23 de Abril de 2. 010
Convergencia en Seguridad
Integrando la Gestión de los Riesgos de la Empresa
Ricardo Cañizares Sales
Director de Consultoría
EULEN SEGURIDAD, S.A.
INDICE
• Breve presentación.• Convergencia de la Seguridad.• Pilares de la Convergencia.
• Nuestra Propuesta.
2
Breve presentación
ImplantaciImplantacióón en Espan en Españñaa
4
Implantación internacional
ArgentinaColombiaCosta RicaChileEE.UU.EspañaMéxicoPanamáPerúPortugalR. DominicanaUruguay
5
10.900 12.320
15.500
19.125
24.000
0
5.000
10.000
15.000
20.000
25.000
2004 2005 2006 2007 2008
Evolución del Número de Empleados
6
195217
254
304
362
0
50
100
150
200
250
300
350
400
2004 2005 2006 2007 2008
Evolución Facturación (M€)
7
Actividades
• Servicios de Vigilancia y protección personal.
• Consultoría internacional.• Ingeniería de Seguridad.
• Instalación y mantenimiento de sistemas de seguridad.
• Seguridad de la Información.
• Inteligencia y prospectiva.• Formación avanzada.
8
Convergencia de la seguridad
Estado Inicial
• Seguridad Física• Seguridad reputacional• Previsión de riesgos laborales• Seguridad Medioambiental• Seguridad de la Información• Continuidad del negocio• Seguridad Legal• Gestión y transferencia de riesgos• ………
10
Convergencia de la seguridad
Seguridad de los empleados
Investigaciones éticas
Auditoría de seguridad
Desarrollo de políticas
Investigaciones criminales
Seguridad Corporativa
Establecimiento de Políticas
Provisión de usuarios
Gestión de activos
Monitorización y auditoría de seguridad
Respuesta a incidentes
Planificación de la continuidad del negocio
Procesos de Gestión de la Seguridad del Negocio
Provisión y gestión de acceso lógico
Detección y remediación de vulnerabilidades
Respaldo y recuperación
Prevención y detección de intrusiones
Seguridad perimetral
Gestión seguridad IT
Provisión y gestión de acceso físico
Protección de instalaciones e infraestructuras
Planes de respuesta a emergencias
Custodia de medios
Seguridad perimetral
Gestión seguridad física
Factores facilitadores
• Convergencia de las amenazas
• Convergencia tecnológica• Convergencia de los proveedores
• Convergencia de la comunidad de seguridad• Convergencia de la formación
12
Conclusiones
• El modelo tradicional de la seguridad está superado
• La integración de funciones de seguridad dentro de las organizaciones es un factor crucial para lograr la calidad y la competitividad
• El modelo de convergencia es prácticamente una obligación para las empresas que quieran ser líderes en sus sectores
13
Pilares de la Convergencia
Pilares de la Convergencia
• Plan Director de Seguridad Corporativa
• Sistema de Gestión de Seguridad Corporativa (SGSC)
• Modelo de Madurez
15
Plan Director de Seguridad Corporativa
• OBJETIVO– Sentar las bases teóricas para dotar a la organización de un Sistema Integrado de prevención y protección, ante los riesgos que puedan afectar a:• Las personas
• El patrimonio tangible
• Los activos intangibles
16
Plan Director de Seguridad Corporativa
• CÓMO– Definiendo la estructura técnica y organizativa necesaria, los
planes y procedimientos, y el programa de mantenimiento y auditoria.
– Analizando:• Los valores (activos) a proteger.• La situación actual de la seguridad.• El análisis de riesgos y vulnerabilidades.• Estado de los procesos de seguridad y su
integración con las diferentes áreas de negocio.
17
Plan Director de Seguridad Corporativa
• Objetivos:– Contribuir a la simplificación de los
sistemas de gestión de la seguridad y de sus procesos.
– Facilitar a la Dirección una garantía de viabilidad y rentabilidad a futuro.
– Actuar como vehículo de comunicación que permita divulgar las líneas de actuación que se quieran seguir.
– Establecer los planes de actuación de la empresa. Planificando a corto plazo y visionando a largo.
Mentalidad necesaria en la organización
18
Análisis de Riesgos Global
19
Plan Director de Seguridad Corporativa
• Enmarcado dentro del proceso de mejora continua de la seguridad
20
Sistema de Gestión de la Seguridad Corporativa
• El principal Objetivo de un Sistema de Gestión de Seguridad Corporativa es lograr la adecuación y alineación de la seguridad de las organizaciones de una forma global, de manera que reporte una mayor garantía de efectividad de los procesos de la organización.
21
¿¿Para quPara quéé un Sistema de Gestiun Sistema de Gestióón?n?
Gestionar la seguridad y la continuidad de la organización en un circulo de retroalimentación.
Mejora C
ontinua
RETROALIMENTACIÓN
Tiempo
22
Sistema de GestiSistema de Gestióónn
23
Sistema de GestiSistema de Gestióón de la Seguridad Corporativan de la Seguridad Corporativa
• El SGSC da respuesta a la necesidad actual de seguridad global en las organizaciones
24
• El Sistema de Gestión de Seguridad Corporativa concibe la seguridad como una integración de:
Seguridad lógica.Seguridad física.Seguridad reputacional.Seguridad legal.Seguridad patrimonial.PRL…
Hablando el lenguaje del riesgo.
25
Sistema de GestiSistema de Gestióón de la Seguridad Corporativan de la Seguridad Corporativa
Modelo de Madurez
• Una mejora en la Gestión de la Seguridad nos va a permitir avanzar en la madurez de los procesos de seguridad
• ISO/IEC 21827 SSE-CMM. – System Security Engineering Capability Maturity Model
26
Modelo de Madurez
0 No-existente
1 Inicial/Ad Hoc 2 Repetible pero intuitivo
3 Proceso definido4 Administrado y Medible
5 Optimizado
27
1 Inicial/Ad Hoc
• La organización reconoce la necesidad de seguridad
• La conciencia de la necesidad de seguridad depende principalmente del individuo.
• La seguridad se lleva a cabo de forma reactiva.
• No se mide la seguridad.
28
1 Inicial/Ad Hoc
• Los incidentes de seguridad ocasionan respuestas con acusacionespersonales, debido a que las responsabilidades no son claras.
• Las respuestas a las incidentes de seguridad son impredecibles.
29
2 Repetible pero intuitivo
• Las responsabilidades de seguridad, están asignadas a un responsable de seguridad, pero su capacidad de gestión es limitada.
• La conciencia sobre la necesidad de la seguridad esta fraccionada y limitada.
• Aunque los sistemas producen información relevante respecto a la seguridad, pero ésta no se analiza.
• Los servicios prestados por terceros pueden no cumplir con los requerimientos específicos de seguridad de la empresa.
30
2 Repetible pero intuitivo
• Las políticas de seguridad se han estado desarrollando, pero las herramientas y las habilidades son inadecuadas.
• Los informes de la seguridad son incompletos, engañosos o no aplicables.
• La capacitación sobre seguridad está disponible, pero depende principalmente de la iniciativa del individuo.
• El negocio no ve la seguridad como parte de su propia actividad.
31
3 Proceso Definido
• Existe conciencia sobre la seguridad y ésta es promovida por la dirección.
• Los procedimientos de seguridad están definidos y alineados con la política de seguridad.
• Las responsabilidades de la seguridad están asignadas y entendidas, pero no continuamente implementadas.
32
3 Proceso Definido
• Existe un plan de seguridad y existen soluciones de seguridad basadas en los resultados de un análisis de riesgo.
• Los informes no contienen un enfoque claro de negocio.
• Se realizan pruebas de seguridad adecuadas.
• Existe formación en seguridad, pero se programa y se comunica de manera informal
33
4 Administrado y Medible
• Las responsabilidades sobre la seguridad son asignadas, administradas e implementadas de forma clara.
• Se realizan periódicamente análisis de impacto y de riesgos de seguridad.
• Las pruebas de seguridad se hacen utilizando procesos formales ynormalizados que ayudan a mejorar los niveles de seguridad.
• Los procesos de seguridad están coordinados con la función de seguridad de toda la organización.
34
4 Administrado y Medible
• Los informes de seguridad están ligados con los objetivos del negocio.
• La capacitación sobre seguridad se imparte a todo el personal.
• La formación sobre seguridad se planifica y se administra de manera que responda a las necesidades del negocio y a los perfiles de riesgo de seguridad.
• Los KGIs y KPIs ya están definidos pero no se miden aún.
35
5 Optimizado
• Los requisitos de seguridad están definidos de forma clara, optimizados e incluidos en un plan de seguridad aprobado.
• Los incidentes de seguridad son atendidos de forma inmediata conprocedimientos formales de respuesta soportados por herramientasautomatizadas.
• Se llevan a cabo valoraciones de seguridad de forma periódica para evaluar la efectividad de la implementación del plan de seguridad.
• La información sobre amenazas y vulnerabilidades se recoge y analiza de manera sistemática.
36
5 Optimizado
• Se estudian e implementan en tiempo y forma los controles necesarios para mitigar los riesgos.
• Se llevan acabo pruebas de seguridad, análisis de causa-efecto e identificación pro-activa de los riesgos para la mejora continua de los procesos.
• La información de los KGIs y KPIs del sistema de gestión de la seguridad es recogida y utilizada.
• La dirección utiliza los KGIs y KPIs para ajustar el plan de seguridad en un proceso de mejora continua.
37
Nuestra Propuesta
Servicios de Seguridad Integral
SEGURIDAD
INTEGRAL
Seg. Física
Seg. Reputacional
Seg. Medioambiental
Seg. información
Continuidad negocio39
• La propuesta de EULEN es un precedente en Seguridad Corporativa en España. Usa todo su potencial para ofrecer a las empresas la integración en la gestión de sus riesgos y soluciones de seguridad.
Nuestra PropuestaSEGURIDAD
40
41
más de 35 años innovando para proteger
su patrimonio
Top Related