EULEN Seguridad patrocina y participa en el VII Encuentro de Seguridad Integr...
Eulen Seguridad - Servicios de Protección de Infraestructuras Críticas
1. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
“PROTECCION DE INFRAESTRUCTURAS CRITICAS”
EULEN SEGURIDAD, S.A.
A-28369395
C/ Gobelas 25-27 28023 Madrid
Tel. 91 631 08 00 Fax. 91 372 81 98
2. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
INDICE
1 ANTECEDENTES ............................................................................. 3
2 DESCRIPCION DE LOS SERVICIOS ............................................... 4
2.1 PLAN DE SEGURIDAD DEL OPERADOR......................................................................... 4
2.2 METODOLOGÍA DE ANÁLISIS DE RIESGOS.................................................................... 5
2.3 ELABORACIÓN PLANES DE PROTECCIÓN ESPECÍFICOS................................................. 6
2.4 PRESENTACIÓN DE LOS PLANES ANTE EL CNPIC ........................................................ 7
2.5 MODELO DE GESTIÓN ................................................................................................. 7
Página 2 de 8
3. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
1 ANTECEDENTES
La visión y experiencia, que posee Eulen Seguridad tanto en el campo de la
seguridad física, como lógica, tratadas ambas desde un punto de vista integral que
cubre todos los aspectos de la seguridad dentro del campo de la protección de las
infraestructuras críticas, le permiten postularse como un aliado de confianza para
todas aquellas organizaciones que necesiten acometer las acciones necesarias para
dar cumplimento a lo establecido en la Ley 8/2011, de 28 de abril, por la que se
establecen medidas para la protección de las infraestructuras críticas, y su
reglamento de desarrollo aprobado por el RD 704/2011.
Entre los servicios que Eulen Seguridad puede ofrecer entre otros, son:
Colaboración en la elaboración o revisión del Plan de Seguridad del Operador
Colaboración en la selección y adopción de la metodología utilizada en la
realización de los Análisis de Riesgos Integral, para su incorporación al PSO y
posterior utilización en la elaboración de los PPEs. Todo ello enmarcado en
estándares reconocidos internacionalmente como puede ser un modelo ISO.
Colaboración en la elaboración de los Planes de Protección Específicos
Acompañamiento como expertos en la presentación del PSO y los PPEs ante
el CNPIC y los Delegados del Gobierno
Colaboración en la elaboración y puesta en marcha de un modelo de gestión
para la revisión y actualización del PSO y de los PPEs
Página 3 de 8
4. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
2 DESCRIPCION DE LOS SERVICIOS
2.1 Plan de Seguridad del Operador
La colaboración en la elaboración o revisión de este plan será realizada por un
equipo multidisciplinar, que conjuga experiencia y conocimientos en los diferentes
aspectos de seguridad que debe contemplar el PSO.
La elaboración o revisión del PSO se realizará desde un punto de vista integrador de
la seguridad, centrando el foco no sólo en los aspectos de seguridad física, sino
también en los de seguridad lógica y en todas aquellas funciones que dentro de la
organización estén orientadas a la gestión del riesgo que pueda suponer una
amenaza para la supervivencia de la misma.
Dentro de esta visión integradora de la seguridad, alineada tanto con el paradigma
de la Convergencia de Seguridad, como con lo establecido en la Ley 8/2011 y su
reglamento de desarrollo aprobado por RD 704/2011, se contempla:
Seguridad física
Seguridad de la información
Seguridad reputacional
Seguridad del personal
Seguridad legal
Seguridad medioambiental
Seguridad laboral
Seguridad industrial
Seguridad patrimonial
Continuidad del negocio
……
Este proceso de elaboración o revisión, se realizará prestando una especial atención
e interés a los puntos claves de PSO que establece el RD 704/2011, entre los que
citaremos a:
La Política General de Seguridad, aspecto crítico mediante el cual se
pretende garantizar la seguridad del conjunto de las instalaciones y sistemas
que posee el Operador Critico en todo el territorio nacional, tal y como dicta el
Real Decreto 704/2011 en su artículo 22.1.
Página 4 de 8
5. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
La metodología adoptada por el Operador Critico para la elaboración del
análisis de riesgos en el que se garantice la continuidad de los servicios
proporcionados por el mismo, así como los criterios de aplicación de las
diferentes medidas de seguridad, tal como se indica en el RD 704/2011 en su
artículo 22.3.
Los operadores críticos responsables de la elaboración de los respectivos
planes deberán custodiar los mismos, implantando para ello las medidas de
seguridad de la información exigibles conforme a la Ley, tal y como expresa el
RD 704/2011 en su artículo 23.4.
La elaboración o revisión del PSO por parte de Eulen Seguridad estará sujeta a un
modelo de gestión de proyecto enmarcado en la mejora continua. Este marco de
trabajo permitirá que tanto en el caso de creación de un nuevo documento (PSO),
como en la revisión del mismo, se estudien los informes presentados por Eulen
Seguridad en el que se propongan los cambios y las mejoras que se consideren
necesarias. Dicha propuesta de cambios y mejoras será presentada al cliente para
que estudie la conveniencia de incluir éstas en su PSO, para su posterior
presentación al CNPIC.
2.2 Metodología de Análisis de Riesgos
Para realizar un análisis de riesgos, de forma que “contemple de una manera global,
tanto las amenazas físicas como lógicas” es necesario disponer de una metodología
lo suficientemente robusta e integrada que lo permita, que esté preparada para
analizar todas las amenazas y vulnerabilidades a las que está expuesta la
infraestructura crítica, de forma conjunta, independientemente del origen y
naturaleza de dichas amenazas, teniendo en cuenta la posibilidad de que exista un
“ataque combinado”, y la materialización de un ataque de este tipo pueda causar un
impacto sobre el funcionamiento de la infraestructura crítica muy superior al que
causaría un ataque que provenga de un sólo vector.
Las implicaciones que supone la aplicación del paradigma de la Convergencia de la
Seguridad, nos ha llevado a analizar las metodologías de análisis y gestión de
riesgos existentes, para seleccionar la metodología que mejor de respuesta a las
necesidades planteadas, al tratar los riegos de manera integrada. La metodología
que adoptado Eulen Seguridad es un desarrollo propio, basado en la metodología
Magerit Versión 2 y en la experiencia adquirida en la realización de análisis de
riesgos integrados, esta ampliación de la metodología Magerit Versión 2 está
alineada con las metodologías de análisis de riesgos de los estándares ISO 31000
Gestión del riesgo. Principios y directrices e ISO 27005 Information technology --
Security techniques -- Information security risk management. Así como en distintas
Página 5 de 8
6. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
guías y publicaciones del Centro Criptológico Nacional (CCN-CNI), National Institute
of Standards and Technology (NIST) y del U.S. Department of Homeland Security.
En base a la experiencia anterior, Eulen Seguridad está en condiciones de adaptar
dicha metodología a las necesidades de cualquier organización y cualquier sector,
para que una vez evaluada por el Operador Critico, y si éste lo estima oportuno se
incorpore al PSO y sea utilizada en la elaboración de los PPEs.
2.3 Elaboración Planes de protección específicos
Como complemento de su metodología, Eulen Seguridad ha desarrollado una
herramienta de análisis y gestión de riesgos escalable, manejable y dúctil, para dar
respuesta a la necesidad de analizar y gestionar los riesgos de manera global, no
parcial, y así contemplar todas las amenazas y vulnerabilidades a las que están
expuestas las organizaciones, evitando que existan riesgos no valorados o por el
contrario que existan riesgos que se evalúen varias veces, al estar contemplados en
diferentes análisis de riesgos parciales.
La herramienta propuesta cubre completamente los requisitos de los proyectos
relativos a la protección de infraestructuras críticas, al tratar los riesgos de una forma
global e integral, y además es totalmente parametrizable para ajustarla a las
necesidades específicas de cualquier organización.
Página 6 de 8
7. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
2.4 Presentación de los planes ante el CNPIC
Tal como se indica en el artículo 22.2 del RD 704/2011 “cada operador crítico deberá
haber elaborado un Plan de Seguridad del Operador y presentarlo al CNPIC, que lo
evaluará y lo informará para su aprobación, si procede, por el Secretario de Estado
de Seguridad u órgano en el que éste delegue”
Para llevar a cabo las actividades y tareas de soporte que contempla esta fase,
Eulen Seguridad elaborará toda la documentación necesaria para efectuar las
presentaciones del PSO y los PPEs ante el CNPIC y los Delegados del Gobierno.
Esta documentación estará adaptada al plan concreto a presentar y al formato de la
presentación, e incluirá, además del propio plan, presentaciones, resumen ejecutivo
y cualquier otro documento que se considere necesario.
Igualmente se elaborará un informe del resultado de la presentación, y del mismo
modo, se realizarán los cambios que se deriven de dichas presentaciones.
2.5 Modelo de gestión
La Seguridad Global comprende todos los procesos de seguridad de una
organización, que tienen por objeto garantizar la adecuada protección de todos los
activos de la organización y la continuidad de sus operaciones, todo ello con una
filosofía clara de alineación con el negocio. Por ello, la función de seguridad global o
integrada no sólo comprende las funciones de seguridad física y de seguridad lógica,
sino todas las funciones de la organización orientadas a la gestión de todos aquellos
riesgos que puedan suponer una amenaza para el funcionamiento y supervivencia
de la organización.
La función de seguridad integrada se centra en la gestión global de los riesgos,
siendo su principal objetivo proteger de la forma más eficiente posible todos los
activos, tanto tangibles como intangibles de una organización, de todas las
amenazas, de cualquier tipo, a las que estén expuestos, independientemente de su
origen.
Si tenemos en cuenta que la seguridad es un proceso más dentro del conjunto de
los procesos productivos del Operador Crítico, tenemos que gestionarlo de igual
forma que se gestionan el resto de procesos de la organización, utilizando un
sistema de gestión como el marco de funcionamiento de una organización en el que
se integran tanto la misión, visión, valores, objetivos principales y secundarios de la
organización, como las políticas, procedimientos, registros e indicadores, que dan
forma al sistema.
Página 7 de 8
8. PROTECCIÓN DE INFRAESTRUCTURAS CRITICAS
Disponer del marco de trabajo que proporciona un sistema de gestión permite
incrementar la eficiencia y eficacia de la organización.
En este sentido, Eulen Seguridad en base a la experiencia de proyectos en
seguridad corporativa, propone para la elaboración, revisión o actualización del PSO
y de los PPEs, un modelo de gestión basado en el “círculo de Deming”, también
conocido como modelo o ciclo PDCA (Plan – Do – Check – Act).
El modelo de gestión propuesto está basado en la mejora continua, por ello tanto el
PSO, como los PPEs estarán en continua evolución retroalimentándose en cada
vuelta de ciclo.
Página 8 de 8