Ejemplo de Implantación de un SGSI

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Ejemplo de Implantación de un SGSI"

Javier Naranjo Henríquez
hace 7 años
Vistas:

1 Ejemplo de Implantación de un SGSI Lecciones Aprendidas Antonio de Cárcer PROSEGUR

2 Agenda Quienes somos Por qué un SGSI en PROSEGUR? Las Lecciones aprendidas 2

3 Quienes somos? EL GRUPO PROSEGUR

4 PROSEGUR Romania # 2 France # 3-5 Spain # 1 Singapore # 4 Portugal # 1 Fundada en 1976 Mexico # 3-10 Peru # 1 Chile # 1 Colombia # 2 Brazil # 1 Paraguay # 1 Argentina # 1 Uruguay # 1 La primera multinacional española del sector de seguridad Líder absoluto en cuota de mercado en los países dónde opera El tercer mayor operador global del sector Única del sector que cotiza en la Bolsa española Presencia en directa en 15 países y operaciones en más de 30 Más de clientes corporativos y más de particulares y negocios Más de empleados Source: Freedonia group, DBK and Aproser reports 4

5 Posición en el mercado internacional Capitalización* en Millones de Euros Ventas 2009 en Millones de Euros Facturación Global (millones de Euros ) 2.560, , , , , Plantilla Mundial * Datos de 4 de Octubre de 2010 Tamaño del mercado mundial de seguridad: ~ 100K M Euros 2% 1% 6% 4% Vigilancia Activa Consultoría de Seguridad Logistica de Valores 35% 51% Tecnologías de Seguridad Proteccion Contra Incendios Monitorización Remota CRA alarmas y Acudas 1% 5

6 Productos y Servicios Vigilancia Transporte de Fondos Sistemas de Seguridad Automatización Efectivo Consultoría de Seguridad Prot. Contra Incendios 6

7 Por qué un SGSI? Las exigencias del Negocio

8 8

9 Enfoque de Gestor de Riesgos Global Financieros Crédito Reputación Operativos Coordinación n y Gestión n Conjunta 9

Madurez en la Integración de la Seguridad ENFOQUE AL NEGOCIO FASE VI SEGURIDAD INTEGRAL Física + Lógica FASE V Seguridad Gestionada FASE IV Gestión

10 Madurez en la Integración de la Seguridad ENFOQUE AL NEGOCIO FASE VI SEGURIDAD INTEGRAL Física + Lógica FASE V Seguridad Gestionada FASE IV Gestión de Riesgos FASE III ENFOQUE PARCIAL Proyectos de Seguridad FASE II Cumplimiento Legal FASE I Seguridad Básica ad-hoc Grado de Madurez Empresarial 10

11 Alto valor de los activos de Información CRM NOVI-SIP2000 Información de Cliente Provisión de Servicio Gestión Comercial Gestión de los Contratos Facturación ERP Soporte a la Operación Contabilidad Gestión Financiero CSC - USAP Nominas Compras Gestión de Activos 11

12 VIGILANCIA ACTIVA Más de vigilantes de seguridad en todo el mundo Más de 95 millones de horas de servicio realizadas en 2010 En más de centros de trabajo Un servicio fuertemente tecnificado y dependiente de las comunicaciones 12

Etc.. Sistemas de reporte Web: Informes de Actividad KPI s de medición de calidad

13 Supervisión, Información y Control Herramientas de tiempo real para: Control de presencia Reporte de incidencias Monitorización de actividad Interacción con el cliente Etc.. Sistemas de reporte Web: Informes de Actividad KPI s de medición de calidad Estandarización de la actividad Monitorización de progreso Implantación rápida de nuevos procedimientos 13

14 Centros de Control y Centrales Receptoras Centro de Control Corporativo Centrales Centrales Receptoras Receptoras 1500 Metros cuadrados 60 en 12 países Más de 100 operadores Más de conexiones Áreas multicliente y espacios dedicados Redundantes y balanceadas Más de 9000 conexiones simultaneas Replicables al Centro de Control 14

15 Servicios de Seguridad Informática SEGURIDAD INFORMATICA Control de Accesos a sistemas Integridad de sistemas Control de comunicaciones ANALISIS DE LOG Y CORRELACION DE EVENTOS Gestión y monitorización de presencia Acceso de aplicaciones y sistemas Predicción y detección del fraude 15

Gestión de la cadena de aprovisionamiento del efectivo Logística de valores Más de 48.000 transacciones electrónicas diarias 2.100 MM Billetes al año 4.400 MM Monedas al Año Gestión ATM s Mas de 8.

16 Gestión de la cadena de aprovisionamiento del efectivo Logística de valores Más de transacciones electrónicas diarias MM Billetes al año MM Monedas al Año Gestión ATM s Mas de cajeros atendidos y monitorizados Gestión de Agencias bancarias Previsión y planificación Monitorización de equipos (cajeros y recicladores) Petición en remoto de fondos Gestión del efectivo para la Distribución Entrega de cambio Gestión de la recaudación Back Office, terminales de venta e integración de sistemas 16 16

La necesidad de un SGSI para PROSEGUR Factores Internos LOPD Ley Organica de Protección de Datos Ley de Seguridad Privada LSSICE Ley de Servicios de la

17 La necesidad de un SGSI para PROSEGUR Factores Internos LOPD Ley Organica de Protección de Datos Ley de Seguridad Privada LSSICE Ley de Servicios de la Sociedad del la Inf. y del Comercio Elect. SEPBLAC Ley de Prevención de Blanqueo de Capitales. Factores Externos Confianza frente a clientes Diferenciación RSC 17

18 Lecciones Aprendidas Aplicabilidad al ENS

19 Lecciones Aprendidas Delimitar el Alcance del SGSI Control del Apetito al Riesgo Organización de la Seguridad Metodología y Herramientas SGSI ENS Confidencialidad Integridad Disponibilidad 19

20 Alcance del SGSI Dedicar el tiempo suficiente a establecer un alcance del SGSI controlable Una inteligente definición del alcance puede hacer que el proyecto de definición e implantación de un SGSI sea un proyecto alcanzable y asumible por la organización o, en caso contrario, un proyecto elefante que conduzca al desaliento de los que participan y al fracaso del mismo. El Esquema Nacional de Seguridad (ENS) define el alcance mínimo del SGSI a los servicios y sistemas que tratan información de la Administración Pública en el ámbito de la Ley 11/2007 (servicios a los que acceden los ciudadanos a través de medios electrónicos) Un planteamiento en fases sucesivas puede facilitar la definición de un proyecto asumible por la organización. 20

Alcance del SGSI VIGILANCIA: Actividad de vigilancia presencial realizada en terceras empresas que contratan el servicio, según requisitos de cada cliente, así como el servicio de telecontrol /

21 Alcance del SGSI VIGILANCIA: Actividad de vigilancia presencial realizada en terceras empresas que contratan el servicio, según requisitos de cada cliente, así como el servicio de telecontrol / televigilancia de empresas prestado desde un centro de control central. CONSULTORÍA: Diseño, planificación y asesoramiento de actividades relacionadas con la seguridad. Certificación en primera mitad de 2011 para Zona Centro y Cataluña. Delegaciones: Madrid, Extremadura, Guadalajara, Albacete, Cuenca, Ciudad Real, Toledo, Barcelona, Gerona, Lleida y Zaragoza 21

22 Control del Apetito al Riesgo El apetito de riesgo es la cantidad de riesgo en un nivel amplio que una empresa está dispuesta a aceptar para generar valor. No hay dos organizaciones iguales La Norma ISO deja en manos de cada organización el grado de inversión en la gestión del riesgo. El tratamiento de los riesgos deberá ser adecuado al nivel de riesgo evaluado considerando siempre la posibilidad de transferir, aceptar y evitar el riesgo Mitigar el riesgo suele ser una buena opción, pero también la más cara. Priorizar siempre en función del análisis del riesgo El Esquema Nacional de Seguridad (ENS) incluye en su Artículo 43. la clasificación de los sistemas de información para modular el apetito al riesgo. 1. La categoría de un sistema de información, en materia de seguridad, modulará el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el criterio del principio de proporcionalidad 22

23 Organización de la seguridad Prosegur ha creado el Comité de Seguridad presidido por el Director de Seguridad, miembro del Comité de Dirección de la Empresa y en su composición destacan: Responsable del SGSI de la Dirección de Seguridad Responsable del área de desarrollo de Tecnologías de la Información Responsable del área de explotación de Tecnologías de la información Responsable de Seguridad de la Información de Tecnologías de la Información Responsable de la Administración del sistema de calidad y medioambiente Asesoría Legal (Responsable de LOPD) Oficina Técnica Comercial Gerente de Vigilancia Gerente de consultoría (Experto en ISO ) El Esquema Nacional de Seguridad (ENS) establece como requisito mínimo en el Artículo 12. Organización e implantación del proceso de seguridad. La seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad según se detalla en el anexo II, sección 3.1, deberá identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa. 23

24 Metodología y Herramientas Prosegur realizó el análisis de riesgos de la seguridad de la información con relación a las 3 dimensiones clásicas de la seguridad: Confidencialidad, Integridad y Disponibilidad. El análisis para determinar el valor del riesgo (R) ha incluido: Identificación de los activos Identificación de amenazas Determinación de la frecuencia de aparición de dichas amenazas Nivel de Vulnerabilidad (exposición a las amenazas) Impacto en el Negocio Prosegur utiliza la herramienta Meycor, software sobre plataforma WEB, para implantar y gestionar el plan de acción de mejora del SGSI MAGERIT (versión 2), es un método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlarlos. Los objetivos perseguidos por la Herramienta Pilar, gratuita para la administración, son: Realizar el análisis de riesgos según la metodología Magerit e ISO/IEC Diseño del plan de mejora de la seguridad. 24

25 Muchas Gracias!

Documentos relacionados

Ejemplo de Implantación de un SGSI

Ejemplo de Implantación de un SGSI Lecciones Aprendidas Antonio de Cárcer PROSEGUR Antonio.decarcer@prosegur.com Agenda Quienes somos Por qué un SGSI en PROSEGUR? Las Lecciones aprendidas 2 Quienes somos?