PVP: 18,50 (IVA INCLUIDO)

Transcripción

1 PVP: 18,50 (IVA INCLUIDO) 1

2 staff director José M. Ángel Olleros I secretario Andreu Maldonado Macho I coordinador Roberto Sucunza Otermin I relaciones externas José Luis Zapirain Etxeberría y Jaime Ercoreca Ochoa I plataforma digital David Santamaría Vilumbrales mprime Cirsa I dep. legal M [04] Punto de partida [10] Vigile, recomendaciones a tener en cuenta [12] Preguntas frecuentes [14] Opinión [16] Terminología [18] Servicios en la nube [20] Medios de identificación [22] Matriz de acceso [26] Quién controla la TCO? [28] Ojo al Dato [29] Comparativa [34] Errores técnicos que debemos evitar [37] Decálogo del vendedor audaz [38] Casos de éxito [44] Entrevista al gestor de seguridad [46] Gráfico de integración [47] Quién tiene el control [48] La compra en 4 decisiones [50] Opinión [51] Noticias CONSEJO TÉCNICO ASESOR Principio de Rudniki y otros: Un experto es aquel capaz de explicar algo Alfonso Bilbao: Seguridad integral y terminología de forma que nadie más pueda entenderlo. Andreu Maldonado: Análisis y estadística César Martín: Detective Privado David Timón: Sistemas y servicios profesionales José Miguel Ángel: Redactor y entrevistas José Villarín: Instalación y pruebas de campo Pedro Carpintero: Instalación y pruebas de campo Txomin Sucunza: Seguridad informática y pruebas de campo DISEÑO Y EDICIÓN Carla Esteban: Diseño gráfico María Cedenilla: Correción de estilo Del Y? al Ah!! José Miguel Ángel Director de [Revista de Seguridad] Recientemente asistí a una ponencia titulada Vender como Cracks donde se explicaba la diferencia entre cracks y chusqueros, nada que no sepamos ya, pero la forma de impartirla altamente dinámica me encantó y me sorprendió. El ponente, Víctor Küppers, con varios libros publicados hizo una reflexión muy interesante. El cliente busca el Ah!!, lo quiere, lo necesita antes de decidir la compra y muchos vendedores solo ofrecen el Y? La verdad es que escuchándole me he reconocido en ambos aspectos; como abrumado comprador ante las innumerables características de un producto y avance tecnológico Y?, pero también como un oyente satisfecho cuando me han sabido explicar los beneficios directos de esas características Ah!! En el nº 3 de la Revista de Seguridad, monográfico dedicado a las Puertas de Seguridad, ya decidimos introducir más información tipo Ah!! con apartados tipo compra maestra, recomendaciones, etc.. Y en este nº 4 también vamos a mantener el mismo criterio: informar sobre los beneficios, recomendaciones, advertencias, clarificar términos y dejar para los expertos otras vías de comunicación. Gracias Víctor!!

3 <punto de partida> [punto de partida] [sistemas online para el control de acceso] online es un término inglés que puede traducirse por en línea. es utilizado para definir a un dispositivo o conjunto de dispositivos que están permanentemente conectados entre sí y asociados a un sistema superior para el que está disponible permanentemente sin la necesidad de intervención humana. un sistema online permite viajar a la información desde un servidor central hasta cada dispositivo puerta y viceversa, de forma inmediata, en el mismo instante en que esta se genera. + + Un amaestramiento mecánico es sinónimo de organización. Un amaestramiento digital o un control de acceso autónomo, es sinónimo de organización actualizada y controlada en el tiempo. Controlar sin molestar Busco un sistema automático, estable y gestionado en su totalidad desde un único punto de administración. Empleados, visitas y mantenedores podrán realizar su labor sin incidencias. Tiempo de respuesta Inmediato. Sin demora. Necesito que la información fluya de forma automática en el mismo momento que esta se produce en cada punto de acceso o se genera desde el administrador del sistema. Interoperabilidad El sistema debe ser capaz de operar intercambiando y utilizando información con otros sistemas asociados, tales como CCTV, control de presencia, intrusión, etc Un control de acceso online es sinónimo de inmediatez e interoperabilidad. La información constituye el pilar fundamental de la seguridad. enm; 4 5

4 biometría Un poco de enfoque Los sistemas online cableados también denominados sistemas de tiempo real son bien conocidos y usados desde hace algunas décadas. Se puede decir que siempre han estado ahí, complementado la seguridad de un edificio que ya tenía un año 2000 Desde el año 2000 comienzan a aparecer los sistemas autónomos profesionales que Quién-Cuándo-Dónde Exceptuando el quién por razones que más adelante explicaremos, un sistema electrónico permite conocer el cuándo en términos de día-hora-minuto y el dónde en términos de tipo de escenario: puerta, armario, automatismo y zona. Sin querer redundar en la abundante argumentación y posicionamiento de los sistemas de control de acceso que reflejamos en el Nº 2 (se recomienda lectura previa), nos permitimos hacer un breve resumen a modo de punto de partida: Solamente con un sistema de biometría se puede precisar quién es la persona que ha accedido. La razón es bien sencilla, hoy por hoy, no se puede clonar el rasgo biométrico de la persona. Técnicamente hablando no se puede asegurar que un determinado registro de acceso haya sido generado por el titular del medio de identificación registrado oficialmente si este es copiable o si el sistema es accesible. amaestramiento mecánico. Cumplen con los tres requisitos básicos de control de acceso electrónico: seguridad del sistema, trazabilidad del acceso y flexibilidad de programación.! No todos los sistemas online cableados permiten igualmente cumplían con los tres requisitos básicos citados anteriormente, con la diferencia que aportaban nuevas prestaciones que a la larga han sido demostradas de gran utilidad: movilidad de usuarios y dispositivos, comunicación sin cableado y autoalimentación con baterías incorporadas en la propia llave o dispositivo. Tienen diversas denominaciones, según su tipología y según el marketing que cada fabricante aplica: autónomo, sistema virtual, key centric, based on card, digital system y autónomo centralizado. Las marcas más conocidas como Abloy, Kaba, Locken, Simons Voss, Salto, Tesa, disponen de sistemas autónomos, los cuales hemos analizado y aunque son muy versátiles, algunos más que otros, ninguno de ellos permite una interoperabilidad satisfactoria con otros sistemas. Son en sí mismos un paquete cerrado. En este punto, los sistemas online cableados, de momento no tienen competencia. No son tan móviles ni versátiles como los sistemas autónomos, pero son insustituibles si se precisa conocer cada evento de acceso en el mismo momento en el cual se produce, si se requiere conexión con otros sistemas o directamente integrar señales de intrusión, conectar cámaras, compartir una base de datos de empleados para el control de presencia o control de producción. Suelen tener aplicaciones especializadas para visitas o proveedores y permiten una larga lista de rutinas, aunque muchas de ellas nunca serán entendidas ni aplicadas pero dan buena imagen en el catálogo comercial. > Los amaestramientos mecánicos destacan por su estabilidad, gran capacidad organizativa, imperecederos y de precio inicial reducido, pero al mismo tiempo inflexibles, sin posibilidad de trazabilidad del acceso y con el handicap de perder la seguridad con la que fue inicialmente definido ante la primera llave perdida o robada de la instalación. Nunca se tiene información del acceso. > Los sistemas autónomos cubren un alto porcentaje de necesidades globales de acceso y cierre en casi cualquier tipo de organización. Aportan protección, precisión, control, gestión, flexibilidad y trazabilidad del acceso con una inversión reducida frente a los sistemas conectados online y competitiva en el tiempo frente a los amaestramientos mecánicos. Los dispositivos están conectados de forma virtual/viral con el servidor central. La información del acceso se registra y se puede obtener bajo demanda. Permite movilidad controlada de usuarios y dispositivos. Sistemas online bien aplicados Tipo de instalaciones: H Instalaciones críticas. H Instalaciones con muchas puertas, muchos usuarios y cambios constantes. H Instalaciones con necesidad de inmediatez de información. H Instalaciones grandes, medianas y pequeñas con necesidad de integrar otras señales como CCTV, alarma o control de presencia (tiendas, naves industriales, edificios, sociedades...). Tipo de escenarios: H Puertas perimetrales. H Tornos de acceso. H Barrera de vehículos. H Accesos a plantas o zonas restringidas nivel 1. H Puertas que necesiten estar monitorizadas permanentemente debido a su alta privacidad. H Puertas sobre las que se necesiten interactuar en remoto de forma inmediata (abrir, cerrar, programar). Sistemas online mal aplicados interoperabilidad con otras aplicaciones o integrar directamente CCTV, intrusión. Aunque pueden tener su mercado, este es muy limitado porque no tienen ya tantas ventajas con respecto a los sistemas online inalámbricos Eso sí, su implantación necesita de un entorno arquitectónico confortable y amigable para la instalación de lectores y periféricos eléctricos, alimentación permanente, así como de suficientes recursos para conocer y atender cada suceso de forma inmediata puesto que de otra forma no sería coherente decidirse por un sistema online. Recientemente comienzan a surgir sistemas online inalámbricos que permiten usar cilindros digitales en la propia puerta (para un cierre efectivo), pero aún no son tan interoperables como los online cableados. > Los sistemas online tiempo real son útiles cuando se precisa inmediatez de la información e interoperabilidad con otros sistemas asociados pero requieren de mayor desarrollo técnico, más recursos para atender y gestionar cada suceso y mayor presupuesto. La información fluye de forma inmediata y automática. Siempre está. No están bien enfocados en: F Puertas con necesidad de bloqueo físico para aumentar la protección física como urbanizaciones, chalets, tiendas, despachos profesionales, redes corporativas, entidades con alto porcentaje de subcontratas, nodos de utilities no atendidos, etc. F Puertas en ruta de evacuación, EI, cristal, madera. F Puertas interiores ya protegidas por un anillo exterior supervisado. 6 7

5 gráfico de funciones mejor cubiertas por los sistemas de control de acceso ARQUITECTURA DE SISTEMA ONLINE comunicación ethernet I licencia cliente / servidor I decisión distribuida a cada punto de acceso (sin hub principal) I cierre efectivo base de datos en el servidor integra cctv-intrusión adaptación a puertas seguridad grado 5 5 interopera con otros TCP/IP permite cierre efectivo 4 monitorización punto acceso 12v 3 Controlador puerta 2 1 Router inalámbrico de 10m a 30m de cobertura movilidad (sin cables) 2 apertura / bloqueo en remoto adaptabilidad tipos de puerta auditoría por dependencias infraestructura necesaria colaboración usuarios inversión inicial fiabilidad de la información Requerimientos del sistema online autonomía energía auditoría ruta de usuario inmediatez información virtual online cableado online inalámbrico Online cableado: Online inalámbrico: Cableados del techo a cada puerta. Fuente de alimentación Lector en pared. Contacto magnético. Pasacables embutido en marco. Cableado en puerta. Cerradura electrónica de cierre efectivo Router inalámbrico para varias puertas con alimentación PoE integrada. Cilindros digitales online en la propia puerta para cierre efectivo. Contacto magnético para monitorización del acceso. requerimientos BÁSICOS + requerimientos AVANZADOS + requerimientos AVANZADOS 2.0 HARDWARE SOFTWARE Escalable para una, dos y cuatro puertas + múltiplos de 8 cuya funcionalidad permita conectarse a cualquier tipo de lector, por ejemplo de teclado PIN, lector de medio ID, teclado combinado PIN + medio ID y lector de biometría. El controlador principal debe disponer de salidas y entradas para conectarse a sistemas de CCTV, sensores de alarma, puertas abiertas y paneles de incendio. Es muy útil si el controlador de puerta dispone de entradas y salidas para asignar directamente sus periféricos asociados a su puerta y así evitar largas y costosas tiradas de cables al controlador general de planta o de edificio. Escalable y adaptable según envergadura y complejidad de la instalación. Con la posibilidad de activar solamente funciones necesarias. Entorno gráfico amigable e intuitivo con iconografía asociada a eventos, avisos y estado de puertas. HARDWARE SOFTWARE Diseñado desde la base para obtener una mejor eficiencia energética. Con posibilidad de energía PoE. Soluciones compatibles en el tiempo; con los sistemas anteriores y nuevos desarrollos, para evitar un reemplazo total al momento de hacer alguna actualización. Con posibilidad de cliente servidor. Con posibilidad de virtualización. Entorno web. COMUNICACIONES Pueden ser válidos tanto sistemas en bus 485 como Ethernet. INTEROPERABILIDAD Basados en estándares abiertos e interoperables con otros sistemas de [Nº 2 Revista de Seguridad] +info: sistemas electrónicos autónomos PUESTA EN MARCHA Hardware autoconfigurable tipo plug & play, para evitar errores y costes añadidos tanto en puesta en marcha como en sucesivas revisiones y ampliaciones de futuro. Configuración que permita desactivar un equipo intrusión, vigilancia o control de personas. Conceptos: 8 [stay alone]::[key centric]::[lock centric]::[combinado] 9 individualmente sin afectar al resto por situaciones de averías, mantenimiento o sustitución. MOVILIDAD Capacidad para integrar tecnología de comunicaciones de rango corto (NFC, bluetooth,...) para el control de acceso hacia las plataformas móviles. Capacidad de integrar dispositivos de puerta como cilindros y manivelas digitales.

6 <vigile> [vigile] Qué compro Cómo lo compro A quién se lo compro 4 Sus medios de identificación ID España es un país invadido por la etiqueta RFID pasiva, es económica en origen, algunas copiables y altamente perecedera. Su posterior gestión genera una importante derivación de recursos ocultos para altas, bajas, deterioros, y renovaciones, además de costes fijos por consumibles y máquinas para la impresión de tarjetas. Un gran negocio de consumibles para muchas empresas de seguridad, al igual que las llaves copiables lo son para muchas cerrajerías y ferreterías. Por ambos motivos es imprescindible aplicar protocolos de códigos indirectos para reducir el peligro de la suplantación de identidad, cada vez más usual y elegir muy bien el proveedor y la tecnología (algunas absolutamente copiables como Mifare Clasic). 5 La cadena de contratación Ningún sistema está exento de problemas técnicos pero, salvo excepciones por engaños, estos problemas son menores y subsanables, bien porque el cliente se adapta o bien porque técnicamente casi todo es posible. La verdadera cuestión es la cadena de contratación interna y confiar que el contratista principal adjudicatario del concurso, le avale la experiencia, sea flexible y no nos tenga presos de los llamados contratos de alcance cerrado. 1 La solución a implantar Los catálogos están llenos de imágenes emocionales con una larga lista de funciones que jamás vamos a usar, bien por su ineficacia para gestionarla, bien por ser innecesaria para nuestra instalación. Igualmente no se debe confundir la eficacia de la solución para la gestión de control de acceso (gestión de permisos a dependencias e informes de auditoría) con la robustez de su hardware y la capacidad para cerrar dependencias. Muchos sistemas solo ofrecen abrir y se olvidan del cierre efectivo. Inconveniente interno El departamento de compras tiene objetivos contrapuestos al departamento técnico porque si el primero logra reducir el precio de la licitación, significa que el departamento de seguridad interna no podrá cubrir con calidad las necesidades del operador del edificio. 6 Garantías en el tiempo Muchos sistemas no tienen asegurados su continuidad en el tiempo, morirán con las mismas características que nacieron, sin posibilidad de crecimiento, ni de reposición en caso de avería grave. Esta situación no es exclusiva de los sistemas económicos, sino que también afecta a los sistemas más caros, porque es inherente a la concepción del sistema y al proveedor que nos atiende. Sus contraseñas Todos los sistemas, por pequeños que sean, requieren de una o varias contraseñas. Independientemente de la valoración que cada cliente haga de que otros conozcan sus contraseñas o su sistema disponga de la contraseña de fábrica, existe una tradición poco profesional pero bastante extendida que consiste en que el suministrador es el único que conoce la contraseña de la programación. Si el cliente necesita realizar cualquier cambio es necesaria esa contraseña. Obviamente esta práctica conlleva riesgos: el suministrador puede desaparecer, cambiar de proveedor, o bien el cliente puede decidir cambiar de suministrador. De este modo estarás sujeto siempre al suministrador, único conocedor de la contraseña. Es una práctica muy habitual en residenciales y pymes Quién vigila a los vigilantes? Los vigilantes-operadores tienen libre acceso al software, permisos y visionado de imágenes CCTV. El proveedor de este servicio debe cuidar a su personal, debe tener una rotación baja del mismo y debe formarlos en ética y moral. Tienen una alta responsabilidad, porque son los encargados de operar el sistema de CCTV (respetando la Ley Orgánica de Protección de Datos de Carácter Personal) y deben estar vigilados. Suministrador e implantador del sistema Un proveedor con alta rotación de personal, con tendencia a nuevas contrataciones de cualificación inferior y sin experiencia en sistemas de control de acceso no será capaz de atender la instalación de forma idónea, por lo que generará mayores gastos y no pocos disgustos. Sus clientes no van a recibir un servicio estándar sino un servicio lleno de altibajos

7 <preguntas frecuentes> <preguntas frecuentes> [preguntas] FRECUENTES FAQ S A qué llamamos un sistema de seguridad integrado? O Qué entendemos por un sistema de seguridad integrado? a. Al conjunto de elementos naturales, humanos, tecnológicos, estructurales y de procesos que tienen como objetivo controlar y/o minimizar riesgos. b. Al conjunto de elementos y dispositivos físicos englobados o no en diferentes aplicacionessoftware instalados estratégicamente que delimitan un escenario gestionando permisos de acceso, detectando presencia, ocupación indebida y sabotaje para comunicarlo de forma inmediata a un centro de control o similar. Sin olvidar que para ser un sistema de seguridad completo debe contar con el factor humano (rondas de vigilancia). Qué es susceptible de integrarse? Las aplicaciones de control de acceso y sus periféricos (lectores, tornos, cerraduras eléctricas y abre puertas) con aplicaciones de videovigilancia CCTV, y sistemas de intrusión (alarmas, sensores, paneles). Así como también aplicaciones de control de presencia para horarios del personal y sistemas de domótica. Por qué no es habitual integrar el sistema de incendio? Las estrictas normas de seguridad en cuanto a procedimientos y funciones, que deben cumplir estos sistemas les alejan de la posibilidad de integración con el resto de sistemas. Aunque con el tiempo se podrán integrar. Es imprescindible la integración de aplicaciones? Al menos es conveniente para una pyme porque con un sencillo y económico software pueden gestionar hasta 4 puntos de acceso, 2 cámaras y varias señales de alarma, suficiente para un pequeño negocio. Por el contrario, para una gran corporación dependerá de muchos factores, tales como, sus requerimientos de seguridad, envergadura, presupuesto y los recursos destinados. En este nivel, los sistemas no son tan económicos, ni tan sencillos de manejar y el mantenimiento es más complicado de lo que publicitan los propios catálogos. Sistemas abiertos o sistemas propietarios? Se sabe que computacionalmente es imposible con la tecnología de hoy, obtener información de un sistema sin conocer su clave de cifrado. Por lo tanto, los sistemas abiertos basados en cifrados abiertos tipo Triple DES, AES 128, son seguros. A los sistemas propietarios se les supone la seguridad, aunque no se sabe en qué nivel ni hasta cuándo se puede asegurar porque el fabricante esconde su cifrado, no lo publica, pero si un día es descubierto, quizás su cifrado sea inseguro y sea más fácil de atacar. near field communicationnfc Acceso con teléfono con NFC? Si no hay un cataclismo y los satélites en órbita siguen funcionando, parece claro que los smartphone serán el hardware más habitual que llevaremos en nuestro bolsillo, que nos servirán para comunicar, localizar, pagar y abrir? cerrar? Sin aportar mayor seguridad frente a otros medios de identificación, consigue que un administrador pueda emitir permisos y cancelarlos a través de la red móvil y lo que es más importante, que el usuario pueda recibirlos directamente sin necesidad de desplazarse a recoger una llave electrónica o tarjeta RFID. Pero atención que no es la purga de Benito. Es válido para gestionar apartamentos de alquiler, hospedajes sin recepción, gestión de subcontratas y servicios de emergencia, entre otros, pero hay que saber combinarlo bien con el tipo de cerradura, porque queremos abrir y también queremos cerrar, verdad? Y hay que saber dónde se toma la decisión del acceso en el smartphone o en «La nube» con Internet operativo? Para abrir una puerta con un smartphone basta con utilizar una comunicación bluetooth 4.0, más directa incorporada ya en los teléfonos, absolutamente testada, estable, económica y de bajísimo consumo. Pero la insistencia de grandes lobbies en crear una nueva tecnología múltiple y controlada por ellos, que permita pasarelas de pago a través del teléfono y al mismo tiempo abrir puertas, hacen que abandonemos soluciones sencillas, económicas y abiertas a muchos de los propios interesados. Ya se sabe que Apple ha decidido no integrar NFC, los grandes lobbies de medios de pago quieren otra tecnología más controlada por ellos, no como NFC, así que podríamos estar adquiriendo una tecnología con un recorrido condicionado al resultado de la guerra. No está resuelta la cuestión de como se podría pagar con la tarjeta que uno quisiera (actualmente todos llevamos varias tarjetas en nuestra cartera), ni qué pasaría si me quedo sin batería en el móvil

8 El poder de la confianza frente al control Cómo es posible que el mundo laboral esté presidido por el control y por la jerarquía cuasi militar en una sociedad que se jacta de respetar VL SD C los valores de la libertad, de la participación, de la igualdad? Hay ciertas esferas de nuestra vida incluso pueden tener importantes res- El mensaje que la organización envía a trabajo en equipo, de compromiso, de que aprovechar esa vena inquieta que en las que el control es una necesi- ponsabilidades en otros ámbitos distin- las personas que tienen la obligación responsabilidad, de innovación, de pro- todos tenemos, hay que desperezar dad, como se puede comprobar en tos al laboral, cuando están en la empre- de fichar es muy poderoso: Tengo que yecto común y de éxito compartido. ese inconformismo que nos han ido las páginas de esta revista. sa necesitan tener a otras personas para controlar si venís a trabajar o no por- que les controlen, para que estén encima que no me fío de vuestra responsabi- Estas son las bases de las organiza- socialización. Hay que derrumbar las Sin embargo, algo en lo que pocas ve- como si de niños se tratase para asegu- lidad y compromiso. Muy al contra- ciones del futuro: personas tratadas y pirámides en las que se han converti- ces reparamos es que uno de los ámbi- rarse de que hacen lo que deben hacer. rio, lo que se consigue desterrando el formadas como personas que sienten, do nuestras organizaciones, para dejar control es igualmente enviar un nítido piensan y actúan, enfocadas a la sa- paso a la innovación, a la cooperación tos donde mayores niveles de control koldo saratxaga Promotor K2K Emocionando y de la Asociación ner group educando durante años y años de podemos observar es en las empresas; Pensemos durante un momento en el y profundo mensaje a todas las perso- tisfacción del cliente, con la eficiencia y a la colaboración basada en la suma en ellas habitualmente hay todo tipo control de presencia, popularmente nas: Aquí confiamos unos en otros y como necesaria prioridad y desenvol- de iniciativas ilusionantes. de sistemas de control de presencia, de conocido como fichaje. Resulta que por lo tanto, no necesitamos llevar su viéndose ética y responsablemente en control de tiempos, de control de cali- incontables empresas de de diversa ín- control o Será la desconfianza la el entorno social en el que se sitúan. A lo largo de mi vida he eliminado el dad, de control de es más, a medida dole, mantienen a día de hoy un sistema que presida la relación?. No debemos olvidar que la empresa control de presencia en docenas de or- que una organización va creciendo, se cuyo objetivo único es controlar si de- y la organización empresarial forma ganizaciones, en cuatro continentes y a va desarrollando, va madurando pero terminadas personas de la organización Dar confianza es la base, imprescindi- parte de la sociedad, de la que todos miles de personas y nunca, nadie dejó se va llenando de personas cuya princi- están presentes en su lugar de trabajo ble para a su vez poder recibirla. Y si formamos parte. de venir a trabajar por ello. pal misión, si no la única, es controlar a durante unas horas concretas, luego, a esta le unimos la transparencia abso- otras personas. nos preocupa a qué hora el empleado luta, tenemos ya los dos pilares sobre Salir de nuestra zona de confort, de físicamente cruza la puerta de entrada y los que asentar un nuevo estilo de rela- los caminos ya conocidos y mil veces Un momento, un momento, paremos un salida. Pero no nos dice nada de lo ver- ciones en nuestra empresa, en nuestra transitados para adentrarnos en te- segundo y pensemos bien en esto. Resul- daderamente importante que es dónde organización. rrenos desconocidos puede ser duro ta que personas adultas, maduras, que está su corazón, su pasión, sus tripas, y en su vida personal están todos los días dónde está su cabeza, su mente, su in- Allí donde hay confianza y transpa- somos aventureros por naturaleza, tomando decisiones de todo tipo, y que teligencia. rencia podemos empezar a hablar de somos exploradores y curiosos y hay al principio, pero los seres humanos 15 15

9 <terminología> Términos y definiciones [terminología] Dedique el tiempo a mejorar la infraestructura, no a mantenerla Virtualización La virtualización es el avance más práctico de todos los que actualmente ofrecen los fabricantes de sistemas de control de acceso aunque todavía hay muchos sistemas que no ofrecen esta funcionalidad. Se trata de desligar físicamente el hardware sistemas operativos aplicaciones cliente para paquetizarlas bajo demanda y gestionarlas con mayor facilidad. Es decir, que en un mismo equipo se comparten los diferentes recursos hardware (CPU, Memoria, tarjeta red, disco ) entre diferentes sistemas operativos (Windows, Linux) que ejecutan las aplicaciones del cliente ( , ERP, CRM, control de acceso, control de presencia ). Al tener el paquete software-aplicación desligada del hardware podemos hacer pruebas de nuevos sistemas antes de implementarlos definitivamente, si el servidor se estropea o requiere de mantenimiento permite levantar el sistema en otro equipo de forma casi inmediata, optimizamos los recursos, sobre todo energéticos, en definitiva, la facilidad para mover máquinas virtuales de un host a otro no solo sirve para mejorar la disponibilidad, lo que simplifica enormemente las tareas de recuperación de desastres. 30 % 42 % 23 % 5 % antes de virtualizar Aplicación Sistema Operativo Hardware 30 % 23 % 5 % 42 % mantenimiento de aplicaciones innovación en aplicaciones Aplicación Sistema Operativo innovación en infraestructura mantenimiento de infraestructura fuente: fortune 100 customer`s it department Hypervisor x86 Architecture 15 % 43 % 10 % 30 % Aplicación Sistema Operativo CPU Memoria Red Disco 15 % 30 % 10 % 43 % después de virtualizar Técnico competente La seguridad no es una ciencia, sino un oficio y por lo tanto, se basa en el conocimiento sumado a la experiencia elevada exponencialmente (Cono + Exp 2 ). Un técnico competente no solo es aquel que dispone de una acreditación o titulación. Integrados vs interoperables A menudo se confunden estos términos. Hay sistemas integrados que no son interoperables y sistemas que al ser interoperables permiten la integración. Integrados: Sistemas que permiten integrar señales y dispositivos extras a los propios del control del acceso, tales como cámaras de vigilancia, detectores de intrusión, alarmas e incluso un pequeño módulo para realizar el control de presencia de los empleados. Pero son en sí mismos un paquete cerrado. Son idóneos para pequeñas instalaciones integradas. Interoperables: Sistemas abiertos que permiten gestionarse desde plataformas superiores que a su vez gobiernan otros sistemas específicos de intrusión, vigilancia y control de presencia. Ofrecen sus API s o SDK s para un tercero. Son necesarios en grandes instalaciones corporativas. Integración Se puede definir como el proceso de intercomunicar diferentes sistemas de seguridad (control de acceso, CCTV e intrusión básicamente), para obtener intercomunicación entre ellos fijando protocolos y funciones comandadas de manera centralizada. La interacción debe poder procesarse como información para poder intercomunicar. Existen integraciones nativas son las verdaderas con un protocolo directo de comunicación e Integraciones sucedáneas que desarrollan un interface de comunicación para comunicar con una base de datos intermedia. Descartamos los sucedáneos por la poca funcionalidad que aporta, problemáticas de mantenimiento asociadas y su rápida caducidad en cuanto exista una actualización firmware-software en cualquier aplicación que comparta la base de datos. PoE [Power over Ethernet] Permite enviar corriente por el mismo cableado de red. Esto nos facilita el trabajo al momento de cablear y también nos ahorra espacio, tiempo y sobre todo que todo pasa por un solo cable, dejando los problemas de distanciamiento entre cableado eléctrico y cableado de red, lejanía de cableado de potencia, menos puntos de falla menos dinero. Cada vez más dispositivos lo permiten, es una ventaja evidente. API [Application Programing Interface] Es una interfaz de programación de aplicaciones que representa la capacidad de comunicación entre componentes de software para interactuar con dispositivos hardware. Útil si un cliente tiene diferentes proveedores de seguridad y quiere interactuar con sus diferentes dispositivos (lectores, cámaras ). No todos los fabricantes las tienen disponibles, no todos las facilitan y no todos los clientes las necesitan. SDK [Software Development Kit] Es un conjunto de herramientas (ayudas, utilidades, códigos ) de desarrollo de software que le permite al programador clarificar ciertos puntos del material de referencia primario y así crear aplicaciones para un sistema concreto. Permite una integración total, desde la base, por lo que cada vez está más demandada entre fabricantes software hardware para crear soluciones bajo demanda y después ofrécerlas al cliente. Control de cierre Si en lugar de lectores en la pared vinculados a cerraderos eléctricos instalados en el marco de la puerta, utilizamos cerraduras electromecánicas o cilindros digitales instalados directamente en la propia puerta obtendremos lo que se llama un cierre efectivo. Posibilita el cierre con cerrojos integrados en cerraduras multipunto o cerraduras de disparo automático, aportando una elevada seguridad física en cada puerta. Control de acceso A través de individualizados y rigurosos permisos de acceso se determina quién, cuándo y dónde se puede acceder a una dependencia, dejando registro de cada evento para una posterior auditoría si fuera necesario. Es un sistema de gestión de permisos, no se puede considerar un sistema de seguridad. Consultor de integración Persona con los conocimientos y la habilidad suficiente para analizar, establecer e implementar la solución más idónea que resuelva los requerimientos de control del cliente. Adaptándose a las limitaciones técnicas, de plazo y económicas. No entran en esta consideración los vendedores audaces y el resto de personas técnicas o empresas que se dedican a tomar pedidos e instalar sistemas sin ningún estudio previo. Proyecto de alcance cerrado Casi ningún cliente quiere un proyecto de alcance abierto porque muchos contratistas se han aprovechado de este tipo de contratación durante años. Para autoprotegerse, el cliente lanza la licitación de alcance cerrado en la creencia de que nada se desviará de lo establecido en el pliego de condiciones. En realidad es autoengañarse porque en el mundo real este concepto no existe debido a que durante la realización de un proyecto, las necesidades de negocio cambian, los clientes e ingenieros se equivocan y cambian de opinión, y la tecnología avanza dejando anticuada lo seleccionado 2 años atrás. Al final el alcance cerrado genera graves problemas a todos los implicados aumentando los costes, reduciendo la calidad y fomentado que el cliente destine horas de reunión a solventarlos en lugar de estar atendiendo a su negocio

10 Nube privada o cloud computing? Una cosa es virtualizar los servidores y almacenamiento de datos en una nube privada para tener redundancia y eficiencias del tipo computacional y energética y otra, es contratar servicios de terceros para el uso de servidores, datos y aplicaciones a través de Internet (cloud computing). Un robo! El delincuente tratará de buscar el video grabador en el local o vivienda para destruir las pruebas de las imágenes, pero, ya han sido guardadas en la nube. [servicios en la nube] Servicios en La nube la nube permite a una empresa ampliar su infraestructura, externalizarla y aumentar la capacidad de la demanda obteniendo como resultado una mayor flexibilidad, una mayor variedad de recursos y un importante ahorro de costes. Alquiler o compra? Se trata de un cambio de paradigma en los, hasta ahora, patrones de contratación. El usuario desplaza estratégicamente el riesgo de compra y la obligación de actualización al proveedor, además del desembolso inicial de la compra. Con el servicio en «la nube», como el precio es constante en el tiempo, se hace lineal como una mensualidad más, convirtiéndose en un servicio más de la empresa. Decido comprar los equipos, las licencias del software y albergarlos en mi propio servidor o me decanto por el alquiler parcial o completo tipo IaaS o SaaS? Particulares y pymes en La nube «La nube» resulta especialmente recomendable para particulares, pymes, empresas de nueva creación o para quienes están en el transcurso de remodelación de equipos y sistemas porque a todos les permite renovarse y actualizase para no perder competitividad, sin grandes desembolsos iniciales. Por tanto, nos permite acceder a economías de escala a través de los proveedores disfrutando de sistemas mucho más sofisticados y de un soporte al usuario muy especializado. Todo por una cuota mensual o anual adaptada y en principio asumible. Nubarrones haberlos haylos Consideremos que una gran idea no siempre es la mejor opción. Existen riesgos que no significan directamente desventajas, simplemente amenazas que están ahí y que deben ser conocidas; dependencia de un único proveedor, patriot law, internet disponible Para conocer más sobre este tema, se recomienda el siguiente enlace: Top Threat to Cloud Computing: Control de Acceso con servicio SaaS Según el SaaS contratado permite ahorrar en licencias de software, en gastos del sistema operativo, elimina la necesidad de realizar el mantenimiento del software (parches, actualizaciones) y permite la posibilidad acceder desde cualquier ordenador. El cliente delega parte de la responsabilidad y es el proveedor el responsable de la infraestructura, gestión y gran parte de la seguridad y de las actualizaciones. Control de Acceso con servicio IaaS El proveedor nos ofrece la infraestructura de hardware (servidores físicos, red, firewalls, capa de virtualización, data center) con sistemas operativos tipo Linux, Windows u otros, para que nosotros (el cliente) despleguemos las aplicaciones que deseamos (CRM, ERP, CCTV, Control de Accesos, ). Contraseñas Los administradores del proveedor son el equivalente a nuestros administradores de sistemas, pero no son empleados de nuestra organización, los conocemos? El acceso de estos privilegiados usuarios debe estar especialmente vigilado y por supuesto contractualmente bien asegurado; cambiar la contraseña cada vez que se accede, renovar la contraseña del usuario acreditado automáticamente cada cierto tiempo, petición de contraseña de acceso a un administrador cada vez que se requiera acceso por parte del usuario. conclusiones Ninguna casa o pyme tiene más aseguramiento que el ofrecido por un Data Center. Es un inequívoco avance tecnológico a tener en cuenta, es útil, económico y permite nuevos retos empresariales, pero ojo! a quién contratamos y qué procedimientos de vigilancia aplicamos además de conocer las cláusulas sancionadoras en caso de incidencias graves del proveedor. Firme un contrato de responsabilidad en caso de fallo y lea cuidadosamente su nivel SLA. Se recomienda realizar backups o copias de seguridad fuera de la Red. (

11 Precios tipo de medio ID Tarjeta RFID pasiva 1K Tarjeta RFID pasiva 4K Llave RFID pasiva Llave RFID activa Transponder activo Las bien conocidas tarjetas de proximidad son la forma más extendida de identificación, mucho más que el código PIN y el sistema biométrico. Especialmente en España donde otros medios ID como las llaves electrónicas pasivas o transponders activos, de mayores prestaciones y protecciones, no han tenido el recorrido de otros países, seguramente por la diferencia de precio y la falta de información. ID [medios de identificación] El dato Una tarjeta RFID de hotel tiene un precio de unos 0,40 y con ella muchos clientes se sienten seguros cuando dejan sus pertenencias en la habitación. Sin embargo, pocos conocen que la pernoctación en un hotel es un agujero en su seguridad puesto que fácilmente podrán acceder a su plan de viaje, a su portátil, a la instalación de micrófonos, etc El desastre Una gran mayoría de instalaciones en España se rigen por el llamado UID Código Único del Chip (su número de fabricación) y no han establecido protecciones adicionales, bien por desconocimiento, bien por economía o porque el sistema no lo permitía. Varios fabricantes de tecnología fabrican clónicos de Mifare inundando el mercado de elementos a menor coste y rompiendo la originalidad del UID y convirtiéndose en NUID Non Unique Identifier. Ahora tanto los UID originales como los clónicos son iguales y permite situaciones muy reales como poder abrir lectores de diferentes instalaciones o conseguir un UID concreto sin ningún control y suplantar la identidad original y de este modo poder acceder a una dependencia o a su monedero. En ambientes universitarios (objetivo fácil y apetecible), al vulnerarse la encriptación CRYP- TO 1 la clonación es completa, por lo tanto, la tarjeta clon se comporta como una tarjeta legal frente al sistema. Los objetivos del saboteador: a. Suplantación de identidad del empleado por diversas razones. b. Nuevos negocios ilegales con interés económico. Conseguir información variada: expedientes laborales, sanitarios, exámenes, procesos de licitación, procesos jurídicos, etc. Robo interno en cadenas de retail, despensa de pequeños establecimientos, taller de joyería, etc. Romper los anillos previos de control de acceso online para acceder a determinados recintos privados y ocupar zonas indebidamente. Acceso a locales, urbanizaciones, garajes, despachos profesionales Acceder gratuitamente al transporte público modificando el saldo de viajes posibles. Acceder al saldo de cantina, bibliotecas, etc. Y todas las que todavía no conocemos. Alternativas de solución: a. Asumir los riesgos y no gastar en solventarlo. b. Asumir el coste de renovación de todas las tarjetas + nuevos cabezales de lectores + modificación de programas de aplicación.! Advertencia: Aunque de momento solo se pueden clonar fácilmente Mifare 4bytes, en un futuro sí habrá sistemas capaces de clonar Mifare al completo (factible técnicamente), por tanto, cualquier manera de operar solo con ID grabado en algún sector de la memoria quedará expuesta a la clonación completa. Para ello, se recomienda usar DesFire EV1 o cualquier otro con encriptación al menos AES-128 según especificaciones Common Criteria Certificaction nivel EAL4+. Si el lector quiere leer un contrapunto a los sistemas RFID, ir al link: (

12 Matriz de acceso Supongamos una empresa con 30 lectores y con 100 empleados, llevando la situación al extremo estaríamos hablando de una matriz de celdas. Una persona conocedora de la instalación y con necesidades definidas la podría rellenar con un esfuerzo relativo. Calculemos ahora que usuarios x 200 dependencias generan elementos. Supongamos que la empresa tiene 10 categorías laborales y 10 trabajadores por cada categoría y además todos los trabajadores de la misma categoría tienen exactamente las mismas necesidades de accesos, en ese caso podríamos agrupar los trabajadores y definir un permiso común para cada categoría, de forma que hemos reducido nuestra matriz a 1 de 10 filas y 30 columnas, reduciendo considerablemente el número de celdas a 300 mucho más sencilla de rellenar que las anteriores. La reducción de memoria utilizada y la reducción de variantes son la principal razón por la que actualmente se usan matrices de acceso agrupadas. vicente garcía División de Seguridad Aeroportuaria Madrid - Barajas. Jefe Departamento Control de Seguridad parking acceso edificio acceso departamento 01 acceso departamento 02 acceso departamento 03 vestíbulos almacén 01 almacén 02 fachada sala cpd Matriz individualizada de asignación por usuarios y dependencias Subcontrata 1 Vigilante 1 Subcontrata 1 Vigilante 2 Cada vez que se instala un lector, nos preguntamos: Qué colectivo o colectivos son usuarios? Mantenimiento?, limpieza?, una sola persona? Necesita acceso todo el colectivo? Empleado 1 Empleado 2 Empleado 3 Empleado 4 Empleado 5 Empleado 6 Empleado 7 Empleado 8 Empleado 9 Empleado 10 Dirección Facilities Facilities Administración Área Negocio A Área Negocio A Mantenimiento Mantenimiento CPD CPD 22 23

13 Matriz de acceso Utilizamos una máxima: Las dependencias no cambian de ubicación, son los usuarios y sus rutas las que cambian. Esta reflexión nos enfoca claramente a estructurar la matriz bajo otro prisma: Las rutas pero manteniendo cada lector de forma individualizada, sin agrupar. ruta [c] rlector 01 Alternativa de asignación: Basada en rutas de usuarios En la matriz anterior vemos que una vez agrupados todos los trabajadores por categoría y todos los lectores por instalaciones, nuestra matriz solo crece con la aparición de nuevas categorías o de nuevas instalaciones con independencia del número de trabajadores, y todo va bien mientras que no aparezcan modificaciones de permisos ya asignados o nuevas necesidades que deben acceder a ciertos lectores, pero no a todos, de un mismo grupo. Los problemas también aparecen con subcontratas que deben disponer de rutas concretas, las cuales, no siempre coinciden con las agrupaciones de lectores que hemos definido, dando lugar a que ciertos usuarios accedan a más sitios de los que deben. Asignación por rutas con matriz individualizada n Crear rutas que agrupan lectores. n Con estas rutas se confeccionan los permisos. A ciertos departamentos de seguridad no les preocupa esta situación argumentando que en caso de incidencia disponen de la auditoría del sistema para perseguir al intruso pero este método no es sinónimo de eficacia. Otro problema habitual es intentar quitar permisos a usuarios que pertenecen a una misma categoría de acceso sin quitar permisos que deseamos mantener a otros usuarios dentro de su misma categoría. Entonces... n Una ruta es un conjunto de lectores: a [ r r r] = + + n Un permiso es un conjunto de rutas: a c x = [ + + ] n Un lector solo puede estar asignado a una ruta: [ r ] 1 a n Un usuario puede disponer de múltiples permisos:... [ ] = + + Cada necesidad nueva es tan sencillo como crear una nueva ruta y asignar el permiso correspondiente. Los lectores nuncan cambian y las rutas se personalizan a la persona sin interferir en un grupo de usuarios. ruta [a] r LECTOR 06 r LECTOR 07 ruta [x] Reducimos nuestra matriz de acceso a 300 celdas respecto a las que se empleaban con el sistema anterior ruta [v] r LECTOR 10 r LECTOR 12 r LECTOR 02 r ruta LECTOR Tipos de matriz Asignación por usuarios con matriz individualizada Permite flexibilidad total en toda su vida útil aunque a medida que la empresa es mayor, la gestión se complica en exceso. No se recomienda para más de elementos. Asignación por usuarios con matriz agrupada Reduce significativamente la cantidad de elementos a gestionar y reduce la flexibilidad de asignación de la matriz individualizada. No se recomienda para empresas con mucha subcontrata de servicio. Asignación por rutas con matriz individualizada Reduce significativamente la cantidad de elementos a gestionar sin reducir la flexibilidad de asignación. Recomendada para grandes corporaciones.

14 Quién controla la total cost ownership TCO? antonio cabrera Ingeniero de Telecomunicaciones Jefe Servicio Técnico Seguridad de Repsol Podemos estar frente a la implantación del nuevo sistema de control de acceso contratado directamente por el departamento técnico responsable o contratado dentro de un proyecto de los llamados alcance cerrado, y en ambas situaciones nos enfrentamos a cuestiones que están más allá de las intrínsecas al sistema, su operativa y su seguridad. Y aún a pesar de la idónea elección del sistema y aunque se negocie directamente con el fabricante, siempre termina siendo el propio proceso el determinante de la calidad final Paso 1. Qué necesito y cómo lo necesito? El cliente con su departamento de seguridad u otros asignados a tal tarea redacta sus necesidades, selecciona al fabricante y sistema, y presenta una terna de posibles instaladores capacitados para ejecutar el proyecto y posteriormente mantenerlo. Este proceso requiere de mucho trabajo y no poca experiencia para saber Qué necesito y cómo lo necesito? Existe una disyuntiva: Durante el tiempo del proyecto, en ocasiones varios años, la tecnología avanza y los requerimientos del cliente pueden haber cambiado. Entonces? Opto por un sistema testado que hoy funciona pero que en 2 años puede estar obsoleto y que el propio fabricante lo haya podido sustituir. O me decanto por un sistema futuro confiando en el fabricante pero sabiendo que es un sistema aún no testado con los consiguientes riesgos. En cualquier caso y si el modelo de contratación es tipo alcance cerrado, tenemos un problema serio. Paso 2. Elaboración del proyecto Normalmente existe un estudio de arquitectura y una ingeniería que emiten sus documentos con cierto detalle, aunque no en exceso y no siempre coordinados, que serán usados para realizar la memoria de proyecto, el pliego de licitación, las mediciones y la petición de oferta. Paso 3. Proceso de contratación Se lanza la petición de oferta al mercado con una selección de proveedores que lógicamente deben ser partner de la marca elegida. La petición de oferta la realiza el departamento de compras, hasta ahora fuera del proyecto, y su objetivo es contratar al mejor precio posible. En este momento es cuando aparece la contratación de alcance cerrado y la adjudicación con baja temeraria. Paso 4. Ejecución del proyecto Antes y durante la ejecución se producen los inevitables replanteos por cuestiones técnicas, cambios de opinión del cliente, fallas de la memoria de proyecto y mediciones. En ocasiones también existen cambios de arquitectura, de entorno municipal y ambiental. Estos cambios son la mejor noticia para el contratista que ha firmado un contrato de alcance cerrado puesto que le permitirá pedir más dinero y así recuperar su baja en la licitación, lo cual aumenta el TCO. Igualmente el contratista propone cambios de producto bajo la premisa de homogenizar la instalación cuando lo que realmente le interesa es aumentar su margen. Al final del proceso, el cliente nunca recibe la misma calidad. Paso 5. Entrega al usuario operativo El cliente hace las pruebas con el responsable de operaciones del edificio que en muchas ocasiones es un departamento interno de la propia corporación y es aquí donde surgen también discrepancias en términos de operatividad, que podrían llegar a no recepcionar el edificio. a a b a b Alcance del proyecto: Determina entre otras cosas la funcionalidad del sistema y unidades. Coste: Determina el límite presupuestario del proyecto. Para unir lo que el responsable operativo del edificio demanda y lo que ya está instalado, es necesario un nuevo plazo de entrega y nuevo presupuesto económico para los llamados fuera de alcance. Lo que vuelve a aumentar el TCO. Para rematar el proyecto, no existe la figura que interrelacione las diferentes disciplinas del proyecto lo que genera documentación incompleta y deslavazada, en definitiva el cliente usuario final nunca tiene todo lo que necesita manejar. c c Plazo de entrega: Determina la fecha tope de finalización. Quién calcula el TCO? Lo adjudicado + los gastos de fuera de alcance durante el proyecto + 2 años de operación y mantenimiento hasta que el sistema está totalmente afinado determinan el TCO. La magia está en el desarrollo inicial de la ingeniería 26 y en la contratación de un consultor especializado. 27

15 [ojo al dato] La pérdida desconocida supone la cantidad de millones de dólares a nivel mundial (barómetro mundial de hurto en distribución Retail Research 2011 ). Otros estudios cifran cantidades próximas a millones de euros anuales en España, con un aumento del 6,6 % en el último año. El 30 % de las cuales son realizadas por empleados poco o nada controlados que acceden a dependencias de todo tipo. [comparativa] Accesor, By, Digitek, Dorlet, Gunnebo, Honeywell, Ikusi, Kaba, Kimaldi, Lenel, Nedap, PyV, Paxton, Qontinuum, Samsung, Sumat, Siemens, Simons Voss, Suprema, Assa Abloy, XPR y algunas empresas de seguridad. En el mercado hay un sinfín de marcas y modelos, es imposible conocerlas todas, por ello hemos testado las más conocidas y entrevistado a los usuarios de determinadas marcas que realmente son los que más cerca están de la realidad. Evidenciamos que no existe un estándar en arquitectura y desarrollo de los sistemas y que, por ende, existe una enorme variedad donde encontramos sistemas que distribuyen el 100 % de la inteligencia en los dispositivos de apertura, otros la concentran en un único controlador principal, y otros, mitad y mitad. Las comunicaciones ofrecidas son también variadas así como las tecnologías y el tipo de encriptación (sistemas cerrados y propietarios como Legic, o sistemas abiertos como DisFare y NFC). El rigor de las credenciales de acceso, su no vulnerabilidad y la fidedigna trazabilidad de los usuarios son esenciales para apoyar una investigación. Así pues, mejor o peor son términos poco objetivos en esta comparativa. Posicionarnos en una tecnología sobre otra o arquitectura del sistema, tampoco nos satisface plenamente, porque casi todas tienen su sitio y todas cambiarán en un periodo breve tiempo. Por estas razones, en esta ocasión nos hemos decantado por hablar de prestaciones para que cada posible usuario pueda revisar la hoja técnica de su proveedor y decidir el que mejor se adapte a sus necesidades. Según el Estudio sobre estrategias de control de las nuevas tecnologías en la empresa realizado por Jose Ramón Agustina (Universidad Internacional de Cataluña), Ana Alós (URIA) y Javier Sanchez Marquiegui (Colt Data Centre Service), el 67 % de las mayores empresas españolas carece de mecanismos técnicos para prevenir fugas de información. En nuestra opinión, cuanto más potente sea la marca y en más países opere, más se alejará de conceptos como amigable o simple manejo. La razón es bien sencilla, son multinacionales que deben diseñar un sistema heterogéneo para diversos tipos de clientes en diferentes países y es obvio que los requerimientos de cada cliente no serán igual por el país donde se encuentre, su idiosincrasia y su mentalidad. También hemos testado el software, casi todos son muy completos con una tremenda multitud de funciones, muchas de ellas son muy útiles pero cuando buscamos soluciones sencillas para pymes y bajo la óptica de que lo que no necesito usar, me estorba, en muchos casos tal amplitud de funciones nos ha supuesto un problema más que una ventaja. Su idoneidad o incomodidad dependerá de la tipología del cliente y de sus necesidades

16 POSITIVO A MEJORAR J L Extensa lista de funcionalidades. Concentrador para diferentes comunicaciones (Ethernet, bus 485 ). Amplia gama de hardware puerta y pared. Abanico de precios. La tecnología al servicio del cliente. Claridad escalados de precios. Precisión en hojas técnicas. Presentaciones comerciales. FUTUROLOGÍA Parece que el futuro nos lleva a una mayor interoperabilidad entre dispositivos, mejor integración desde la base, nuevos diseños del software realmente amigables y escalables bajo demanda, dispositivos inalámbricos de bajo consumo sustituyendo a los actuales lectores cableados en las puertas y una estética claramente mejorable Precios media de instalación control de accesos cableado para 6 puntos de acceso en arquitectura distribuida TRABAJOS PRECIO/UD Instalación del cableado desde los controladores de puerta hasta los lectores y periféricos eléctricos, con tubo y canaleta. 300 Instalación física de los equipos (precio por puerta). 150 Conexionado entre controladores y concentrador principal. 300 *Algunos instaladores incluyen el desplazamiento de 1 día y otros no. Precio/hora Ingeniería adicional para personalizaciones fuera de proyecto. 65 Precio/hora instalador adicional. 35 Producto - Solución - Servicio Nos enfrentamos a soluciones que separan el hardware del software y no pocas de las soluciones se modifican más o menos para adaptarlas a la solución de cada cliente, es por ello que requieren de una elevada aportación humana para su configuración, instalación, puesta en marcha y mantenimiento óptimo. Por lo tanto, no se puede analizar un sistema como solución, porque cada solución en sí misma es un sistema diferente aunque originalmente sea la misma marca. De hecho, nos hemos encontrado como los mismos sistemas tienen diferentes resultados en términos de fiabilidad, costes y satisfacción del cliente. Sin embargo, sí hemos aprendido que no se puede disociar Cliente-Producto-Solución-Servicio, porque son parte de la solución o parte del problema. Solución para particular y Pyme No hemos encontrado un sistema que nos satisfaga plenamente para las necesidades concretas del particular y de la pyme donde se necesitan pocas funcionalidades: entorno web, capacidad de integrar hasta 2 cámaras, resistencia física de los cierres, cierta estética y todo a un precio asequible. No obstante, nos ha gustado mucho el sistema Six door de la marca By para pymes por su directa integración del módulo para control de presencia y su fácil manejo. Al igual que el nuevo sistema Ela de la marca Sumat con diferentes posibilidades de conexión e integración de CCTV suficiente para una pyme. Ambos con un precio muy equilibrado. Edificio y Gran Corporación Como hemos señalado anteriormente, un mismo sistema tiene diferentes valoraciones del cliente en función de su vivencia, aunque sobre el papel sí que parece que la mayoría de fabricantes tienen la solución para edificios, donde centran su actividad comercial. No todas permiten la interoperabilidad total; algunos solo permiten la monitorización del acceso y no su control total, pero, marcas como PyV, Dorlet, Gunnebo, Qontinuum y Suprema se posicionan mejor que otras como sistemas interoperables. El sistema Aeos de la marca Nedap es destacable por sus pequeños desarrollos para integrar otros sistemas de cilindros autónomos, armarios electrónicos de llaves, CCTV y otros. Bastante rápido y estable en la lectura es el hardware biométrico Bio de la marca Suprema, incluso su estética es señalable. De las empresas instaladoras de seguridad, resaltamos la poca sensibilidad hacia el control de cierre y entorno puerta. Hemos comprobado muchas instalaciones deficientes en este importante aspecto, sin seguridad. L Todo un contrasentido que sea una empresa de seguridad la que genera la inseguridad. Online cableados vs online inalámbricos El término online inalámbrico es usado para definir un sistema con cilindros o manivelas inalámbricas digitales e inteligentes. Son dispositivos que almacenan información y comunican directamente con su router (en algunos fabricantes también es inalámbrico como el sistema Wave net de la marca Simons Voss). No se deben confundir con sistemas online combinados que mezclan puntos de acceso cableados y puntos de acceso autónomos sin inteligencia como el sistema Base on Card de Dorlet o Smartair de Assa Abloy. Ambos sistemas, inalámbricos y combinados, son óptimas soluciones aunque tienen matices técnicos que claramente les diferencian. Señalamos que hay sistemas autónomos de comunicación virtual que se publicitan como sistemas online o real time. Bajo nuestro punto de vista no mantienen las mismas prestaciones que los realmente online y por lo tanto, no son equiparables bajo los conceptos de operativa y fiabilidad. Comprobamos que los online cableados son más caros en todos los sentidos pero ofrecen mayor cantidad de funcionalidades, todos permiten conectar un contacto magnético de puerta, individualizan diferentes tipos de señales y algunos incorporan la conexión para CCTV. No hemos encontrado un sistema online inalámbrico con tantas posibilidades. Sorprende que algunos sistemas cableados no permitan una fácil integración y, por lo que, se limita bastante su interoperabilidad. En estos casos, claramente nos decantamos por el sistema inalámbrico ya que al menos ganamos en otras cosas. El concepto inalámbrico basado en comunicación 868 MHz es el más extendido por su óptimo alcance, bajo consumo y no necesita ningún cableado en la puerta, pero nos ha sorprendido gratamente el sistema inalámbrico de la marca Qontinuum basado en 2,4 GHz. Es una solución muy robusta con comunicación continua e inalámbrica entre el servidor y los puntos de acceso, lo que permite establecer redes complejas tipo malla, y proporciona el ahorro de no tener que poner concentradores, hub o routers y no necesita 30 31

17 instalación del cableado que conecte con estos hubs. Su principal inconveniente es que los puntos de acceso han de recibir alimentación externa cableada. El consumo de baterías de los cilindros inalámbricos es bastante alto y prácticamente requiere de un cambio anual, a excepción de los cilindros con tecnología activa, por ejemplo, Simons Voss que permiten hasta operaciones (3 años aproximadamente), aunque para este sistema es obligado usar medios ID activos que aumentan el presupuesto general comparado con las habituales tarjetas pasivas RFID. Software de entono web y virtualización de aplicaciones Sorprende que no todos los sistemas ofrecen estas posibilidades, y seguramente sean las más útiles para el cliente. Es difícilmente defendible desde el punto de vista técnico y menos desde el operativo. Algunos podrían ser por su concepción tecnológica, pero pensamos que es una cuestión de cautividad y pago de licencias que las marcas se resisten a dejar de controlar una gran decepción. L nfc Algunos sistemas ya anuncian su compatibilidad con NFC, aunque todavía no está claro cuál será la tecnología que se implantará en el mercado. Nosotros no hemos podido comprobar su funcionamiento práctico más allá de las simples demostraciones en una sala de reuniones con muestras comerciales. Mantenemos la idea de que los smartphone deberían estar equipados automáticamente con NFC o similar, al igual que ya tienen bluetooth pero esto todavía no es posible porque hay muchos intereses económicos detrás. simulación coste sistema de control de acceso 6 puntos de acceso para 50 usuarios y software básico Hardware del sistema Repercutido lectores, controladores y fuentes de alimentación Periféricos puerta Repercutido de cierre efectivo, fuente de alimentación 12v Instalación Instalación física de hardware Instalación física periféricos Cableado del sistema Medios de identificación Medios pasivos tipo Mifare 1K y programador Personalización tarjetas Repercutido impresora, consumibles y software Software Licencia básica, formación y configuración online cableado 4.400, ,00 600,00 400,00 300,00 350, , ,00 online inalámbrico 4.900,00 no requiere 150,00 no requiere no requiere 350, , ,00 Decisión centralizada vs decisión descentralizada Es muy importante y pocas veces está bien analizada. Cada marca decide cómo es su arquitectura de comunicación. Ambas tienen ventajas, aunque en términos generales nos posicionamos en el tipo de decisión descentralizada (con inteligencia en cada punto de acceso en lugar de en su controlador principal). Encontramos que un sistema con decisión descentralizada es más operativo y en caso de fallo (que siempre lo hay), los puntos de acceso continúan funcionando por su capacidad de almacenar los permisos de forma autónoma. A esta funcionalidad se la denomina funcionalidad offline del punto de acceso. Algunos sistemas se publicitan como descentralizados cuando realmente no lo son al 100 % porque distribuyen la decisión a cada controlador de puerta en lugar de a cada dispositivo de puerta. Algunos fabricantes se han decidido por un adaptador externo mientras que alcanzan un acuerdo con el operador telefónico. También recomendamos coherencia en la decisión; si para una puerta debe usar su móvil y para la otra, en su misma ruta, tiene que utilizar una llave u otra tarjeta, el coste de NFC empieza a ser cuestionable. pruebas de estrés Recomendamos probar antes de comprar: si se generan pérdidas de datos u operatividad ante fallos y restauraciones de alimentación; simular mediante desconexión física de los cables del bus de un periférico si este se reconecta automáticamente o no; si la operatividad del sistema de acceso no se ve afectada por conflictos de IP o pérdidas de red; simular la pérdida del equipo servidor con herramientas de servidor completas en otro equipo y ver si se recupera; comprobar en el sistema cuantos datos de usuario se han perdido después de las pruebas y comprobar físicamente cada uno de los medios ID programados, siguen accediendo? Ojo! hacer una copia de seguridad antes de realizar las pruebas Precios del software Tipos Precios unidad Software básico para pymes* Entre Software profesional arquitectura Entre cliente servidor y paquete de licencias para gestión amplia del sistema *(algunas marcas lo ofrecen sin cargo como atractivo comercial pero suele estar repercutido en el hardware). p r e c i o s r e s u lt a n t e s d e l a m e d i a d e 1 0 i n s t a l a c i o n e s a n a l i z a d a s Total compra Repercusión punto de acceso Ahorro Ahorro , ,33 Calidad y prestaciones de otros medios de identificación Dirección técnica* Días extras para configuración y puesta en marcha Licencias de software API para integración Módulo gestor multiaplicaciones / multi sites Aplicación entorno web Módulo cliente / servidor Módulo notificaciones Ahorro * Dirección técnica engloba: Partida de dirección técnica + preparación de la instalación + replanteo de ubicación final de elementos + planos de ubicación y esquemas de conexionado + documentación + protocolo de pruebas y entrega de obra 9.850, ,67 variantes a considerar a medida que aumentan los puntos de acceso y funcionalidades: MANTENIMIENTO PREMIUM entorno al 10 %-12 % del precio de la instalación en el primer año. J 20 % desde 30 /ud. desde 30 /hora. desde 750 /día. desde desde desde desde desde 800 Es recomendable hasta que el sistema esté bien ajustado

18 [errores técnicos] que debemos evitar Identificación biometría por la huella No todas las personas tienen huella en sus dedos o esta no es utilizable, lo cual origina problemas en el uso normal. Esta circunstancia, puede ser del 1 de cada 1000, pero existe, por varias causas: por adermatoglifia genética; por diversas enfermedades dérmicas que deteriora la huella; por uso de productos químicos y de limpieza; por manipulación de cemento, arena y otros materiales abrasivos, propios de la construcción; por la manipulación habitual de papel, manos sucias por grasa y similares. La solución sería no escatimar en el coste del lector biométrico que se va a utilizar. Es recomendable que sea al menos dual para poder parametrizar el sistema para su uso únicamente con huella; pin y huella o huella y tarjeta codificada. Igualmente se deben evitar sistemas que únicamente permitan la grabación de una sola huella por usuario. a Demora en la actualización de los periféricos Para no sobrecargar la red de comunicaciones, suele ser práctica habitual, en el normal funcionamiento del sistema, que las actualizaciones devenidas en el uso cotidiano, esencialmente las altas y bajas de usuarios, se efectúen en determinados momentos de baja actividad de los operadores (administradores) del centro de control y del propio sistema. Esto genera una demora notable entre estas actualizaciones que merman la seguridad y la gestión del sistema idóneo. La demora posibilita que el procesador o concentrador correspondiente ignore a un usuario que haya sido dado de alta horas antes con la consecuencia de que en el sistema produjo un falso negativo, es decir no autorizó el paso a un usuario autorizado. El caso puede ser más grave, si la actualización demorada hubiese sido una baja lo cual implicaría un falso positivo, con las consiguientes implicaciones negativas, en la seguridad del edificio, al ser autorizado el acceso a quien lo tenía denegado. En las grandes corporaciones es prioritario que el sistema disponga de la función de actualización automática, programada para actuar en intervalos de tiempo inversamente proporcionales a la actividad del sistema. A mayor actividad, menor tiempo entre las actualizaciones. Ni el proveedor, ni el cliente tienen tiempo ni asumen el coste de una prueba in situ antes de la decisión de compra. Se ahorra en el inicio pero se paga toda la vida Puertas con lector de control de acceso sin sensor de estado de puerta El sensor de estado de puerta es imprescindible para informar al vigilante de que la puerta está abierta y no se cierra, bien por descuido (y ausencia de dispositivo cierrapuertas) o bien por mala intención. También sirve para diferenciar entre un acceso permitido y un acto violento. Por otra parte, el controlador al recibir la información, el estado de la puerta mediante el contacto magnético, ajusta automáticamente al mínimo el tiempo de activación del comando de apertura, ya que este cesa tan pronto se detecta la apertura de la puerta, aumentando la autonomía (batería) del sistema en caso de fallo de tensión de red y prolongando el tiempo entre fallos del elemento electromecánico (cerradura o cerradero eléctrico): Tiempo activación sin magnético = Tiempo de temporización programado. Tiempo de activación con magnético Tiempo de temporización programado. 4 Lector saboteable que permite el acceso no controlado Aunque no son recomendables para zonas de seguridad, ni exteriores, muchos clientes adquieren lectores llamados compactos, en los que en la misma carcasa, se encuentra la unidad lectora, la unidad de proceso y la interface de salida de control (relés de salidas). En un cuarto técnico, en un portal, en casa o en cualquier otro punto poco controlado con cámaras o vigilancia presencial, un simple destornillador de una navaja multiuso hace estragos; se desatornillan los 4 tornillos del frontal de la tapa de la carcasa del lector y se encuentran a la vista los componentes del lector, incluida la regleta de conexiones perfectamente señalizada, tanto de datos, como de alimentación y del relé de conmutación para energizar el dispositivo electromecánico de bloqueo de esa puerta (se desbloquea con tensión). Se realiza un puente entre los bornes indicados y se libera el paso (se abre la electrocerradura) y se vulnera la seguridad de ese punto

19 Cliente como experto del sistema. Contrate un mantenimiento y servicios especializados de programación para evitar que su personal dedique horas a ser experto en el sistema en lugar de concentrarse en su actividad principal. Ahorrará tiempo, dinero y no pocos disgustos. 1. Tornillos de fácil manipulación. Las cerraduras electromecánicas o 2. Carcasa sin autoprotección. Carecía de microinterruptor (tamper) cuya señal podría haber generado la señal de alerta. motorizadas son la mejor solución, incluso electroimanes si la arquitectura de la puerta, entorno y equipamientos de herrajes lo permiten. También es 3. La puerta carecía de sensor de apertura, de un simple contacto magnético, conectado al sistema de alarma o de alerta en el de conveniente determinar si en caso de fallo de tensión queremos que la puerta quede abierta o cerrada. Ojo a esta importante decisión. control de acceso. En resumen, tres carencias insignificantes para una instalación de estas características, pero que debilitan enormemente su grado de seguridad. Puertas exclusivamente con lector de control de acceso Es una solución muy arriesgada teniendo en cuenta que los sistemas Lectores vinculados con cerraderos eléctricos electrónicos e informáticos fallan. Se recomienda instalar un cilindro de seguridad para situaciones de incidencias Es muy habitual porque es la solución más económica, aunque también la menos segura y en puertas EI (antiguas cortafuegos) la menos permitida según el Código Técnico de la Edificación puesto que obliga a modificar físicamente la puerta. y custodiar muy bien su llave para evitar que un empleado listo se salte el sistema sin fichar por el lector, aunque el sistema generaría una alarma si la puerta tuviera un contacto magnético. Cada vez más, se instalan cilindros electrónicos para que en caso de incidencia y mientras esta no se subsane, el colectivo de usuarios pueda seguir accediendo y dejando registro del acceso. Energía del punto de acceso El ahorro de costes y la imprudencia hacen posible que algunos instaladores aprovechen la red de alumbrado u otras ya existentes en la instalación para alimentar los puntos de acceso. Si además el periférico eléctrico está normalmente abierto, cualquier corte de energía abre todas las puertas. La recomendación es tener su alimentación independizada, con diferencial independiente y a ser posible con un SAI o grupo electrógeno si la seguridad de la instalación así lo requiere. Los sistemas online inalámbricos en la puerta están a salvo de esta incidencia porque disponen de su propia batería. [ Decálogo del vendedor audaz]más Mensajes atractivos, genéricos, sin datos empíricos que los sustenten, presentamos los top-ten ARQUITECTURA ESCALABLE 02. ahorro de costes de gestión 03. bajo mantenimiento 04. fácil de usar 05. fácil de instalar 06. sistema de alta seguridad 07. seguridad adaptada a sus necesidades 08. sistema inteligente 09. software amigable 10. solución global Los vendedores tienen que tratar de forma correcta, profesional y cálida a todos los clientes y al mismo tiempo hay que reservar los recursos suficientes para dar un trato distintivo a los clientes valiosos? Luego, las empresas, diseñan una remuneración fuertemente basada en el concepto variable de las ventas y planifican largas jornadas de formación teórica de los sistemas a vender. Se olvidan de las prácticas en laboratorio para conocer el producto, no se programan visitas a instalaciones exitosas, ni se acompaña a los instaladores para adquirir experiencia de campo, no se visitan factorías, no existe un intercambio de experiencias interdepartamentales, y apenas se celebra alguna reunión con clientes que nos permiten conocer cuáles son sus necesidades y sus problemas. El resultado es que estamos rodeados de audaces vendedores camuflados bajo el paraguas del perfecto asesor, normalmente poco preparados en aspectos técnicos y operativos, pero en cambio, muy versados en la técnica del convencimiento. Hoy día son los denominados Hunters (cazadores). Después de recibir a varios responsables comerciales, y de analizar bastantes presentaciones y no pocos anuncios técnicos hemos seleccionado las funcionalidades más publicitadas y menos argumentadas, que hemos bautizado como el decálogo del vendedor audaz. Nosotros les hemos preguntado: En qué se basan? Comparado con qué? y lo más importante Cómo lo saben!!! 36 37

20 <casos de éxito> casos de [éxito] El edificio digital: IK4 Tekniker Fuente: El nuevo centro tecnológico Tekniker, un edificio de m 2 ubicado en la localidad vizcaína de Éibar se ha convertido en el primer edificio digital en España implantando un completo sistema de control de acceso online inalámbrico Retos Erkoch Ibérica ha ejecutado el proyecto global de control de acceso desarrollando la ingeniería, la instalación y puesta en marcha 1. Edificio sin llaves mecánicas. 2. Implantar un sistema global de control de acceso manteniendo la estética de arquitectura en paredes y puertas. 3. Un único medio de identificación para todas las aplicaciones (acceso, cantina ). 4. Alta flexibilidad operacional y alta movilidad del punto de acceso sin restricciones de arquitectura e infraestructura. 5. Arquitectura de la solución para permitir el acceso al edificio en cualquier horario, con la imposibilidad de acceso en horario fuera de oficina mediante un medio ID extraviado sin haber sido notificada aún su pérdida. 6. Compromiso de mantenimiento del TCO (Total Cost Ownership). Soluciones ç ç ç ç ç ç Sistema digital de acceso y cierre online inalámbrico con inteligencia en cada punto de acceso, suprimiendo todas las llaves mecánicas del edificio. Programaciones y conexiones de hardware ad hoc para: n Apertura remota de puertas con control de acceso mediante videoporteros integrados con centralita telefónica SIP (Avaya). n Aperturas individuales vinculadas a activaciones de alarmas para permitir el acceso controlado ante incidencias. n Restricciones de acceso para un uso responsable (ej. uso de los montacargas que multiplican por cuatro su coste de mantenimiento con respecto a los ascensores). Aprovechamiento de cableado de fibra óptica para la comunicación del sistema evitando uno nuevo para la comunicación con los controladores. Utilización de PoE para la alimentación de los controladores de los puntos de accesos digital, concentrando el suministro de energía en un único punto y evitando la instalación de tomas de alimentación. Software multiusuario con acceso selectivo a diferentes zonas y funcionalidades, con ejecución de aplicaciones en función de eventos producidos, avisos automáticos por eventos vía SMS, y usuario administrador sin permiso a la gestión de la lista de acceso ocurrida en los cierres para un servicio auditor independiente. Gestión de la matriz de acceso vía web