Análisis de riesgos en tiempo real, ciberriesgo, infraestructuras críticas
Eulen Seguridad - Servicios de Protección de Infraestructuras Críticas
8
Click here to load reader
-
Upload
ricardo-canizares -
Category
Documents
-
view
393 -
download
0
Transcript of Eulen Seguridad - Servicios de Protección de Infraestructuras Críticas
PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
“PROTECCION DE INFRAESTRUCTURAS CRITICAS”
EULEN SEGURIDAD, S.A. A-28369395
C/ Gobelas 25-27 28023 Madrid Tel. 91 631 08 00 Fax. 91 372 81 98
PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
Página 2 de 8
INDICE
1 ANTECEDENTES ............................................................................. 3
2 DESCRIPCION DE LOS SERVICIOS ............................................... 4
2.1 PLAN DE SEGURIDAD DEL OPERADOR ......................................................................... 4 2.2 METODOLOGÍA DE ANÁLISIS DE RIESGOS .................................................................... 5 2.3 ELABORACIÓN PLANES DE PROTECCIÓN ESPECÍFICOS ................................................. 6 2.4 PRESENTACIÓN DE LOS PLANES ANTE EL CNPIC ........................................................ 7 2.5 MODELO DE GESTIÓN ................................................................................................. 7
PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
Página 3 de 8
1 ANTECEDENTES
La visión y experiencia, que posee Eulen Seguridad tanto en el campo de la seguridad física, como lógica, tratadas ambas desde un punto de vista integral que cubre todos los aspectos de la seguridad dentro del campo de la protección de las infraestructuras críticas, le permiten postularse como un aliado de confianza para todas aquellas organizaciones que necesiten acometer las acciones necesarias para dar cumplimento a lo establecido en la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y su reglamento de desarrollo aprobado por el RD 704/2011.
Entre los servicios que Eulen Seguridad puede ofrecer entre otros, son:
Colaboración en la elaboración o revisión del Plan de Seguridad del Operador
Colaboración en la selección y adopción de la metodología utilizada en la realización de los Análisis de Riesgos Integral, para su incorporación al PSO y posterior utilización en la elaboración de los PPEs. Todo ello enmarcado en estándares reconocidos internacionalmente como puede ser un modelo ISO.
Colaboración en la elaboración de los Planes de Protección Específicos
Acompañamiento como expertos en la presentación del PSO y los PPEs ante el CNPIC y los Delegados del Gobierno
Colaboración en la elaboración y puesta en marcha de un modelo de gestión para la revisión y actualización del PSO y de los PPEs
PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
Página 4 de 8
2 DESCRIPCION DE LOS SERVICIOS
2.1 Plan de Seguridad del Operador
La colaboración en la elaboración o revisión de este plan será realizada por un equipo multidisciplinar, que conjuga experiencia y conocimientos en los diferentes aspectos de seguridad que debe contemplar el PSO.
La elaboración o revisión del PSO se realizará desde un punto de vista integrador de la seguridad, centrando el foco no sólo en los aspectos de seguridad física, sino también en los de seguridad lógica y en todas aquellas funciones que dentro de la organización estén orientadas a la gestión del riesgo que pueda suponer una amenaza para la supervivencia de la misma.
Dentro de esta visión integradora de la seguridad, alineada tanto con el paradigma de la Convergencia de Seguridad, como con lo establecido en la Ley 8/2011 y su reglamento de desarrollo aprobado por RD 704/2011, se contempla:
Seguridad física
Seguridad de la información
Seguridad reputacional
Seguridad del personal
Seguridad legal
Seguridad medioambiental
Seguridad laboral
Seguridad industrial
Seguridad patrimonial
Continuidad del negocio
……
Este proceso de elaboración o revisión, se realizará prestando una especial atención e interés a los puntos claves de PSO que establece el RD 704/2011, entre los que citaremos a:
La Política General de Seguridad, aspecto crítico mediante el cual se pretende garantizar la seguridad del conjunto de las instalaciones y sistemas que posee el Operador Critico en todo el territorio nacional, tal y como dicta el Real Decreto 704/2011 en su artículo 22.1.
PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
Página 5 de 8
La metodología adoptada por el Operador Critico para la elaboración del análisis de riesgos en el que se garantice la continuidad de los servicios proporcionados por el mismo, así como los criterios de aplicación de las diferentes medidas de seguridad, tal como se indica en el RD 704/2011 en su artículo 22.3.
Los operadores críticos responsables de la elaboración de los respectivos planes deberán custodiar los mismos, implantando para ello las medidas de seguridad de la información exigibles conforme a la Ley, tal y como expresa el RD 704/2011 en su artículo 23.4.
La elaboración o revisión del PSO por parte de Eulen Seguridad estará sujeta a un modelo de gestión de proyecto enmarcado en la mejora continua. Este marco de trabajo permitirá que tanto en el caso de creación de un nuevo documento (PSO), como en la revisión del mismo, se estudien los informes presentados por Eulen Seguridad en el que se propongan los cambios y las mejoras que se consideren necesarias. Dicha propuesta de cambios y mejoras será presentada al cliente para que estudie la conveniencia de incluir éstas en su PSO, para su posterior presentación al CNPIC.
2.2 Metodología de Análisis de Riesgos
Para realizar un análisis de riesgos, de forma que “contemple de una manera global, tanto las amenazas físicas como lógicas” es necesario disponer de una metodología lo suficientemente robusta e integrada que lo permita, que esté preparada para analizar todas las amenazas y vulnerabilidades a las que está expuesta la infraestructura crítica, de forma conjunta, independientemente del origen y naturaleza de dichas amenazas, teniendo en cuenta la posibilidad de que exista un “ataque combinado”, y la materialización de un ataque de este tipo pueda causar un impacto sobre el funcionamiento de la infraestructura crítica muy superior al que causaría un ataque que provenga de un sólo vector.
Las implicaciones que supone la aplicación del paradigma de la Convergencia de la Seguridad, nos ha llevado a analizar las metodologías de análisis y gestión de riesgos existentes, para seleccionar la metodología que mejor de respuesta a las necesidades planteadas, al tratar los riegos de manera integrada. La metodología que adoptado Eulen Seguridad es un desarrollo propio, basado en la metodología Magerit Versión 2 y en la experiencia adquirida en la realización de análisis de riesgos integrados, esta ampliación de la metodología Magerit Versión 2 está alineada con las metodologías de análisis de riesgos de los estándares ISO 31000 Gestión del riesgo. Principios y directrices e ISO 27005 Information technology -- Security techniques -- Information security risk management. Así como en distintas
PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
Página 6 de 8
guías y publicaciones del Centro Criptológico Nacional (CCN-CNI), National Institute of Standards and Technology (NIST) y del U.S. Department of Homeland Security.
En base a la experiencia anterior, Eulen Seguridad está en condiciones de adaptar dicha metodología a las necesidades de cualquier organización y cualquier sector, para que una vez evaluada por el Operador Critico, y si éste lo estima oportuno se incorpore al PSO y sea utilizada en la elaboración de los PPEs.
2.3 Elaboración Planes de protección específicos
Como complemento de su metodología, Eulen Seguridad ha desarrollado una herramienta de análisis y gestión de riesgos escalable, manejable y dúctil, para dar respuesta a la necesidad de analizar y gestionar los riesgos de manera global, no parcial, y así contemplar todas las amenazas y vulnerabilidades a las que están expuestas las organizaciones, evitando que existan riesgos no valorados o por el contrario que existan riesgos que se evalúen varias veces, al estar contemplados en diferentes análisis de riesgos parciales.
La herramienta propuesta cubre completamente los requisitos de los proyectos relativos a la protección de infraestructuras críticas, al tratar los riesgos de una forma global e integral, y además es totalmente parametrizable para ajustarla a las necesidades específicas de cualquier organización.
PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
Página 7 de 8
2.4 Presentación de los planes ante el CNPIC
Tal como se indica en el artículo 22.2 del RD 704/2011 “cada operador crítico deberá haber elaborado un Plan de Seguridad del Operador y presentarlo al CNPIC, que lo evaluará y lo informará para su aprobación, si procede, por el Secretario de Estado de Seguridad u órgano en el que éste delegue”
Para llevar a cabo las actividades y tareas de soporte que contempla esta fase, Eulen Seguridad elaborará toda la documentación necesaria para efectuar las presentaciones del PSO y los PPEs ante el CNPIC y los Delegados del Gobierno.
Esta documentación estará adaptada al plan concreto a presentar y al formato de la presentación, e incluirá, además del propio plan, presentaciones, resumen ejecutivo y cualquier otro documento que se considere necesario.
Igualmente se elaborará un informe del resultado de la presentación, y del mismo modo, se realizarán los cambios que se deriven de dichas presentaciones.
2.5 Modelo de gestión
La Seguridad Global comprende todos los procesos de seguridad de una organización, que tienen por objeto garantizar la adecuada protección de todos los activos de la organización y la continuidad de sus operaciones, todo ello con una filosofía clara de alineación con el negocio. Por ello, la función de seguridad global o integrada no sólo comprende las funciones de seguridad física y de seguridad lógica, sino todas las funciones de la organización orientadas a la gestión de todos aquellos riesgos que puedan suponer una amenaza para el funcionamiento y supervivencia de la organización.
La función de seguridad integrada se centra en la gestión global de los riesgos, siendo su principal objetivo proteger de la forma más eficiente posible todos los activos, tanto tangibles como intangibles de una organización, de todas las amenazas, de cualquier tipo, a las que estén expuestos, independientemente de su origen.
Si tenemos en cuenta que la seguridad es un proceso más dentro del conjunto de los procesos productivos del Operador Crítico, tenemos que gestionarlo de igual forma que se gestionan el resto de procesos de la organización, utilizando un sistema de gestión como el marco de funcionamiento de una organización en el que se integran tanto la misión, visión, valores, objetivos principales y secundarios de la organización, como las políticas, procedimientos, registros e indicadores, que dan forma al sistema.
PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
Página 8 de 8
Disponer del marco de trabajo que proporciona un sistema de gestión permite incrementar la eficiencia y eficacia de la organización.
En este sentido, Eulen Seguridad en base a la experiencia de proyectos en seguridad corporativa, propone para la elaboración, revisión o actualización del PSO y de los PPEs, un modelo de gestión basado en el “círculo de Deming”, también conocido como modelo o ciclo PDCA (Plan – Do – Check – Act).
El modelo de gestión propuesto está basado en la mejora continua, por ello tanto el PSO, como los PPEs estarán en continua evolución retroalimentándose en cada vuelta de ciclo.
