en otros de forma integrada. Durante el ao 2009, el mercado empez a considerar la Convergencia de la Seguridad como una alternativa de futuro, prueba de ello es la celebracin del I Encuentro de la Seguridad Integral (Seg2) organizado por la editorial Borrmart, que reuni por primera vez en Espaa al sector de la Seguridad Lgica y al de la Seguridad Fsica. Igualmente, durante el ao 2009, Eulen Seguridad fue madurando sus procesos internos, mejorndolos y adaptndolos a las nuevas necesidades, y en mes de octubre durante la celebracin en Leon del III Encuentro Nacional de la Industria de la Seguridad en Espaa (ENISE), organizado por el Instituto Nacional de Tecnologas de la Informacin (INTECO), Eulen Seguridad hizo pblica su visin de lo que deba ser la Empresa de Seguridad del Futuro.

En esta ponencia se expuso la visin de Eulen Seguridad respecto a los servicios que debe prestar una empresa de seguridad y cmo los debe prestar.

Pgina 4 de 11

CONVERGENCIA DE LA SEGURIDAD

Segn est visin, la principal necesidad de las empresas es garantizar la continuidad de sus operaciones y para ello necesitan garantizar la seguridad de todos sus activos tanto tangibles como intangibles. Las empresas se enfrentan a nuevas amenazas y nuevos retos, entre ellos: La proteccin de los activos tangibles e intangibles El tratamiento integrado de los riesgos La proteccin del ciclo productivo completo La visin de la seguridad como un proceso ms de negocio Para ayudar a las empresas a hacer frente a estas amenazas y retos, las empresas de seguridad deben ser capaces de dar respuesta a la necesidad actual de seguridad global ante cualquier amenaza y en cualquier escenario. Con la finalidad de cumplir dicho objetivo, las empresas de seguridad deben ser aliados estratgicos de sus clientes, colaborando en la consecucin de sus objetivos, ayudndoles a garantizar la continuidad de sus operaciones, dando proteccin a todos sus activos, tanto materiales cmo inmateriales, todo ello aportando generacin de valor. De acuerdo con esta visin, Eulen Seguridad se define como una empresa: Innovadora Flexible y gil para adaptarse a los nuevos escenarios y riesgos Comprometida con la excelencia en la prestacin de servicios Comprometida con la honestidad y tica profesional Comprometida con la Seguridad de nuestra Sociedad Consciente del rol que representa En junio del 2010 durante la celebracin del II Encuentro de la Seguridad Integral (Seg2), Eulen Seguridad siguiendo la lnea marcada desde el ao 2008, volvi a hacer pblica su apuesta por el paradigma de la Convergencia de la Seguridad con el convencimiento de que la legislacin sobre proteccin de infraestructuras crticas (que en aquel momento se encontraba en fase de elaboracin), iba a suponer el impulso definitivo a la Convergencia de la Seguridad.

Pgina 5 de 11

CONVERGENCIA DE LA SEGURIDAD

Y en este momento, cuatro aos despus de la apuesta pblica de Eulen Seguridad por el paradigma de la Convergencia de la Seguridad, ya nadie discute que el modelo de seguridad integral que estamos impulsando desde entonces, es una alternativa a tener en cuenta, ya que cada vez son ms las empresas pblicas y privadas que estn adoptando este modelo de seguridad integral, incluso como objetivos estratgicos en su rea, sin olvidar que su aplicacin ha sido refrendada por la actual legislacin de Proteccin de Infraestructuras Crticas que establece como obligatorio el modelo de seguridad integral en su mbito de aplicacin.

2 Paradigma de la Convergencia de la Seguridad

En la visin tradicional, la seguridad se ha entendido como un conjunto de procesos independientes sin apenas relaciones entre ellos, donde, en funcin de la seguridad que se tratase, fsica, lgica, ciudadana, patrimonial, ambiental etc., que se gestionaban por separado, lo que poda (y puede) dar lugar a ineficiencias y a un uso excesivo de recursos y funciones de seguridad duplicadas. La visin de la Convergencia de la Seguridad es la integracin, de manera formal, corporativa y estratgica de todos los recursos dedicados a la Seguridad de una organizacin, para garantizar la gestin de riesgos a la que est expuesta la organizacin, con efectividad, eficiencia operacional creciente y ahorro de costes, minimizando el riesgo a los niveles establecidos por la Poltica de Seguridad Global Corporativa. La convergencia de la seguridad es la cooperacin formal de las diferentes funciones de seguridad de la organizacin. Cuando decimos "cooperacin", hablamos de una accin concertada y orientada a los resultados del esfuerzo de un trabajo en conjunto. En la Convergencia de la Seguridad, no slo se est integrando las funciones de seguridad fsica y de seguridad lgica, sino a todas las funciones de la organizacin que gestionen riesgos que puedan suponer una amenaza para la supervivencia de la organizacin. La Convergencia de la Seguridad tiene como principal prioridad la alineacin de todas las funciones de seguridad con las necesidades del negocio en cada momento, definiendo este hecho como la integracin de: Seguridad fsica Seguridad de la informacin Seguridad reputacional Seguridad del personal Seguridad legal Seguridad medioambiental Seguridad laboral Seguridad industrial Seguridad patrimonial Continuidad del negocio .
Pgina 6 de 11

CONVERGENCIA DE LA SEGURIDAD

Forjar vnculos entre las distintas funciones, departamentos o responsables de Seguridad de una organizacin es parte de la Convergencia de la Seguridad, pero no lo es todo. La Convergencia de la Seguridad se centra en la gestin global de los riesgos, para integrar y coordinar las diferentes funciones de seguridad, siendo su principal objetivo proteger de la forma ms eficiente posible todos los activos, tanto tangibles como intangibles de una organizacin, de todas las amenazas, de cualquier tipo, a las que estn expuestos, independientemente de su origen. La adopcin de este nuevo paradigma, la Convergencia de la Seguridad exige una reflexin por parte de las personas implicadas en la direccin y gestin de las funciones de seguridad de la organizacin, con el fin de que abran su mente e intenten superar las fronteras de sus reas de conocimiento, estableciendo actuaciones armonizadas por el nico objetivo, de establecer en la organizacin una cultura de Seguridad Corporativa, que sumado con un lenguaje comn, pueda permitirles garantizar la adecuada proteccin de los activos de la organizacin y la continuidad de las operaciones. La finalidad de la convergencia es realizar una gestin global de las funciones de seguridad, unificar funciones de seguridad o incentivar la comunicacin entre ellas (aprender a hablar un lenguaje comn, el lenguaje del riesgo), unificar eventos y tecnologas, etc. todo ello con la finalidad de reducir costes, aumentar el nivel de seguridad, la eficiencia en las acciones y alinear la seguridad con las necesidades de la organizacin.

3 La gestin
El reto de la Convergencia de la Seguridad, es gestionar el riesgo de la organizacin (eliminarlo, prevenirlo, transferirlo y minimizar su impacto), tal como se gestiona cualquier otro proceso de negocio, ya que la seguridad es un proceso ms dentro de los procesos de la organizacin. La Convergencia de la Seguridad plantea un modelo de gestin integral que comprende todos los procesos de seguridad de una organizacin, que tienen por objeto garantizar la adecuada proteccin de todos los activos de la organizacin y la continuidad de sus
Pgina 7 de 11

CONVERGENCIA DE LA SEGURIDAD

operaciones, todo ello con una filosofa clara de alineacin con el negocio. Por ello, la funcin de seguridad integral no slo comprende las funciones de seguridad fsica y de seguridad lgica, sino todas las funciones de la organizacin orientadas a la gestin de todos aquellos riesgos que puedan suponer una amenaza para el funcionamiento y supervivencia de la organizacin. La funcin de seguridad integral se centra en la gestin global de los riesgos, siendo su principal objetivo proteger de la forma ms eficiente posible todos los activos, tanto tangibles como intangibles de una organizacin, de todas las amenazas, de cualquier tipo, a las que estn expuestos, independientemente de su origen. Si tenemos en cuenta que la seguridad es un proceso ms dentro del conjunto de los procesos productivos de la organizacin tenemos que gestionarlo de la misma forma que se gestionan dichos procesos, utilizando un sistema de gestin como el marco de funcionamiento de una organizacin en el que se integran tanto la misin, visin, valores, objetivos principales y secundarios de la organizacin, como las polticas, procedimientos, registros e indicadores, que dan forma al sistema.

Disponer del marco de trabajo que proporciona un sistema de gestin permite que se incremente la eficiencia y eficacia de la organizacin. El modelo de sistema de gestin de seguridad integral propuesto est basado en la mejora continua, del ciclo de Deming o PDCA (Plan-Desarrollo-Control-Accin) compuesto por cuatro fases diferenciadas y alineado con los estndares internacionales comnmente aceptados. A continuacin, se describen las fases de este ciclo de mejora continua: Estudio de la situacin de la Organizacin (desde el punto de vista de la seguridad), para estimar las medidas que se van a implantar en funcin de las necesidades detectadas. Realizacin de un Anlisis de Riesgos integral que ofrezca una valoracin de los activos, amenazas y las vulnerabilidades a las que estn expuestos. Elaboracin del plan de gestin de riesgos.

Pgina 8 de 11

CONVERGENCIA DE LA SEGURIDAD

Ejecucin del plan de accin e implantacin de los controles. Revisin de la documentacin (polticas, procedimientos, instrucciones y registros). Formacin y concienciacin. Documentacin del trabajo elaborado Revisin del sistema Evaluacin de la eficacia y eficiencia de los controles implantados Verificacin de registros e indicadores. Verificacin del correcto funcionamiento del sistema (auditora interna) Documentacin de conclusiones Mantenimiento del sistema Aplicar nuevas mejoras, si se han detectado errores en el paso anterior Acciones preventivas y correctivas

4 Anlisis de Riesgos
En la visin tradicional, la seguridad, en funcin de la seguridad que se tratase, se analizaban ciertas amenazas especficas y se gestionaban los riesgos por separado, lo que puede dar lugar a ineficiencias, debido a una proteccin excesiva en algunos casos o insuficiente, en otros. La visin de una seguridad global e integrada en todas sus disciplinas significa disponer de una nica visin ante las amenazas y vulnerabilidades, tratndolas de forma conjunta, independientemente del origen y naturaleza de las mismas. De esta forma se gestionan de modo integral los riesgos, lo que redunda en un mejor aprovechamiento de los recursos y en una toma de decisiones ms eficiente y efectiva, facilitando una mayor alineacin con el negocio. Uno de los pilares en los que se basa el paradigma de la Convergencia de la Seguridad es la gestin de forma integral de los riesgos a los que est expuesta una organizacin, Lo que hace imprescindible realizar un anlisis de riesgos integral, de forma que contemple de una manera global cualquier tipo de amenaza, tanto de carcter fsico como lgico, para ello es necesario disponer de una metodologa lo suficientemente robusta e integrada que lo permita, que est preparada para analizar todas las amenazas y vulnerabilidades a las que est expuesta la organizacin, de forma conjunta, independientemente del origen y naturaleza de dichas amenazas, teniendo en cuenta la posibilidad de que exista un ataque combinado, y la materializacin de un ataque de este tipo pueda causar un impacto sobre el funcionamiento de la organizacin muy superior al que causara un ataque que provenga de un slo vector. .

Pgina 9 de 11

CONVERGENCIA DE LA SEGURIDAD

Las implicaciones que supone la aplicacin del paradigma de la Convergencia de la Seguridad, nos ha llevado a analizar las metodologas de anlisis y gestin de riesgos existentes, para seleccionar la metodologa que mejor de respuesta a las necesidades planteadas, al tratar los riegos de manera integrada. La metodologa que ha adoptado Eulen Seguridad es una adaptacin de la metodologa Magerit Versin 2 basada en la experiencia que ha adquirido en la realizacin de anlisis de riesgos integrados, tanto en proyectos de Seguridad Corporativa como en proyectos de Proteccin de Infraestructuras Crticas e instalaciones de alto riesgo, esta ampliacin de la metodologa Magerit Versin 2 est alineada con las metodologas de anlisis de riesgos de los estndares ISO 31000 Gestin del riesgo. Principios y directrices e ISO 27005 Information technology -- Security techniques -- Information security risk management. As como en distintas guas y publicaciones del Centro Criptolgico Nacional (CCN-CNI), National Institute of Standards and Technology (NIST) y del U.S. Department of Homeland Security

5 El modelo de madurez
Al considerar que la Seguridad es un proceso de negocio ms, y que por lo tanto debe estar alineado con los objetivos de negocio de la organizacin, dentro de un ciclo de mejora continua, es necesario disponer de mtricas que nos permitan medir el cumplimiento de sus objetivos y de un modelo de madurez que nos permita disponer de un Benchmarking de la capacidad de nuestros procesos de Seguridad. La utilizacin de mtricas y modelos de madurez es algo habitual en el resto de procesos de negocio de las organizaciones. La inmensa mayora de los modelos de madurez existentes actualmente, por no decir todos, son modelos basados en el Modelo de Madurez de Capacidades o CMM (Capability Maturity Model) desarrollado la Universidad Carnegie-Mellon para el SEI (Software Engineering Institute). El CMM es un modelo de evaluacin de la capacidad de los procesos de una organizacin, que permite a las empresas valorar sus capacidades comparndolas con las establecidas en estndares y buenas prcticas generalmente aceptadas, y con respecto a empresas de su competencia (Benchmarking). En el escenario actual en el que nos encontramos, mayor necesidad de seguridad, escenarios dinmicos, amenazas en continua evolucin y regulaciones cada vez ms exigentes, es necesario disponer de un Modelo de Madurez de la Seguridad Corporativa (MMSC).

Pgina 10 de 11

CONVERGENCIA DE LA SEGURIDAD

Disponer de un MMSC nos va a facilitar la evaluacin de los procesos de seguridad por medio del Benchmarking y nos va a permitir identificar las mejoras en la capacidad que es necesario llevar a cabo en los procesos de seguridad de nuestra organizacin. Los responsables de la Seguridad Corporativa de una organizacin deben ser capaces de responder a las siguientes cuestiones: Qu est haciendo nuestra competencia, y cmo estamos posicionados en relacin a ellos? Cules son las mejores prcticas de Seguridad Corporativa, y cmo estamos posicionados con respecto a estas prcticas? Con base en estas comparaciones, Se puede decir que estamos haciendo lo suficiente? Cmo identificamos las acciones necesarias hacer para alcanzar un nivel adecuado de proteccin de nuestros activos? Es difcil responder adecuadamente a estas cuestiones. El responsable de Seguridad Corporativa debe disponer de procedimientos y herramientas que le ayuden a dar respuesta a estas cuestiones, lo que se traduce en la necesidad de disponer de: Una medida relativa de dnde se encuentra la organizacin Una manera de decidir hacia dnde ir de forma eficaz y eficiente Una herramienta para medir el avance de la organizacin en el cumplimiento del objetivo La utilizacin de un MMSC nos va a ayudar a responder a las cuestiones anteriores y a dar respuesta a las necesidades de Seguridad Corporativa de nuestra organizacin. El MMSC desarrollado por Eulen Seguridad se basa en un mtodo de evaluacin de los procesos de seguridad de una organizacin, inspirado en el CMM del SEI y alineado con el modelo de madurez de COBIT (Objetivos de Control para la Informacin y la Tecnologa relacionada) de ISACA, utilizando los mismos seis niveles de madurez definidos en dichos modelos: 0. 1. 2. 3. 4. 5. No existente Inicial/Ad Hoc Repetible pero intuitivo Proceso Definido Administrado y Medible Optimizado

La evolucin de los procesos de Seguridad Corporativa de una organizacin, con el objeto de incrementar su nivel de madurez, tiene que desarrollarse en un proceso de mejora continua basado en el modelo PDCA, incrementando su nivel de madurez en cada vuelta del ciclo.

Pgina 11 de 11