-
Seguridad IntegralLa convergencia en un mundo interconectado
MONOGRFICO
Sumario:n La creacin de una industria potencialn Visin y
evolucin de un sector prometedor INTECOn Entrevista a Jos Luis
Rodrguez Machn, director general de TELEFNICA INGENIERA DE
SEGURIDADn El Plan Director de Seguridad Corporativa EULENn
Sistemas de Gestin de la Seguridad, basados en modelos ISO APPLUS+n
Adquisicin de datos y control de supervisin AUDEA SEGURIDAD DE LA
INFORMACINn El nuevo concepto de 'Seguridad e Inteligencia' S21SECn
Breve anlisis del estado de la cuestin ALIENTVAULT
SiStemaS, productoS, ServicioS, tecnologaS,
diSpoSitivoS, rieSgoS, amenazaS, normativaS... todo Se
une, todo Se integra, Se mezcla, e internet hace que lo
fSico y lo virtual confluyan. la Seguridad fSica hoy
Se SoStiene en SiStemaS electrnicoS e informticoS.
por Su parte, la Seguridad lgica neceSita de la
Seguridad tradicional para completar Su proteccin.
eS el momento de compartir una miSma viSin y Seguir
una Sola direccin, la de la Seguridad global.
-
especial52 red seguridad marzo 2009
la futura obligacin
de loS paSeS miembroS
de la ue de proteger
SuS infraeStructuraS
crticaS ofrece un
papel protagoniSta a
la Seguridad en todoS
SuS aSpectoS, que
previSiblemente Se
extender, por fin, a todoS
loS mbitoS de la Sociedad.
A nAdie nos pAsA desapercibido que, con la llegada de internet
y, sobre todo, con el uso masivo de la red, la vida nos ha
cam-biado radicalmente, no solo en el aspecto personal y social,
sino tambin, y de manera significativa, en los procesos de trabajo.
organizaciones, empresas e ins-tituciones, privadas y pblicas, de
todos y cada uno de los sectores y segmentos industriales;
gobiernos en todos sus nive-les, y estados; comunidades cientficas,
educativas, universitarias e investigado-ras; cuerpos y fuerzas de
seguridad..., estn viviendo esta transformacin.
este giro antropolgico llega a todos, incluso a los criminales,
que no dudan en cometer sus fechoras tradicionales por medio de las
ms sofisticadas tecnologas. y lo que es peor, de la combinacin de
los saberes ms clsicos con los conocimien-tos ms avanzados. as que
ya no se trata de protegernos frente a amenazas fsicas o ataques
cibernticos, sino de conseguir una seguridad bajo una perspectiva
total, integral, nica. un nuevo planteamiento
que abarque la proteccin y defensa ante amenazas tecnolgicas,
catstrofes natu-rales y provocadas por el ser humano, as como ante
la gran lacra del terrorismo.
en esta lnea, por la que muchos luchan ya, el consejo europeo
solicit, en junio de 2004, la elaboracin de una estrategia global
para mejorar la proteccin de infra-estructuras crticas. desde
entonces, se han ido dando pasos en este sentido: el libro verde
sobre un programa europeo para la proteccin de infraestructuras
crticas (pepic) (noviembre de 2005); el pepic (desde diciembre de
ese mismo ao); hasta que el pasado 8 de diciem-bre, el consejo
europeo (ce) aprob la directiva 2008/114, sobre la identificacin y
designacin de infraestructuras crticas europeas (ice) y la
evaluacin de la nece-sidad de mejorar su proteccin.
esta normativa comunitaria obligar a los sectores de energa y
transporte a cumplir nuevas pautas de seguridad antes del 12 de
enero de 2011, que sern extensibles a otros sectores.
dos aspectos sern claves, a partir de ahora: el procedimiento
del plan de Seguridad del operador (pSo), que iden-
tificar los elementos infraestructurales crticos de las ice y
las soluciones de seguridad que existen o se estn aplican-do para
su proteccin; y el responsable de enlace para la seguridad, que
ejercer la funcin de punto de contacto para cuestiones de seguridad
entre el propie-tario u operador de la ice y la autoridad
competente del estado miembro.
este gran avance transnacional en Seguridad es el que llevan
planteando muchas compaas como estrategia de Seguridad corporativa,
como las empre-sas e instituciones que colaboran en este monogrfico
y las que participarn en el "i encuentro de la Seguridad integral",
que celebrar editorial borrmart durante los prximos 25 y 26 de
marzo, en el convencimiento de que estamos en el inicio de creacin
de la gran industria de la Seguridad.
y para finalizar con buen sabor de boca y otro dato que
argumenta nuestro razona-miento, apuntar que un reciente estudio de
idc e ibm estima que el negocio para ges-tionar la convergencia
entre infraestructu-ras tecnolgicas y fsicas alcanzar los 122.000
millones de dlares en 2012.
tx: mercedes oriol vico.ft: getty images.
La creacin de una industria potencial
convergenciamonogrfico
Llega la hora de que la seguridad lgica y la seguridad
tradicional estrechen las manos
-
convergencia monogrfico
red seguridad marzo 2009 53especial
La seguridad:hacia una sola direccin
LA proteccin de los activos de una empresa involucra actual y
necesaria-mente a las tecnologas de la informa-cin, pero tambin
tiene que ver con la aplicacin de las restricciones ms clsicas
desde el punto de vista fsi-co, desde la denegacin del acceso a
determinadas reas de las instalaciones, pasando por la ubicacin de
personal de control y seguridad en los accesos, hasta la grabacin
de los movimientos de nuestro personal o de las visitas en los
distintos recintos y dependencias de nuestras oficinas.
existen tres grandes problemas en la forma de tratar la
seguridad desde un punto de vista global: no se tiene conciencia
empresarial
de que sea una poltica abarcable de forma integral, y que por lo
tanto impli-cara poder disponer de una infraestruc-tura necesaria
para poder desarrollarla e implementarla, algo en lo que muchas
empresas no pueden o desean invertir. las dos grandes reas que
atien-
den a la seguridad fsica y la lgica operan de manera
independiente, con procesos, recursos y presupuestos
independientes. los proveedores de los recursos
necesarios (personal y ti) son de dos mundos, hoy por hoy
disjuntos, aunque hay tecnologa y formacin suficientes para llevar
a cabo dicha integracin.
el primer problema es una falla habi-tual en las grandes y
pequeas com-paas, una falla que se produjo hace
ya varios aos con otras problemticas como la gestin de la
calidad o la de gestin de riesgos laborales, que actualmente ya est
en fase de integra-cin con los procesos ms operativos de las
empresas y que hoy ofrece unos indicadores incontestables de
retorno de la inversin.
esta falla se suele producir en las grandes compaas por una
falta de transferencia de informacin entre los grandes
departamentos que la integran y que dificulta una implementacin
sli-da de los procedimientos, una pobre
cultura de empresa y un personal que, aun con formacin
suficiente, se resiste a seguir las polticas establecidas. esto,
traducido en la pequea y mediana empresa, es ms fcil resumirlo en
que el da a da del mantenimiento de su negocio les come en excesivo
el tiempo, en detrimento de invertir sus recursos en hacer ms
ptimos sus procesos y en obtener rendimientos que reinvertir de
nuevo en la mejora de sus recursos y su ti.
en el mbito de una posible integra-cin de la seguridad lgica y
fsica ser primordial ejercer una importante tarea de concienciacin
en toda la pirmide de la empresa.
el segundo problema parece que tiene una solucin "lgica", pero
com-plicada, de implementar: integracin de las dos reas bajo un
nico respon-sable o director (que forme parte del comit de direccin
de la compaa) y que aglutine la potestad para gestionar recursos,
ti y presupuestos de forma integral.
el tercer problema est en boga desde hace algunos aos y hay ya
compaas que se estn lanzando a incluir en su porfolio de servicios
y pro-ductos una oferta integral de la seguri-dad lgica y
fsica.
Si las ti estn evolucionando rpida-mente con el fin de
ofrecernos una mayor competitividad empresarial, por qu no
utilizarlas para disponer de una potente rea de seguridad, donde se
integre la proteccin fsica y lgica?
Marcos Gmez HidalgoSubdirector de eConfianzadel Instituto
Nacional de Tecnologas de la Comunicacin (INTECO)
viSin y evolucin de un Sector prometedor
Ser primordial ejercer unaimportante tarea de concienciacin en
toda la pirmide de la empresa
-
especial56 red seguridad marzo 2009
convergenciamonogrfico
Desde Telefnica Ingeniera de Seguridad (TIS), ustedes abanderan
el concepto de "Seguridad Tecnolgica Integral". Podra parecer que
se refie-re solo a la seguridad TIC por antono-masia, pero creo que
va mucho ms all: Le importara explicarnos cul es la mxima de esta
"filosofa"?"Seguridad tecnolgica integral" es el concepto motor de
nuestra actividad desde los inicios de nuestra empresa hace ya 25
aos. parte de la idea de que la seguridad de una empresa, en la
proteccin de las vidas, los bienes y la continuidad de negocio, no
entiende de conceptos parciales que, en la mayora de los casos, han
sido definidos por las propias empresas de seguridad en su
especializacin para poder afrontarlos. es decir, seguridad fsica,
electrnica, lgica, etc., no son ms que dimensio-nes de una misma
realidad. por tanto, seguridad integral hace referencia a que
la forma adecuada de entender y afron-tar los riesgos no se
limita a un mbito fsico y lgico. el ejemplo es claro; hoy en da, no
es difcil ver cmo un proble-ma de seguridad que surge en lo fsico,
tiene consecuencias en el mundo lgico, y viceversa. es por esta
razn, que la mejor estrategia sea aquella que hunde sus pilares en
un correcto y completo anlisis de riesgos, y que vertebra sobre l
las medidas adecuadas para antici-parse y reaccionar.
Siendo nuestra mxima la seguridad integral, nuestra principal
diferencia es nuestro saber hacer en materia tecno-lgica. Ser parte
de un grupo lder en tecnologa y comunicaciones a nivel mundial nos
posiciona como un actor diferenciado y reconocido. no hay que
olvidar que, todo riesgo y su materializa-cin para ser
correctamente afrontado, debe detectarse de forma temprana,
comunicado de la forma ms efectiva y segura a aquella instancia que
debe tomar las decisiones y, a su vez, trans-ferida a aquella otra
instancia que debe
intervenir. como podemos ver, bajo cualquier planteamiento de
respuesta ante una amenaza, subyace intrnseca-mente un concepto de
comunicacin. Ser fuerte no slo en la disuasin, en la deteccin y en
la reaccin, sino en la comunicacin bajo cualquier circuns-tancia es
diferencial. por tanto, nuestra propuesta de valor se basa en hacer
uso de herramientas tecnolgicas y de comunicacin que,
convenientemente integradas, posibilitan una efectiva res-puesta y
una sostenibilidad en la explo-tacin de la seguridad.
El nacimiento de TIS fue de natura-leza casi interna, a lo que
le siguie-ron otras tres fechas clave. Cul es el siguiente paso
para Telefnica Ingeniera de Seguridad?el siguiente paso, como no
puede ser de otra forma, se basa en consolidar nuestra presencia y
compromiso por mejorar los niveles de seguridad de nuestros
clientes. para ello, queremos reafirmar nuestro compromiso por
dise-
"debemos evitar que los temas de seguridad se pierdan en
aspectos tecnicistas y que las empresas de seguridad pierdan su
enfoque principal en planteamientos oportunistas"
entreviSta a JoS luiS rodrguez machn, director general
detelefnica ingeniera de Seguridad (tiS)
tx: mov.ft: Seguritecnia.
La evolucin de Telefnica Ingeniera de Seguridad (TIS) pasa por
cuatro fechas clave. El origen de la divisin -1984-, como proveedor
de servicios de seguridad electrnica y fsica a todas las
infraestructuras de las empresas de Grupo Telefnica, de Espaa y
Latinoamrica. El ao 2002, en el que se crea la Direccin de
Seguridad de la Informacin y Prevencin del Fraude, dirigida no slo
a la corporacin, sino al mercado. 2007, ao en el que el volumen de
la actividad de TIS alcanza niveles histricos, permitindoles hacer
un cambio radical hacia los servicios integrales. Y hoy, momento en
el que la compaa est experimentando un fuerte crecimiento y prev un
fuerte desarrollo en actividades de seguridad de la informacin, as
como en proteccin contra incendios, entre otras. Jos Luis Rodrguez
Machn, director general de TIS, nos habla de "Seguridad Tecnolgica
Integral", y destaca que "la seguridad fsica y lgica son parte de
una misma realidad".
-
red seguridad marzo 2009 57especial
convergencia monogrfico
ar, integrar y poner a su disposicin las mejores soluciones de
seguridad electrnica, seguridad de la informa-cin, prevencin del
fraude y proteccin contra incendios. tenemos el doble reto de poner
en valor nuestras reseables experiencias exitosas con clientes de
todas las ramas de actividad y tamao, as como extender nuestras
propues-tas de seguridad hacia las medianas y pequeas empresas,
desde el reco-nocimiento de que es posible acercar la seguridad de
la gran empresa a las pymes, basndose en soluciones de seguridad en
modo servicio, gestiona-das desde nuestros centros de control de
Seguridad integral.
Cmo les fue 2008 y qu perspec-tivas tienen para 2009? Cree que
la industria de las TIC, en general, y el sector de la Seguridad,
en particular, podran no solo "librarse" de la actual situacin de
crisis, sino hacer de timn para la mejora econmica?2008 fue un ao
de consolidacin de ingresos y servicios tras un excelente 2007. en
2008, hemos logrado repetir xitos obtenidos en el mercado
nacio-nal, replicndolos internacionalmente. este hecho, confirma
que nuestra forma de hacer seguridad es valorada y perci-bida por
nuestros clientes, con indepen-dencia del mercado en el que operen.
as mismo, el slido trabajo en 2008 en proteccin contra incendios y
seguri-dad de la informacin, ha trado como consecuencia que ya sea
un hecho sostenido en el tiempo la apuesta por la apertura a
clientes externos, supo-niendo el trabajo en seguridad fuera del
grupo telefnica ms del 60 por ciento de nuestra actividad.
por ltimo, y no menos importante, 2008 ha supuesto un
crecimiento impor-tante en la cuanta y volumen de las ope-raciones
realizadas, para lo cual hemos realizado una apuesta por el
crecimiento de nuestros recursos propios para la ins-talacin,
operacin y mantenimiento de nuestros clientes. todo ello configura
un 2009, pese al contexto econmico en el que nos encontramos, que
nos hace esperar grandes resultados.
est claro que la crisis va a traer un deterioro de la actividad
econmica, as
como la elevacin de la incertidumbre en la toma de decisiones de
inversin. pese a ello, sabemos que an ms en este contexto son
necesarias las inver-siones en materia de seguridad de cara a
protegerse frente a los riesgos cre-cientes. la inversin de las
empresas y las administraciones en infraestructuras y tecnologas
son enormes para poder seguir la demanda del mundo moderno y los
riesgos de terrorismo, delincuencia organizada y otros de todo
tipo, que amenazan continuamente esas inver-siones. adems, estamos
convencidos de que en este mbito de la seguridad, las decisiones de
proteccin se deben tomar tarde o temprano si verdadera-mente las
empresas y la administracin son conscientes de las
vulnerabilidades
que tienen. en cualquier caso, tambin en un entorno econmico tan
complejo como el que se presenta, la confianza en empresas slidas
que demuestren su saber hacer y acompaen a los clientes en todo
momento, son la garanta de haber elegido bien.
Para dar servicio a los usuarios en un asunto tan crucial como
es la Seguridad, qu puntos fuertes debe tener un socio proveedor
como TIS?Seguridad es un concepto subjetivo ligado a la sensacin de
mayor o menor exposicin a una amenaza. elegir un buen partner para
iniciar el recorrido parte de la confianza y la solidez en las
respuestas planteadas. esta confianza se logra en el da a da al
demostrar que se est cercano al cliente y que se reconocen las
necesidades ltimas de proteccin, haciendo un esfuerzo mprobo para
identificar los problemas y riesgos existentes, ayudando al cliente
a la hora de dar soluciones acordes, que no slo satisfagan esas
necesidades
aqu y ahora, sino a lo largo del tiempo. confianza en que el
planteamiento de seguridad realizado, entienda el tra-tamiento de
los riesgos con carcter integral. confianza en un equipo huma-no
altamente cualificado y fuertemente motivado en prestar el mejor
servicio, con el fin de no slo tener un cliente satisfecho, sino un
fan.
del mismo modo, es clave contar con un partner que est
continuamente volcado por interiorizar las posibilidades que
aportan las nuevas tecnologas. que invierta gran parte de los
recursos en conocer y descender todo lo bueno que traen las
distintas tecnologas dis-ponibles, y que aportan valor y suman si
son correctamente integradas con los procesos de negocio.
por ltimo, el partner adecuado debe trasladar toda su
experiencia y capaci-dades a la hora de dar respuesta a las
necesidades nuevas que le planteen sus clientes.
Cuntas personas forman el equipo de TIS?el equipo humano que
conforma telefnica ingeniera de Seguridad ha sufrido un gran
cambio, no slo en nmero, sino en cualificacin. Somos ya 530
profesionales volcados en la mejora de la seguridad de nuestros
clientes. la gran mayora de estos recursos se englo-ban en
operaciones y mantenimiento. no es posible mantener los ms altos
niveles de calidad, la ejecucin y mante-nimiento de los proyectos
de seguridad en nuestros clientes, sin una estructura humana propia
altamente formada y que est cercana al propio cliente. en ellos,
hay un nmero importante de ingenieros especializados en las
distintas disciplinas, desde el anlisis de riesgos hasta la
implantacin y explotacin final.
entreviSta a JoS luiS rodrguez machn, director general
detelefnica ingeniera de Seguridad (tiS)
"pese al contexto econmico enel que nos encontramos, 2009 nos
hace esperar grandes resultados"
-
especial58 red seguridad marzo 2009
convergenciamonogrfico
En qu pases estn presentes? Piensan abrir nuevas
delegaciones?actualmente estamos presentes en espaa y cinco pases
en latinoamrica: mxico, brasil, per, argentina y chile. cuando digo
que estamos presentes, me refiero a que tenemos actividad comercial
y capacidad de soportar cual-quier proyecto de seguridad integral
con recursos propios. en todos los pases, contamos con una central
receptora de alarmas y una plantilla tanto tcnica como operacional,
capaz de acompaar a nuestros clientes y cubrir todas sus
necesidades de seguridad.
en cuanto a tener como objetivo abrir nuevas delegaciones,
actualmente esta-mos estudiando extender nuestras acti-vidades a
otros pases, siempre siguien-do la presencia del grupo telefnica y
sumando compromiso en los clientes de europa y latinoamrica.
Con qu 'partners' y tecnologas trabajan habitualmente?agradezco
esta pregunta, pues me sirve para reafirmar otro de los con-ceptos
motores de nuestra empresa tras la Seguridad tecnolgica integral.
telefnica ingeniera de Seguridad, por definicin, es empresa
integradora de sistemas y tecnologas de seguridad multi-marca.
estar volcados en cubrir las necesidades de seguridad de nues-tros
clientes, nos lleva a no condicionar nuestras respuestas y
planteamientos a un nico fabricante y tecnologa. cada nuevo
proyecto requiere un plantea-miento a medida, y ello conlleva
disear las soluciones y servicios en base a la mejor tecnologa
disponible. esto no quiere decir que no se confe y nos apoyemos
frecuentemente en partners lderes en sus tecnologas, pero siempre
nos cuestionamos cual es el fin ltimo y
la forma ms efectiva y eficiente de dar respuesta.
en cuanto a las tecnologas que habi-tualmente trabajamos, como
se puede imaginar, no estn sujetas a nuestras preferencias, sino a
las necesidades que nos trasladan. lo que s podemos ase-gurar es
que, principalmente, la dinmi-ca de mercado nos est especializando
en tecnologas ip y sistemas integrables e interoperables, pero no
descartamos y consideramos frecuentemente otro tipo de medidas ms
tradicionales, por as decirlo, si ests dan un mejor resultado tanto
funcional como econmico.
Los productos y servicios que ofrece TIS van desde anlisis y
gestin de riesgos, proteccin de activos o con-trol de accesos hasta
las reas nor-mativa y legal, prevencin del fraude o auditora y
control. Qu organiza-ciones necesitan de su ayuda?en telefnica
ingeniera de Seguridad, como parte del grupo telefnica, y ms an en
mbitos de seguridad donde la confianza, seriedad y confidencialidad
ha de primar, decir a quin y qu es lo que se ha hecho, no suele ser
nuestra dinmica rectora. lo que s podemos hacer es hablar de
nuestras capacida-des y trayectoria en los distintos secto-res de
actividad.
nuestros principales clientes, aparte del grupo telefnica, se
encuentran en los sectores de industria, energa y uti-lities,
trasporte y entidades financieras. desde 2006 hasta la fecha,
tambin venimos realizando proyectos de seguri-dad y prestando
servicios de seguridad para la administracin pblica y la pro-teccin
de infraestructuras crticas.
por ltimo, me gustara resear que en 2007, bajo nuestra
estrategia de extender la seguridad de la gran empre-sa a pequeas y
medianas empresas,
hemos comenzado a prestar servicios de seguridad en colectivos
de pymes concretos, donde nuestros planteamien-tos de seguridad
tecnolgica integral basados fuertemente en comunicacio-nes, estn
aportando gran valor.
Desde su amplia experiencia en la ges-tin y direccin de un
negocio como el que desarrolla TIS, nos podra expo-ner qu
semejanzas encuentra entre la seguridad lgica y la seguridad fsica,
y en qu pueden divergir?las semejanzas entre una y otra dimen-sin
de la seguridad radican en que son parte de la misma realidad: la
proteccin de vidas, bienes y continuidad de nego-cio. toda amenaza
debe ser, en la medi-da de lo posible, evitada mediante una
correcta disuasin. de materializarse la amenaza, sta debe ser
rpidamente detectada a la vez que se contienen sus efectos,
mientras se desencadenan las medidas de reaccin oportunas que
aminoren al mximo su impacto. la componente de comunicacin tambin
es un elemento comn y no debe ser el eslabn dbil por el que se
rompe la cadena. y, por ltimo, con indepen-dencia de tratarse de
uno u otro tipo de seguridad, deben habilitarse los meca-nismos que
registren la informacin y permitan analizar cmo se ha dado
respuesta y cmo se puede mejorar en caso de repetirse el hecho.
qu amenaza ms hoy a la socie-dad: la prdida de activos fijos o
la de la informacin y las comunicaciones? el problema es que
tenemos que separar an conceptos de seguridad de funcio-namiento y
disponibilidad de la informa-cin y las comunicaciones, de otros ms
relacionados con seguridad contra actos delictivos o cumplimiento
de estndares. de todas formas, siempre habr zonas grises marcadas
por la complejidad de la tecnologa y los servicios, pero debe-mos
evitar que los temas de seguridad se pierdan en aspectos
tecnicistas y que las empresas de seguridad pierdan su enfoque
principal en planteamientos oportunistas de terico negocio
adicio-nal, ms visible y aceptado.
como vemos, no es que haya seme-janzas, sino que seguridad fsica
y lgica son parte de la misma realidad.
entreviSta a JoS luiS rodrguez machn, director general
detelefnica ingeniera de Seguridad (tiS)
"tiS es una empresa integradorade sistemas y tecnologas
deseguridad multi-marca"
-
convergenciamonogrfico
60 red seguridad marzo 2009 especial
Una herramienta bsica para la gestin integral de la
seguridad
Se llame ConvergenCia de la Seguridad, Seguridad Integral,
Gestin de la Seguridad Global o cualquier trmino similar, es
indudable que esta-mos hablando de un nuevo paradigma en la gestin
de la seguridad de los activos de las organizaciones. Este concepto
cubre los diferentes aspec-tos de gestin de la seguridad, de todos
los activos que aportan valor a las organizaciones: personas,
infor-macin, bienes materiales y bienes inmateriales.
Como punto de partida se puede decir que existen mecanismos de
ges-tin, incluso sistemas tecnolgicos, que ayudan a integrar los
procesos de seguridad en las organizaciones. La mayor barrera a la
que se enfrenta la implantacin de la Convergencia de la Seguridad
en las organizaciones es que, actualmente, el estamento directivo
de las mismas, con algu-nas excepciones, an no concibe que un nico
equipo de personas dirijan y gestionen todos los procesos de
seguridad de la organizacin. El pri-mer paso a dar es que la
seguridad se considere un proceso dentro de la estructura
productiva de la organiza-cin, un proceso que aporta valor a la
organizacin, que interacta con el resto de procesos productivos y
que es imprescindible para el buen funcio-namiento de estos.
Para alcanzar el objetivo de la Convergencia de la Seguridad, es
necesario contar con un Plan Director de Seguridad Corporativa, que
esta-blezca que la seguridad de todos los activos de la organizacin
es un pro-ceso productivo ms de la cadena de valor de la misma, y
fije la gestin de dicho proceso mediante un sistema de gestin de
mejora continua.
Estructura coherente y coordinadaEl objetivo del Plan Director
de Seguridad Corporativa es crear una estructura coherente y
coordinada de personas, procesos y tecnologa, que permita la gestin
proactiva de las amenazas, vulnerabilidades e inciden-tes de
seguridad, con el objetivo final de minimizar el impacto de los
inci-dentes de seguridad sobre la organi-zacin, garantizando la
continuidad de las operaciones de la organizacin y la supervivencia
de la misma.
El establecimiento de una nueva figura directiva en la
organizacin, Director de Seguridad Corporativa o Chief Security
Officer (CSO) en la
Carlos Blanco PasamontesDirector Nacional deEulen Seguridad
El PLAN DIRECTOR DE SEGURIDAD CORPORATIVA
-
convergencia monogrfico
red seguridad marzo 2009 61especial
terminologa anglosajona, permitir coordinar todos los elementos
rela-cionados con la seguridad y gestionar de forma integrada las
funciones de seguridad de la corporacin. El perfil profesional de
esta figura debera ser multidisciplinar y con una alta capaci-dad
de gestin.
La informacin, nuevo focoHasta hace unos aos, el principal foco
de la seguridad estaba centrado en las personas, edificios,
productos, maquinaria o cualquier otro activo de valor de
naturaleza fsica. Con los cambios tecnolgicos, que han dado lugar a
la Sociedad de la Informacin, y a la aparicin de nuevas amenazas,
ha variado este foco; se ha puesto de manifiesto la necesidad de
proteger uno de los activos ms importantes de una organizacin, la
Informacin y los sistemas que la procesan, trans-miten y almacenan.
Es un hecho que los activos inmateriales como la informacin, la
imagen o reputacin se han convertido en unos de los activos ms
crticos de las organiza-ciones.
El Plan Director de Seguridad Corporativa debe recoger este
cambio de foco de la seguridad y contemplar la gestin global los
riesgos a los que est expuesta la organizacin. Por ello, uno de sus
principales objetivos es conseguir la alineacin de todas las
acciones que se lleven a cabo en el mbito de la proteccin de
activos con las necesidades y objetivos del negocio, teniendo en
cuenta todos los aspectos relativos a:
La seguridad de la informacin. La seguridad de las personas. La
seguridad patrimonial. La continuidad del negocio. La recuperacin
de desastres. La gestin de los riesgos de seguridad. El
cumplimiento legal. Seguridad ambiental. La seguridad laboral. La
seguridad reputacional...
El desarrollo de un Plan Director de Seguridad Corporativa,
basado en el paradigma de la Convergencia de la Seguridad, nos va a
permitir alcanzar
una serie de objetivos, entre los que citaremos:
Alineacin seguridad/negocioMayor alineacin de la seguridad con
el negocio: El diseo de una arquitectura de seguridad integrada y
una estructura de gestin, proporciona una visin glo-bal de las
necesidades de seguridad de la organizacin, lo que permite alinear
la gestin de riesgos y los procesos de seguridad con los objetivos
de negocio de la organizacin.
Gestin GlobalLos procesos de seguridad se ges-tionarn de forma
global, pero sern ejecutados por tcnicos especialistas de cada una
de las funciones de segu-ridad. Esta forma de gestin permite
incrementar el nivel de control interno de los procesos de
seguridad, sin per-der eficacia y eficiencia en la ejecucin de los
mismos.
Reduccin de costes y tiempoReduccin considerable de costes y
tiempo: El contemplar la seguridad como un conjunto de procesos
integra-dos, con un objetivo comn y definido, la seguridad de la
organizacin, va a suponer un ahorro de costes conside-rables,
gracias a la desaparicin de la duplicidad de funciones, de los
solapes entre las mismas y a una mejora del flujo de informacin. La
implantacin de la Convergencia de la Seguridad facili-ta el
incremento de productividad del personal y permite el ahorro de
costes y tiempo, en duplicidad de trabajos, en logstica, en
infraestructura, en tecnolo-ga de seguridad, etc.
Intercambio de informacinCorrecto intercambio de informacin: La
estructura organizativa y de ges-tin, establecida en el Plan
Director de
Seguridad Corporativa, va a permitir una mejora en el flujo de
informacin entre las distintas funciones de segu-ridad implicadas y
los equipos que las gestionan, lo que va a permitir romper las
barreras que actualmente pueden existir entre ellos.
Disponer de un Plan Director de Seguridad Corporativa, que
contemple todos los riesgos a los que esta expuesta una
organizacin, es una necesidad imperiosa. Aquellas organi-zaciones
que no dispongan de l estn en una clara desventaja respecto al
resto y estn asumiendo riesgos inne-cesarios, que pueden llegar a
poner en peligro su supervivencia.
Las organizaciones sin Plan Director de Seguridad estnen una
clara desventaja
El PLAN DIRECTOR DE SEGURIDAD CORPORATIVA
-
especial62 red seguridad marzo 2009
convergenciamonogrfico
La importancia dela seguridad integral
nadie CueStiona a estas alturas que estamos en tiempos de
cambio. Y no hablamos de la situacin econmica actual, sino de los
cambios sociales, econmicos y culturales generados por el
desarrollo de las tecnologas digita-les. Al igual que la revolucin
industrial supuso una modificacin radical en la sociedad
occidental, la revolucin tec-nolgica est transformando el mundo en
que vivimos.
Esta revolucin, que nace con el desarrollo de las tecnologas
digitales y la expansin de Internet, est sentando
los pilares de una nueva estructura social que tiene a la
informacin como activo fundamental: la Sociedad de la
Informacin.
Para que este nuevo paradigma fun-cione, es necesario garantizar
la seguri-dad y buen funcionamiento de los pila-res sobre los que
se apoya esta nueva Sociedad de la Informacin: disponibi-lidad,
integridad y confidencialidad de los datos.
Pero qu entendemos por seguri-dad? A priori parece que en las
empre-sas hay una doble visin de la seguri-dad. Desde una
perspectiva tradicional, por un lado, se controla la seguridad de
accesos, los ataques y las amena-zas fsicas y, por otro lado, se
trabaja para implantar nuevas tecnologas de la informacin que
garanticen la seguri-dad informtica.
Sin embargo, tanto una como otra son necesarias y se solapan:
los equi-pos informticos necesitan de la seguri-dad tradicional y
sta se apoya en gran
medida en los sistemas informticos. Por lo tanto, todas las
amenazas que afecten a la seguridad desde cualquier punto de vista
se deben gestionar de forma integrada.
Nos referimos entonces a la seguri-dad integral. En otras
palabras, se trata de crear una estructura organizativa y de gestin
que, mediante un proceso de anlisis y mejora continua, contemple
todos los aspectos relacionados con la
seguridad. Es necesario, por lo tanto, un sistema que pueda
gestionarla en su totalidad, en el escaln adecuado del organigrama,
con responsabilidad y recursos adecuados. Slo de esta forma se
puede garantizar el correcto funcio-namiento de las funciones
productivas y de crecimiento de las compaas.
La seguridad de la informacinDesde el entorno de las Tecnologas
de la Informacin y las Comunicaciones (TIC) se ha definido a la
seguridad de la informacin como la disponibilidad, integridad y
disponibilidad de la misma. Esta filosofa se recoge en normas
internacionales como las normas ISO 27001 e ISO 27002, que
contemplan aspectos de seguridad fsica, control de acceso y
seguridad de infraestruc-turas, aunque se desarrollan en mayor
grado aquellos relacionados con la seguridad lgica y
organizativa.
Para alcanzar la integracin de los distintos aspectos de la
seguridad, es posible apoyarse en los modelos de mejora continua
utilizados por los siste-mas de gestin ISO (norma ISO 27001, por
ejemplo). Con el ciclo presentado en este esquema se estableceran
las necesidades y medidas de seguridad y se iran analizando y
mejorando per-manentemente para garantizar la ade-cuacin de la
seguridad a la situacin de la empresa.
Aunque una norma de este tipo es adecuada para establecer un
sistema
Laura Prats AbadaResponsable Producto Seguridad TI de
Applus+LGAI Technological Center
SISTEMAS DE GESTIN DE LA SEGURIDAD, BASADOS EN MODELOS ISO
Todas las amenazas que afecten a la seguridad se deben gestionar
de forma integrada
-
especial red seguridad marzo 2009 63
convergencia monogrfico
de gestin, es necesario trabajar tam-bin en el desarrollo de un
marco de buenas prcticas o normas que apoyen la seleccin de medidas
concretas en cada uno de los aspectos de la segu-ridad.
Medidas en un CPDPara poner un ejemplo de las medidas de
seguridad a utilizar, consideraremos el caso de un centro de
proceso de datos. Todas las compaas necesitan del buen
funcionamiento de estas ins-talaciones para desarrollar su trabajo
Por lo tanto, si hay algn sitio en la empresa que necesite de una
garanta de seguridad eficiente es sobre todo el Centro de Proceso
de Datos (CPD).
En concreto, entonces, se deberan revisar los siguientes
aspectos:
1. Localizacin. El lugar en el que se instale el CPD va a
influir en la seguri-dad del mismo. Hay que evitar zonas
inundables, industrias peligrosas alre-dedor, zonas de riesgo
ssmico, etc.
2. Edificacin. Adems de cumplir las normativas, se deben
considerar aspectos relativos a la seguridad como los puntos de
acceso al edificio, las zonas de carga y descarga, etc.
3. Distribucin del edificio. Es impor-tante vigilar la
distribucin del edificio, ya que va a facilitar la implantacin de
infraestructuras (cableado, clima-tizacin) y de medidas de control
de acceso y vigilancia.
4. Infraestructuras. Aspectos como garanta de suministro
elctri-co, adecuada climatizacin, control de humedad e
inundaciones, sistema anti-incendios, etc. deben disearse y
mantenerse para el adecuado funcio-namiento de los equipos.
5. Control de accesos y vigilancia. Se deben delimitar los
puntos de acce-so y mantener un sistema de control seguro en funcin
del perfil de cada usuario. Adems, se debe implantar un sistema de
vigilancia que mantenga la seguridad.
6. Seguridad de la red. Los equipos lgicos deben estar
adecuadamente configurados, libres de vulnerabilidades y con las
medidas de seguridad implan-tadas. Se deben considerar las
tecnolo-gas de seguridad adecuadas en funcin de los servicios
proporcionados.
7. Seguridad lgica. Adems del acce-so fsico, los nuevos sistemas
incorporan la posibilidad de acceder en remoto a la informacin. Por
lo tanto, hay que garan-tizar que esa va de entrada sea segura.
8. Continuidad de los servicios. Los servicios que inciden en el
funciona-miento del CPD deben estar garanti-zados a los niveles
establecidos por la empresa, exigidos legalmente y acorda-dos
contractualmente. Para ello hay que desarrollar planes de
continuidad que garanticen la recuperacin de los servi-cios en el
tiempo y el nivel adecuado.
9. Seguridad de los datos. En los sistemas electrnicos tenemos
herra-mientas que nos permiten garantizar la seguridad de los datos
en caso de incidentes. Para ello deberemos tener un adecuado
sistema de copias de seguridad que permita una rpida recu-peracin y
un sistema de activacin de logs para poder analizar los incidentes
ocurridos y obtener evidencias.
10. Gestin de la seguridad. Aunque lo mencionamos en ltimo
lugar, en realidad es un punto de partida de un ciclo continuo que
permita mantener y mejorar los niveles de seguridad. Para ello se
analizarn riesgos, se disean polticas y se desarrollan
procedimien-tos para su implantacin. En particular, se deben
desarrollar procedimientos como los de gestin de incidentes y
control de cambios.
Los puntos anteriores no pretenden ser exhaustivos y necesitan
un desa-rrollo que permita concretar qu, cmo
y cundo aplicar cada una de las reco-mendaciones. La dificultad
consiste en decidir qu se toma como referencia para seleccionar las
medidas concretas a aplicar. En este punto se pueden buscar cdigos
de buenas prcticas y normativas de organizaciones de pres-tigio que
ayudan a la implantacin real de la seguridad.
Actualmente existen normativas para la aplicacin de la seguridad
lgica y guas y estudios para los sistemas de seguridad fsica. Pero
la seguridad es una, la de la informacin, sea cual sea el origen de
la amenaza.
Applus+, multinacional espaola lder en ensayos, inspeccin,
certificacin y servicios tecnolgicos, cuenta con un equipo
multidisciplinar capaz de certifi-car todos los aspectos de la
seguridad que pueden afectar a un Centro de Proceso de Datos.
SISTEMAS DE GESTIN DE LA SEGURIDAD, BASADOS EN MODELOS ISO
-
especial
convergenciamonogrfico
64 red seguridad marzo 2009
La Gestin de Riesgos de Seguridad en Sistemas SCADA
el trmino SCada (Supervisory Control And Data Adquisition) se
refie-re a la adquisicin de datos y control de supervisin. Se trata
de un soft-ware diseado para funcionar sobre equipos tradicionales
para controlar procesos industriales, proporcionando la informacin
necesaria a operadores y supervisores para mejorar la eficacia del
proceso de monitorizacin y con-trol, y permitiendo la toma de
decisio-nes en algunos entornos que pueden ser crticos, como en
sistemas de ges-tin de agua y fluidos, energa elctrica y nuclear,
sealizacin para trfico, sis-temas de control ambiental, procesos de
fabricacin, seguridad, etc.
Un sistema SCADA esta confor-mado por los siguientes elementos
fundamentales: Interfaz Operador HMI (Human
Machine Interface): Entorno visual que brinda el sistema para la
interaccin con los otros elementos. Unidad Central (MTU):
Ejecuta
acciones de control, almacena y pro-cesa los datos. Unidad
Remota (RTU): Cualquier
elemento que enva informacin a la MTU, ubicado en el sitio
remoto. Similares a los PLC (Programmable Logic Controller).
Sistema de Comunicaciones: Se
encarga de la transferencia de infor-macin desde el punto donde
se rea-lizan las operaciones, hasta donde se supervisa y controla
el proceso.
Transductores: Convierten una seal fsica en una seal
elctrica.
Respecto a la comunicacin fsica, actualmente se emplean
conexiones directas, accesos telefnicos, ethernet o wireless, y en
cuanto a los protoco-los de comunicacin empleados, algu-nos de los
ms extendidos son ASCII, MODBUS TCP/IP, PROFInet, DNP3, BSAP/IP,
CIP o TASE/ICCP. Tambin se emplean protocolos en capas supe-riores
como OPC (OLE for Process Control OPC Foundation-OLE/COM),
ODBC/JDBC, FTP y HTML para la representacin de datos. La figura
inferior muestra un diagrama tpico de comunicacin entre componentes
de un SCADA, empleando MODBUS TCP/IP.
Si analizamos la seguridad para MODBUS, el funcionamiento del
pro-
tocolo de capa 7 (MBAP-MODBUS Application Protocol) es simple.
Las transacciones estn basadas en un esquema request-reply. El
cliente/master (MTU) realiza una peticin al servidor/slave (RTU),
quien responde. Cada mensaje enviado contiene un cdigo que indica
tanto al master como al slave la operacin a realizar.
Sistemas comprometidosExisten algunas amenazas, que de ser
explotadas podran comprometer la seguridad de todo el sistema a
travs de la consecucin de objetivos mayores para un posible
atacante del sistema:
+ Acceso no autorizado: El acce-so a cualquiera de los
componentes del SCADA permitira explotar otras vulnerabilidades.
Por ello se deben proteger los accesos de terceros, las
Antonio MartnezResponsable de Seguridad TIC de udea Seguridad
dela Informacin
ADQUISICIN DE DATOS Y CONTROL DE SUPERVISIN
-
convergencia monogrfico
instalaciones remotas y los medios de transmisin tanto cableados
como inalmbricos.
+ Identificar cada dispositivo del SCADA en la red: La obtencin
de informacin a travs de Port Scan TCP/502 (MODBUS), y la
realizacin de tcnicas de fingerprinting y captura del trfico de la
red, permitira obtener acceso a los mensajes intercambiados entre
master y slave.
Las vulnerabilidades propias de este protocolo afectan
principalmente a las siguientes dimensiones de la seguri-dad:
X Confidencialidad: El trfico no es cifrado.
X Integridad: El protocolo depende de la integridad de los
niveles inferio-res, ya que MBAP no los incorpora.
X Autenticacin: No existe autenti-cacin en ninguno de los
niveles.
Gestin y control de riesgosPara gestionar los riesgos
relacio-nados con sistemas SCADA, entre otros: manipulacin de
configuracin de acceso no autorizado, escucha de informacin,
corrupcin de men-sajes y denegacin de servicio, es recomendable
adoptar los siguientes controles:
Cifrar en la medida de lo posible todas las conexiones y enlaces
que salgan del permetro de seguridad fsico establecido. Cualquier
gateway que comu-
nique con el exterior es susceptible de ataque, por lo que debe
ser pro-tegido, asegurado y aislado de otros SCADA.
Cualquier conexin con terceros debe ser protegida mediante
firewalls y VPN. Los sistemas detectores de intru-
sos (IDS) son piezas fundamentales en el despliegue de SCADA. Si
han sido convenientemente ajustados, permiten detectar la mayora de
los ataques, estableciendo patrones de conducta no adecuados y
generando alertas en tiempo real.
Un sistema de almacenamiento de logs y eventos suficientemente
prote-gido, que permita el anlisis forense y la obtencin de
evidencias ante cual-quier accin legal.
Un ejemplo prcticoComo ejemplo prctico, indicar que en algunos
sistemas SIM, como el amplia-mente extendido OSSIM (Open Source
Security Information Management System), ya se han desarrollado
fir-mas de IDS para los protocolos ms extendidos como MODBUS, ICCP
y DNP3, como se puede ver en el cua-dro inferior.
Adems, OSSIM tambin proporciona la posibilidad de deteccin de
anoma-las en distintos tipos de trfico emplea-dos por SCADA,
fundamentalmente en MODBUS, Ethernet/IP, PROFIBUS, ControlNet,
Infonet, HART, UCA, FieldBus, Distributed Network Protocol (DNP),
Inter-Control Center Communication Protocol (ICCP) y Telecontrol
Application Service Element (TASE).
En resumen, los SCADA son siste-mas cuya misin es controlar
procesos en muchos casos crticos. La integra-cin con servicios y
redes modernas han introducido riesgos en estos sis-temas que no
deberan ser asumidos por sus responsables, debido a los altos
impactos que ocasionaran.
Aunque en este artculo se ha ana-lizado con mayor detalle el
protocolo MODBUS, la mayora de los proto-colos citados durante el
mismo tie-nen deficiencias similares, ya que no fueron diseados
para la integracin con las tecnologas actuales, por lo que se
recomienda un anlisis exhaustivo de las tecnologas y pro-tocolos
empleados en cada uno de sus elementos.
especial red seguridad marzo 2009 65
ADQUISICIN DE DATOS Y CONTROL DE SUPERVISIN
-
especial66 red seguridad marzo 2009
convergenciamonogrfico
La convergencia de la seguridad fsica y la seguridad lgica
Con el paSo de los aos la seguri-dad fsica ha ido adaptndose a
los medios digitales y el alineamiento entre los departamentos de
seguri-dad fsica y los departamentos de seguridad lgica es algo
cada vez ms comn y demandado en las organizaciones. Desde hace unos
aos venimos observando cmo esta realidad est transforman-do la
fisonoma del mercado de la Seguridad y de la de sus actores
principales. Dentro de un mercado donde existen diversos planos
del
concepto de la seguridad, se hace necesaria una coexistencia
entre todos ellos para lograr la seguri-dad de la sociedad. En las
ltimas cuatro dcadas, hemos vivido la implantacin de una nueva
legisla-cin en materia de seguridad. Este tipo de legislacin, antes
reservada nicamente al Estado, ha ampliado su radio de accin a
elementos que permiten el desarrollo de la vida de los ciudadanos
en sus relaciones
con sus semejantes y con la admi-nistracin, la custodia de sus
datos personales, su derecho a la intimi-dad, etctera.
Actualmente, vivimos en una sociedad en la que se hace
impres-cindible compatibilizar los derechos fundamentales de
libertad con la seguridad, esto supone el nacimien-to de un modelo
de convivencia en permanente revisin. La concepcin holstica de la
seguridad no es slo el comienzo de una moda, sino ms bien una
necesidad que ha veni-
do impuesta por la maduracin del propio mercado donde el riesgo,
cada vez mayor, es global, transna-cional, con abundantes recursos
y con herramientas tecnolgicas que hacen, que los que debemos
pro-teger los activos de los ciudadanos, de las empresas y de los
Estados, tengamos que identificar este ries-go de una forma global
y en el que nuestra actuacin toma cada da una mayor relevancia.
Si observamos detenidamente a las grandes empresas, vemos cmo
sus modelos de actuacin han ido cambiando tanto en lo que a
merca-dos se refiere como en el desarrollo de nuestras habilidades
de com-petencia internacional. Hoy en da, las compaas necesitan que
exista un flujo de informacin permanente para posicionar
adecuadamente la estrategia del desarrollo de su nego-cio. La
seguridad global del negocio implica un desarrollo cualitativo del
servicio de seguridad patrimonial, de activos, de seguridad
informti-ca, de inteligencia de negocio, de inteligencia
competitiva, y un largo etctera. Nuestro objetivo como empresa de
seguridad es pasar del anlisis forense de datos a la pros-pectiva
que permita el alineamiento total con el resto del negocio.
Riesgo, Seguridad e InteligenciaLa figura actual del Director de
Seguridad Corporativo ir dejando paso, en un futuro no tan lejano,
a la de Director de Gestin del Riesgo, Seguridad e Inteligencia.
Bajo esta nueva orientacin se resuelven pro-blemas competenciales
que hist-ricamente se han venido reprodu-ciendo en todas las
compaas, en mayor o menor medida.
El problema de la inexistencia his-trica de una filosofa de
actores de Inteligencia y Seguridad hace que el
Juan AntonioGmez BulePresidente del Consejo Asesor de S21sec
EL NUEVO CONCEPTO DE 'SEGURIDAD E INTELIGENCIA'
La concepcin holstica de la seguridad no es slo el comienzo de
una moda, sino una necesidad
-
especial red seguridad marzo 2009 67
convergencia monogrfico
sector de la Seguridad necesite una profunda transformacin, al
mismo tiempo que genera numerosas opor-tunidades, puesto que supone
un aumento de la eficiencia y de la efi-cacia empresarial en la
competencia de los mercados globales.
Para actuar globalmente es nece-sario tener una visin unificada
del riesgo, y para obtener esta visin es imprescindible tener una
exacta cuantificacin y cualificacin de los distintos elementos que
configuran los diversos riesgos. Adquieren una especial importancia
en el contex-to que hemos venido planteando, la disponibilidad de
herramientas que valoren la crisis y que identifi-quen escenarios
sobre las distintas soluciones a tomar; la recoleccin de informacin
de diversas fuentes; las herramientas tecnolgicas de firmas
espaolas sin puertas trase-ras que permitan desarrollar activi-
dades de inteligencia e impidan la fuga de informacin; los
analistas de inteligencia que presenten informes adecuados a las
necesidades del negocio. En definitiva, el antiguo concepto de la
separacin entre las distintas seguridades forma parte del pasado,
debemos evolucionar al nuevo paradigma de 'Seguridad e
Inteligencia' como elemento consus-tancial y vital al desarrollo
estratgi-co de las empresas.
Evolucin hacia la colaboracinLa necesidad de evolucionar al
con-cepto de 'Seguridad e Inteligencia' se visualiza claramente en
las necesi-dades que tiene el Estado en cuanto a polticas de
Seguridad y Defensa, as como en la colaboracin de los distintos
actores institucionales pbli-cos, como pueden ser administracio-nes
y universidades; privados, como empresas y ciudadanos. Tambin
EL NUEVO CONCEPTO DE 'SEGURIDAD E INTELIGENCIA'
podemos visualizarla en iniciativas colaborativas frente a
riesgos terro-ristas, crimen organizado, pederas-tia, riesgos
ubicuos o delincuentes que usan Internet para perseguir sus fines;
Estados que golpean a otros utilizando la ciberdelincuencia
encu-bierta; ataques de denegacin de servicio a pases; ataques a
sus infra-estructuras crticas, etc.
Estas nuevas situaciones obligan a realizar un cambio muy
significati-vo en las estrategias de las empre-sas de seguridad
frente a los riesgos globales donde la tecnologa evolu-ciona. Se
busca minimizar los ries-gos, anticiparnos a escenarios futu-ros
analizando informacin existen-te, concienciar, formar, gestionar el
cambio, prevenir el caos, ofrecer sensacin de seguridad a los que
nos rodean y, en definitiva, gestionar globalmente la Seguridad en
mays-culas.
Proteja los sistemas informticos de su empresa con la mejor
herramienta:
La informacin especializada.
Suscrbase: Don Ramn de la Cruz, 68. 28001 Madrid. Tel.: +34 91
402 9607. Fax: +34 91 401 8874. http: www.borrmart.es.
E-mail:[email protected]
La solu
cin eTo
ken SSO
le perm
ite imp
lement
ar el lo
gon n
ico al P
C y a su
s
aplicac
iones d
e forma
sencilla
y robu
sta al t
iempo
que con
eToken
TMS cu
enta
con el m
s avan
zado si
stema d
e gesti
n cen
tralizad
a de u
suarios
y dispo
sitivos.
Las p
olticas
de
contras
eas q
ue obl
igan
al usu
ario a
camb
iarla
perid
icament
e termi
nan pro
ducien
do im
genes c
omo
sta.
Con la
gama d
e dispo
sitivos
eToken
de Al
addin p
uede e
stablece
r una
estrate
gia de
autent
icacin
fuerte
adapta
ble a su
entorn
o y a las
necesid
ades
de cad
a tipo
de usu
ario de
forma
rpida
y econ
mica.
Este es e
l efecto
de
su actua
l poltic
a de
contrase
as
Soli
cite su
kit info
rmativo
de eTo
ken y c
ompru
belo
Visite w
ww.ala
ddin.e
s/etoke
n
Madri
d
C./ Albas
anz, 14
28037 M
adrid
Tel. 91
375 99
00 Fax.
91 754
26 71
Barcel
ona
C./ Florid
ablanca
, 70 080
15 Barce
lona
Tel. 93
325 50
42 Fax.
93 325
41 10
A l a d
d i n .
e s / e
T o k e
n
Aladd
in Know
ledge Sy
stems, Lt
d. All rig
hts rese
rved. Al
addin a
nd eTok
en are re
gistered
tradema
rks; eTo
ken is a
tradem
ark of A
laddin K
nowledg
e System
s, Ltd.
Revis
ta esp
ecializ
ada en
Segur
idad I
nform
tica, P
rotecc
in de
datos
y Com
unicac
iones
N 3
1 Novi
embre
2007
poca
II
www.
redsegur
idad.es
daRed
Segur
idad.in
dd 1
05/11/
2007
17:19:
12
La solu
cin eTo
ken SSO
le perm
ititete
aplicac
iones d
e forma
sencilla
y y rroo
con el m
s avan
zado si
stema d
ede ge
Las p
olticas
de
contras
eas q
ue oo
perid
icament
e termi
nan pro
ducien
ddoo
Con la
gama d
e dispo
sitivos
eTokekenen
estrate
gia de
autent
icacin
fuerte
adadada
de cad
a tipo
de usu
ario de
forma
r r
te es elele
u actuaaallntntcont
Soli
cite su
kit info
rmmama
Visite w
ww.ala
ddin.e
s/etokokee
Madri
d
C./ Albas
anz, 14
28037 M
adrid
Tel. 91
375 99
00 Fax.
91 754
2676 7171
A l a d
d i n .
e se s /s / s //
T o k eo k
e
e T o
e Te T
Aladd
in Know
ledge Sy
stems, Lt
d. All rigrig
htht
tradema
rks; eTo
ken is a
tradem
ark of A
laAladddd
rmtic
a, Prot
eccinn
dd
w
www.redsegurid
ad.com
Revista espe
cializada en
Seguridad In
formtica, P
roteccin de
datos y Com
unicaciones
N 32 Ener
o 2008 poc
a II
Enero
200
8
2
Revis
ta es
pecia
lizada
en S
eguri
dad I
nform
tica
, Prot
ecci
n de d
atos y
Com
unica
cione
s
red
seguridad
dd 1
20/12/2007
14:28:14
www.www.red
seguridad.com
atos y y CCoommm
uunicaciones
N 32 Ener
o 2008 poc
a II
www.redseguridad.com
Revista especializada en Seguridad Informtica, Proteccin de
datos y Comunicaciones N 33 Marzo 2008 poca II
suscribase media red08.indd 1 03/07/2008 13:42:22
-
especial
convergenciamonogrfico
68 red seguridad marzo 2009
Convergencia de la seguridad, realidad o ficcin?
la neCeSidad de la seguridad proviene de la existencia de
peligro, amenaza y riesgo. El objetivo de la seguridad consiste en
garantizar el normal funcio-namiento del sistema que protege,
par-tiendo del reconocimiento de la insegu-ridad del mismo y de su
entorno.
Para muchas organizaciones el sis-tema de informacin es su
activo ms importante. Los delincuentes necesi-tan informacin y esta
se encuentra en soporte digital.
La gestin de la seguridad es el ejercicio continuo y
realimentado del estudio de las vulnerabilidades de la seguridad
para prevenir los fallos y corregir los errores.
La convergencia de la seguridad no consiste en proporcionar un
arma a los tcnicos de seguridad lgica y un ordenador a los guardias
y vigilantes de seguridad. Consiste en la integra-cin de todos los
recursos dedica-dos a la misma, para, contemplando la seguridad
como un todo, actuar bajo un mando nico, centralizando la Direccin
y coordinando todas las acciones. Es la respuesta a la evolu-cin de
la inseguridad. El Gobierno de la Seguridad Corporativa es global e
integral, vincula los aspectos fsicos, informticos y electrnicos,
afecta a los directivos de la organizacin, a los de Tecnologa, a
los gerentes de seguridad fsica y lgica, y a todo el personal.
El modelo de convergencia de la seguridad, con la integracin de
fun-
ciones, es un elemento crucial para el incremento de la calidad
y la compe-titividad. Su adopcin proporcionar ahorro en los costes
y en el tiempo dedicado a las tareas de proteccin. El contemplar la
seguridad como un todo coordinado contribuir a disminuir el nmero
de incidentes de seguridad y, lo que es ms importante, facilitar
resolverlos con prontitud, eficacia y sin que los atacantes puedan
conseguir sus objetivos.
Catalizadores El valor de los elementos a prote-
ger est pasando de elementos fsicos a activos intangibles
basados en la informacin. Los delincuentes emplean todo lo
que puede ser beneficioso para lograr sus objetivos, combinando
elementos fsicos y lgicos.
Ventajas+ Mando nico. El Director de
Seguridad (CSO) asume la responsa-bilidad de toda la seguridad.+
Gestin nica de recursos: huma-
nos, econmicos y materiales.+ Visin global de la seguridad:
estra-
tegia conjunta y objetivos comunes.+ Personal de seguridad
verstil.
La especializacin del personal para cubrir los diferentes mbitos
tcnicos permitir poder emplearlos en funcin de la misma.+ Reduccin
de costes. Por el
empleo de estndares tecnolgicos comunes.+ La tecnologa a
utilizar en segu-
ridad es similar; los dispositivos tam-bin, por ejemplo la misma
aplicacin de gestin de la seguridad puede recoger elementos de
informacin (eventos de dispositivos) de seguri-dad fsica como
tornos de acceso y de seguridad lgica como accesos a bases de
datos; el centro de control podra ser el mismo.
InconvenientesEl personal que trabaja en seguridad lgica ve al
que trabaja en seguridad fsica como "los de la porra", y estos a
los otros como "los hackers" ya que:X Se consideran diferentes.X
Tienen diferencias culturales importan-
tes.X Sus reas de conocimiento son
diferentes.
Riesgos Luchas de poder entre departa-
mentos relacionados con la seguridad. Rechazo a la convergencia:
par-
celas de poder, prdida de peso en la organizacin.
ConclusionesX La convergencia de la seguridad tiende a ser algo
habitual.X Puede ser beneficiosa, pero sin el modelo adecuado, el
enfoque puede ser errneo.
Victorino Martn JorcanoDirector de Operaciones de AlienVault
BREVE ANLISIS DEL ESTADO DE LA CUESTIN