7ª JORNADA DE AUTOMÁTICA EN LA UPCT - "DRONES PRESENTE Y FUTURO DE ESTA TECNO...
Eulen Seguridad - Convergencia de la Seguridad (noviembre 2012)
1. CONVERGENCIA DE LA
SEGURIDAD
EULEN SEGURIDAD, S.A.
A-28369395
C/ Gobelas 25-27 28023 Madrid
Tel. 91 631 08 00 Fax. 91 372 81 98
Noviembre -2012
2. CONVERGENCIA DE LA SEGURIDAD
INDICE
1 Eulen Seguridad .............................................................................. 3
2 Paradigma de la Convergencia de la Seguridad........................... 6
3 La gestión......................................................................................... 7
4 Análisis de Riesgos ......................................................................... 9
5 El modelo de madurez .................................................................. 10
Página 2 de 11
3. CONVERGENCIA DE LA SEGURIDAD
1 Eulen Seguridad
A principios del 2008 Eulen Seguridad ante la evolución de las necesidades de seguridad
integral a las que se enfrentaban todas las organizaciones, tanto del sector público como
privado, comenzó a estudiar el modelo de gestión y prestación de servicios que daba mejor
respuesta a esta necesidad.
El modelo que Eulen Seguridad consideró y considera que mejor respuesta da a esta
necesidad de seguridad integral, es el paradigma de la “Convergencia de la Seguridad”, este
modelo fue propuesto inicialmente en el año 2005 por la “Alliance for Enterprise Security
Risk Management (AESRM)” de la que forman parte las dos mayores asociaciones de
profesionales de la seguridad, ASIS e ISACA, la primera de ellas focalizada en la seguridad
física y la segunda en seguridad de la información (seguridad lógica).
Una vez adoptada la decisión de apostar por el paradigma de la Convergencia de la
Seguridad, se comenzó a preparar a la compañía para empezar a prestar servicios de
seguridad bajo este modelo, para ello se creó la Unidad de Seguridad de la Información con
el objeto de adquirir las capacidades y conocimientos necesarios para ello.
En el mes de octubre del 2008 durante la celebración en León del II Encuentro Nacional de
la Industria de la Seguridad en España (ENISE), organizado por el Instituto Nacional de
Tecnologías de la Información (INTECO), Eulen Seguridad hizo pública su apuesta por el
paradigma de la “Convergencia de la Seguridad”, con una ponencia de su Director Nacional
Carlos Blanco, titulada “La Convergencia de la Seguridad: la seguridad integral”.
Con dicha apuesta pública Eulen Seguridad se convirtió en la primera empresa de seguridad
privada que comenzaba a prestar servicios de seguridad física y de seguridad lógica bajo el
paradigma de la convergencia de la seguridad.
Es necesario hacer notar que en el objeto social de Eulen Seguridad, como empresa de
seguridad privada, figura que una de sus actividades es la “vigilancia y protección de bienes”
y el Diccionario de la Lengua Española de la Real Academia Española, define “bienes”
(sexta acepción), como “Cosas materiales o inmateriales en cuanto objetos de derecho”.
Página 3 de 11
4. CONVERGENCIA DE LA SEGURIDAD
Por ello, como dentro de los bienes inmateriales se encuentra comprendida la información,
uno de los activos más valiosos, hoy en día, de las empresas y organizaciones, y dentro de
los bienes materiales, los sistemas informáticos que procesan, almacenan y transmiten la
información.
Por lo anterior, era lógico y previsible que las empresas de seguridad privada, como Eulen
Seguridad, comenzaran a prestar servicios de seguridad, bajo un modelo de integración,
que contemplara tanto la seguridad física como lógica, como es el de la “Convergencia de la
Seguridad”.
Además, aunque Eulen Seguridad fue la primera empresa de seguridad privada que aposto
por este modelo, lo cierto es que empresas como el Grupo MAPFRE, llevaban años
utilizando este modelo de integración con muy buenos resultados, un claro ejemplo de ello
es el Centro de Control General de MAPFRE que lleva años funcionando bajo un modelo de
“Convergencia de la Seguridad”.
Una vez hecha pública la apuesta de Eulen Seguridad por este nuevo modelo, se comenzó
a ofrecer y prestar estos servicios a nuestros clientes, en algunos casos de forma
independiente y en otros de forma integrada.
Durante el año 2009, el mercado empezó a considerar la “Convergencia de la Seguridad”
como una alternativa de futuro, prueba de ello es la celebración del I Encuentro de la
Seguridad Integral (Seg2) organizado por la editorial Borrmart, que reunió por primera vez
en España al sector de la Seguridad Lógica y al de la Seguridad Física.
Igualmente, durante el año 2009, Eulen Seguridad fue madurando sus procesos internos,
mejorándolos y adaptándolos a las nuevas necesidades, y en mes de octubre durante la
celebración en Leon del III Encuentro Nacional de la Industria de la Seguridad en España
(ENISE), organizado por el Instituto Nacional de Tecnologías de la Información (INTECO),
Eulen Seguridad hizo pública su visión de lo que debía ser la “Empresa de Seguridad del
Futuro”.
En esta ponencia se expuso la visión de Eulen Seguridad respecto a los servicios que debe
prestar una empresa de seguridad y cómo los debe prestar.
Página 4 de 11
5. CONVERGENCIA DE LA SEGURIDAD
Según está visión, la principal necesidad de las empresas es garantizar la continuidad de
sus operaciones y para ello necesitan garantizar la seguridad de todos sus activos tanto
tangibles como intangibles.
Las empresas se enfrentan a nuevas amenazas y nuevos retos, entre ellos:
La protección de los activos tangibles e intangibles
El tratamiento integrado de los riesgos
La protección del ciclo productivo completo
La visión de la seguridad como un proceso más de negocio
Para ayudar a las empresas a hacer frente a estas amenazas y retos, las empresas de
seguridad deben ser capaces de dar respuesta a la necesidad actual de seguridad global
ante cualquier amenaza y en cualquier escenario.
Con la finalidad de cumplir dicho objetivo, las empresas de seguridad deben ser aliados
estratégicos de sus clientes, colaborando en la consecución de sus objetivos, ayudándoles a
garantizar la continuidad de sus operaciones, dando protección a todos sus activos, tanto
materiales cómo inmateriales, todo ello aportando generación de valor.
De acuerdo con esta visión, Eulen Seguridad se define como una empresa:
Innovadora
Flexible y ágil para adaptarse a los nuevos escenarios y riesgos
Comprometida con la excelencia en la prestación de servicios
Comprometida con la honestidad y ética profesional
Comprometida con la Seguridad de nuestra Sociedad
Consciente del rol que representa
En junio del 2010 durante la celebración del II Encuentro de la Seguridad Integral (Seg2),
Eulen Seguridad siguiendo la línea marcada desde el año 2008, volvió a hacer pública su
apuesta por el paradigma de la “Convergencia de la Seguridad” con el convencimiento de
que la legislación sobre protección de infraestructuras críticas (que en aquel momento se
encontraba en fase de elaboración), iba a suponer el impulso definitivo a la “Convergencia
de la Seguridad”.
Página 5 de 11
6. CONVERGENCIA DE LA SEGURIDAD
Y en este momento, cuatro años después de la apuesta pública de Eulen Seguridad por el
paradigma de la “Convergencia de la Seguridad”, ya nadie discute que el modelo de
seguridad integral que estamos impulsando desde entonces, es una alternativa a tener en
cuenta, ya que cada vez son más las empresas públicas y privadas que están adoptando
este modelo de seguridad integral, incluso como objetivos estratégicos en su área, sin
olvidar que su aplicación ha sido refrendada por la actual legislación de Protección de
Infraestructuras Críticas que establece como obligatorio el modelo de seguridad integral en
su ámbito de aplicación.
2 Paradigma de la Convergencia de la Seguridad
En la visión tradicional, la seguridad se ha entendido como un conjunto de procesos
independientes sin apenas relaciones entre ellos, donde, en función de la seguridad que se
tratase, física, lógica, ciudadana, patrimonial, ambiental etc., que se gestionaban por
separado, lo que podía (y puede) dar lugar a ineficiencias y a un uso excesivo de recursos y
funciones de seguridad duplicadas.
La visión de la Convergencia de la Seguridad es la integración, de manera formal,
corporativa y estratégica de todos los recursos dedicados a la Seguridad de una
organización, para garantizar la gestión de riesgos a la que está expuesta la organización,
con efectividad, eficiencia operacional creciente y ahorro de costes, minimizando el riesgo a
los niveles establecidos por la Política de Seguridad Global Corporativa.
La convergencia de la seguridad es la cooperación formal de las diferentes funciones de
seguridad de la organización. Cuando decimos "cooperación", hablamos de una acción
concertada y orientada a los resultados del esfuerzo de un trabajo en conjunto. En la
Convergencia de la Seguridad, no sólo se está integrando las funciones de seguridad física
y de seguridad lógica, sino a todas las funciones de la organización que gestionen riesgos
que puedan suponer una amenaza para la supervivencia de la organización.
La Convergencia de la Seguridad tiene como principal prioridad la alineación de todas las
funciones de seguridad con las necesidades del negocio en cada momento, definiendo este
hecho como la integración de:
Seguridad física
Seguridad de la información
Seguridad reputacional
Seguridad del personal
Seguridad legal
Seguridad medioambiental
Seguridad laboral
Seguridad industrial
Seguridad patrimonial
Continuidad del negocio
….
Página 6 de 11
7. CONVERGENCIA DE LA SEGURIDAD
Forjar vínculos entre las distintas funciones, departamentos o responsables de Seguridad de
una organización es parte de la Convergencia de la Seguridad, pero no lo es todo. La
Convergencia de la Seguridad se centra en la gestión global de los riesgos, para integrar y
coordinar las diferentes funciones de seguridad, siendo su principal objetivo proteger de la
forma más eficiente posible todos los activos, tanto tangibles como intangibles de una
organización, de todas las amenazas, de cualquier tipo, a las que estén expuestos,
independientemente de su origen.
La adopción de este nuevo paradigma, la Convergencia de la Seguridad exige una reflexión
por parte de las personas implicadas en la dirección y gestión de las funciones de seguridad
de la organización, con el fin de que abran su mente e intenten superar las fronteras de sus
áreas de conocimiento, estableciendo actuaciones armonizadas por el único objetivo, de
establecer en la organización una cultura de Seguridad Corporativa, que sumado con un
lenguaje común, pueda permitirles garantizar la adecuada protección de los activos de la
organización y la continuidad de las operaciones.
La finalidad de la convergencia es realizar una gestión global de las funciones de seguridad,
unificar funciones de seguridad o incentivar la comunicación entre ellas (aprender a hablar
un lenguaje común, el lenguaje del riesgo), unificar eventos y tecnologías, etc. todo ello con
la finalidad de reducir costes, aumentar el nivel de seguridad, la eficiencia en las acciones y
alinear la seguridad con las necesidades de la organización.
3 La gestión
El reto de la Convergencia de la Seguridad, es gestionar el riesgo de la organización
(eliminarlo, prevenirlo, transferirlo y minimizar su impacto), tal como se gestiona cualquier
otro proceso de negocio, ya que la seguridad es un proceso más dentro de los procesos de
la organización.
La Convergencia de la Seguridad plantea un modelo de gestión integral que comprende
todos los procesos de seguridad de una organización, que tienen por objeto garantizar la
adecuada protección de todos los activos de la organización y la continuidad de sus
Página 7 de 11
8. CONVERGENCIA DE LA SEGURIDAD
operaciones, todo ello con una filosofía clara de alineación con el negocio. Por ello, la
función de seguridad integral no sólo comprende las funciones de seguridad física y de
seguridad lógica, sino todas las funciones de la organización orientadas a la gestión de
todos aquellos riesgos que puedan suponer una amenaza para el funcionamiento y
supervivencia de la organización.
La función de seguridad integral se centra en la gestión global de los riesgos, siendo su
principal objetivo proteger de la forma más eficiente posible todos los activos, tanto tangibles
como intangibles de una organización, de todas las amenazas, de cualquier tipo, a las que
estén expuestos, independientemente de su origen.
Si tenemos en cuenta que la seguridad es un proceso más dentro del conjunto de los
procesos productivos de la organización tenemos que gestionarlo de la misma forma que se
gestionan dichos procesos, utilizando un sistema de gestión como el marco de
funcionamiento de una organización en el que se integran tanto la misión, visión, valores,
objetivos principales y secundarios de la organización, como las políticas, procedimientos,
registros e indicadores, que dan forma al sistema.
Disponer del marco de trabajo que proporciona un sistema de gestión permite que se
incremente la eficiencia y eficacia de la organización.
El modelo de sistema de gestión de seguridad integral propuesto está basado en la mejora
continua, del ciclo de Deming o PDCA (Plan-Desarrollo-Control-Acción) compuesto por
cuatro fases diferenciadas y alineado con los estándares internacionales comúnmente
aceptados.
A continuación, se describen las fases de este ciclo de mejora continua:
Estudio de la situación de la Organización (desde el punto de vista de la
seguridad), para estimar las medidas que se van a implantar en función de
las necesidades detectadas.
Realización de un Análisis de Riesgos integral que ofrezca una valoración de
los activos, amenazas y las vulnerabilidades a las que están expuestos.
Elaboración del plan de gestión de riesgos.
Página 8 de 11
9. CONVERGENCIA DE LA SEGURIDAD
Ejecución del plan de acción e implantación de los controles.
Revisión de la documentación (políticas, procedimientos, instrucciones y
registros).
Formación y concienciación.
Documentación del trabajo elaborado
Revisión del sistema
Evaluación de la eficacia y eficiencia de los controles implantados
Verificación de registros e indicadores.
Verificación del correcto funcionamiento del sistema (auditoría interna)
Documentación de conclusiones
Mantenimiento del sistema
Aplicar nuevas mejoras, si se han detectado errores en el paso anterior
Acciones preventivas y correctivas
4 Análisis de Riesgos
En la visión tradicional, la seguridad, en función de la seguridad que se tratase, se
analizaban ciertas amenazas específicas y se gestionaban los riesgos por separado, lo que
puede dar lugar a ineficiencias, debido a una protección excesiva en algunos casos o
insuficiente, en otros.
La visión de una seguridad global e integrada en todas sus disciplinas significa disponer de
una única visión ante las amenazas y vulnerabilidades, tratándolas de forma conjunta,
independientemente del origen y naturaleza de las mismas. De esta forma se gestionan de
modo integral los riesgos, lo que redunda en un mejor aprovechamiento de los recursos y en
una toma de decisiones más eficiente y efectiva, facilitando una mayor alineación con el
negocio.
Uno de los pilares en los que se basa el paradigma de la Convergencia de la Seguridad es
la gestión de forma integral de los riesgos a los que está expuesta una organización, Lo que
hace imprescindible realizar un análisis de riesgos integral, de forma que contemple de una
manera global cualquier tipo de amenaza, tanto de carácter físico como lógico, para ello es
necesario disponer de una metodología lo suficientemente robusta e integrada que lo
permita, que esté preparada para analizar todas las amenazas y vulnerabilidades a las que
está expuesta la organización, de forma conjunta, independientemente del origen y
naturaleza de dichas amenazas, teniendo en cuenta la posibilidad de que exista un “ataque
combinado”, y la materialización de un ataque de este tipo pueda causar un impacto sobre el
funcionamiento de la organización muy superior al que causaría un ataque que provenga de
un sólo vector.
.
Página 9 de 11
10. CONVERGENCIA DE LA SEGURIDAD
Las implicaciones que supone la aplicación del paradigma de la Convergencia de la
Seguridad, nos ha llevado a analizar las metodologías de análisis y gestión de riesgos
existentes, para seleccionar la metodología que mejor de respuesta a las necesidades
planteadas, al tratar los riegos de manera integrada. La metodología que ha adoptado Eulen
Seguridad es una adaptación de la metodología Magerit Versión 2 basada en la experiencia
que ha adquirido en la realización de análisis de riesgos integrados, tanto en proyectos de
Seguridad Corporativa como en proyectos de Protección de Infraestructuras Críticas e
instalaciones de alto riesgo, esta ampliación de la metodología Magerit Versión 2 está
alineada con las metodologías de análisis de riesgos de los estándares ISO 31000 Gestión
del riesgo. Principios y directrices e ISO 27005 Information technology -- Security techniques
-- Information security risk management. Así como en distintas guías y publicaciones del
Centro Criptológico Nacional (CCN-CNI), National Institute of Standards and Technology
(NIST) y del U.S. Department of Homeland Security
5 El modelo de madurez
Al considerar que la Seguridad es un proceso de negocio más, y que por lo tanto debe estar
alineado con los objetivos de negocio de la organización, dentro de un ciclo de mejora
continua, es necesario disponer de métricas que nos permitan medir el cumplimiento de sus
objetivos y de un modelo de madurez que nos permita disponer de un “Benchmarking” de la
capacidad de nuestros procesos de Seguridad. La utilización de métricas y modelos de
madurez es algo habitual en el resto de procesos de negocio de las organizaciones.
La inmensa mayoría de los modelos de madurez existentes actualmente, por no decir todos,
son modelos basados en el Modelo de Madurez de Capacidades o CMM (Capability Maturity
Model) desarrollado la Universidad Carnegie-Mellon para el SEI (Software Engineering
Institute). El CMM es un modelo de evaluación de la capacidad de los procesos de una
organización, que permite a las empresas valorar sus capacidades comparándolas con las
establecidas en estándares y buenas prácticas generalmente aceptadas, y con respecto a
empresas de su competencia (“Benchmarking”).
En el escenario actual en el que nos encontramos, mayor necesidad de seguridad,
escenarios dinámicos, amenazas en continua evolución y regulaciones cada vez más
exigentes, es necesario disponer de un Modelo de Madurez de la Seguridad Corporativa
(MMSC).
Página 10 de 11
11. CONVERGENCIA DE LA SEGURIDAD
Disponer de un MMSC nos va a facilitar la evaluación de los procesos de seguridad por
medio del “Benchmarking” y nos va a permitir identificar las mejoras en la capacidad que es
necesario llevar a cabo en los procesos de seguridad de nuestra organización.
Los responsables de la Seguridad Corporativa de una organización deben ser capaces de
responder a las siguientes cuestiones:
¿Qué está haciendo nuestra competencia, y cómo estamos posicionados en relación a
ellos?
¿Cuáles son las mejores prácticas de Seguridad Corporativa, y cómo estamos
posicionados con respecto a estas prácticas?
Con base en estas comparaciones, ¿Se puede decir que estamos haciendo lo
suficiente?
¿Cómo identificamos las acciones necesarias hacer para alcanzar un nivel adecuado
de protección de nuestros activos?
Es difícil responder adecuadamente a estas cuestiones. El responsable de Seguridad
Corporativa debe disponer de procedimientos y herramientas que le ayuden a dar respuesta
a estas cuestiones, lo que se traduce en la necesidad de disponer de:
Una medida relativa de dónde se encuentra la organización
Una manera de decidir hacia dónde ir de forma eficaz y eficiente
Una herramienta para medir el avance de la organización en el cumplimiento del
objetivo
La utilización de un MMSC nos va a ayudar a responder a las cuestiones anteriores y a dar
respuesta a las necesidades de Seguridad Corporativa de nuestra organización.
El MMSC desarrollado por Eulen Seguridad se basa en un método de evaluación de los
procesos de seguridad de una organización, inspirado en el CMM del SEI y alineado con el
modelo de madurez de COBIT (Objetivos de Control para la Información y la Tecnología
relacionada) de ISACA, utilizando los mismos seis niveles de madurez definidos en dichos
modelos:
0. No existente
1. Inicial/Ad Hoc
2. Repetible pero intuitivo
3. Proceso Definido
4. Administrado y Medible
5. Optimizado
La evolución de los procesos de Seguridad Corporativa de una organización, con el objeto
de incrementar su nivel de madurez, tiene que desarrollarse en un proceso de mejora
continua basado en el modelo PDCA, incrementando su nivel de madurez en cada vuelta del
ciclo.
Página 11 de 11