seguridad integral concepto

Seguridad IntegralLa convergencia en un mundo interconectado

MONOGRFICO

Sumario:n La creacin de una industria potencialn Visin y evolucin de un sector prometedor INTECOn Entrevista a Jos Luis Rodrguez Machn, director general de TELEFNICA INGENIERA DE SEGURIDADn El Plan Director de Seguridad Corporativa EULENn Sistemas de Gestin de la Seguridad, basados en modelos ISO APPLUS+n Adquisicin de datos y control de supervisin AUDEA SEGURIDAD DE LA INFORMACINn El nuevo concepto de 'Seguridad e Inteligencia' S21SECn Breve anlisis del estado de la cuestin ALIENTVAULT

SiStemaS, productoS, ServicioS, tecnologaS,

diSpoSitivoS, rieSgoS, amenazaS, normativaS... todo Se

une, todo Se integra, Se mezcla, e internet hace que lo

fSico y lo virtual confluyan. la Seguridad fSica hoy

Se SoStiene en SiStemaS electrnicoS e informticoS.

por Su parte, la Seguridad lgica neceSita de la

Seguridad tradicional para completar Su proteccin.

eS el momento de compartir una miSma viSin y Seguir

una Sola direccin, la de la Seguridad global.

especial52 red seguridad marzo 2009

la futura obligacin

de loS paSeS miembroS

de la ue de proteger

SuS infraeStructuraS

crticaS ofrece un

papel protagoniSta a

la Seguridad en todoS

SuS aSpectoS, que

previSiblemente Se

extender, por fin, a todoS

loS mbitoS de la Sociedad.

A nAdie nos pAsA desapercibido que, con la llegada de internet y, sobre todo, con el uso masivo de la red, la vida nos ha cam-biado radicalmente, no solo en el aspecto personal y social, sino tambin, y de manera significativa, en los procesos de trabajo. organizaciones, empresas e ins-tituciones, privadas y pblicas, de todos y cada uno de los sectores y segmentos industriales; gobiernos en todos sus nive-les, y estados; comunidades cientficas, educativas, universitarias e investigado-ras; cuerpos y fuerzas de seguridad..., estn viviendo esta transformacin.

este giro antropolgico llega a todos, incluso a los criminales, que no dudan en cometer sus fechoras tradicionales por medio de las ms sofisticadas tecnologas. y lo que es peor, de la combinacin de los saberes ms clsicos con los conocimien-tos ms avanzados. as que ya no se trata de protegernos frente a amenazas fsicas o ataques cibernticos, sino de conseguir una seguridad bajo una perspectiva total, integral, nica. un nuevo planteamiento

que abarque la proteccin y defensa ante amenazas tecnolgicas, catstrofes natu-rales y provocadas por el ser humano, as como ante la gran lacra del terrorismo.

en esta lnea, por la que muchos luchan ya, el consejo europeo solicit, en junio de 2004, la elaboracin de una estrategia global para mejorar la proteccin de infra-estructuras crticas. desde entonces, se han ido dando pasos en este sentido: el libro verde sobre un programa europeo para la proteccin de infraestructuras crticas (pepic) (noviembre de 2005); el pepic (desde diciembre de ese mismo ao); hasta que el pasado 8 de diciem-bre, el consejo europeo (ce) aprob la directiva 2008/114, sobre la identificacin y designacin de infraestructuras crticas europeas (ice) y la evaluacin de la nece-sidad de mejorar su proteccin.

esta normativa comunitaria obligar a los sectores de energa y transporte a cumplir nuevas pautas de seguridad antes del 12 de enero de 2011, que sern extensibles a otros sectores.

dos aspectos sern claves, a partir de ahora: el procedimiento del plan de Seguridad del operador (pSo), que iden-

tificar los elementos infraestructurales crticos de las ice y las soluciones de seguridad que existen o se estn aplican-do para su proteccin; y el responsable de enlace para la seguridad, que ejercer la funcin de punto de contacto para cuestiones de seguridad entre el propie-tario u operador de la ice y la autoridad competente del estado miembro.

este gran avance transnacional en Seguridad es el que llevan planteando muchas compaas como estrategia de Seguridad corporativa, como las empre-sas e instituciones que colaboran en este monogrfico y las que participarn en el "i encuentro de la Seguridad integral", que celebrar editorial borrmart durante los prximos 25 y 26 de marzo, en el convencimiento de que estamos en el inicio de creacin de la gran industria de la Seguridad.

y para finalizar con buen sabor de boca y otro dato que argumenta nuestro razona-miento, apuntar que un reciente estudio de idc e ibm estima que el negocio para ges-tionar la convergencia entre infraestructu-ras tecnolgicas y fsicas alcanzar los 122.000 millones de dlares en 2012.

tx: mercedes oriol vico.ft: getty images.

La creacin de una industria potencial

convergenciamonogrfico

Llega la hora de que la seguridad lgica y la seguridad tradicional estrechen las manos

convergencia monogrfico

red seguridad marzo 2009 53especial

La seguridad:hacia una sola direccin

LA proteccin de los activos de una empresa involucra actual y necesaria-mente a las tecnologas de la informa-cin, pero tambin tiene que ver con la aplicacin de las restricciones ms clsicas desde el punto de vista fsi-co, desde la denegacin del acceso a determinadas reas de las instalaciones, pasando por la ubicacin de personal de control y seguridad en los accesos, hasta la grabacin de los movimientos de nuestro personal o de las visitas en los distintos recintos y dependencias de nuestras oficinas.

existen tres grandes problemas en la forma de tratar la seguridad desde un punto de vista global: no se tiene conciencia empresarial

de que sea una poltica abarcable de forma integral, y que por lo tanto impli-cara poder disponer de una infraestruc-tura necesaria para poder desarrollarla e implementarla, algo en lo que muchas empresas no pueden o desean invertir. las dos grandes reas que atien-

den a la seguridad fsica y la lgica operan de manera independiente, con procesos, recursos y presupuestos independientes. los proveedores de los recursos

necesarios (personal y ti) son de dos mundos, hoy por hoy disjuntos, aunque hay tecnologa y formacin suficientes para llevar a cabo dicha integracin.

el primer problema es una falla habi-tual en las grandes y pequeas com-paas, una falla que se produjo hace

ya varios aos con otras problemticas como la gestin de la calidad o la de gestin de riesgos laborales, que actualmente ya est en fase de integra-cin con los procesos ms operativos de las empresas y que hoy ofrece unos indicadores incontestables de retorno de la inversin.

esta falla se suele producir en las grandes compaas por una falta de transferencia de informacin entre los grandes departamentos que la integran y que dificulta una implementacin sli-da de los procedimientos, una pobre

cultura de empresa y un personal que, aun con formacin suficiente, se resiste a seguir las polticas establecidas. esto, traducido en la pequea y mediana empresa, es ms fcil resumirlo en que el da a da del mantenimiento de su negocio les come en excesivo el tiempo, en detrimento de invertir sus recursos en hacer ms ptimos sus procesos y en obtener rendimientos que reinvertir de nuevo en la mejora de sus recursos y su ti.

en el mbito de una posible integra-cin de la seguridad lgica y fsica ser primordial ejercer una importante tarea de concienciacin en toda la pirmide de la empresa.

el segundo problema parece que tiene una solucin "lgica", pero com-plicada, de implementar: integracin de las dos reas bajo un nico respon-sable o director (que forme parte del comit de direccin de la compaa) y que aglutine la potestad para gestionar recursos, ti y presupuestos de forma integral.

el tercer problema est en boga desde hace algunos aos y hay ya compaas que se estn lanzando a incluir en su porfolio de servicios y pro-ductos una oferta integral de la seguri-dad lgica y fsica.

Si las ti estn evolucionando rpida-mente con el fin de ofrecernos una mayor competitividad empresarial, por qu no utilizarlas para disponer de una potente rea de seguridad, donde se integre la proteccin fsica y lgica?

Marcos Gmez HidalgoSubdirector de eConfianzadel Instituto Nacional de Tecnologas de la Comunicacin (INTECO)

viSin y evolucin de un Sector prometedor

Ser primordial ejercer unaimportante tarea de concienciacin en toda la pirmide de la empresa



Desde Telefnica Ingeniera de Seguridad (TIS), ustedes abanderan el concepto de "Seguridad Tecnolgica Integral". Podra parecer que se refie-re solo a la seguridad TIC por antono-masia, pero creo que va mucho ms all: Le importara explicarnos cul es la mxima de esta "filosofa"?"Seguridad tecnolgica integral" es el concepto motor de nuestra actividad desde los inicios de nuestra empresa hace ya 25 aos. parte de la idea de que la seguridad de una empresa, en la proteccin de las vidas, los bienes y la continuidad de negocio, no entiende de conceptos parciales que, en la mayora de los casos, han sido definidos por las propias empresas de seguridad en su especializacin para poder afrontarlos. es decir, seguridad fsica, electrnica, lgica, etc., no son ms que dimensio-nes de una misma realidad. por tanto, seguridad integral hace referencia a que

la forma adecuada de entender y afron-tar los riesgos no se limita a un mbito fsico y lgico. el ejemplo es claro; hoy en da, no es difcil ver cmo un proble-ma de seguridad que surge en lo fsico, tiene consecuencias en el mundo lgico, y viceversa. es por esta razn, que la mejor estrategia sea aquella que hunde sus pilares en un correcto y completo anlisis de riesgos, y que vertebra sobre l las medidas adecuadas para antici-parse y reaccionar.

Siendo nuestra mxima la seguridad integral, nuestra principal diferencia es nuestro saber hacer en materia tecno-lgica. Ser parte de un grupo lder en tecnologa y comunicaciones a nivel mundial nos posiciona como un actor diferenciado y reconocido. no hay que olvidar que, todo riesgo y su materializa-cin para ser correctamente afrontado, debe detectarse de forma temprana, comunicado de la forma ms efectiva y segura a aquella instancia que debe tomar las decisiones y, a su vez, trans-ferida a aquella otra instancia que debe

intervenir. como podemos ver, bajo cualquier planteamiento de respuesta ante una amenaza, subyace intrnseca-mente un concepto de comunicacin. Ser fuerte no slo en la disuasin, en la deteccin y en la reaccin, sino en la comunicacin bajo cualquier circuns-tancia es diferencial. por tanto, nuestra propuesta de valor se basa en hacer uso de herramientas tecnolgicas y de comunicacin que, convenientemente integradas, posibilitan una efectiva res-puesta y una sostenibilidad en la explo-tacin de la seguridad.

El nacimiento de TIS fue de natura-leza casi interna, a lo que le siguie-ron otras tres fechas clave. Cul es el siguiente paso para Telefnica Ingeniera de Seguridad?el siguiente paso, como no puede ser de otra forma, se basa en consolidar nuestra presencia y compromiso por mejorar los niveles de seguridad de nuestros clientes. para ello, queremos reafirmar nuestro compromiso por dise-

"debemos evitar que los temas de seguridad se pierdan en aspectos tecnicistas y que las empresas de seguridad pierdan su enfoque principal en planteamientos oportunistas"

entreviSta a JoS luiS rodrguez machn, director general detelefnica ingeniera de Seguridad (tiS)

tx: mov.ft: Seguritecnia.

La evolucin de Telefnica Ingeniera de Seguridad (TIS) pasa por cuatro fechas clave. El origen de la divisin -1984-, como proveedor de servicios de seguridad electrnica y fsica a todas las infraestructuras de las empresas de Grupo Telefnica, de Espaa y Latinoamrica. El ao 2002, en el que se crea la Direccin de Seguridad de la Informacin y Prevencin del Fraude, dirigida no slo a la corporacin, sino al mercado. 2007, ao en el que el volumen de la actividad de TIS alcanza niveles histricos, permitindoles hacer un cambio radical hacia los servicios integrales. Y hoy, momento en el que la compaa est experimentando un fuerte crecimiento y prev un fuerte desarrollo en actividades de seguridad de la informacin, as como en proteccin contra incendios, entre otras. Jos Luis Rodrguez Machn, director general de TIS, nos habla de "Seguridad Tecnolgica Integral", y destaca que "la seguridad fsica y lgica son parte de una misma realidad".



ar, integrar y poner a su disposicin las mejores soluciones de seguridad electrnica, seguridad de la informa-cin, prevencin del fraude y proteccin contra incendios. tenemos el doble reto de poner en valor nuestras reseables experiencias exitosas con clientes de todas las ramas de actividad y tamao, as como extender nuestras propues-tas de seguridad hacia las medianas y pequeas empresas, desde el reco-nocimiento de que es posible acercar la seguridad de la gran empresa a las pymes, basndose en soluciones de seguridad en modo servicio, gestiona-das desde nuestros centros de control de Seguridad integral.

Cmo les fue 2008 y qu perspec-tivas tienen para 2009? Cree que la industria de las TIC, en general, y el sector de la Seguridad, en particular, podran no solo "librarse" de la actual situacin de crisis, sino hacer de timn para la mejora econmica?2008 fue un ao de consolidacin de ingresos y servicios tras un excelente 2007. en 2008, hemos logrado repetir xitos obtenidos en el mercado nacio-nal, replicndolos internacionalmente. este hecho, confirma que nuestra forma de hacer seguridad es valorada y perci-bida por nuestros clientes, con indepen-dencia del mercado en el que operen. as mismo, el slido trabajo en 2008 en proteccin contra incendios y seguri-dad de la informacin, ha trado como consecuencia que ya sea un hecho sostenido en el tiempo la apuesta por la apertura a clientes externos, supo-niendo el trabajo en seguridad fuera del grupo telefnica ms del 60 por ciento de nuestra actividad.

por ltimo, y no menos importante, 2008 ha supuesto un crecimiento impor-tante en la cuanta y volumen de las ope-raciones realizadas, para lo cual hemos realizado una apuesta por el crecimiento de nuestros recursos propios para la ins-talacin, operacin y mantenimiento de nuestros clientes. todo ello configura un 2009, pese al contexto econmico en el que nos encontramos, que nos hace esperar grandes resultados.

est claro que la crisis va a traer un deterioro de la actividad econmica, as

como la elevacin de la incertidumbre en la toma de decisiones de inversin. pese a ello, sabemos que an ms en este contexto son necesarias las inver-siones en materia de seguridad de cara a protegerse frente a los riesgos cre-cientes. la inversin de las empresas y las administraciones en infraestructuras y tecnologas son enormes para poder seguir la demanda del mundo moderno y los riesgos de terrorismo, delincuencia organizada y otros de todo tipo, que amenazan continuamente esas inver-siones. adems, estamos convencidos de que en este mbito de la seguridad, las decisiones de proteccin se deben tomar tarde o temprano si verdadera-mente las empresas y la administracin son conscientes de las vulnerabilidades

que tienen. en cualquier caso, tambin en un entorno econmico tan complejo como el que se presenta, la confianza en empresas slidas que demuestren su saber hacer y acompaen a los clientes en todo momento, son la garanta de haber elegido bien.

Para dar servicio a los usuarios en un asunto tan crucial como es la Seguridad, qu puntos fuertes debe tener un socio proveedor como TIS?Seguridad es un concepto subjetivo ligado a la sensacin de mayor o menor exposicin a una amenaza. elegir un buen partner para iniciar el recorrido parte de la confianza y la solidez en las respuestas planteadas. esta confianza se logra en el da a da al demostrar que se est cercano al cliente y que se reconocen las necesidades ltimas de proteccin, haciendo un esfuerzo mprobo para identificar los problemas y riesgos existentes, ayudando al cliente a la hora de dar soluciones acordes, que no slo satisfagan esas necesidades

aqu y ahora, sino a lo largo del tiempo. confianza en que el planteamiento de seguridad realizado, entienda el tra-tamiento de los riesgos con carcter integral. confianza en un equipo huma-no altamente cualificado y fuertemente motivado en prestar el mejor servicio, con el fin de no slo tener un cliente satisfecho, sino un fan.

del mismo modo, es clave contar con un partner que est continuamente volcado por interiorizar las posibilidades que aportan las nuevas tecnologas. que invierta gran parte de los recursos en conocer y descender todo lo bueno que traen las distintas tecnologas dis-ponibles, y que aportan valor y suman si son correctamente integradas con los procesos de negocio.

por ltimo, el partner adecuado debe trasladar toda su experiencia y capaci-dades a la hora de dar respuesta a las necesidades nuevas que le planteen sus clientes.

Cuntas personas forman el equipo de TIS?el equipo humano que conforma telefnica ingeniera de Seguridad ha sufrido un gran cambio, no slo en nmero, sino en cualificacin. Somos ya 530 profesionales volcados en la mejora de la seguridad de nuestros clientes. la gran mayora de estos recursos se englo-ban en operaciones y mantenimiento. no es posible mantener los ms altos niveles de calidad, la ejecucin y mante-nimiento de los proyectos de seguridad en nuestros clientes, sin una estructura humana propia altamente formada y que est cercana al propio cliente. en ellos, hay un nmero importante de ingenieros especializados en las distintas disciplinas, desde el anlisis de riesgos hasta la implantacin y explotacin final.


"pese al contexto econmico enel que nos encontramos, 2009 nos hace esperar grandes resultados"



En qu pases estn presentes? Piensan abrir nuevas delegaciones?actualmente estamos presentes en espaa y cinco pases en latinoamrica: mxico, brasil, per, argentina y chile. cuando digo que estamos presentes, me refiero a que tenemos actividad comercial y capacidad de soportar cual-quier proyecto de seguridad integral con recursos propios. en todos los pases, contamos con una central receptora de alarmas y una plantilla tanto tcnica como operacional, capaz de acompaar a nuestros clientes y cubrir todas sus necesidades de seguridad.

en cuanto a tener como objetivo abrir nuevas delegaciones, actualmente esta-mos estudiando extender nuestras acti-vidades a otros pases, siempre siguien-do la presencia del grupo telefnica y sumando compromiso en los clientes de europa y latinoamrica.

Con qu 'partners' y tecnologas trabajan habitualmente?agradezco esta pregunta, pues me sirve para reafirmar otro de los con-ceptos motores de nuestra empresa tras la Seguridad tecnolgica integral. telefnica ingeniera de Seguridad, por definicin, es empresa integradora de sistemas y tecnologas de seguridad multi-marca. estar volcados en cubrir las necesidades de seguridad de nues-tros clientes, nos lleva a no condicionar nuestras respuestas y planteamientos a un nico fabricante y tecnologa. cada nuevo proyecto requiere un plantea-miento a medida, y ello conlleva disear las soluciones y servicios en base a la mejor tecnologa disponible. esto no quiere decir que no se confe y nos apoyemos frecuentemente en partners lderes en sus tecnologas, pero siempre nos cuestionamos cual es el fin ltimo y

la forma ms efectiva y eficiente de dar respuesta.

en cuanto a las tecnologas que habi-tualmente trabajamos, como se puede imaginar, no estn sujetas a nuestras preferencias, sino a las necesidades que nos trasladan. lo que s podemos ase-gurar es que, principalmente, la dinmi-ca de mercado nos est especializando en tecnologas ip y sistemas integrables e interoperables, pero no descartamos y consideramos frecuentemente otro tipo de medidas ms tradicionales, por as decirlo, si ests dan un mejor resultado tanto funcional como econmico.

Los productos y servicios que ofrece TIS van desde anlisis y gestin de riesgos, proteccin de activos o con-trol de accesos hasta las reas nor-mativa y legal, prevencin del fraude o auditora y control. Qu organiza-ciones necesitan de su ayuda?en telefnica ingeniera de Seguridad, como parte del grupo telefnica, y ms an en mbitos de seguridad donde la confianza, seriedad y confidencialidad ha de primar, decir a quin y qu es lo que se ha hecho, no suele ser nuestra dinmica rectora. lo que s podemos hacer es hablar de nuestras capacida-des y trayectoria en los distintos secto-res de actividad.

nuestros principales clientes, aparte del grupo telefnica, se encuentran en los sectores de industria, energa y uti-lities, trasporte y entidades financieras. desde 2006 hasta la fecha, tambin venimos realizando proyectos de seguri-dad y prestando servicios de seguridad para la administracin pblica y la pro-teccin de infraestructuras crticas.

por ltimo, me gustara resear que en 2007, bajo nuestra estrategia de extender la seguridad de la gran empre-sa a pequeas y medianas empresas,

hemos comenzado a prestar servicios de seguridad en colectivos de pymes concretos, donde nuestros planteamien-tos de seguridad tecnolgica integral basados fuertemente en comunicacio-nes, estn aportando gran valor.

Desde su amplia experiencia en la ges-tin y direccin de un negocio como el que desarrolla TIS, nos podra expo-ner qu semejanzas encuentra entre la seguridad lgica y la seguridad fsica, y en qu pueden divergir?las semejanzas entre una y otra dimen-sin de la seguridad radican en que son parte de la misma realidad: la proteccin de vidas, bienes y continuidad de nego-cio. toda amenaza debe ser, en la medi-da de lo posible, evitada mediante una correcta disuasin. de materializarse la amenaza, sta debe ser rpidamente detectada a la vez que se contienen sus efectos, mientras se desencadenan las medidas de reaccin oportunas que aminoren al mximo su impacto. la componente de comunicacin tambin es un elemento comn y no debe ser el eslabn dbil por el que se rompe la cadena. y, por ltimo, con indepen-dencia de tratarse de uno u otro tipo de seguridad, deben habilitarse los meca-nismos que registren la informacin y permitan analizar cmo se ha dado respuesta y cmo se puede mejorar en caso de repetirse el hecho.

qu amenaza ms hoy a la socie-dad: la prdida de activos fijos o la de la informacin y las comunicaciones? el problema es que tenemos que separar an conceptos de seguridad de funcio-namiento y disponibilidad de la informa-cin y las comunicaciones, de otros ms relacionados con seguridad contra actos delictivos o cumplimiento de estndares. de todas formas, siempre habr zonas grises marcadas por la complejidad de la tecnologa y los servicios, pero debe-mos evitar que los temas de seguridad se pierdan en aspectos tecnicistas y que las empresas de seguridad pierdan su enfoque principal en planteamientos oportunistas de terico negocio adicio-nal, ms visible y aceptado.

como vemos, no es que haya seme-janzas, sino que seguridad fsica y lgica son parte de la misma realidad.


"tiS es una empresa integradorade sistemas y tecnologas deseguridad multi-marca"


60 red seguridad marzo 2009 especial

Una herramienta bsica para la gestin integral de la seguridad

Se llame ConvergenCia de la Seguridad, Seguridad Integral, Gestin de la Seguridad Global o cualquier trmino similar, es indudable que esta-mos hablando de un nuevo paradigma en la gestin de la seguridad de los activos de las organizaciones. Este concepto cubre los diferentes aspec-tos de gestin de la seguridad, de todos los activos que aportan valor a las organizaciones: personas, infor-macin, bienes materiales y bienes inmateriales.

Como punto de partida se puede decir que existen mecanismos de ges-tin, incluso sistemas tecnolgicos, que ayudan a integrar los procesos de seguridad en las organizaciones. La mayor barrera a la que se enfrenta la implantacin de la Convergencia de la Seguridad en las organizaciones es que, actualmente, el estamento directivo de las mismas, con algu-nas excepciones, an no concibe que un nico equipo de personas dirijan y gestionen todos los procesos de

seguridad de la organizacin. El pri-mer paso a dar es que la seguridad se considere un proceso dentro de la estructura productiva de la organiza-cin, un proceso que aporta valor a la organizacin, que interacta con el resto de procesos productivos y que es imprescindible para el buen funcio-namiento de estos.

Para alcanzar el objetivo de la Convergencia de la Seguridad, es necesario contar con un Plan Director de Seguridad Corporativa, que esta-blezca que la seguridad de todos los activos de la organizacin es un pro-ceso productivo ms de la cadena de valor de la misma, y fije la gestin de dicho proceso mediante un sistema de gestin de mejora continua.

Estructura coherente y coordinadaEl objetivo del Plan Director de Seguridad Corporativa es crear una estructura coherente y coordinada de personas, procesos y tecnologa, que permita la gestin proactiva de las amenazas, vulnerabilidades e inciden-tes de seguridad, con el objetivo final de minimizar el impacto de los inci-dentes de seguridad sobre la organi-zacin, garantizando la continuidad de las operaciones de la organizacin y la supervivencia de la misma.

El establecimiento de una nueva figura directiva en la organizacin, Director de Seguridad Corporativa o Chief Security Officer (CSO) en la

Carlos Blanco PasamontesDirector Nacional deEulen Seguridad

El PLAN DIRECTOR DE SEGURIDAD CORPORATIVA



terminologa anglosajona, permitir coordinar todos los elementos rela-cionados con la seguridad y gestionar de forma integrada las funciones de seguridad de la corporacin. El perfil profesional de esta figura debera ser multidisciplinar y con una alta capaci-dad de gestin.

La informacin, nuevo focoHasta hace unos aos, el principal foco de la seguridad estaba centrado en las personas, edificios, productos, maquinaria o cualquier otro activo de valor de naturaleza fsica. Con los cambios tecnolgicos, que han dado lugar a la Sociedad de la Informacin, y a la aparicin de nuevas amenazas, ha variado este foco; se ha puesto de manifiesto la necesidad de proteger uno de los activos ms importantes de una organizacin, la Informacin y los sistemas que la procesan, trans-miten y almacenan. Es un hecho que los activos inmateriales como la informacin, la imagen o reputacin se han convertido en unos de los activos ms crticos de las organiza-ciones.

El Plan Director de Seguridad Corporativa debe recoger este cambio de foco de la seguridad y contemplar la gestin global los riesgos a los que est expuesta la organizacin. Por ello, uno de sus principales objetivos es conseguir la alineacin de todas las acciones que se lleven a cabo en el mbito de la proteccin de activos con las necesidades y objetivos del negocio, teniendo en cuenta todos los aspectos relativos a:

La seguridad de la informacin. La seguridad de las personas. La seguridad patrimonial. La continuidad del negocio. La recuperacin de desastres. La gestin de los riesgos de seguridad. El cumplimiento legal. Seguridad ambiental. La seguridad laboral. La seguridad reputacional...

El desarrollo de un Plan Director de Seguridad Corporativa, basado en el paradigma de la Convergencia de la Seguridad, nos va a permitir alcanzar

una serie de objetivos, entre los que citaremos:

Alineacin seguridad/negocioMayor alineacin de la seguridad con el negocio: El diseo de una arquitectura de seguridad integrada y una estructura de gestin, proporciona una visin glo-bal de las necesidades de seguridad de la organizacin, lo que permite alinear la gestin de riesgos y los procesos de seguridad con los objetivos de negocio de la organizacin.

Gestin GlobalLos procesos de seguridad se ges-tionarn de forma global, pero sern ejecutados por tcnicos especialistas de cada una de las funciones de segu-ridad. Esta forma de gestin permite incrementar el nivel de control interno de los procesos de seguridad, sin per-der eficacia y eficiencia en la ejecucin de los mismos.

Reduccin de costes y tiempoReduccin considerable de costes y tiempo: El contemplar la seguridad como un conjunto de procesos integra-dos, con un objetivo comn y definido, la seguridad de la organizacin, va a suponer un ahorro de costes conside-rables, gracias a la desaparicin de la duplicidad de funciones, de los solapes entre las mismas y a una mejora del flujo de informacin. La implantacin de la Convergencia de la Seguridad facili-ta el incremento de productividad del personal y permite el ahorro de costes y tiempo, en duplicidad de trabajos, en logstica, en infraestructura, en tecnolo-ga de seguridad, etc.

Intercambio de informacinCorrecto intercambio de informacin: La estructura organizativa y de ges-tin, establecida en el Plan Director de

Seguridad Corporativa, va a permitir una mejora en el flujo de informacin entre las distintas funciones de segu-ridad implicadas y los equipos que las gestionan, lo que va a permitir romper las barreras que actualmente pueden existir entre ellos.

Disponer de un Plan Director de Seguridad Corporativa, que contemple todos los riesgos a los que esta expuesta una organizacin, es una necesidad imperiosa. Aquellas organi-zaciones que no dispongan de l estn en una clara desventaja respecto al resto y estn asumiendo riesgos inne-cesarios, que pueden llegar a poner en peligro su supervivencia.

Las organizaciones sin Plan Director de Seguridad estnen una clara desventaja

El PLAN DIRECTOR DE SEGURIDAD CORPORATIVA



La importancia dela seguridad integral

nadie CueStiona a estas alturas que estamos en tiempos de cambio. Y no hablamos de la situacin econmica actual, sino de los cambios sociales, econmicos y culturales generados por el desarrollo de las tecnologas digita-les. Al igual que la revolucin industrial supuso una modificacin radical en la sociedad occidental, la revolucin tec-nolgica est transformando el mundo en que vivimos.

Esta revolucin, que nace con el desarrollo de las tecnologas digitales y la expansin de Internet, est sentando

los pilares de una nueva estructura social que tiene a la informacin como activo fundamental: la Sociedad de la Informacin.

Para que este nuevo paradigma fun-cione, es necesario garantizar la seguri-dad y buen funcionamiento de los pila-res sobre los que se apoya esta nueva Sociedad de la Informacin: disponibi-lidad, integridad y confidencialidad de los datos.

Pero qu entendemos por seguri-dad? A priori parece que en las empre-sas hay una doble visin de la seguri-dad. Desde una perspectiva tradicional, por un lado, se controla la seguridad de accesos, los ataques y las amena-zas fsicas y, por otro lado, se trabaja para implantar nuevas tecnologas de la informacin que garanticen la seguri-dad informtica.

Sin embargo, tanto una como otra son necesarias y se solapan: los equi-pos informticos necesitan de la seguri-dad tradicional y sta se apoya en gran

medida en los sistemas informticos. Por lo tanto, todas las amenazas que afecten a la seguridad desde cualquier punto de vista se deben gestionar de forma integrada.

Nos referimos entonces a la seguri-dad integral. En otras palabras, se trata de crear una estructura organizativa y de gestin que, mediante un proceso de anlisis y mejora continua, contemple todos los aspectos relacionados con la

seguridad. Es necesario, por lo tanto, un sistema que pueda gestionarla en su totalidad, en el escaln adecuado del organigrama, con responsabilidad y recursos adecuados. Slo de esta forma se puede garantizar el correcto funcio-namiento de las funciones productivas y de crecimiento de las compaas.

La seguridad de la informacinDesde el entorno de las Tecnologas de la Informacin y las Comunicaciones (TIC) se ha definido a la seguridad de la informacin como la disponibilidad, integridad y disponibilidad de la misma. Esta filosofa se recoge en normas internacionales como las normas ISO 27001 e ISO 27002, que contemplan aspectos de seguridad fsica, control de acceso y seguridad de infraestruc-turas, aunque se desarrollan en mayor grado aquellos relacionados con la seguridad lgica y organizativa.

Para alcanzar la integracin de los distintos aspectos de la seguridad, es posible apoyarse en los modelos de mejora continua utilizados por los siste-mas de gestin ISO (norma ISO 27001, por ejemplo). Con el ciclo presentado en este esquema se estableceran las necesidades y medidas de seguridad y se iran analizando y mejorando per-manentemente para garantizar la ade-cuacin de la seguridad a la situacin de la empresa.

Aunque una norma de este tipo es adecuada para establecer un sistema

Laura Prats AbadaResponsable Producto Seguridad TI de Applus+LGAI Technological Center

SISTEMAS DE GESTIN DE LA SEGURIDAD, BASADOS EN MODELOS ISO

Todas las amenazas que afecten a la seguridad se deben gestionar de forma integrada

especial red seguridad marzo 2009 63


de gestin, es necesario trabajar tam-bin en el desarrollo de un marco de buenas prcticas o normas que apoyen la seleccin de medidas concretas en cada uno de los aspectos de la segu-ridad.

Medidas en un CPDPara poner un ejemplo de las medidas de seguridad a utilizar, consideraremos el caso de un centro de proceso de datos. Todas las compaas necesitan del buen funcionamiento de estas ins-talaciones para desarrollar su trabajo Por lo tanto, si hay algn sitio en la empresa que necesite de una garanta de seguridad eficiente es sobre todo el Centro de Proceso de Datos (CPD).

En concreto, entonces, se deberan revisar los siguientes aspectos:

1. Localizacin. El lugar en el que se instale el CPD va a influir en la seguri-dad del mismo. Hay que evitar zonas inundables, industrias peligrosas alre-dedor, zonas de riesgo ssmico, etc.

2. Edificacin. Adems de cumplir las normativas, se deben considerar aspectos relativos a la seguridad como los puntos de acceso al edificio, las zonas de carga y descarga, etc.

3. Distribucin del edificio. Es impor-tante vigilar la distribucin del edificio, ya que va a facilitar la implantacin de infraestructuras (cableado, clima-tizacin) y de medidas de control de acceso y vigilancia.

4. Infraestructuras. Aspectos como garanta de suministro elctri-co, adecuada climatizacin, control de humedad e inundaciones, sistema anti-incendios, etc. deben disearse y mantenerse para el adecuado funcio-namiento de los equipos.

5. Control de accesos y vigilancia. Se deben delimitar los puntos de acce-so y mantener un sistema de control seguro en funcin del perfil de cada usuario. Adems, se debe implantar un sistema de vigilancia que mantenga la seguridad.

6. Seguridad de la red. Los equipos lgicos deben estar adecuadamente configurados, libres de vulnerabilidades y con las medidas de seguridad implan-tadas. Se deben considerar las tecnolo-gas de seguridad adecuadas en funcin de los servicios proporcionados.

7. Seguridad lgica. Adems del acce-so fsico, los nuevos sistemas incorporan la posibilidad de acceder en remoto a la informacin. Por lo tanto, hay que garan-tizar que esa va de entrada sea segura.

8. Continuidad de los servicios. Los servicios que inciden en el funciona-miento del CPD deben estar garanti-zados a los niveles establecidos por la empresa, exigidos legalmente y acorda-dos contractualmente. Para ello hay que desarrollar planes de continuidad que garanticen la recuperacin de los servi-cios en el tiempo y el nivel adecuado.

9. Seguridad de los datos. En los sistemas electrnicos tenemos herra-mientas que nos permiten garantizar la seguridad de los datos en caso de incidentes. Para ello deberemos tener un adecuado sistema de copias de seguridad que permita una rpida recu-peracin y un sistema de activacin de logs para poder analizar los incidentes ocurridos y obtener evidencias.

10. Gestin de la seguridad. Aunque lo mencionamos en ltimo lugar, en realidad es un punto de partida de un ciclo continuo que permita mantener y mejorar los niveles de seguridad. Para ello se analizarn riesgos, se disean polticas y se desarrollan procedimien-tos para su implantacin. En particular, se deben desarrollar procedimientos como los de gestin de incidentes y control de cambios.

Los puntos anteriores no pretenden ser exhaustivos y necesitan un desa-rrollo que permita concretar qu, cmo

y cundo aplicar cada una de las reco-mendaciones. La dificultad consiste en decidir qu se toma como referencia para seleccionar las medidas concretas a aplicar. En este punto se pueden buscar cdigos de buenas prcticas y normativas de organizaciones de pres-tigio que ayudan a la implantacin real de la seguridad.

Actualmente existen normativas para la aplicacin de la seguridad lgica y guas y estudios para los sistemas de seguridad fsica. Pero la seguridad es una, la de la informacin, sea cual sea el origen de la amenaza.

Applus+, multinacional espaola lder en ensayos, inspeccin, certificacin y servicios tecnolgicos, cuenta con un equipo multidisciplinar capaz de certifi-car todos los aspectos de la seguridad que pueden afectar a un Centro de Proceso de Datos.

SISTEMAS DE GESTIN DE LA SEGURIDAD, BASADOS EN MODELOS ISO

especial


64 red seguridad marzo 2009

La Gestin de Riesgos de Seguridad en Sistemas SCADA

el trmino SCada (Supervisory Control And Data Adquisition) se refie-re a la adquisicin de datos y control de supervisin. Se trata de un soft-ware diseado para funcionar sobre equipos tradicionales para controlar procesos industriales, proporcionando la informacin necesaria a operadores y supervisores para mejorar la eficacia del proceso de monitorizacin y con-trol, y permitiendo la toma de decisio-nes en algunos entornos que pueden ser crticos, como en sistemas de ges-tin de agua y fluidos, energa elctrica y nuclear, sealizacin para trfico, sis-temas de control ambiental, procesos de fabricacin, seguridad, etc.

Un sistema SCADA esta confor-mado por los siguientes elementos fundamentales: Interfaz Operador HMI (Human

Machine Interface): Entorno visual que brinda el sistema para la interaccin con los otros elementos. Unidad Central (MTU): Ejecuta

acciones de control, almacena y pro-cesa los datos. Unidad Remota (RTU): Cualquier

elemento que enva informacin a la MTU, ubicado en el sitio remoto. Similares a los PLC (Programmable Logic Controller). Sistema de Comunicaciones: Se

encarga de la transferencia de infor-macin desde el punto donde se rea-lizan las operaciones, hasta donde se supervisa y controla el proceso.

Transductores: Convierten una seal fsica en una seal elctrica.

Respecto a la comunicacin fsica, actualmente se emplean conexiones directas, accesos telefnicos, ethernet o wireless, y en cuanto a los protoco-los de comunicacin empleados, algu-nos de los ms extendidos son ASCII, MODBUS TCP/IP, PROFInet, DNP3, BSAP/IP, CIP o TASE/ICCP. Tambin se emplean protocolos en capas supe-riores como OPC (OLE for Process Control OPC Foundation-OLE/COM), ODBC/JDBC, FTP y HTML para la representacin de datos. La figura inferior muestra un diagrama tpico de comunicacin entre componentes de un SCADA, empleando MODBUS TCP/IP.

Si analizamos la seguridad para MODBUS, el funcionamiento del pro-

tocolo de capa 7 (MBAP-MODBUS Application Protocol) es simple. Las transacciones estn basadas en un esquema request-reply. El cliente/master (MTU) realiza una peticin al servidor/slave (RTU), quien responde. Cada mensaje enviado contiene un cdigo que indica tanto al master como al slave la operacin a realizar.

Sistemas comprometidosExisten algunas amenazas, que de ser explotadas podran comprometer la seguridad de todo el sistema a travs de la consecucin de objetivos mayores para un posible atacante del sistema:

+ Acceso no autorizado: El acce-so a cualquiera de los componentes del SCADA permitira explotar otras vulnerabilidades. Por ello se deben proteger los accesos de terceros, las

Antonio MartnezResponsable de Seguridad TIC de udea Seguridad dela Informacin

ADQUISICIN DE DATOS Y CONTROL DE SUPERVISIN


instalaciones remotas y los medios de transmisin tanto cableados como inalmbricos.

+ Identificar cada dispositivo del SCADA en la red: La obtencin de informacin a travs de Port Scan TCP/502 (MODBUS), y la realizacin de tcnicas de fingerprinting y captura del trfico de la red, permitira obtener acceso a los mensajes intercambiados entre master y slave.

Las vulnerabilidades propias de este protocolo afectan principalmente a las siguientes dimensiones de la seguri-dad:

X Confidencialidad: El trfico no es cifrado.

X Integridad: El protocolo depende de la integridad de los niveles inferio-res, ya que MBAP no los incorpora.

X Autenticacin: No existe autenti-cacin en ninguno de los niveles.

Gestin y control de riesgosPara gestionar los riesgos relacio-nados con sistemas SCADA, entre otros: manipulacin de configuracin de acceso no autorizado, escucha de informacin, corrupcin de men-sajes y denegacin de servicio, es recomendable adoptar los siguientes controles:

Cifrar en la medida de lo posible todas las conexiones y enlaces que salgan del permetro de seguridad fsico establecido. Cualquier gateway que comu-

nique con el exterior es susceptible de ataque, por lo que debe ser pro-tegido, asegurado y aislado de otros SCADA.

Cualquier conexin con terceros debe ser protegida mediante firewalls y VPN. Los sistemas detectores de intru-

sos (IDS) son piezas fundamentales en el despliegue de SCADA. Si han sido convenientemente ajustados, permiten detectar la mayora de los ataques, estableciendo patrones de conducta no adecuados y generando alertas en tiempo real.

Un sistema de almacenamiento de logs y eventos suficientemente prote-gido, que permita el anlisis forense y la obtencin de evidencias ante cual-quier accin legal.

Un ejemplo prcticoComo ejemplo prctico, indicar que en algunos sistemas SIM, como el amplia-mente extendido OSSIM (Open Source Security Information Management System), ya se han desarrollado fir-mas de IDS para los protocolos ms extendidos como MODBUS, ICCP y DNP3, como se puede ver en el cua-dro inferior.

Adems, OSSIM tambin proporciona la posibilidad de deteccin de anoma-las en distintos tipos de trfico emplea-dos por SCADA, fundamentalmente en MODBUS, Ethernet/IP, PROFIBUS, ControlNet, Infonet, HART, UCA, FieldBus, Distributed Network Protocol (DNP), Inter-Control Center Communication Protocol (ICCP) y Telecontrol Application Service Element (TASE).

En resumen, los SCADA son siste-mas cuya misin es controlar procesos en muchos casos crticos. La integra-cin con servicios y redes modernas han introducido riesgos en estos sis-temas que no deberan ser asumidos por sus responsables, debido a los altos impactos que ocasionaran.

Aunque en este artculo se ha ana-lizado con mayor detalle el protocolo MODBUS, la mayora de los proto-colos citados durante el mismo tie-nen deficiencias similares, ya que no fueron diseados para la integracin con las tecnologas actuales, por lo que se recomienda un anlisis exhaustivo de las tecnologas y pro-tocolos empleados en cada uno de sus elementos.


ADQUISICIN DE DATOS Y CONTROL DE SUPERVISIN



La convergencia de la seguridad fsica y la seguridad lgica

Con el paSo de los aos la seguri-dad fsica ha ido adaptndose a los medios digitales y el alineamiento entre los departamentos de seguri-dad fsica y los departamentos de seguridad lgica es algo cada vez ms comn y demandado en las organizaciones. Desde hace unos aos venimos observando cmo esta realidad est transforman-do la fisonoma del mercado de la Seguridad y de la de sus actores principales. Dentro de un mercado donde existen diversos planos del

concepto de la seguridad, se hace necesaria una coexistencia entre todos ellos para lograr la seguri-dad de la sociedad. En las ltimas cuatro dcadas, hemos vivido la implantacin de una nueva legisla-cin en materia de seguridad. Este tipo de legislacin, antes reservada nicamente al Estado, ha ampliado su radio de accin a elementos que permiten el desarrollo de la vida de los ciudadanos en sus relaciones

con sus semejantes y con la admi-nistracin, la custodia de sus datos personales, su derecho a la intimi-dad, etctera.

Actualmente, vivimos en una sociedad en la que se hace impres-cindible compatibilizar los derechos fundamentales de libertad con la seguridad, esto supone el nacimien-to de un modelo de convivencia en permanente revisin. La concepcin holstica de la seguridad no es slo el comienzo de una moda, sino ms bien una necesidad que ha veni-

do impuesta por la maduracin del propio mercado donde el riesgo, cada vez mayor, es global, transna-cional, con abundantes recursos y con herramientas tecnolgicas que hacen, que los que debemos pro-teger los activos de los ciudadanos, de las empresas y de los Estados, tengamos que identificar este ries-go de una forma global y en el que nuestra actuacin toma cada da una mayor relevancia.

Si observamos detenidamente a las grandes empresas, vemos cmo sus modelos de actuacin han ido cambiando tanto en lo que a merca-dos se refiere como en el desarrollo de nuestras habilidades de com-petencia internacional. Hoy en da, las compaas necesitan que exista un flujo de informacin permanente para posicionar adecuadamente la estrategia del desarrollo de su nego-cio. La seguridad global del negocio implica un desarrollo cualitativo del servicio de seguridad patrimonial, de activos, de seguridad informti-ca, de inteligencia de negocio, de inteligencia competitiva, y un largo etctera. Nuestro objetivo como empresa de seguridad es pasar del anlisis forense de datos a la pros-pectiva que permita el alineamiento total con el resto del negocio.

Riesgo, Seguridad e InteligenciaLa figura actual del Director de Seguridad Corporativo ir dejando paso, en un futuro no tan lejano, a la de Director de Gestin del Riesgo, Seguridad e Inteligencia. Bajo esta nueva orientacin se resuelven pro-blemas competenciales que hist-ricamente se han venido reprodu-ciendo en todas las compaas, en mayor o menor medida.

El problema de la inexistencia his-trica de una filosofa de actores de Inteligencia y Seguridad hace que el

Juan AntonioGmez BulePresidente del Consejo Asesor de S21sec

EL NUEVO CONCEPTO DE 'SEGURIDAD E INTELIGENCIA'

La concepcin holstica de la seguridad no es slo el comienzo de una moda, sino una necesidad



sector de la Seguridad necesite una profunda transformacin, al mismo tiempo que genera numerosas opor-tunidades, puesto que supone un aumento de la eficiencia y de la efi-cacia empresarial en la competencia de los mercados globales.

Para actuar globalmente es nece-sario tener una visin unificada del riesgo, y para obtener esta visin es imprescindible tener una exacta cuantificacin y cualificacin de los distintos elementos que configuran los diversos riesgos. Adquieren una especial importancia en el contex-to que hemos venido planteando, la disponibilidad de herramientas que valoren la crisis y que identifi-quen escenarios sobre las distintas soluciones a tomar; la recoleccin de informacin de diversas fuentes; las herramientas tecnolgicas de firmas espaolas sin puertas trase-ras que permitan desarrollar activi-

dades de inteligencia e impidan la fuga de informacin; los analistas de inteligencia que presenten informes adecuados a las necesidades del negocio. En definitiva, el antiguo concepto de la separacin entre las distintas seguridades forma parte del pasado, debemos evolucionar al nuevo paradigma de 'Seguridad e Inteligencia' como elemento consus-tancial y vital al desarrollo estratgi-co de las empresas.

Evolucin hacia la colaboracinLa necesidad de evolucionar al con-cepto de 'Seguridad e Inteligencia' se visualiza claramente en las necesi-dades que tiene el Estado en cuanto a polticas de Seguridad y Defensa, as como en la colaboracin de los distintos actores institucionales pbli-cos, como pueden ser administracio-nes y universidades; privados, como empresas y ciudadanos. Tambin

EL NUEVO CONCEPTO DE 'SEGURIDAD E INTELIGENCIA'

podemos visualizarla en iniciativas colaborativas frente a riesgos terro-ristas, crimen organizado, pederas-tia, riesgos ubicuos o delincuentes que usan Internet para perseguir sus fines; Estados que golpean a otros utilizando la ciberdelincuencia encu-bierta; ataques de denegacin de servicio a pases; ataques a sus infra-estructuras crticas, etc.

Estas nuevas situaciones obligan a realizar un cambio muy significati-vo en las estrategias de las empre-sas de seguridad frente a los riesgos globales donde la tecnologa evolu-ciona. Se busca minimizar los ries-gos, anticiparnos a escenarios futu-ros analizando informacin existen-te, concienciar, formar, gestionar el cambio, prevenir el caos, ofrecer sensacin de seguridad a los que nos rodean y, en definitiva, gestionar globalmente la Seguridad en mays-culas.

Proteja los sistemas informticos de su empresa con la mejor herramienta:

La informacin especializada.

Suscrbase: Don Ramn de la Cruz, 68. 28001 Madrid. Tel.: +34 91 402 9607. Fax: +34 91 401 8874. http: www.borrmart.es. E-mail:[email protected]

La solu

cin eTo

ken SSO

le perm

ite imp

lement

ar el lo

gon n

ico al P

C y a su

s

aplicac

iones d

e forma

sencilla

y robu

sta al t

iempo

que con

eToken

TMS cu

enta

con el m

s avan

zado si

stema d

e gesti

n cen

tralizad

a de u

suarios

y dispo

sitivos.

Las p

olticas

de

contras

eas q

ue obl

igan

al usu

ario a

camb

iarla

perid

icament

e termi

nan pro

ducien

do im

genes c

omo

sta.

Con la

gama d

e dispo

sitivos

eToken

de Al

addin p

uede e

stablece

r una

estrate

gia de

autent

icacin

fuerte

adapta

ble a su

entorn

o y a las

necesid

ades

de cad

a tipo

de usu

ario de

forma

rpida

y econ

mica.

Este es e

l efecto

de

su actua

l poltic

a de

contrase

as

Soli

cite su

kit info

rmativo

de eTo

ken y c

ompru

belo

Visite w

ww.ala

ddin.e

s/etoke

n

Madri

d

C./ Albas

anz, 14

28037 M

adrid

Tel. 91

375 99

00 Fax.

91 754

26 71

Barcel

ona

C./ Florid

ablanca

, 70 080

15 Barce

lona

Tel. 93

325 50

42 Fax.

93 325

41 10

A l a d

d i n .

e s / e

T o k e

n

Aladd

in Know

ledge Sy

stems, Lt

d. All rig

hts rese

rved. Al

addin a

nd eTok

en are re

gistered

tradema

rks; eTo

ken is a

tradem

ark of A

laddin K

nowledg

e System

s, Ltd.

Revis

ta esp

ecializ

ada en

Segur

idad I

nform

tica, P

rotecc

in de

datos

y Com

unicac

iones

N 3

1 Novi

embre

2007

poca

II

www.

redsegur

idad.es

daRed

Segur

idad.in

dd 1

05/11/

2007

17:19:

12

La solu

cin eTo

ken SSO

le perm

ititete

aplicac

iones d

e forma

sencilla

y y rroo

con el m

s avan

zado si

stema d

ede ge

Las p

olticas

de

contras

eas q

ue oo

perid

icament

e termi

nan pro

ducien

ddoo

Con la

gama d

e dispo

sitivos

eTokekenen

estrate

gia de

autent

icacin

fuerte

adadada

de cad

a tipo

de usu

ario de

forma

r r

te es elele

u actuaaallntntcont

Soli

cite su

kit info

rmmama

Visite w

ww.ala

ddin.e

s/etokokee

Madri

d

C./ Albas

anz, 14

28037 M

adrid

Tel. 91

375 99

00 Fax.

91 754

2676 7171

A l a d

d i n .

e se s /s / s //

T o k eo k

e

e T o

e Te T

Aladd

in Know

ledge Sy

stems, Lt

d. All rigrig

htht

tradema

rks; eTo

ken is a

tradem

ark of A

laAladddd

rmtic

a, Prot

eccinn

dd

w

www.redsegurid

ad.com

Revista espe

cializada en

Seguridad In

formtica, P

roteccin de

datos y Com

unicaciones

N 32 Ener

o 2008 poc

a II

Enero

200

8

2

Revis

ta es

pecia

lizada

en S

eguri

dad I

nform

tica

, Prot

ecci

n de d

atos y

Com

unica

cione

s

red

seguridad

dd 1

20/12/2007

14:28:14

www.www.red

seguridad.com

atos y y CCoommm

uunicaciones

N 32 Ener

o 2008 poc

a II

www.redseguridad.com

Revista especializada en Seguridad Informtica, Proteccin de datos y Comunicaciones N 33 Marzo 2008 poca II

suscribase media red08.indd 1 03/07/2008 13:42:22

especial


68 red seguridad marzo 2009

Convergencia de la seguridad, realidad o ficcin?

la neCeSidad de la seguridad proviene de la existencia de peligro, amenaza y riesgo. El objetivo de la seguridad consiste en garantizar el normal funcio-namiento del sistema que protege, par-tiendo del reconocimiento de la insegu-ridad del mismo y de su entorno.

Para muchas organizaciones el sis-tema de informacin es su activo ms importante. Los delincuentes necesi-tan informacin y esta se encuentra en soporte digital.

La gestin de la seguridad es el ejercicio continuo y realimentado del estudio de las vulnerabilidades de la seguridad para prevenir los fallos y corregir los errores.

La convergencia de la seguridad no consiste en proporcionar un arma a los tcnicos de seguridad lgica y un ordenador a los guardias y vigilantes de seguridad. Consiste en la integra-cin de todos los recursos dedica-dos a la misma, para, contemplando la seguridad como un todo, actuar bajo un mando nico, centralizando la Direccin y coordinando todas las acciones. Es la respuesta a la evolu-cin de la inseguridad. El Gobierno de la Seguridad Corporativa es global e integral, vincula los aspectos fsicos, informticos y electrnicos, afecta a los directivos de la organizacin, a los de Tecnologa, a los gerentes de seguridad fsica y lgica, y a todo el personal.

El modelo de convergencia de la seguridad, con la integracin de fun-

ciones, es un elemento crucial para el incremento de la calidad y la compe-titividad. Su adopcin proporcionar ahorro en los costes y en el tiempo dedicado a las tareas de proteccin. El contemplar la seguridad como un todo coordinado contribuir a disminuir el nmero de incidentes de seguridad y, lo que es ms importante, facilitar resolverlos con prontitud, eficacia y sin que los atacantes puedan conseguir sus objetivos.

Catalizadores El valor de los elementos a prote-

ger est pasando de elementos fsicos a activos intangibles basados en la informacin. Los delincuentes emplean todo lo

que puede ser beneficioso para lograr sus objetivos, combinando elementos fsicos y lgicos.

Ventajas+ Mando nico. El Director de

Seguridad (CSO) asume la responsa-bilidad de toda la seguridad.+ Gestin nica de recursos: huma-

nos, econmicos y materiales.+ Visin global de la seguridad: estra-

tegia conjunta y objetivos comunes.+ Personal de seguridad verstil.

La especializacin del personal para cubrir los diferentes mbitos tcnicos permitir poder emplearlos en funcin de la misma.+ Reduccin de costes. Por el

empleo de estndares tecnolgicos comunes.+ La tecnologa a utilizar en segu-

ridad es similar; los dispositivos tam-bin, por ejemplo la misma aplicacin de gestin de la seguridad puede recoger elementos de informacin (eventos de dispositivos) de seguri-dad fsica como tornos de acceso y de seguridad lgica como accesos a bases de datos; el centro de control podra ser el mismo.

InconvenientesEl personal que trabaja en seguridad lgica ve al que trabaja en seguridad fsica como "los de la porra", y estos a los otros como "los hackers" ya que:X Se consideran diferentes.X Tienen diferencias culturales importan-

tes.X Sus reas de conocimiento son

diferentes.

Riesgos Luchas de poder entre departa-

mentos relacionados con la seguridad. Rechazo a la convergencia: par-

celas de poder, prdida de peso en la organizacin.

ConclusionesX La convergencia de la seguridad tiende a ser algo habitual.X Puede ser beneficiosa, pero sin el modelo adecuado, el enfoque puede ser errneo.

Victorino Martn JorcanoDirector de Operaciones de AlienVault

BREVE ANLISIS DEL ESTADO DE LA CUESTIN

seguridad integral concepto

Documents