Descarga PDF - Red Seguridad

especial seg2
encuentro de la seguridad integral
La normativa y
la situación económica
invitan a dar el paso
Ahora más que nunca es necesario poner EL ACENTO EN LO QUE NOS
UNE, MÁS QUE SOBRE LO QUE NOS SEPARA. La Seguridad Integral, más
madura en Estados Unidos, encuentra en la optimización de costes una de
sus principales motivaciones. ADEMÁS, EN ESPAÑA, UNA ESTRATEGIA DE
CIBERSEGURIDAD EN CIERNES y la 'Ley PIC' tiran del carro del modelo
convergente, que ha dejado de ser una opción, como ha quedado patente
en el IV ENCUENTRO DE LA SEGURIDAD INTEGRAL.
Tx: Ángel Gallego de Nova, Enrique González Herrero y Almudena Ruiz Sevilla. Ft: Miguel Ángel Benedicto.
colaboración
red seguridad
junio 2012
7
especial seg2
encuentro de la seguridad integral
Distintos enfoques y una única meta:
Protección Global Corporativa
El Seg2 se ha convertido en el encuentro de referencia para la convergencia de la
Seguridad en nuestro país, y es testigo de los aspectos que van avanzando. El apoyo
público del Gobierno a la gestión total de los riesgos se produce en un momento en
el que aumenta el número de organizaciones que han iniciado el viaje hacia el despliegue
de la Seguridad Integral como fundamento estratégico de presente y futuro.
El IV Encuentro de la Seguridad Integral ha destacado en esta edición por
congregar al porcentaje más elevado de usuarios finales en su historia.
Un salón abarrotado por más de 160
asistentes aguardaba el pasado 10 de
mayo el comienzo del IV Encuentro
de la Seguridad Integral (Seg2), reflejo fidedigno del interés que despierta
la convergencia en las organizaciones.
Ha calado hondo un mensaje, una
filosofía a la que Borrmart pone voz
desde hace más cuatro años: "Estamos
convencidos de que seguridad lógica
y seguridad física deben ir unidas",
recordó Javier Borredá, presidente de
esta editorial, que publica las dos cabeceras organizadoras del evento: RED
SEGURIDAD y SEGURITECNIA.
Esta edición del Seg2 siempre será
recordada por diferentes cuestiones, pero
sobre todo por haber conseguido registrar
el porcentaje más elevado de usuarios en
el aforo -a la postre decisores en el organigrama de sus compañías-. Asimismo,
quedó meridianamente claro que la profunda crisis económica que asola Europa
no puede servir de impedimento al desarrollo de iniciativas de Seguridad Integral,
que, por otra parte, están recibiendo
el aval de la Administración a todos los
niveles, como hemos venido contando en
estas páginas.
8
red seguridad
En este sentido, Javier Borredá, en sus
palabras de bienvenida, puso en valor el
compromiso con el Seg2 de cuatro empresas españolas: Deloitte, Eulen Seguridad,
GMV y Telefónica Ingeniería de Seguridad
(TIS), que dan vida a un congreso al que
han dado muestras de su fidelidad en
repetidas ocasiones. En este apartado,
cabe mencionar al Instituto Nacional de
Tecnologías de la Comunicación (Inteco),
que ha vuelto a participar como entidad
colaboradora, junto a la recién nacida
Fundación Borredá.
"La mayor recompensa a nuestro
esfuerzo es ver un salón repleto de profesionales de altísimo nivel", comentó
la directora de SEGURITECNIA, Ana
Borredá, que junto a su homóloga en
RED SEGURIDAD, Mercedes Oriol, desarrollaron la primera ponencia de la jornada: "Visión de la Seguridad Integral:
realidad y avances". Borredá incidió en los
pasos importantes que se están dando a
favor de la Seguridad Integral, "una idea
que al principio contaba con numerosos
detractores y que hoy está presente en
todos sitios".
El germen de la convergencia y el
primer paso para que este encuentro
junio 2012
fuera posible tuvo lugar en 2002, con el
nacimiento de la revista que tienen en sus
manos en el seno de una editorial profundamente conocedora de la Seguridad
Privada: "Esto nos permitió acercarnos
a los profesionales de la Seguridad de
la Información y rápido observamos que
debían trabajar junto a los profesionales
de la seguridad física –continuó-, porque
en muchos casos no se conocían y mantenían posturas antagónicas. Era necesario crear un foro donde ambos sectores
compartieran sus experiencias y, por esto,
en 2008 impulsamos el Seg2 como dinamizador de la convergencia". La directora de SEGURITECNIA no quiso olvidar
que Mapfre y Prisa ya compartían esa
visión en aquella época: "Sin ellos -nuestros padrinos-, no hubiese sido posible
arrancar". Ambas firmas presentaron su
experiencia práctica en el I Encuentro de
la Seguridad Integral, que se celebró en
2009, tal y como recordó Mercedes Oriol,
"cuando eran pocos los que defendían
la idea de la Seguridad Integral". Aquella
edición logró sentar por primera vez en
la misma mesa a las asociaciones más
representativas de la seguridad informática y de la seguridad tradicional.
Como parte de este recorrido histórico,
la directora de esta cabecera trajo a colación la aparición del Esquema Nacional
de Interoperabilidad (ENI), del Esquema
Nacional de Seguridad (ENS) y del Real
Decreto que dio lugar a la actual Ley
de Protección de las Infraestructuras
Críticas (Ley PIC) como vertebradores de
la segunda edición del Seg2, que también fue testigo de la primera aparición
pública de Fernando Sánchez, director
del Centro Nacional para la Protección
de las Infraestructuras Críticas (CNPIC).
En esta travesía, además de Mapfre y
Prisa, usuarios como Ono, Iberdrola, el
Ayuntamiento de Madrid o Novagalicia
Banco (Novacaixagalicia en aquellas
fechas), el Ministerio de Industria o Colt
han nutrido de experiencias prácticas un
colaboración
especial seg2
encuentro de la seguridad integral
encuentro que el pasado año celebró su
tercera convocatoria, en la que la relevancia y el dinamismo de sus mesas redondas fue la nota dominante. El papel del
CISO (Chief Information Security Officer) y
del CSO (Chief Security Officer), la importancia de la continuidad global del negocio y la inteligencia competitiva fueron los
ejes de tres apasionantes debates, como
rememoró Mercedes Oriol.
Con el respaldo de la ley
Ana Borredá hizo hincapié en que las
diferentes legislaciones y normativas
han supuesto un espaldarazo definitivo
para que las organizaciones contemplen
la Seguridad Integral en sus consejos
de administración: La Ley Orgánica de
Protección de Datos (LOPD) y la Ley
PIC, pasando por los ENI y ENS, han
contribuido indudablemente a ese empuje. Asimismo, la directiva acentuó unas
recientes declaraciones en una comparecencia pública del ministro del Interior,
Jorge Fernández Díaz, en las que decía
que: "Las amenazas han dejado de ser
únicamente de carácter físico. En 2012 la
amenaza cibernética se configura como
el principal riesgo potencial contra los servicios esenciales de cualquier sociedad".
Por su parte, Mercedes Oriol recalcó otras iniciativas que se han desarrollado alrededor de la convergencia de
seguridades, como las promovidas por
asociaciones profesionales como ASIS
Internacional, que desde su Consejo
Asesor Europeo creó, en junio de 2011, la
Comisión Especializada en Convergencia
de Seguridad, con el fin de difundir esta
disciplina en Europa. "En esta línea, y junto
con el Information Security Awareness
Forum (ISAF), ambas organizaciones realizaron un estudio mundial que nos acerca
a la realidad del asunto, entre 216 profesionales de ambos sectores: hablamos
del informe que realizaron, entre agosto
y septiembre de 2011, y en el que podemos ver cómo la estrategia de la convergencia de seguridad está más asumida
e implantada en Norte América (en un
48%), seguida por Reino Unido e Irlanda
(en un 44%) y el resto de Europa (en un
30%)", resumió la periodista.
Por sectores de actividad industrial, el
que se lleva la palma, según este estudio, es el Aeroespacial y Defensa (en un
100%), junto con el de Tecnologías de la
Información y Servicios relacionados con la
Seguridad y el de las Telecomunicaciones
(ambos en más de un 70%); estando
muy por detrás el sector farmacéutico
(0%), detrás del de la Alimentación y
colaboración
De izquierda a derecha, Mercedes Oriol, Ana Borredá y Javier Borredá, durante la
ponencia inaugural, que puso foco en los avances de la convergencia.
Manufactura y el de Servicios (que no
llegan al 20%).
Asimismo, otro dato clave que extrajo
de la investigación es que los profesionales consultados aprecian la convergencia
de ataques, de tecnologías y el ahorro de
costes como motivos principales que justifican una apuesta por la seguridad global.
Mercedes Oriol también tuvo palabras
para Gartner, que destacó a Mapfre en
2010 como un caso de éxito a nivel mundial en el plano de la convergencia. En
este informe la prestigiosa consultora ya
auguraba que el CSO se convertiría, presumiblemente, en un director de Riesgos
(Chief Risk Officer -CRO-). La directora
de RED SEGURIDAD tampoco pasó por
alto las conclusiones del Estudio de la
Seguridad Privada 2012, de la Fundación
ESYS y el ejercicio de ciberseguridad
desarrollado por Isdefe y el CNPIC -que
implicó a 18 operadores críticos-, como
ejemplos de apoyo explícito a las tesis
de la convergencia. Además, Oriol destacó la implicación personal del ministro Fernández Díaz en dicho simulacro,
muestra fehaciente del primer compromiso adoptado por un Ejecutivo español a
favor de la ciberseguridad.
"Es el momento de tomarse en serio la
formación del profesional de la Seguridad
del futuro -reflexionó Ana Borredá-. El
directivo debe ser gestor, consultor, interlocutor hacia fuera y dentro de la organización, estratega..., en definitiva, un
supermán. Hay grandes profesionales
Ana Borredá, flanqueada por los dos "padrinos" del congreso, Guillermo Llorente,
director de Seguridad y Medio Ambiente de Mapfre (izquierda) y Enrique Polanco,
experto en Seguridad y ex director de Seguridad Corporativa de Grupo Prisa.
red seguridad
junio 2012
9
especial seg2
encuentro de la seguridad integral
De izquierda a derecha, José María Cortés, Jacinto Muñoz y Andrés Peral, que
desvelaron la aproximación de Mapfre a un análisis de riesgos integral.
hoy día, pero se echa de menos una
formación completa, un grado especializado en Seguridad, bajo una perspectiva
integral y con conocimientos profundos
en las disciplinas necesarias". En esta
línea, Borredá considera que la futura
reforma de la Ley de Seguridad Privada
será una oportunidad de oro para conseguirlo, además de ayudar a solventar los
distintos problemas del momento: "Desde
las dos revistas, nuestro compromiso
será tratar de influir y convencer a todos
los implicados, incluidos los legisladores,
para defender este concepto", incidió.
La directora de SEGURITECNIA anunció
nes que hemos aprendido tratando de
aproximarnos a la gestión integral de los
riesgos de Seguridad dentro de nuestra
compañía", anunció Andrés Peral, subdirector de Seguridad en Infraestructuras
Tecnológicas de la DISMA. El primero de
los portavoces de la aseguradora esgrimió que el enfoque basado en análisis
de riesgos no dista mucho del que cada
ciudadano hace en su día a día -en la
calle o en el trabajo- para evitar riesgos:
"Cada vez que tomamos una medida
de seguridad es para hacer frente a un
riesgo y lo mismo da un firewall que un
control volumétrico", aseveró. "En nues-
"Una visión integral de los riesgos nos ayuda a ser
más eficientes al implantar medidas de seguridad.
La satisfacción es mayor cuando refuerzan tu estrategia
desde el exterior", declaró Andrés Peral, de Mapfre
que la Fundación Borredá nace para
estar "al servicio de la Seguridad", como
reza su lema. "Una de sus líneas será
la Seguridad Integral y defenderá que la
nueva Ley incorpore este concepto".
Mapfre, evolución constante
Mapfre, un referente internacional en la
convergencia de Seguridad, como se
ha reseñado anteriormente, ha desgranado en esta edición del Seg2 cómo
continúa afrontando la concepción de la
Seguridad desde una perspectiva global.
"Una aproximación al análisis de riesgos
integral. Luces y sombras" fue el atractivo
título elegido para una ponencia a cargo
de tres representantes de la Subdirección
General de Seguridad y Medio Ambiente
(DISMA) de la multinacional. "Venimos a
contar nuestra experiencia y las leccio10
red seguridad
tro sector nos afectan normativas financieras como Basilea II o Solvencia II, en
las que se habla de tres tipos de riesgos:
financieros, de mercado y operacionales.
Dichas normativas 'premian' la correcta
gestión de riesgos con la relajación de
los requisitos de capital". En virtud de
este marco, los supervisores instan a las
compañías a gestionar bien los riesgos,
de forma integral, siendo el asociado a
la Seguridad un elemento relevante de
estos riesgos. El enfoque integral lleva
a la necesidad de proteger también de
forma integral los activos en todas las
capas que los 'envuelven': instalaciones,
personas, infraestructura tecnológica
y, por último, aplicaciones y procesos.
"Una visión integral del análisis de riesgos nos ayuda a ser más eficientes a la
hora de implantar medidas de seguridad
junio 2012
-sostuvo Peral-. A menudo, es frecuente
la aparición de dudas cuando se despliega un modelo y, por este motivo, la
satisfacción es mayor cuando desde el
exterior ves señales de que tu estrategia no anda desencaminada". El World
Economic Forum (WEF) -más conocido
como Foro de Davos- analiza los riesgos
sistémicos a escala mundial y este año
ha sido el primero que señala los riesgos
de ciberseguridad como tales.
Existe una enorme interrelación entre
los diferentes riesgos porque un ataque
terrorista puede suponer un fallo crítico en
los sistemas que soportan un proceso o
servicio críticos, explicó Andrés Peral, que
manifestó que para su organización fue
muy grato comprobar que 12 de los 50
riesgos sistémicos globales identificados
por el WEF se encuentran dentro del
ámbito de gestión de la DISMA, entre
ellos el 40 por cien de los catalogados
en el 'top 5' de mayor probabilidad. "Lo
que tenemos que conseguir es vender la
importancia del trabajo que hacemos a
nuestra organización y creemos que contamos con argumentos para ser tenidos
en cuenta al más alto nivel dentro de la
compañía", concluyó.
Paso a paso
Por su parte, Jacinto Muñoz, subdirector de Seguridad en Aplicaciones de la
DISMA en Mapfre, se propuso -durante
los minutos de su intervención- ayudar a
encontrar la salida al laberinto de cómo
llevar a cabo un análisis integral de riesgos en la compañía: "Al no disponer de
soluciones mágicas, aplicamos aproximaciones sucesivas para solucionar los problemas que José María Cortés ha puesto
sobre la mesa [despiece de la página 12].
Para conseguirlo, la primera iteración que
hemos realizado pasa por incluir el análisis integral de riesgos dentro de nuestro
marco estratégico, consiguiendo de este
modo el apoyo de la alta Dirección, aplicar
el pragmatismo, buscando aplicaciones
con alcance limitado pero que tengan un
rápido retorno y llevar el análisis a la capa
de procesos, con objeto de tener una
visión realmente integral".
La multinacional española creó un
marco estratégico de Seguridad Integral
en el que el análisis integral de riesgos
ocupaba un lugar primordial, atendiendo
a Muñoz, todo ello plasmado en el Plan
Director de Seguridad y Medio Ambiente
(PDSMA), para cuya elaboración: "fue
necesaria una tarde solo para ponernos
de acuerdo sobre terminología en el ámbito del análisis global de riesgos". Una vez
colaboración
especial seg2
encuentro de la seguridad integral
Ni modelos de análisis poco ajustados a
la realidad, ni alejados de un enfoque integral
José María Cortés, subdireCtor de Análisis de Riesgos de
la DISMA, interpretó el papel menos amable de la exposición de Mapfre, al poner sobre la mesa las dificultades que
entraña un proceso de Análisis de Riesgos Integral, comenzando por el "caos terminológico": "Todos creemos saber
lo que es vulnerabilidad, amenaza, riesgo, peligro, pero
no tenemos unos criterios comunes… Por ejemplo, en el
sector asegurador, cuando se habla de riesgo tecnológico,
se incluye el incendio". Cortés prosiguió argumentando que
"las organizaciones suelen contar, en su áreas de riesgos,
con modelos de análisis, provenientes del ámbito financiero, difíciles de ajustar a la práctica de seguridad y bajar a la
realidad, cuando lo que interesa a Seguridad es el detalle".
A su vez, expuso lo enormemente complejo y costoso
que era para los equipos de seguridad, tratar de aplicar los
métodos de análisis de riesgos específicos en el campo de
la llamada Seguridad de la Información, y que tan de moda
estuvieron hace unos años.
También explicó el desacuerdo conceptual con los
modelos matemáticos como el método Mosler: "¿Es un
modelo científico solo porque aplicamos una fórmula?
-Riesgo (R) = probabilidad (P) x impacto (I)-. Nos llevó
mucho tiempo saber de dónde venía esta fórmula y conocer su fundamento -esgrimió Cortés-. Se entiende el riesgo
establecido el lenguaje común y definidos
el resto de elementos del marco estratégico (visión, misión, principios, pilares,
etc.), se definió un Modelo de Actuación,
basado en análisis y gestión integral de
riesgos, que identificaba los activos a
proteger, las fases del proceso y las diferentes tipologías de riesgos del ámbito de
la Seguridad y el Medio Ambiente.
La primera aproximación práctica al
análisis integral de riesgos, alineada con
el pragmatismo que defiende Mapfre,
fue la creación de un algoritmo para el
análisis del entorno físico. Esto se plasmó
en una herramienta de trabajo (checklist)
que incluye un formulario con casi 600
elementos que establecen en torno a
2.000 relaciones con los diferentes 'riesgos tipo' definidos. La siguiente estación
en este viaje hacia el análisis integral fue
lanzar una base de datos de incidentes,
donde además de la propia experiencia,
se recopilan los incidentes publicados
en los diferentes medios, como indicó
Jacinto Muñoz. Otra aplicación fue la realizada en el ámbito de la Continuidad de
Negocio, "Diseñamos una métrica para
evaluar el impacto de la interrupción de
las diferentes actividades de los procesos
analizados, partiendo de los escenarios
de crisis identificados -razonó-. Después
se analiza, el valor obtenido y se incorpo12
red seguridad
como la esperanza matemática de que algo no suceda, un
valor medio esperado, pero no sabemos pasar de ahí…
¿Cómo lo aplicamos al riesgo de que se queme la oficina?".
En este recorrido por la espinosa senda esbozada por
Cortés, la cuantificación de la probabilidad y del impacto se
convierten en piedras en el camino de un análisis de riesgos
fiable: "¿Se pueden determinar casos posibles o probables
de que alguien entre y te robe? Si lo ajustamos al número
de veces que ha ocurrido, estaremos confundiendo probabilidad con frecuencia", apostilló. Profundizando en esta
cuestión, y para engrosar aún más la lista de dificultades,
Cortés citó la carencia de bases de datos de incidentes y
las correlaciones entre riesgos que, unidas a un gran volumen de información, evidencian la complejidad de culminar
un verdadero análisis de riesgos integral. A pesar de la
oscuridad del horizonte dibujado por Cortés, el experto se
mostró optimista: "A veces no se entiende la gestión integral
de riesgos de Seguridad como algo factible y aplicable, y
esto tiene que cambiar porque, al menos, hemos identificado un amplio número de caminos que no llevan a ninguna
parte, lo cual es una buena noticia". José María Cortés ha
recopilado en un libro el análisis realizado, y que ha alumbrado la metodología de gestión global de riesgos que
están aplicando en Mapfre.
ra al proceso de toma de decisiones. en
cuanto a tiempo de recuperación".
Otro hito en el camino que Mapfre se ha
marcado, es el de elevar las revisiones y
análisis a la capa de procesos: "Estamos
poniendo en marcha una herramienta que
nos permitirá relacionar todos los activos,
unos con otros, así como con los procesos a los que soportan, de modo que
podamos hablar de una visión global de las
interrelaciones entre los distintos elementos, imprescindible para el análisis y gestión
integral del riesgo". En palabras del propio
Muñoz, para el equipo de la DISMA es una
obsesión "pasar de una Seguridad Integral
a una seguridad integrada en el negocio",
que es la manera más fácil de “tener la
casa ordenada” y de comunicar al resto
de la organización el valor que aporta la
Seguridad. Para concluir, Muñoz aconsejó
a los asistentes disfrutar del camino, sin
perder de vista el objetivo principal. Con
esta mentalidad se multiplican las opciones
de hallar algo que no esperabas durante
el trayecto: "Recordemos que América se
descubrió buscando una ruta alternativa
hacia las Indias", reflexionó.
Un viaje que empezó ayer
Vodafone España nació a partir de Airtel,
primera compañía telefónica alternativa,
que se mantuvo independiente hasta
junio 2012
2001, fecha en que el operador británico
se hizo con la totalidad de la compañía
española. Más de una década ha transcurrido desde entonces, un tiempo en el que
la Seguridad ha experimentado un viaje
que José Damián García Medina, Head of
Corporate Security de Vodafone España,
compartió con los asistentes a este Seg2.
"En los últimos 30 años, la tecnología ha
cambiado el comportamiento del ciudadano más que en el resto de la historia
de la humanidad, pero: ¿la Seguridad ha
evolucionado?", inquirió. Para el portavoz
de Vodafone, sí que ha avanzado, aunque
a un ritmo inferior que las TI: "La petición
típica para el departamento de TI ha
sido: quiero escribir, calcular, almacenar…,
tareas para las que se ha experimentado una evolución enorme desde los
80 hasta las actuales tablets -especificó
García Medina-. Sin embargo, la petición
para Seguridad ha sido: quiero detectar
intrusiones, controlar accesos, monitorizar la actividad…, un escenario donde
se ha evolucionado menos". El ejecutivo
ilustró su tesis con un vigilante y un torno,
como escenarios menos adelantados y
todavía presentes en la seguridad física: "Perdonadme que sea crítico; todos
sabemos que esto no es cierto, pero ésta
es la imagen que los directivos de la compañía tienen sobre Seguridad -apuntó-.
colaboración
especial seg2
encuentro de la seguridad integral
unió a nuestra responsabilidad Seguridad
TI, que empieza a relacionarse con la tradicional seguridad física".
Según el directivo, siguiendo la moda
de cambiar nombres, impuesta por el
mundo anglosajón, Vodafone designa a
esta área otra nueva, la de Fraude, Riesgo
y Seguridad (FRS) para el periodo 20052008. Las múltiples adquisiciones de la
quieran, sino porque entran en conflicto
con prioridades que ellos tienen establecidas para el negocio".
La solución a este dilema fue que una
persona de Seguridad de la Información
(perteneciente a Seguridad Corporativa)
pasase con su equipo al departamento
de TI, de manera que mantuviese un contacto directo con el CIO (Chief Information
El área de Seguridad Corporativa de Vodafone fue
incorporando paulatinamente más responsabilidades,
aunque permanecía latente un conflicto con TI
José García Medina, de Vodafone
España, habló de la estrecha
relación entre Seguridad y Fraude.
Queremos que nos acepten como gestores de riesgos y avanzar mucho más, pero
es difícil si no nos ponemos de acuerdo en
la imagen que queremos dar", comentó,
haciéndose eco del caos terminológico
citado por Mapfre.
Asimismo, el ponente sostuvo que los
bailes de siglas (CSO, CISO, CRO...) pueden acabar interpretados por la Dirección
como disputas internas por cuotas de
poder, lo que conlleva una pérdida de
atención hacia la causa común de la
Seguridad, que es "salvar los revenues y
proteger los activos, incluidas las personas", según García Medina.
De vuelta al periplo que inició Vodafone,
su portavoz se remontó a 1996, cuando
Airtel implantó su área de Seguridad:
"Añoro esos tiempos en los que nacimos para competir contra una de las
mejores operadoras de telecomunicaciones, logrando crecimientos de doble
dígito y con dinero para lo que pidiésemos
-expresó-. Pero estábamos alejados de
los objetivos empresariales y con un enfoque reactivo de la Seguridad".
Hasta 2001, dicho departamento
estaba centrado en la protección de las
instalaciones, en el fraude interno y en
la protección contra incendios (PCI). "A
partir de ese año, nos comenzamos a llamar Seguridad Corporativa (2001-2004),
a pesar de que, básicamente, nos dedicábamos a lo mismo -aseveró García
Medina-. La principal diferencia es que se
colaboración
firma por todo el mundo elevaron el rango
de responsabilidad del departamento,
que pasó a contemplar el cumplimiento
normativo, la gestión de crisis y la concienciación sobre Seguridad como nuevas dependencias.
En 2009, el hecho de que apareciese
la palabra 'fraude' -que no el del área de
Fraude Financiero de la operadora- en
este departamento hizo reflexionar a la
alta Dirección de Vodafone, que recuperó
de nuevo la denominación de Seguridad
Corporativa FRS hasta 2011, dejando en
segundo plano el controvertido vocablo
detrás de las siglas FRS. "Nos hizo sentirnos con más responsabilidades, pero
no éramos capaces de hacer todo lo que
deseábamos -reconoció-. No logramos
presionar lo suficiente a TI para implementar medidas de Seguridad que consideramos necesarias, pero no porque no
Officer) y diseñasen conjuntamente las
hojas de ruta desde el punto de vista de
Seguridad, aclaró el ponente, para quien
esta acción no significó para él ninguna
pérdida de cuota de poder. "Tenemos que
responder a los riesgos de manera profesional y eso no significa que tengamos
que gestionarlos de manera directa".
Situación actual
La evocación de García Medina por los
presupuestos de antaño, encuentra aquí
su explicación: "Nos hemos adaptado
a los tiempos de crisis -como todas
las empresas-, con recursos escasos, lo
que nos obliga a disponer de una 'bolsa
común' de recursos y a priorizar unas
acciones sobre otras -aceptó-. Pero no es
una riña de gatos entre responsables de
área, porque los objetivos son comunes
para todos. Si hay que rebajar en dos
Seguridad y crisis
Ha cambiado de denominación en repetidas ocasiones, pero el departamento de Seguridad Corporativa de Vodafone España tiene la virtud
de saber adaptarse a las necesidades del negocio y a la constricción
presupuestaria sin perder el norte de la Seguridad Global. Las amenazas
externas como el hacktivismo y, sobre todo, el fraude suponen un desafío
preocupante para el responsable de esta división.
Al concluir su intervención, José Damián García Medina fue preguntado
desde la audiencia acerca del futuro de Vodafone. En el terreno económico,
el ponente reconoció que la filial española está sufriendo la crisis, y que es
necesario que las inversiones lleguen con urgencia a nuestro país para que
éste sea más fuerte y la marca España vuelva a ser atractiva. Al margen de
las perspectivas económicas, cada vez más estrechamente ligadas a la
lucha contra el Fraude y la Seguridad, el directivo reflexionó sobre un hipotético futuro para el departamento que él dirige: "Seguridad Corporativa es
un área vinculada al impacto del fraude en el negocio y desconocemos lo
que sucederá en un futuro: si al final resulta que está tan relacionada con el
fraude financiero, no hay que ser egoístas en este sentido". En definitiva,
García Medina abogó por una Seguridad Corporativa siempre al servicio del
negocio y sin miedo a compartir responsabilidades o cuotas de poder.
red seguridad
junio 2012
13
especial seg2
encuentro de la seguridad integral
puntos la cifra de fraude, es un objetivo
idéntico para el director de seguridad
física, de riesgos, etc.".
Este experto se mostró satisfecho con la
receptividad que la Dirección de Vodafone
España muestra hacia Seguridad y asegura que "todos los objetivos empresariales están integrados en virtud de una
visión donde no hay distintos mundos,
sino diferentes especialidades, y donde la
gestión está orientada a la prevención".
Respecto al profesional de Seguridad
Corporativa, aseguró que se tiende hacia
"un perfil generalista”. El directivo entiende
que no es necesario saber de todo, pero
sí conocer las preocupaciones del compañero de al lado y conocer cómo puede
afectarle cada decisión de su competencia. En un modelo integral de Seguridad,
los riesgos afectan a todos los niveles.
Rapidez, simplicidad y credibilidad son
los principales valores que defiende el área
que dirige José García Medina. "No sirve
eso de 'yo ya lo dije'. Tienes que colaborar con todos y si es necesario, subcontratar especialistas para los flancos que lo
requieran, especialmente los que no sean
el core de nuestro negocio". No obstante,
este profesional invita a tener cuidado con
este tipo de relaciones contractuales, por
muy bien atadas que puedan estar en
base a un acuerdo de nivel de servicio
firmado (Service Level Agreement -SLA-)
porque: "de nada sirven las multas si te
ocasionan un gran daño reputacional".
Manuel Rodríguez Vico impregnó de naturalidad la difícil tarea de exponer cómo
organiza su Seguridad una organización del calibre del Parlamento Europeo.
El público asistente conoció por
boca del portavoz de Vodafone que
a la operadora le preocupa el hacktivismo; el robo de información confidencial, alentado por la competencia
salvaje en algunos mercados; y la
ingeniería social. Respecto al fraude
de operaciones, a la filial española de
la operadora le preocupan los canales
online, el robo de identidad, las operaciones de comercio móvil y el crimen
organizado. "No hay una foto fija del
ideal del departamento de Seguridad,
que cambiará al ritmo de las necesidades de la compañía".
El Parlamento, de par en par
La madurez de un evento no se mide
exclusivamente por la respuesta del público, aunque ciertamente pueda ser lo más
importante. Contar con profesionales de
prestigio que deseen compartir su experiencia generosamente también es un
excelente indicador del interés que suscita
La información, principal activo
¿Es posiblE quE una institución como el Parlamento
Europeo no entendiese la información como un activo
susceptible de proteger? Aunque pueda parecer increíble, así era, por lo menos hasta hace un par de años,
cuando la institución europea comenzó a plantearse una
estrategia de Seguridad Global, gracias a la implicación
de una Unidad de Gestión de Riesgos liderada por el
español Manuel Rodríguez Vico. ¿Cómo se abordó
el necesario cambio de mentalidad que precisaba el
Parlamento? "Incorporando a la estrategia no solo
personas y activos (físicos), sino también la información
-matizó el ponente-. Defendimos también una Seguridad
integrada, que respaldase los planes de contingencia
de la organización. Es cierto que en otros sitios hay
empresas externas que son las responsables del plan de
continuidad, pero aquí no se optó por ese modelo".
Como piedra angular de un proyecto de este tipo, la
cultura de seguridad es clave: "La Seguridad se debe
entender basándose en el riesgo, pues no es lógico
implementar las mismas medidas preventivas en todos
los rincones del globo, como hacía Naciones Unidas
en todas sus sedes", aclaró. Además, se establecieron
14
red seguridad
junio 2012
diferentes niveles de acceso a dependencias e información y se inició un proceso de profesionalización de las
tareas de seguridad que todavía continúa.
A partir de ese momento, se establecieron cuatro
niveles distintos de intervención, siempre en función del
nivel de riesgo: gestión del Centro de Control, gestión
de eventos de seguridad, gestión de incidentes de
seguridad y gestión de crisis. El siguiente paso fue el de
la creación de perfiles de usuario y "zonificación" (segmentación por áreas y usuarios), obedeciendo a las
distintas necesidades de seguridad: "Crear zonas separadas no es fácil en el PE, porque existen diferentes
niveles físicos conectados y virtualmente también está
todo conectado". Por último, el portavoz del Parlamento
puso el acento sobre una cuestión deseable, pero que
no ha logrado convertirse aún en una realidad generalizada: "Toda la Seguridad pasa por el intercambio de
información. Como institución, tenemos comunicación
formal -no intercambio informativo- con las autoridades
de cada país, pero si de algo me sirve la invitación a
este evento es para compartir, hablar y que pregunten
lo que consideren oportuno", concluyó Rodríguez.
colaboración
especial seg2
encuentro de la seguridad integral
A lo largo de toda la jornada, el público concurrente se mantuvo expectante ante la nueva deriva que adopta su ocupación
profesional. Se precisan perfiles pluridisciplinares, dispuestos a compartir más información entre departamentos.
un tema, concretamente la convergencia
en el caso que nos ocupa. Así sucedió con
Manuel Rodríguez Vico, jefe de la Unidad
de Gestión de Riesgos del Parlamento
Europeo (PE), que expuso de un modo
claro y conciso la problemática de esta
institución europea y su nueva estrategia
en la materia, que han bautizado como
Concepto de Seguridad Global.
El ponente quiso agradecer a la organización el hecho de que pudieran convencer a instancias superiores de que
"hay que abrirse" y dar a conocer el funcionamiento del Parlamento porque "en
Seguridad, comunicar es lo más difícil".
En primer lugar, el experto tuvo a bien
explicar aspectos sobre esta institución
que son desconocidos para el gran público, como su ubicación en tres sedes diferentes -Bruselas (Bélgica), Estrasburgo
(Francia) y Luxemburgo-. Según explicó
Rodríguez Vico, la mayoría de los empleados trabaja tres semanas al mes en
Bruselas y una en Estrasburgo, quedando
destinada la sede luxemburguesa para la
Secretaría General (servicios de traducción y gestión, entre otros).
El complejo de edificios pertenecientes
al Parlamento en Bruselas es "inmenso",
unos 500.000 metros cuadrados, donde
está todo conectado, del mismo modo
que en Estrasburgo, aunque la sede gala
está mucho mejor diseñada desde el
punto de vista de seguridad, de acuerdo
con el jefe de unidad, que facilitó algunas
cifras para ilustrar el volumen de una
organización supranacional: 750 diputados de 28 países, 2.000 empleados
de los diferentes grupos políticos, 3.000
funcionarios de la Secretaría General y
7.000 trabajadores externos. A su vez, el
16
red seguridad
PE recibe medio millón de visitas al año
y organiza una media de 300 eventos
oficiales a la semana.
Según Rodríguez, apesar de estas
magnitudes, su reto y el de todos los
profesionales que trabajan en su área es
que "la Seguridad sea invisible", ya que
las distintas culturas de los países que allí
trabajan y se dan cita no tienen la misma
visión, historia y tradición respecto a lo
El Parlamento
Europeo, después
de iniciar su estrategia
de Seguridad Global,
se plantea estrechar
lazos de colaboración
con la seguridad privada
y la policía belga
que es la Seguridad. Por otra parte, este
experto enumeró las preocupaciones o
inquietudes más relevantes en la unidad
que él rige: manifestaciones, terrorismo,
ataques de personas perturbadas, incidentes, ataques TI, espionaje...
Objetivos 2012
El reto de mantener a salvo un espacio
lógico y físico de esta dimensión es hercúleo. Organizativamente, "la Seguridad
está vista como parte de la Secretaría
General del Parlamento, más allá de ser
considerada únicamente como un área
de Recursos Humanos (que es como la
entiende la Comisión Europea)”, explicó
Rodríguez, quien desempeñó los cargos
junio 2012
de jefe de la Sección Contra Terrorismo
en la Dirección de la Seguridad de la
Comisión Europea y responsable de la
Seguridad de la Dirección General de
Ayuda Humanitaria de la Unión Europea,
antes de ocupar su puesto actual.
Entre los diferentes objetivos que la
institución se ha marcado para el presente
ejercicio está la creación de la Unidad de
Acreditación y la Unidad de Seguridad
Técnica para las tres sedes al mismo
tiempo. "Nuestros planes de contingencia
son fáciles, en el sentido de que absolutamente todo está duplicado, y si ocurriese
algo en Bruselas, se podría seguir trabajando desde Estrasburgo. Es un modelo
carísimo, pero así está concebido".
Además de profesionales de la 'casa',
como Manuel Rodríguez Vico, dentro de
Seguridad cabe incluir a los empleados de
compañías privadas, que son adjudicatarias de consursos públicos, entre los que,
curiosamente, según alarmó este especialista, no se suelen presentar empresas
españolas. "El Parlamento Europeo no
pertenece a Bélgica y por eso necesita
más seguridad privada -aclaró-. Esos
600 empleados forman parte integral de
la Seguridad".
Por otra parte, Manuel Rodríguez dio
a conocer cómo se organiza el PE en
virtud de la joven estrategia de Seguridad
Integral -el Concepto de Seguridad
Global, que empezó a dibujarse en abril
de 2009-. El objetivo era combatir las
inquietudes y prepararse de la mejor
forma posible para afrontar cuestiones
que debían cambiar, como por ejemplo
la inexistencia de perímetros o áreas de
seguridad ("zonificación"): "Antes podías ir
desde una de las seis entradas principales
colaboración
especial seg2
hasta el hemiciclo sin pasar por ningún
control. Está todo conectado y lo único
cerrado con llave eran los despachos privados. La Seguridad es muy importante
en un complejo con peluquerías, bancos,
oficinas de correos, etc. como si de una
ciudad se tratase", comentó.
Resulta curioso que antes de la creación de la Unidad de Gestión de Riesgos,
la propia empresa privada se encargara
de la gestión de la Seguridad y fue después de tres atracos y algún que otro
episodio desagradable cuando comenzó
a replantearse el modelo. En palabras de
Rodríguez Vico, otro aspecto a mejorar en
Bruselas es la colaboración entre la seguridad privada y la policía belga, que no es
suficiente, a diferencia de lo que ocurre en
Estrasburgo.
Posteriormente, llegó el turno de preguntas y tomó la palabra Javier Osuna
García-Malo de Molina, jefe de División
de Consultoría de Seguridad y Procesos
de GMV, que se interesó por los ataques sufridos por la Comisión Europea y
el Parlamento en sus servidores: "¿Con
qué frecuencia actualizáis el catálogo de
amenazas? ¿Estaban contemplados en
él estos ataques hace un año y medio
o dos años?". Manuel Rodríguez matizó
que durante su intervención no hacía
alusión a un catálogo de amenazas -que,
además, no se puede compartir-, sino a
un listado de preocupaciones. Respecto
a los ataques "bastante serios" a los que
hacía referencia Osuna, el ponente respondió en estos términos: "Participé en la
mesa de crisis creada a tal efecto y puedo
decir claramente que el Parlamento no
sufrió ese tipo de ataques, al no tener la
información clasificada que se buscaba;
los ataques incidieron en la Comisión y
en el Servicio Exterior Europeo. Según los
expertos, fueron hostiles, muy políticos,
orientados a conocer relaciones entre
países, porque hay potencias a las que
puede interesar información geopolítica
o sobre tratados de pesca, por ejemplo",
relató. Abundando en esta cuestión, el
jefe de unidad manifestó que el objetivo final de esas acciones delictivas era
conseguir las contraseñas de acceso al
servicio de webmail, que permiten conectarse en remoto al correo corporativo:
"Se trataba de un ataque bien diseñado
y personalizado, dirigido a funcionarios de
departamentos muy concretos".
Respecto a la estrategia de divulgación
sobre políticas seguridad, otro de los asistentes -el consultor Tomás Arroyo- preguntó a Rodríguez Vico acerca de la formación y entrenamientos que se llevan a
colaboración
encuentro de la seguridad integral
Dudas en el aire y voluntad de
aunar esfuerzos entre el público
Como algún ponente sugirió durante la jornada, algunos de los temas
abordados en el Seg2 servirían para exponer conceptos y debatir ideas
en otro evento especializado al margen, debido al interés y la importancia
de los mismos. Al igual que en ocasiones precedentes, la participación
del público fue activa y enriquecedora, consiguiendo así que el número
de dudas en el aire fuese el mínimo posible.
La convergencia como concepto al que todavía presentan reticencias
en algunos modelos organizativos, las famosas y recurridas "parcelas de
poder" y la preocupación por los daños reputacionales que puede suponer
un ataque lógico y físico combinado fueron algunas de las inquietudes
manifestadas por los asistentes. Mención destacada merecieron las
Infraestructuras Críticas (IC), en boca de todos como una suerte de 'Estrella
Polar' que guía a la convergencia. En torno dichos operadores críticos no
se ha marcado una metodología común de análisis de riesgos que facilite
obtener resultados en un mismo idioma, el que hablan las IC. La situación
deseable, como manifestó un profesional, es lograr un mapa de riesgos
global, un supuesto que todavía parece lejano, según pudimos deducir.
Como adelantó el equipo de la DISMA de Mapfre, uno de los grandes
problemas es no contar con reglas comunes y partir en casi todas las
situaciones de una carga subjetiva que impide determinar para todos los
ámbitos qué es un riesgo medio, bajo o alto. La unidad de criterio se
antoja básica en una tesitura sin reglas para cuantificarlo.
cabo en el PE: "¿Cómo lo hacéis ante un
colectivo tan extenso?". El ponente respondió que, efectivamente, se realizan
tres tipos de comunicaciones, dependiendo de los roles y perfiles. Además, "se
efectúa una entrevista personal a los diputados con objeto de sensibilizarlos, y para
el personal en general, se suelen hacer
campañas de concienciación con pósters, mensajes en la web, etc. Todo ello se
encuadra dentro de la nueva estrategia de
Seguridad Integral, aprobada por esta
institución europea en junio de 2011",
puntualizó.
red seguridad
junio 2012
17
especial seg2
encuentro de la seguridad integral
INTERVENCIÓN FIRMAS PATROCINADORAS
Más allá de la teroría, nuevas
soluciones para nuevas necesidades
Eulen Seguridad trasciende el papel de patrocinador del Seg2. La compañía española
puede presumir de ser una adelantada a su tiempo y de haber defendido en este foro la
filosofía ‘convergente’ desde el año 2009. En esta edición, el público ha sido testigo de la
evolución de esta organización como prestadora de servicios de Seguridad Integral.
RicaRdo cañizaRes, director de
Consultoría de Eulen Seguridad, es
un fiel seguidor de este encuentro, del
que no se ha perdido ni una convocatoria: “En 2009 fuimos los primeros en
ofrecer servicios de convergencia y en
2010 ya anunciamos que la Protección
de Infraestructuras Críticas (PIC) iba a
convertirse en un elemento dinámico
de este camino”. Cañizares insistió en
que algunos de los posicionamientos
defendidos durante el I Seg2 están
vigentes hoy en las organizaciones: “El
futuro es presente y la sociedad exige
a las empresas de seguridad que
sean ágiles y flexibles en sus planteamientos para adaptarse a las nuevas
amenazas”.
Eulen ejemplificó la evolución de
las amenazas actuales con las del
ámbito naval, desde que un barco
solo podía verse amenazado por otro
barco, hasta que apareció el submarino y, posteriormente, los cazas
aéreos. “La respuesta fue un trabajo
coordinado por un mando común.
Cada especialista tenía su cometido
con la tecnología disponible en el
momento –subrayó Cañizares-. Éste
es el modelo que hemos aplicado en
Eulen desde que apareció el ciberespacio como un vector de riesgo”.
Demanda más exigente
Manuel Sansegundo, consultor de
Seguridad de la firma española prestadora de servicios, ha constatado
que los clientes tienden a elevar el
nivel de exigencia de su demanda,
solicitando una gran variedad de servicios que requieren a su vez un
desarrollo integral de los mismos. Para
dar respuesta, este experto asegura:
"Nuestro catálogo es un reflejo de esa
demanda, al disponer de todos los
servicios dentro de nuestra apuesta
por la Seguridad Integral”.
18
red seguridad
En el atril, el veterano experto, Ricardo Cañizares, durante la ponencia de Eulen
Seguridad. En la mesa, sentados, Mercedes Oriol y Manuel Sansegundo.
En el plano de PIC, la compañía
cubre ambas parcelas -consultoría e
implantación de servicios- para el Plan
de Seguridad del Operador (PSO),
metodología de análisis de riesgos,
Planes de Protección Específicos (PPE)
e implantación de las medidas de protección. “Utilizamos la metodología
Magerit, internacionalmente reconocida, para el análisis de riesgos, y la plasmamos en una herramienta propia”,
declaró Sansegundo. “Nuestro modelo
de gestión es el plan de mejora continua (Plan, Do, Check, Act –PDCA-) y
facilitamos en todo momento un soporte experto para todo lo que precise el
operador de principio a fin”.
Toda planificación teórica ha de plasmarse en la práctica, que en el caso
de Eulen adquiere el nombre de Centro
de Control de Seguridad Integral
(CCSI), donde confluyen una Central
Receptora de Alarmas (CRA), un
Centro de Operaciones de Seguridad
de la Información, un Centro de Control
de Seguridad Patrimonial y un Centro
de Control de Seguridad en Sistemas
Industriales, que se haría responsable
junio 2012
de los sistemas SCADA. Para convertir
esta propuesta en un traje a la medida
de cada cliente, se torna esencial la
labor de consultoría de la que hablaba
Sansegundo: “Les ayudamos a mejorar
el nivel de seguridad y a alinearla con
el objetivo del negocio. Aquí vemos las
necesidades específicas del interesado
y le ayudamos a conseguir la madurez”. Más concretamente, la compañía
completará la implantación de un plan
de continuidad de negocio, de un
Sistema de Gestión de la Seguridad
de la Información (SGSI), y comprobará
de manera fehaciente el nivel de cumplimiento normativo en áreas como la
protección de datos (LOPD) o medios
de pago (estándar PCI DSS).
A los escépticos que ven a Eulen
alejada de la Seguridad TIC, fundamentándose en sus orígenes, Manuel
Sansegundo dirigió este mensaje:
“Contamos con aliados estratégicos y
venimos haciéndolo desde hace tiempo. Ofrecemos servicios como test de
intrusión, securización de redes, puestos de trabajo y configuración segura
de servidores, entre otros”.
colaboración
especial seg2
encuentro de la seguridad integral
INTERVENCIÓN FIRMAS PATROCINADORAS
Las redes IP, objetivo 'top'
de los ataques convergentes
Deloitte hizo suyo el dicho de que una imagen vale más que mil palabras y se ganó a los
asistentes con dos demostraciones prácticas que revelaron de manera cristalina hasta
dónde llega el límite de fragilidad de los sistemas de videovigilancia basados en redes IP
y a qué riesgos se exponen quienes no adoptan prácticas de Seguridad Global.
Ver para creer. Como si la audiencia
se caracterizase por tener la misma
fe que Santo Tomás, que necesitaba
poner el dedo en la llaga para creer
lo que tenía ante sus ojos, Deloitte
demostró que la integridad de una
organización puede ser vulnerada con
extrema facilidad. En primer lugar,
Miguel Rego, director del Grupo de
Riesgos Tecnológicos (ERS-IT) de la
consultora, incidió sobre el cambio
de naturaleza de las amenazas: “Los
vectores de ataque son cada vez más
complejos y el nivel de sofisticación es
más alto. Aumenta el grado de inteligencia detrás de las actividades de
'los malos'. Muchos se preguntarán
qué hace Deloitte en convergencia”,
reflexionó en voz alta. El directivo
disipó las dudas al exponer la relación
directa entre los departamentos de TI
de las organizaciones y la auditoría
financiera. “No queremos quedarnos
en la consultoría sin más, tenemos
vocación de pisar suelo y, por este
motivo, impulsamos laboratorios muy
técnicos, con perfiles muy hacker,
como nuestro CyberSOC”.
Para Rego, una realidad tangible es
que los ataques al ámbito de la seguridad física se dirigen cada vez más a
redes IP, provocando un aumento de
los riesgos: “Aunque sigan existiendo
cámaras analógicas, la tecnología IP
va a seguir creciendo por la calidad de
imagen, la capacidad de integración y
la escalabilidad de estos sistemas”.
En Deloitte interpretan que los riesgos de seguridad lógica no van a ser
muy diferentes a los de seguridad
física: “Para los sistemas de grabación será necesario establecer planes
de evaluación periódica, realizar una
configuración segura, etc. igual que
sucede en los sistemas informáticos.
¿Se está haciendo?”, preguntó Miguel
Rego antes de dar paso a las demos20
red seguridad
De izquierda a derecha, Víctor Lucas, Mercedes Oriol, Miguel Rego y Javier Espasa,
gerente de ERS-IT de Deloitte, que colaboró durante las demostraciones.
traciones. Como adelantábamos, dentro de la intervención de la consultora,
lo más impactante fue la oportunidad
que brindó de visualizar en vivo las consecuencias de ser hackeado, a manos
de Víctor Lucas, experto técnico del
departamento ERS-IT de Deloitte.
En el primer ejercicio, Lucas trabajó sobre un sistema de red con un
switch local y una cámara IP activada,
semejante al entorno que se podría
encontrar en una joyería o en un banco.
“Vamos a demostrar que el control de
acceso definido en la cámara no es
seguro y que -a través de Internet- nos
lo podemos saltar y entrar en la cámara
sin problema -reveló-. Podemos hacerlo sin necesidad de saber usuario y
contraseña, pero algo tendremos que
conocer para adentrarnos en la parte
autenticada”. Para conseguirlo, Víctor
Lucas utilizó un buscador público de
cámaras IP, routers, móviles o sistemas
industriales: Shodan, capaz de identificar un dispositivo expuesto. “Los token
de acceso -nada que ver con los token
de los bancos, que cambian periódicamente de contraseña- son muy débiles
junio 2012
y predecibles”. Posteriormente, Lucas
introdujo en un programa de creación
propia los resultados de direcciones IP
obtenidas en Shodan, demostrando lo
fácil que es no sólo ver qué ocurre al
otro lado, sino hacerse con el control
completo de la cámara.
En la segunda demo, Víctor Lucas
simuló un escenario en el que un
ladrón deseaba robar los activos de
una compañía. El objetivo final era
suplantar la imagen grabada por otra,
logrando dejar la cámara ciega a efectos de videovigilancia. El mero acceso
a un switch conecta al atacante al
sistema de grabación. La imagen (un
pequeño cofre de juguete) fue copiada
para utilizarla después como foto fija.
“Hemos conseguido engañar al sistema con un pequeño programa al que
hemos suministrado las direcciones IP
de la cámara que queríamos atacar",
comentó Lucas.
En definitiva, Deloitte aboga por que
la gestión del ciclo de vida de la
Seguridad de los sistemas se traslade
a la seguridad física, tal y como sugirió
Miguel Rego en su conclusión.
colaboración
especial seg2
encuentro de la seguridad integral
MESA REDONDA SOBRE INTERNACIONALIZACIÓN
La mesa redonda "Internacionalización de la Seguridad", que estuvo moderada por José Luis de la Fuente O´Connor (en el
centro), contó con interesantes intervenciones por parte (de izquierda a derecha) de: Juan Gros, de Ferrovial; José Luis Nieto, de
Aena; José Luis Soria, de Telefónica Ingeniería de Seguridad; Guillermo Llorente, de Mapfre; Luis Pérez, de Acciona; y Enrique
Polanco, consultor y experto en Seguridad.
Los usuarios exigen más apoyos
para la internacionalización
Cada vez más organizaciones buscan nuevas oportunidades en el extranjero. Esta
aventura entraña riesgos sobre su seguridad, por lo que necesitan contar con gestores
capacitados en la materia, así como con proveedores que les apoyen en su proyecto.
Sin embargo, esto último no siempre sucede, lamentan algunos responsables de
Seguridad de compañías internacionalizadas. La diversidad normativa y la falta de
soporte del Estado añaden piedras a este camino, ya de por sí complicado.
Hace tiempo que los mercados nacionales se quedaron cortos para las
empresas que quieren ser competitivas. Ni siquiera el ámbito regional es
a veces suficiente, ahora la aspiración
es ser global. Eso sí, este modelo
implica asumir riesgos en todos los
sentidos, entre ellos los relacionados
con la protección de los activos. Es
en este aspecto donde las compañías
de seguridad tienen la oportunidad
de aumentar su actividad más allá de
las fronteras patrias, acompañando a
sus socios en la travesía de la internacionalización. Sin embargo, parece
que este enfoque no ha calado aún lo
suficiente entre las firmas españolas
que se dedican a estos servicios. Por
el momento, muy pocas de ellas son
22
red seguridad
capaces de proporcionar un servicio
realmente integral en cualquier punto
del planeta, a tenor de lo que piensan
algunos grandes usuarios.
Esta cuestión fue objeto de análisis en
la mesa titulada “Internacionalización de
la Seguridad”, en la que varios expertos
opinaron sobre la capacidad del sector
español de la Seguridad Privada para
‘exportar’ sus servicios. José Luis de
la Fuente O´Connor, presidente de la
Asociación Española para la Promoción de
la Inteligencia Competitiva (ASEPIC), llevó
las riendas de un debate en el que participaron Juan Gros, director de Seguridad
de Ferrovial; José Luis Nieto, jefe de la
División de Seguridad Operativa de la
Dirección de Seguridad Aeroportuaria de
Aena; José Luis Soria, director Técnico de
junio 2012
Telefónica Ingeniería de Seguridad (TIS);
Guillermo Llorente Ballesteros, director de
Seguridad y Medio Ambiente de Mapfre;
Luis Pérez Dávila, gerente de Protección
en la Dirección de Seguridad de Acciona;
y Enrique Polanco, consultor y experto en
Seguridad Integral.
El moderador puso de manifiesto el
escaso interés que, a su parecer, han
mostrado hasta hace poco los proveedores de seguridad hacia los mercados
exteriores. Estas compañías no han
atendido, criticó O´Connor, “al océano de la oportunidad” que representa
la expansión geográfica. “La internacionalización se ha convertido en un
componente esencial para la cuenta de
resultados y también para consolidar
los resultados anteriores”, apuntó.
colaboración
especial seg2
encuentro de la seguridad integral
MESA REDONDA SOBRE INTERNACIONALIZACIÓN
Juan Gros (a la izquierda) destacó los problemas que plantea la diversidad normativa, algo compartido por el resto de invitados. Por
su parte, Enrique Polanco (a la derecha) calificó la internacionalización como “un verdadero nuevo acicate para la convergencia”.
Ferrovial es una de las compañías
españolas que desarrollan proyectos
en el exterior. Hasta la creación de
una Dirección de Seguridad, hace
aproximadamente dos años y medio,
la gestora de infraestructuras confiaba
en la consultoría externa para resolver
sus necesidades de protección, según
explicó el responsable de dicha área.
A partir de entonces, Juan Gros ha
encontrado que una de las principales
complicaciones que se presentan para
el encargado de Seguridad cuando se
mueve en el ámbito internacional es la
disparidad legal entre países; una cuestión que preocupa de manera generalizada, como pusieron de manifiesto el
resto de los componentes de la mesa
en sus intervenciones.
Otra de las dificultades es la diferencia
del nivel de capacitación de sus colegas
extranjeros, que, bajo el parecer de
Gros, suscita dudas en ocasiones: “Es
difícil entender a veces cuál es tu nivel
de competencias, tu nivel de formación. Para ello, la homogeneización de
los procesos de formación puede ser
una herramienta muy importante para
ayudar a que los criterios de seguridad
sean lo más unificados posible, estés
donde estés”.
La inteligencia competitiva, uno de
los principales temas a debate, es una
función clave en la internacionalización.
Sobre esta cuestión, el director de
Seguridad de Ferrovial sostuvo que
las empresas “viven en la medida en la
que son capaces de analizar el entorno
colaboración
mercantil que les rodea y los riesgos
que tienen que afrontar”. El departamento de Seguridad debe aportar su
experiencia en el análisis de riesgos,
siendo “absolutamente abierto” a las
consideraciones del resto de áreas de
la organización, defendió Gros.
Normas comunes
Uno de los sectores industriales donde
más se ha profundizado para establecer normas internacionales comunes
de Seguridad es la aviación. José Luis
Nieto recordó que los atentados del
11-S marcaron el cambio de las medidas de protección en este ámbito.
Según explicó el invitado, a raíz
de aquellos fatídicos atentados, la
industria marcó las pautas de seguri-
reguló, en 2002, el primer reglamento
que legislaba la seguridad aeroportuaria (Reglamento 2320/2002)”, explicó el
representante de Aena.
Diez años después de los ataques, hoy día todos los aeropuertos
del mundo cuentan con “un umbral
mínimo” de seguridad común. Para
cumplir con ese estándar, los operadores necesitan “empresas preparadas y
competitivas de servicios de seguridad
privada, que colaboren con las Fuerzas
y Cuerpos de Seguridad del Estado
(FCSE) y que tengan unas exigencias
de formación”, apuntó.
Pero los usuarios no son los únicos
que encuentran escollos a la hora de
desarrollar sus actividades lejos de su
país de origen. José Luis Soria, que
La capacidad de los proveedores españoles para
prestar servicios globales de Seguridad fue el asunto
que suscitó mayor controversia entre los invitados
dad, que hasta ese momento tenían
como única referencia el anexo 17
de la Organización de Aviación Civil
Internacional (Seguridad: protección de
la aviación civil internacional contra los
actos de interferencia ilícita, que fue
incluido en 1974 entre los anexos del
Convenio de Chicago, celebrado en
1944), un documento que recogía normas y métodos recomendados sobre
seguridad. “Hubo que indagar mucho
más del anexo 17 y la Unión Europea
acudió en calidad de representante
de una empresa proveedora, defendió la existencia en el mercado de
algunas empresas globales proveedoras de servicios de Seguridad Integral,
pero advirtió de la dificultad que tienen
estas compañías para llegar al cliente,
y no solo por la distancia geográfica. “Tenemos problemas serios para
encontrar unificados en los clientes las
diferentes disciplinas de Seguridad; si
encima tenemos instalaciones fuera,
red seguridad
junio 2012
23
especial seg2
encuentro de la seguridad integral
MESA REDONDA SOBRE INTERNACIONALIZACIÓN
veo realmente complicada la gestión”,
lamentó el director Técnico de TIS.
Soria considera que la capacidad
de las compañías de Seguridad para
desarrollar sus servicios en el extranjero
viene determinada por la propia deman-
Por otro lado, para este invitado no
existe una figura -en la mayoría de las
empresas- que aglutine todos los conocimientos de las diferentes especialidades
de la seguridad (lógica, física, protección
contra incendios…). Si a esto se añade
el desplazamiento a
otras latitudes “con
otras políticas y otras
normativas”, el trabajo del proveedor “se
hace complicado”.
Guillermo Llorente
salió al paso para
rebatir esta idea.
Para el representante de Mapfre, sí
existen profesionales
con esa suficiencia
(haciendo alusión
directa a parte de
los profesionales de
la DISMA presentes
en el salón). Desde
su punto de vista,
José Luis Nieto (en primer plano) se refirió a la necesidad
el responsable de
de contar con empresas de seguridad preparadas.
Seguridad ha de
saber gestionar los
da. “Si el cliente demanda unos serviriesgos y rodearse de un equipo multicios globales, integrales, las empresas
disciplinar capaz de ejecutar las tareas.
tendremos que estar preparadas; pero
“Conforme se van aglutinando funciosi por el contrario los proyectos se
nes, la persona que asume ese cargo
hacen ‘en local’, sin criterios técnicos,
va, lógicamente, careciendo de expertise
poco evolucionados y se ven como
inmediato o de bajo nivel y va necesiun problema económico, al final los
tando dotarse y poner en practica otras
proveedores nunca llegaremos a tener
capacidades más orientadas a la gestión
la calidad que se demande”, defendió
directiva”, sostuvo. Por lo tanto, la función
el representante de TIS.
de este profesional pasa por su capaci-
TIS, un proveedor de seguridad
con vocación internacional
Desde la primera edición del Encuentro de la Seguridad
Integral (Seg2), Telefónica Ingeniería de Seguridad (TIS) ha
apostado por este evento, defendiendo la convergencia
como un modelo inexorable para la protección de las
empresas. Más si cabe de aquellas con grandes aspiraciones tanto en los mercados regionales como en el escenario global.
La estrategia internacional de la multinacional española se focaliza
actualmente en Latinoamérica, donde ha desarrollado proyectos integrales en países como Perú, Brasil, Chile, Argentina o México. En todos
esos lugares ha demostrado su potencial para implementar medidas de
seguridad tan diversas como el monitoreo urbano, seguridad contra
incendios, seguimiento centralizado vía IP, control de flujo de transportes, gestión de riesgos en Internet, sistemas electrónicos de seguridad
o cumplimiento normativo de Seguridad de la Información.
24
red seguridad
junio 2012
dad de organizar la estructura, funciones
y objetivos del departamento, asi como
alinear estos con los de la compañía”.
Por otro lado, Llorente lamentó la dificultad de encontrar prestadores de servicios de seguridad globales para firmas
como Mapfre, con implantación en 46
países. Cuando una multinacional trata
de abrir una oficina en una localización
lejana "no se encuentran" proveedores
españoles de este tipo, manifestó. Ante
esto, reiteró que las compañías que
operan en el ámbito internacional requieren proveedores que lleguen allí donde
se les necesite, al igual que sucede con
los de telecomunicaciones o del ámbito
de la seguridad de los Sistemas de
Información.
A modo de conclusión, Llorente indicó
que es imprescindible que exista “flexibilidad y una capacidad de gestión importante para administrar y saber adaptarse
al entorno” cuando una compañía trabaja en el ámbito internacional.
Enrique Polanco, por su parte, rompió una lanza a favor de los proveedores de servicios: “Si se coge el mapa
de los lugares en los que están las
grandes empresas [de seguridad], se
puede ver que están allí, donde hay
compañías internacionalizadas”, observó. El problema para este profesional
se encuentra en la “dualidad” que se
genera cuando el cliente y el prestatario
“no saben qué pedirse el uno al otro”.
Según este invitado, los proveedores
deben ajustar sus ofertas a las necesidades del cliente, ya que éstos últimos
demandan básicamente protección.
Las compañías de seguridad son las
que han de proporcionarle los medios y
recursos para conseguir ese objetivo.
Polanco, que considera la internacionalización como “un verdadero nuevo
acicate para la convergencia”, señaló
que han de tenerse en cuenta dos factores importantes cuando una empresa se
implanta en el extranjero: “se internacionaliza la amenaza y se internacionalizan
las vulnerabilidades, porque hemos internacionalizado nuestros activos”. El consultor sostuvo que conocer estos últimos
es fundamental para contextualizar el
análisis de riesgos y así advertir las amenazas y las vulnerabilidades del negocio.
“El liderazgo” es una pieza fundamental
para que la gestión sea eficaz.
Por último, se refirió a la inteligencia,
que para él supone “la base de la seguri-
colaboración
especial seg2
encuentro de la seguridad integral
MESA REDONDA SOBRE INTERNACIONALIZACIÓN
dad”. En ese sentido demandó un mayor
apoyo por parte de la Administración en
este tipo de labores. “Las empresas
necesitan apoyarse en los sistemas de
seguridad del Estado y de inteligencia
de los países”. El consultor solicitó más
generosidad y atención al respecto por
parte de los organismos públicos, de
manera que se ayude a las compañías
internacionalizadas.
Expatriados
Al margen de los escollos mencionados,
surgió otro tema de enorme interés
para las multinacionales con presencia
extranjera: los expatriados. La protección de estos trabajadores es un asunto
de vital importancia para compañías
como Acciona cuando se habla de
seguridad en el ámbito internacional.
“Nuestra prioridad es prestarles el máximo apoyo para que ellos tengan total
tranquilidad; pero no solo ellos, sino
también sus familias, porque el ingeniero
tiene que estar centrado en su proyecto
y tener una estabilidad emocional”, indicó Luis Pérez.
Para conservar la integridad de sus
empleados cuando se encuentran a
miles de kilómetros de sus casas, el
grupo cuenta con múltiples recursos de
Guillermo Llorente (a la derecha) defendió la flexibilidad y la capacidad de gestión
como claves para la internacionalización. A la izquierda, José Luis de la Fuente.
prevención y protección, como estudios
previos, contactos institucionales, guías
del país, recomendaciones, protección
personal, contravigilancia o el Centro
Nacional de Seguridad de respuesta
frente a crisis, entre otros apoyos.
En estos casos, la compañía adopta
un “perfil bajo” a la hora de proteger a
los expatriados. “Para nosotros, la fase
de prevención es esencial, pero hay
un condicionante fundamental, que es
que bajo ninguna circunstancia alguien
puede identificar ese servicio de seguridad con nuestros empleados”, explicó
el gerente de Protección de la Dirección
de Seguridad Corporativa de la compañía de construcción e infraestructuras.
“Eso daría a entender que detrás de esa
persona hay una gran multinacional, y
aumenta el riesgo”, argumentó.
Antes de finalizar dejó un aviso a navegantes al afirmar que hay proveedores
globales “que no funcionan como debieran en determinados países”.
Otras claves para comprender el mercado global
El debate acerca de las dificultades que encuentran las empresas que salen al
extranjero cuando de seguridad se trata se extendió a los asistentes al encuentro. Entre el público, Manuel Rodríguez, jefe de la Unidad de Gestión de Riesgos
del Parlamento Europeo, destacó la importancia del
informe de seguridad antes de llevar a cabo una operación en mercados exteriores. Es "la clave", consideró,
en países de alto riesgo. Al respecto, Juan Gros señaló
que dicho documento no siempre es vinculante para la
compañía. “Desde la Dirección de Seguridad debemos
facilitar la actividad y solo en circunstancias excepcionales poner trabas de máximos”, apuntó el responsable de
Seguridad de Ferrovial.
Eduardo González, director general de Securitas
Transport Aviation Security, quiso apuntar que el debate sobre la seguridad en
la internacionalización no debe limitarse únicamente a una cuestión de oferta y
demanda. “El mercado, además de los proveedores y los consumidores, está
formado por una serie de entornos, como el legal, económico, social, demográfico y cultural”. La compañías han
de analizar previamente todos esos aspectos para decidir correctamente, sostuvo este profesional.
Finalmente intervino Carlos Blanco, director Nacional de Eulen Seguridad, para defender la capacidad de los
proveedores españoles. "El ser global no es que seamos capaces de poner a un vigilante en cualquier parte del
mundo", matizó. Para este profesional, la globalización "es una tendencia" que siguen las empresas para atender
a sus clientes. Por ello, Blanco pidió que se tenga en cuenta a los proveedores españoles y se mostró convencido
de que éstos podrán atender las necesidades de los clientes que se implanten en el extranjero.
colaboración
red seguridad
junio 2012
25
especial seg2
encuentro de la seguridad integral
MESA REDONDA SOBRE CIBERSEGURIDAD Y PIC
Las amenazas TIC exigen una
actuación nacional y convergente
Los ataques cibernéticos contra infraestructuras críticas han demostrado que las
amenazas lógicas pueden comprometer la seguridad de las instalaciones físicas.
Los gobiernos –el español, entre ellos– han tomado conciencia de la magnitud de
este fenómeno y se han puesto manos a la obra para elaborar planes que definan la
actuación del Estado en materia de seguridad y defensa del ciberespacio.
Marcos Gómez Hidalgo, representante de Inteco (en el centro), moderó el debate, en el que participaron (de izquierda a derecha):
Óscar Pastor, de Isdefe; Óscar de la Cruz, del Grupo de Delitos Telemáticos de la Guardia Civil; Javier Zubieta, de GMV; Pablo Alonso,
de la Brigada de Investigación Tecnológica de la Policía Nacional; Rafael Pedrera, del CNPIC; y Javier García Carmona, de Iberdrola.
Stuxnet ha paSado a la historia por
ser el primer malware conocido capaz
de espiar y reprogramar aplicaciones
de control industrial. En el verano de
2010, el 'gusano' había infectado casi
100.000 ordenadores en países como
Irán, Indonesia, India, Estados Unidos,
Australia, Gran Bretaña, Malasia,
Pakistán y Alemania. Pero su fama se
debió sobre todo a la sospecha de
que se trataba en realidad de un arma
cibernética dirigida contra los sistemas SCADA (Supervisory Control and
Data Acquisition) que monitorizaban los
procesos de varias plantas nucleares
iraníes. Algunos medios de comunicación acusaron a los servicios secretos
norteamericanos e israelíes de estar
detrás de esa posible agresión contra el
régimen de los ayatolás.
Con Stuxnet, por tanto, saltó a la
palestra la vulnerabilidad de las infraestructuras críticas ante las ciberamenazas. De nada servían ya las medidas
de seguridad física para garantizar la
28
red seguridad
salvaguarda y el correcto funcionamiento
de esos entornos si no se contemplaba
también la seguridad de las Tecnologías
de la Información y la Comunicación
(TIC). La legislación que regula la protección de este tipo de infraestructuras -Ley
PIC- ha supuesto un avance sin precedentes al establecer la necesidad de
partir de un enfoque en el que converjan ambos aspectos para gestionar su
seguridad. El propio ministro del Interior,
Jorge Fernández Díaz, fue un paso más
allá al señalar, durante las I Jornadas
Técnicas de Protección de Sistemas
de Control en Infraestructuras Críticas
(PSCIC), que "en el año 2012 la amenaza cibernética se configura como el principal riesgo potencial contra los servicios
esenciales de cualquier sociedad".
Sin embargo, ¿son verdaderamente conscientes los distintos agentes
implicados de la importancia que tienen
la ciberseguridad y dicha perspectiva
integral para hacer frente a los ataques?
Para tratar de resolver esta duda, RED
junio 2012
SEGURIDAD y SEGURITECNIA sentaron en torno a una misma mesa a
representantes de cada uno de esos
actores: del lado de los operadores, Javier García Carmona, director
de Seguridad de la Información y las
Comunicaciones de Iberdrola; como
fabricante, Javier Zubieta Moreno, responsable de Desarrollo de Negocio de
Seguridad de GMV Soluciones Globales
Internet; en nombre de las Fuerzas
y Cuerpos de Seguridad del Estado
(FCSE), el comandante Óscar de la
Cruz Yagüe, jefe del Grupo de Delitos
Telemáticos (GDT) de la Guardia Civil, y
Pablo Alonso Fernández, jefe del Grupo
de Seguridad Lógica de la Brigada
de Investigación Tecnológica (BIT) del
Cuerpo Nacional de Policía; y por parte
de la Administración, Rafael Pedrera
Macías, del servicio de Seguridad
Lógica del Centro para la Protección de
las Infraestructuras Críticas (CNPIC), y
Óscar Pastor Acosta, Security Manager
en la Dirección de Defensa y Seguridad
colaboración
especial seg2
encuentro de la seguridad integral
MESA REDONDA SOBRE CIBERSEGURIDAD Y PIC
de Ingeniería de Sistemas para la
Defensa de España (Isdefe).
Ejerciendo como excepcional 'maestro de ceremonias', Marcos Gómez
Hidalgo, subdirector de Programas
del Instituto Nacional de Tecnologías
de la Comunicación (Inteco), empezó
diciendo que se han realizado ya varios
simulacros destinados a entrenar a los
operadores en la prevención y el control
de las amenazas TIC. España ha sido
pionera en este terreno con el desarrollo
entre abril y mayo de un ejercicio en el
que han participado 18 compañías gestoras de infraestructuras críticas pertenecientes a los sectores del transporte,
la energía y el nuclear. La prueba, que
fue promovida y dirigida por el equipo
de Óscar Pastor, con la colaboración
del CNPIC, simuló una ofensiva informática que consiguió llegar a la red
SCADA de una planta energética ficticia
y detener el suministro de gas.
Fuera de nuestras fronteras, se han
llevado a cabo también diferentes ensayos de ataques TIC a entornos críticos.
Así por ejemplo, el Cyber Atlantic 2011,
el primer ejercicio de ciberseguridad en
el que han intervenido conjuntamente
la Unión Europea y Estados Unidos,
recreó un posible escenario de crisis en
una instalación eólica –española precisamente–. "Todo hace pensar que se
va a continuar en esa línea de intentar
testar el grado de madurez de los sistemas de protección y de respuesta o
recuperación frente a incidentes", indicó
Gómez, que informó de que se realizará
otro Cyber Atlantic este año.
Estrategias nacionales
Varios son igualmente los países que
han definido su plan de seguridad y
defensa online. En Estados Unidos,
Barak Obama ha dado un decidido
impulso a este asunto al promover lo
que se ha denominado la Estrategia
Internacional para el Ciberespacio, que
busca elevar al máximo rango la respuesta del Gobierno ante los delitos
TIC. "Y siempre desde un punto de
vista integral", recalca el portavoz de
Inteco, uniendo la seguridad lógica y la
ciberdefensa con la seguridad física, la
protección de fronteras y la lucha contra
el terrorismo.
En Europa, naciones como Reino
Unido, Alemania, Francia, Países Bajos
o República Checa han presentado ya
colaboración
A pesar de lo intensa que había sido la jornada, los asistentes no quisieron perderse
el debate y volvieron a abarrotar el salón del Hotel Husa Princesa.
sus planes que, a diferencia del norteamericano, "son documentos muy
ligeros, bastante estratégicos", según
explica Gómez, pues en ellos se fijan
la misión a perseguir, los valores en los
que se fundamentan y, especialmente,
los ejes de actuación. Tal como declara el experto, todos esos programas
hacen hincapié en las infraestructuras
críticas y se apoyan en dos patas principales: la legislación (que sirve "como
punta de lanza") y el establecimiento de
un organigrama y de un liderazgo claro.
En España, el ministro del Interior
anunció en febrero que el Gobierno
tiene previsto aprobar -previsiblemente
en junio- la Estrategia Española de
pues está claro que la ciberseguridad
no puede abordarse solamente desde
el ámbito público.
Para Óscar de la Cruz, el principal
problema que existe aún hoy es la falta
de concienciación. "Es necesario ver la
amenaza cibernética como un problema
real y del presente", afirmó. "La seguridad no es ni fácil ni cómoda", subrayó el
comandante de la Benemérita, y de ahí
que haya todavía tantas organizaciones
que no tienen debidamente cubierta la
protección de sus activos lógicos.
En contraposición a esa percepción
"pesimista" –tal como la calificó el propio De la Cruz–, el otro miembro de las
FCSE, Pablo Alonso, considera que
"Para implementar la Estrategia Española de
Ciberseguridad hay que buscar la colaboración entre
los actores, públicos y privados", según Óscar Pastor
Ciberseguridad. Aunque podría parecer
que caminamos con retraso respecto
a esos otros estados, Óscar Pastor
espetó que antes que "ser los primeros" es preferible partir de "un mensaje
bien acotado". La Agencia Europea
para la Seguridad de Redes y de la
Información (ENISA, por sus siglas en
inglés) ha publicado un informe sobre
los planes de ciberseguridad que están
desarrollándose a lo largo del continente
y ha constatado que existe "una gran
dispersión" en esas iniciativas, según
el responsable de Seguridad de Isdefe.
El paper, que incluye una guía para la
redacción de esas estrategias, insiste en
la colaboración público-privada: "Hay
que tener en cuenta al sector privado
para su elaboración –sostiene Pastor–,
el hecho de que se haya confeccionado un borrador de la estrategia de
ciberseguridad significa que existe esa
sensibilización.
Javier Zubieta, por su parte, defendió
que España ha alcanzado bastante
madurez en el terreno de la "práctica de
ciberseguridad", sobre todo en lo que
se refiere a la prevención de incidentes
y la minimización de los riesgos y del
impacto de los ataques. El directivo de
GMV subrayó asimismo que los departamentos de Seguridad Lógica llevan
varios años trabajando en la profesionalización de la actividad.
En opinión de Rafael Pedrera, las organizaciones están ya acometiendo medidas para garantizar la ciberseguridad, por
lo que el plan nacional va a servir para
red seguridad
junio 2012
29
especial seg2
encuentro de la seguridad integral
MESA REDONDA SOBRE CIBERSEGURIDAD Y PIC
"reforzar esas actuaciones individuales
y marcar una única dirección; de lo que
se trata es de compartir información y
coordinar esfuerzos", apostilló.
Javier García Carmona piensa que
aún queda mucho camino por recorrer
hasta que las compañías adquieran esa
de Seguridad (ENS) o la futura reforma
de la Ley de Seguridad Privada. "¿Pero
son suficientes para continuar armando
la estrategia de ciberseguridad?", preguntó el moderador.
Pastor declaró que España posee
un marco regulatorio bastante amplio
en este terreno,
que en todo caso
habría que simplificar para evitar
solapamientos, y
alabó nuestra 'Ley
PIC', que es "más
ambiciosa y pormenorizada que la
directiva europea
de la que emana".
No obstante, para
este profesional, "la
herramienta para
implementar
la
estrategia no debe
ser un excesivo
Javier Zubieta sostuvo que nuestro país cuenta con una
gran experiencia en seguridad TIC.
desarrollo normativo, sino buscar la
visión de 360 grados de la Seguridad.
colaboración entre todos los actoAdemás, entiende que es prácticamenres, públicos y privados". Al respecto,
te imposible establecer el nivel de ciberPedrera afirmó que desde el CNPIC
seguridad que tienen las compañías, ya
se ha intentado contar con el sector
que "no hay un marco de referencia".
privado para que "la legislación no les
suponga una piedra en el zapato".
Marco regulatorio
El representante de Iberdrola recoEn nuestro país hay diferentes textos
noció que, de no haber sido por las
normativos que afectan a la seguriexigencias normativas, los operadores
dad lógica, como la Ley Orgánica de
no tendrían el grado de seguridad que
Protección de Datos (LOPD), la Ley para
han alcanzado actualmente. Eso sí,
la Protección de las Infraestructuras
cree que el marco regulatorio es "malo",
Críticas ('Ley PIC'), el Esquema Nacional
ya que resulta demasiado extenso, hay
GMV apuesta por la integración
Es ya un clásico la colaboración de GMV en el
Seg2. Desde la segunda edición del Encuentro de
la Seguridad Integral, la multinacional tecnológica ha
participado con su patrocinio en la consolidación del
simposio. Este año, lo ha hecho a través de GMV Soluciones Globales
Internet, su sociedad filial especializada en los mercados de telecomunicaciones y el negocio en la Red, que ha copatrocinado el evento y ha
aportado a los asistentes, a través de Javier Zubieta, el punto de vista
del proveedor de soluciones de seguridad. Un socio tecnológico especializado en las tecnologías más avanzadas, los productos y servicios
especializados y, sobre todo, los sistemas integrados.
Fundado en 1984, el grupo dirige sus soluciones al sector de la aeronáutica, el espacio, la defensa, la seguridad, la banca y las finanzas, la
sanidad, el transporte, las telecomunicaciones y las TIC para las administraciones públicas y la gran empresa.
30
red seguridad
junio 2012
contradicciones entre las diferentes
reglas y no está actualizado a los problemas de hoy.
Por otro lado, De la Cruz y Alonso
alegaron que existen carencias, especialmente en el ámbito penal y procesal.
Las leyes se han quedado anticuadas (la
de Enjuiciamiento Criminal, por ejemplo,
data de 1882) y, además, no se tiene
en cuenta que ahora la mayoría de los
delitos son trasnacionales y se necesitan mecanismos que agilicen las investigaciones. Según el jefe de Seguridad
Lógica de la BIT del Cuerpo Nacional
de Policía, se está produciendo algún
avance en este sentido, como la creación del Fiscal de Sala Delegado en
materia de Delitos Informáticos, "pero el
ritmo es demasiado lento para la rápida
evolución de las nuevas tecnologías".
Zubieta señaló que las organizaciones no se encuentran verdaderamente
protegidas contra las agresiones cibernéticas desde el punto de vista legislativo: "Si alguien quiere atacarnos desde
el extranjero, no se va a echar atrás porque se le vaya a sancionar en España",
aseguró. Es más, el portavoz de GMV
duda de que las leyes pudieran servir
para disuadir a los criminales.
Intercambio de información
Para que cualquier plan nacional de
ciberseguridad funcione es clave que
se dé un fluido intercambio de información entre todos los actores implicados.
Sin embargo, actualmente la normativa
de protección de datos dificulta –si no
impide– que tal colaboración se lleve
a cabo. "En Inteco tenemos un centro
de respuesta ante incidentes de seguridad informática (CERT, por sus iniciales
inglesas) –explica Gómez– y para enviar
o recibir datos de otras entidades necesitamos firmar acuerdos de confidencialidad impresionantes, comunicarlo a
la Agencia Española de Protección de
Datos (AEPD), encriptarlos... ¿Es una
utopía que llegue a producirse un intercambio eficaz?".
El directivo de Isdefe destacó que
esa cooperación no puede acotarse al
ámbito nacional. Puesto que "el ciberespacio no tiene fronteras", es necesario firmar acuerdos con otros países
para hacer posible la colaboración. "La
vía para conseguir esto es la concienciación y el fomento de los ejercicios
prácticos" –como el Cyber Atlantic–,
colaboración
especial seg2
encuentro de la seguridad integral
MESA REDONDA SOBRE CIBERSEGURIDAD Y PIC
que están enfocados a detectar esos
problemas de interoperabilidad.
De la Cruz admitió que es fundamental compartir información, tanto para la
investigación como para la elaboración
de inteligencia. El jefe del GDT de la
Guardia Civil se quejó de que en su
operativa diaria encuentran obstáculos
no solo a la hora de intercambiar datos
con el sector privado a causa de la
LOPD, sino también con la propia policía, debidos en este caso a la obligatoriedad de garantizar los derechos de
las personas investigadas. En el terreno
europeo, aunque se han hecho importantes avances a nivel de cooperación
policial y judicial, falta todavía "la visión
global". Y mayor aún es el problema con
los llamados "paraísos tecnológicos",
países que no comparten información
sobre delitos cibernéticos.
Alonso anunció que la Interpol tiene
prevista para 2014 la apertura en
Singapur de un centro de colaboración
internacional, al igual que Europol pretende crear en 2013 en La Haya (Países
Bajos) una oficina para la cooperación
en materia de ciberdelincuencia. La idea
es que en estos centros se encuentre
un representante policial de cada país,
lo que agilizará los trámites.
En el entorno privado, no se está
produciendo tampoco un intercambio
de información profesional, según el
portavoz de GMV, "a no ser que exista
un interés económico", matizó. Para el
director de Seguridad de la Información
y de las Comunicaciones de Iberdrola,
el principal escollo radica en que no se
ha realizado un análisis funcional de la
estrategia de ciberseguridad en el que
hayan participado todos los agentes
involucrados. "Primero hay que pensar
qué queremos hacer y luego cómo
hacerlo", resaltó García Carmona. En
su opinión, la interoperabilidad no se da
ni siquiera entre los departamentos de
seguridad física y lógica de una misma
empresa, al tiempo que las organizaciones no se sienten cómodas en su
relación con las FCS.
En el caso del CNPIC, el intercambio
de información se vuelve más complicado, puesto que los datos que manejan
son secretos. Pedrera expuso que se
pretende contar con los operadores y la
Seguridad Pública a la hora de desarrollar
la futura herramienta que permita ese
intercambio, la cual constará de un foro
colaboración
¿Debe Inteligencia liderar la
Estrategia de Ciberseguridad?
CoinCidiendo Con el Día Internacional de Internet Seguro, el ministro del
Interior, Jorge Fernández Díaz, informó en febrero de que el Gobierno
estaba trabajando en la redacción de una estrategia española de ciberseguridad. El texto está actualmente en fase de borrador y va a partir,
según avanzó Fernández Díaz, de dos puntos principales: el refuerzo
de las unidades del Cuerpo Nacional de Policía y la Guardia Civil especializadas en delitos telemáticos, así como del CNPIC; y el impulso de
la colaboración entre la Seguridad pública y la privada.
Aunque el borrador no ha salido a la luz a cierre de este número,
parece ser que es el Centro Criptológico Nacional (CCN) el organismo
que se ha ocupado de la confección del documento, por lo que es
previsible que sea esta institución, dependiente del Centro Nacional de
Inteligencia (CNI), la que lidere el plan.
En este sentido, la directora de RED SEGURIDAD, Mercedes Oriol,
se interesó por la opinión que merecía a los integrantes de la mesa
redonda esa noticia: que una estrategia nacional de ciberseguridad la
lidere Inteligencia, en vez de Interior o Defensa. Óscar Pastor defendió
que inteligencia y seguridad "deben vivir muy juntas, pues el resultado
de una alimenta a la otra", pero matizó que tienen focos distintos.
En cuanto a sobre en qué organismo debería recaer el liderazgo de
la estrategia, Rafael Pedrera recalcó que lo importante no es quién la
encabece, sino que en ella se incluya a todos los agentes que trabajan en el negocio de la seguridad. Por su parte, para Pablo Alonso lo
fundamental es que se defina claramente a quién se debe informar de
los hechos conocidos, así como que los elementos de comunicación
sean ágiles.
Óscar de la Cruz declaró que no le parece inadecuado que sea el CNI
quien lidere el plan, "porque alguien tiene que hacerlo", pero piensa que
podrían encargarse también otras instituciones; una idea con la que
coincidió Javier Zubieta. Finalmente, Javier García Carmona remarcó
que la inteligencia es actualmente "el elemento diferenciador" de las
grandes organizaciones.
y una 'wiki'. Eso sí, la información compartida debe convertirse previamente en
confidencial y, aunque pueden manejarse
datos de IP atacantes, habrá que proteger siempre la identidad de las víctimas.
Para cerrar el panel, el moderador
preguntó a los tertulianos si creían que
algunas agencias gubernamentales
podían estar utilizando las TIC para
llevar a cabo ofensivas contra otros países. Hubo en la mesa un acuerdo casi
unánimo en que así era.
Pastor opinó que detrás de esas
agresiones hay, además de criminales
y activistas, agencias de inteligencia y
ciberejércitos. De la Cruz aseguró que
la delincuencia organizada y el terrorismo se encuentran cada vez más
entremezclados, mientras que Alonso
cree que, debido a la complejidad de
muchos de esos ataques, posiblemente
sean obra de servicios de inteligencia.
Pedrera afirmó que, en el ámbito de la
defensa, el ciberespacio se considera
ya comúnmente el quinto dominio en
los que se desarrollan conflictos –junto
al de tierra, mar, aire y espacio– y, en
consecuencia, es uno de los escenarios
donde se podrían llegar a poner en marcha acciones bélicas. García Carmona
apuntó que la guerra tecnológica siempre ha existido, solo que ahora se llama
cibernética, y que es ahí donde reside el
verdadero potencial bélico hoy en día.
Únicamente discrepó con estos planteamientos Zubieta, que señaló que esa
"leyenda negra" se ha creado por la
admiración que provocó Stuxnet, la cual
llevó a pensar que debía de haber sido
lanzado por una gran organización.
red seguridad
junio 2012
31
especial seg2
encuentro de la seguridad integral
MESA REDONDA SOBRE FUTURA LEY DE SEGURIDAD PRIVADA
Ana Borredá, directora de SEGURITECNIA (en el centro), orquestó el debate, que reunió a presidentes de asociaciones de
profesionales y empresas tanto de la seguridad física como de la lógica. De izquierda a derecha, Gianluca d'Antonio, de ISMS
Forum Spain; Carlos Blanco, de APROSER; Antonio Ramos, de ISACA Madrid; y Álvaro Martín, de ASIS España.
Una oportunidad clave para
redefinir la actividad del sector
Tras la anunciada revisión de la Ley de Seguridad Privada, se abre un escenario
más que favorable para incluir en el marco regulador de estos servicios el área de la
protección TIC, un ámbito aún sin legislar. Las asociaciones del sector vislumbran ahí
una vía para determinar cómo será –y cómo debería ser– la actividad en el futuro, en
el que se espera asistir a la verdadera unión de la seguridad física y la lógica bajo la
responsabilidad de un directivo con visión integral.
En 1992 sE aprobó la Ley de
Seguridad Privada para ordenar
los servicios de protección que, de
forma paralela a los realizados por
las Fuerzas y Cuerpos de Seguridad
(FCS), venían prestando los particulares. Por aquella época, había
un elevado número de vigilantes y
empresas que ejercían esa actividad,
pero no existía una normativa unitaria
y adecuada a los tiempos que fuera
capaz de establecer un control eficaz
sobre esos servicios. La Ley 23/1992
sirvió por tanto para regular el sector tal y como se concebía entonces, pero qué duda cabe de que
los numerosos y profundos cambios
32
red seguridad
que ha experimentado la Seguridad
Privada en las dos últimas décadas
obligan a verla desde una perspectiva
bien distinta. Primero, porque su creciente papel –y su potencial– dentro
del mantenimiento de la seguridad
ciudadana aconseja trascender el rol
de mero complemento de la pública
que le otorgaba la norma de 1992.
Y segundo, porque la evolución de
las amenazas convierte en prioritario
incorporar la seguridad lógica a la
regulación del sector.
En estos términos se expresó Ana
Borredá, directora de SEGURITECNIA
y directora general de Borrmart
–empresa editora de las dos publi-
junio 2012
caciones organizadoras–, durante la
mesa redonda con la que se cerró
esta cuarta edición del Seg2. Tal
como explicó la moderadora, el pasado 31 de enero el ministro del Interior,
Jorge Fernández Díaz, planteó una
“más que posible” reforma de la Ley
de Seguridad Privada. El problema es
que esa revisión de la norma podría
quedarse en la superficie y limitarse
a “solucionar problemas puntuales”
relacionados con la crisis económica,
en lugar de aprovechar esta oportunidad para llegar hasta el meollo
de la cuestión: “Sería un momento
excepcional para sentarnos y definir
qué es la Seguridad Privada y qué
colaboración
especial seg2
encuentro de la seguridad integral
MESA REDONDA SOBRE FUTURA LEY DE SEGURIDAD PRIVADA
pretendemos que sea de aquí al futuro -declaró Borredá-. Y mi sueño es
que en esa nueva ley tenga cabida el
concepto de seguridad integral y se
contemple a ese directivo superhombre que se requiere para estar al frente
de esa área en las organizaciones”,
apostilló.
Para debatir acerca de este tema,
RED SEGURIDAD y SEGURITECNIA
convocaron a cuatro presidentes de
sendas asociaciones del sector: del
lado de la seguridad física, Carlos
Blanco, de la Asociación Profesional
de Compañías Privadas de Servicios
de Seguridad (APROSER), y Álvaro
Martín, del Capítulo 143 de ASIS
International (ASIS España); y procedentes del mundo de las tecnologías de la información y la comunicación (TIC), Gianluca d'Antonio, de la
Asociación Española para el Fomento
de la Seguridad de la Información (ISMS
Forum Spain), y Antonio Ramos, de la
sección madrileña de la Asociación
para la Auditoría y el Control de los
Sistemas de la Información (ISACA
Madrid).
Reforma en profundidad
Tomó la palabra en primer lugar
D'Antonio, como representante de los
profesionales de la seguridad lógica,
para coincidir con Borredá en que, ya
que se va a modificar la ley vigente,
debería hacerse en profundidad: “Si
estamos de acuerdo en que el panorama tecnológico se ha poblado de
numerosos elementos nuevos, necesitamos empezar de cero en lugar de
proponernos arreglar lo que tenemos”.
Un punto que compartió Ramos, portavoz de los colectivos de auditores de
sistemas, gestores de riesgo, expertos
en gobierno TIC y responsables de
seguridad de la información: “La realidad de 1992 y esta son diferentes,
y espero que esa anunciada reforma
no se desaproveche”. El presidente
de ISACA Madrid añadió que no tiene
sentido separar la seguridad física y la
lógica y que, por tanto, no deberían
regularse de forma distinta. “En la
medida en que la legislación ha de
reflejar la situación actual, necesita
adecuarse al escenario de riesgos globales al que se enfrenta hoy en día un
responsable de Seguridad”, matizó.
Desde la perspectiva de los profe-
colaboración
sionales de la seguridad física, Martín
subrayó que hay que empezar por
precisar qué es Seguridad Privada.
Admitió que se está produciendo un
proceso de convergencia entre los dos
tipos de la actividad, pero defendió que
debe haber profesionales y especialistas de cada uno de ellos. "Tenemos
que buscar maneras de interrelacionarnos –manifestó el ponente de ASIS
España–, una colaboración física-lógica que muchas veces ni siquiera se da
con las FCS ni tampoco dentro de una
misma organización".
Por su parte, Blanco, presidente de
la única asociación exclusivamente
de empresas participante en la mesa
redonda, destacó que a pesar de que
las compañías suelen preferir que haya
el menor número de normas posible
para operar con mayor libertad, piensa que lo que va a hacer la nueva ley
del sector es potenciar la actividad de
las firmas de seguridad. "Deseo que
recoja específicamente las funciones
que se enmarcan dentro de la protección de la información para que las
empresas puedan desarrollar su labor
en este ámbito sin ningún problema
legal", apuntó. Esta es, según Blanco,
la primera condición que ha de reunir
la futura Ley de Seguridad Privada,
ro" a las compañías, ya que exige a
estas fuertes inversiones en seguridad,
pero coincidió en que tiene como lado
positivo que sirve para fijar el terreno
en el que se mueve la protección
física.
Tras comprobar el acuerdo unánime
que hubo en la mesa en torno a la
necesidad de utilizar la posible reforma
de la Ley de Seguridad Privada para
regular la vertiente TIC e incluir la visión
integral, la moderadora conminó a las
asociaciones a "influir en el legislador
para enfilar ese camino" o, al menos,
"para cambiar mentalidades".
Perfil del directivo integral
A continuación, Borredá preguntó a
los contertulios cuál creían que debería
ser el perfil y la formación de la persona que se situara al frente de la seguridad integral de una organización. La
'Ley PIC' establece la obligación de
que los operadores de infraestructuras
críticas designen a un responsable
de Seguridad y Enlace, que será el
interlocutor entre la Administración y la
organización, y exige que esa persona
cuente con la habilitación de director
de Seguridad. ¿Pero es suficiente esa
certificación profesional para liderar
de forma eficaz la protección de una
Puesto que la regulación debe reflejar el panorama
actual, necesita adecuarse al escenario de riesgos
globales al que se enfrenta hoy en día el responsable
de Seguridad de cualquier organización
aunque reconoció que le "gustaría"
que incluyera también ese planteamiento integral, pues "lo que están
haciendo las compañías es proteger
bienes, sea cual sea su naturaleza: un
millón de euros o de bytes".
En este sentido, D'Antonio comentó
que existe un marco regulador para la
seguridad física pero no para la lógica,
lo que crea dudas acerca de hasta
dónde pueden llevar su actuación las
entidades privadas a la hora de repeler
un ataque. "El hecho de no tener legislación no nos hace más libres, sino que
nos expone más –aclaró el experto–, y
esta sería una buena oportunidad para
acabar con esa situación".
Al respecto, Martín afirmó que ese
marco regulador "cuesta mucho dine-
empresa –ya sea prestataria de un
servicio esencial o no– desde un punto
de vista convergente?
Para el presidente de ASIS España,
el perfil del director de Seguridad
dependerá de las necesidades de
cada empresa: “Si hace falta una
relación con la Administración o con
las FCS, tendrá que tener unas características, y si no, tendrá que tener
otras...”. Como señaló Martín, en términos generales, está figura deberá poseer capacidades de gestión y
rodearse de los técnicos necesarios
en cada área.
En cuanto a la capacitación, el invitado sostuvo que la formación obligatoria que recibe el director de Seguridad
es adecuada, aunque ve positivo que
red seguridad
junio 2012
33
especial seg2
encuentro de la seguridad integral
MESA REDONDA SOBRE FUTURA LEY DE SEGURIDAD PRIVADA
Los participantes de la mesa redonda debatieron sobre cómo ha de entenderse la Seguridad Privada del futuro y acerca del perfil y
la formación que debe tener el directivo de Seguridad para abordar esta actividad desde un punto de vista convergente.
se complemente con otras materias, como Prevención de Riesgos
Laborales o Seguridad Lógica, “como
la misma norma de Seguridad Privada
recogió el año pasado”. “Un paso más
sería analizar que hubiese un grado de
seguridad”, añadió.
Como conclusión argumentó: “Yo
mismo me defino como ‘director
comercial de la seguridad’; parte de
mi trabajo es tratar de vender la seguridad a mi organización. Luego habrá
técnicos que tengan que desarrollar el
trabajo, bajo mi supervisión”.
El representante de ISACA Madrid
mantuvo que ese profesional ha de
poseer el perfil de un "director de
orquesta", pues su labor consiste en
liderar a los técnicos de cada área
para que el conjunto funcione con
armonía. Según expuso Ramos, el
acuerdo firmado recientemente entre
ASIS España y la asociación encabezada por él va en esa línea: "Se trata
de que empecemos a hablar todos de
lo mismo, tanto los que venimos de
la seguridad TIC como los que vienen
de la física". El experto informó de que
ambos colectivos están elaborando un
documento sobre lo que entienden por
Seguridad Integral para hacerlo llegar
a las FCS.
¿Formación específica?
En cuanto a la formación del directivo
de Seguridad Integral, el interviniente
entiende que la enseñanza universitaria aporta un background a ese profesional, pero piensa que los requisitos
34
red seguridad
exigibles a ese trabajador no tienen
por qué proceder necesariamente de
esos estudios. "Lo importante es que
cuente con unos conocimientos mínimos, experiencia y habilidades directivas", recalcó Ramos.
D'Antonio discrepó con lo dicho por
su compañero de mesa y afirmó que,
si se va a modificar la Ley de Seguridad
Privada y a introducir en ella nociones
de seguridad lógica para llegar así a un
planteamiento integral, es aconsejable
establecer un mecanismo que garantice que los trabajadores de esa área
acceso a la profesión, ya que todos
los aspirantes partirían de la misma
formación.
Antonio Ramos continuó insistiendo
en que lo primordial es tener los conocimientos apropiados, pero convino en
que la instauración de un grado universitario podría servir para mejorar las
capacidades en el terreno del análisis
de riesgos.
Finalmente, Carlos Blanco señaló
que, bajo su punto de vista, existe en
el área de la Seguridad Privada "una
laguna" respecto a otras materias, ya
Crear una formación superior de especialista en
Seguridad Privada facilitaría la preparación de
los directivos y simplificaría el acceso a la profesión
disponen de las capacidades y aptitudes adecuadas para desempeñar su
función. "Actualmente hay multitud de
certificaciones, lo que indica que existe
la necesidad de demostrar que se tienen esos conocimientos", alegó.
Además, a juicio del presidente de
ISMS Forum Spain, el hecho de crear
una formación superior específica facilitaría enormemente la preparación de
los futuros directivos de Seguridad y
avalaría que esta se ha impartido "con
calidad y rigor": "Yo por ejemplo estudié Derecho y, para adquirir las competencias necesarias para dedicarme
a la protección TIC, he tenido que
cursar cinco certificaciones", ilustró el
tertuliano. Se simplificaría asimismo el
junio 2012
que no hay un título superior y oficial
de especialista en Seguridad. "Las
ofertas formativas actuales se quedan
cortas –agregó–. Hay que elevar el
nivel". Para el portavoz de APROSER,
está claro que "las personas que tengan responsabilidad en Seguridad
dentro de una organización deben
contar con preparación universitaria".
Y es imprescindible que esa formación aúne todas las disciplinas pertinentes para conseguir que los profesionales adquieran las competencias
necesarias para proteger a las compañías, organizaciones e instituciones, incluso gobiernos, "frente a ataques cada vez más integrados", concluyó Blanco.
colaboración
especial seg2
encuentro de la seguridad integral
MESA REDONDA SOBRE FUTURA LEY DE SEGURIDAD PRIVADA
El director de Seguridad requiere una capacitación
que le equipare a los demás directivos y a las FCS
"Ya no haY marcha atrás. En los
Estados no hay dinero, y las
Fuerzas y Cuerpos de Seguridad
(FCS) van a disponer cada vez de
menores recursos, por lo que tendrán que ir delegando tareas. Los
funcionarios de estas instituciones, a los que tanto cuesta formar,
deben reservarse para labores más
importantes". Con esta alocución
hizo referencia Roberto Hermida,
director de Seguridad, a la necesidad de redefinir el concepto de
Seguridad Privada, el cual según
él, podría entenderse como aquella
protección "no pública".
Para este profesional, que se
encontraba entre los asistentes que
presenciaron el debate, es imprescindible mejorar la formación del
director de Seguridad para que
este pueda "hablar de tú a tú" con
los responsables de los demás
departamentos de la empresa y
con el propio director general. Es
urgente también incrementar la
preparación de los vigilantes: "Es
absurdo que una persona que tiene
formación de electricista ¡esté protegiendo vidas! –resaltó Hermida–,
al igual que lo es que un sistema de
seguridad se venda en un supermercado y lo instale cualquiera".
En relación a este asunto, el
comisario Ángel Álvarez, jefe de
la Brigada Operativa de Empresas
de la Unidad Central de Seguridad
Privada (UCSP) del Cuerpo Nacional
de Policía, subrayó que las FCS
creen que el director de Seguridad
debe poseer conocimientos sobre
legislación, medidas y sistemas físicos, TIC... "Pero no hay que olvidar
que es un directivo, y por tanto no
tiene que ser necesariamente especialista en las distintas materias",
aclaró. En opinión del comisario,
las funciones de esa figura van
mucho más allá que las de un jefe
de seguridad, por lo que convino
con Hermida en que contar con
una formación superior aporta a
colaboración
ese profesional "un plus" a la hora
de relacionarse con la dirección de
la compañía para la que trabaja.
En cuanto a la preparación de
los vigilantes, el representante de
la UCSP admitió que era "insuficiente". Si el ámbito privado va a
adquirir competencias hasta ahora
vedadas a la Seguridad Pública, es
primordial que la formación de los
vigilantes se equipare con la de los
miembros de las FCS.
ción adecuada para tratar con los
otros directivos", explicó.
El jefe del SEPROSE concluyó
que no concibe que pueda desarrollarse ningún marco regulador
de la Seguridad Privada sin que se
tenga en cuenta la protección TIC
"y, por ende, la integral". La dificultad, según César Álvarez, estriba
en que esa actividad se ha ido
desenvolviendo sin ninguna normativa, "y a ver quién le pone ahora
puertas al campo".
Lo que no es Seguridad
Pública
Por su parte, el coronel César
Álvarez, jefe del Servicio de
Protección y Seguridad (SEPROSE)
de la Guardia Civil, manifestó que
para este Cuerpo la Seguridad
Privada son "todas aquellas labores que realizan las personas
físicas o jurídicas para protegerse". En este contexto, las leyes
son fundamentales "para crear el
marco de desarrollo de esas actividades y conseguir integrar los esfuerzos
privados con los públicos".
El coronel afirmó que la formación
de los profesionales del sector debe
aumentar "en todos los casos". En
cuanto a la capacitación del director
de Seguridad, César Álvarez señaló
que el hecho de que debiera ser o
no universitaria estaría en función de
la labor que fuera a realizar dentro
de la empresa: "Si va a tener un
puesto dentro del organigrama, es
evidente que ha de poseer la forma-
Siendo así, y si nadie es capaz de
acotar ese segmento: "¿Cómo
vamos a controlar la seguridad lógica si ni siquiera sabemos lo que
es?", interrogó Ignacio Vargas, director de Consultoría y Desarrollo de
Securitas Seguridad España. Como
respuesta, Miguel Rego, miembro
de ISMS Forum Spain, que ocupó el
lugar de Gianluca d'Antonio, reconoció que determinar el perfil del director de Seguridad es fácil. "Lo complicado es trasladar esa figura a la
protección TIC", concluyó.
red seguridad
junio 2012
35