Ejemplo de Implantación de un SGSI

(1)

Ejemplo de Implantación

Lecciones Aprendidas

de un SGSI

p Antonio de Cárcer PROSEGUR [email protected]

(2)

Agenda

Quienes somos

¿Por qué un SGSI en

¿

q

PROSEGUR?

Las Lecciones

aprendidas

2 PSG20101104 – ACD/Apps

(3)

¿Quienes somos?

(4)

PROSEGUR

Romania # 2 France P t l Spain # 1 France # 3 - 5 Singapore # 4 Mexico # 3 - 10 Portugal # 1 _{• Fundada en}₁₉₇₆

• La primera multinacional española del sector de seguridad

• Fundada en 1976

• La primera multinacional española del sector de seguridad # 3 10 Colombia # 2 Brazil # 1 Peru seguridad

• Líder absoluto en cuota de mercado en los países dónde opera

seguridad

• Líder absoluto en cuota de mercado en los países dónde opera Peru # 1 Chile Paraguay # 1 Uruguay # 1

• El tercer mayor operador global del sector

• Única del sector que cotiza en la Bolsa española • Presencia en directa en 15 países y operaciones en • El tercer mayor operador global del sector

• Única del sector que cotiza en la Bolsa española • Presencia en directa en 15 países y operaciones en

Argentina # 1

# 1 # 1

Presencia en directa en 15 países y operaciones en más de 30

• Más de 10.000 clientes corporativos y más de

300.000particulares y negocios

Presencia en directa en 15 países y operaciones en más de 30

• Más de 10.000 clientes corporativos y más de

300.000particulares y negocios

4 PSG20101104 – ACD/Apps

Source: Freedonia group, DBK and Aproser 2002-2009 reports

• Más de 104.000 empleados • Más de 104.000 empleados

(5)

Posición en el mercado internacional

Facturación Global (millones de Euros €) Ventas 2009 Capitalización* 1.841,80 € 2.051,70 € 2.178,40 € 2.560,70 € (millones de Euros €) Ventas 2009 en Millones de Euros Capitalización 3.954 7.788 en Millones de Euros 1.628,40 € 2.482 2.666 6.074 2.187 2006 2007 2008 2009 2010 579 792 1.162 2.021 94.500 101.000 104.500 Plantilla Mundial 398 739 77.500 84.200 * Datos de 4 de Octubre de 2010

Tamaño del mercado mundial de seguridad: ~ 100K M Euros

186 790 1% 51% 4% 2% 1% 6% _{Vigilancia Activa} Consultoría de Seguridad Logistica de Valores Tecnologías de Seguridad 2006 2007 2008 2009 2010

(6)

Productos y Servicios

Vi il i T t d F d Si t d S id d

Vigilancia Transporte de Fondos Sistemas de Seguridad

Visión Integradora Especializada

6 PSG20101104 – ACD/Apps

(7)

Enfoque de Gestor de Riesgos Global

Gestión del Riesgo

Gestión del Riesgo Corporativo

Corporativo

Financieros

Crédito

Reputación

Operativos

Coordinación y Gestión Conjunta

(8)

¿Por qué un SGSI?

Las exigencias del Negocio

(9)

Alto valor de los activos de Información

Vi il i T t d F d Si t d S id d

Vigilancia Transporte de Fondos Sistemas de Seguridad Vigilancia Transporte de Fondos Sistemas de Seguridad

CSC - USAP • Nominas ERP • Contabilidad S t l NOVI-SIP2000 • Provisión de CRM • Información de Cliente • Compras • Gestión de Activos Contabilidad • Gestión • Financiero Soporte a la Operación • Provisión de Servicio • Facturación • Información de Cliente • Gestión Comercial

• Gestión de los Contratos

Automatización Efectivo Consultoría de Seguridad Prot. Contra Incendios Automatización Efectivo Consultoría de Seguridad Prot. Contra Incendios

(10)

VIGILANCIA ACTIVA

• Más de 102.000 vigilantes de

seguridad en todo el mundo

• Más de 95 millones de horas de

servicio realizadas en 2010

• En más de 15.000 centros de

trabajo

• Un servicio fuertemente tecnificado

y dependiente de las

comunicaciones

10 PSG20101104 – ACD/Apps

(11)

Supervisión, Información y Control

Herramientas de “tiempo real” para:

• Control de presencia

• Reporte de incidencias

• Monitorización de actividad

• Interacción con el cliente

• Etc..

Sistemas de reporte Web:

I f d A ti id d

• Informes de Actividad

• KPI’s de medición de calidad

E t d i ió d l ti id d

• Estandarización de la actividad

• Monitorización de progreso

I l t ió á id d di i t

(12)

Centros de Control y Centrales Receptoras

Centrales Receptoras

Centro de Control Corporativo

Centrales Receptoras

• 1500 Metros cuadrados

• Más de 100 operadores

• Áreas multicliente y espacios dedicados

p

• 60 en 12 países • Más de 300.000 conexiones • Redundantes y balanceadas

p

12 PSG20101104 – ACD/Apps

Áreas multicliente y espacios dedicados

• Más de 9000 conexiones simultaneas

Redundantes y balanceadas

(13)

Servicios de Seguridad Informática

SEGURIDAD INFORMATICA

• Control de Accesos a sistemas • Integridad de sistemas

• Control de comunicaciones • Control de comunicaciones

ANALISIS DE LOG Y CORRELACION ANALISIS DE LOG Y CORRELACION DE EVENTOS

• Gestión y monitorización de presencia

• Acceso de aplicaciones y sistemas

(14)

Gestión de la cadena de aprovisionamiento del efectivo

El ciclo del efectivo

Agencias Tiendas • Emisión • Control calidad D t ió d • Transporte • Tratamiento G tió Centro comercial

Desde hace más de 30 Desde hace 4 años

• Detección de efectivo falso • Gestión caja fuerte • Fábrica ATM Desplazado Desde hace más de 30 años, Prosegur ofrece servicios tradicionales de

transporte y gestión de fondos, como parte del

ciclo

Actualmente, estamos trabajando para ofrecer nuevos servicios dentro de

las sucursales bancarias y en las cámaras acorazadas Desde hace 4 años,

ofrecemos una gestión integral de cajeros automáticos, principalmente los d l d Además, hemos comenzado a realizar servicios de gestión de fondos directamente para

la Distribución

ciclo desplazados

Logística de valores Gestión ATM’s Gestión de Agencias

b i

Gestión del efectivo l Di t ib ió • Más de 48.000 transacciones electrónicas diarias • 2100 MM Billetes al año • Mas de 8100 cajeros atendidos y monitorizados bancarias • Previsión y planificación • Monitorización de equipos (cajeros y recicladores) para la Distribución • Entrega de cambio • Gestión de la recaudación Back Office terminales de

14 PSG20101104 – ACD/Apps

• 4400 MM Monedas al Año (cajeros y recicladores)

• Petición en remoto de fondos

• Back Office, terminales de venta e integración de sistemas

(15)

La necesidad de un SGSI para PROSEGUR

Factores Internos

• LOPDLOPD

Ley Organica de Protección de Datos

• Ley de Seguridad Privada

• LSSICE

Ley de Servicios de la Sociedad del la Inf. y del Comercio Elect.

• SEPBLAC

Ley de Prevención de Blanqueo de Capitales

• ….….

Factores Externos

• Confianza frente a clientes

• Diferenciación

(16)

La evolución de la Gestión del Riesgo Corporativo

ENFOQUE AL FASE VI SEGURIDAD INTEGRAL Q NEGOCIO Seguridad Gestionada FASE V Física + Lógica Gestión de Riesgos Gestionada FASE IV Proyectos de Seguridad g FASE III ENFOQUE PARCIAL Cumplimiento Legal FASE II Seguridad Básica ad-hoc FASE I 16 PSG20101104 – ACD/Apps

(17)

Lecciones Aprendidas

Aplicabilidad al ENS

(18)

Lecciones Aprendidas

• Delimitar el Alcance del SGSI

• Control del Apetito al Riesgo

• Organización de la Seguridad

• Metodología y Herramientas

g

y

SGSI

ENS

• Confidencialidad • Integridad •Confidencialidad •Integridad •Trazabilidad •Autenticidad 18 PSG20101104 – ACD/Apps

(19)

Alcance del SGSI

• Dedicar el tiempo suficiente a establecer un alcance del SGSI controlable

• Una “inteligente” definición del alcance puede hacer que el proyecto de definición e implantación de un SGSI sea un proyecto alcanzable y asumible por la

i ió t i t

organización o, en caso contrario, un proyecto elefante que conduzca al desaliento de los que participan y al fracaso del mismo.

El Esquema Nacional de Seguridad (ENS)

define el alcance mínimo

d l SGSI

l

i i

i t

t

i f

ió

d

l

El Esquema Nacional de Seguridad (ENS)

define el alcance mínimo

d l SGSI

l

i i

i t

t

i f

ió

d

l

del SGSI a los servicios y sistemas que tratan información de la

Administración Pública en el ámbito de la Ley 11/2007 (servicios a

los que acceden los ciudadanos a través de medios electrónicos)

del SGSI a los servicios y sistemas que tratan información de la

Administración Pública en el ámbito de la Ley 11/2007 (servicios a

los que acceden los ciudadanos a través de medios electrónicos)

Un planteamiento en fases sucesivas puede facilitar la definición de un

proyecto “asumible” por la organización

.

Un planteamiento en fases sucesivas puede facilitar la definición de un

(20)

Alcance del SGSI

• VIGILANCIA: Actividad de vigilancia

presencial realizada en terceras

empresas que contratan el servicio,

según requisitos de cada cliente, así

como el servicio de telecontrol /

televigilancia de empresas prestado

desde un centro de control central.

CONSULTORÍA Di ñ l ifi ió

• CONSULTORÍA: Diseño, planificación y

asesoramiento de actividades

relacionadas con la seguridad.

• Certificación en primera mitad de 2011 para

Zona Centro y Cataluña. Delegaciones:

Madrid, Extremadura, Guadalajara, Albacete,, , j , ,

Cuenca, Ciudad Real, Toledo, Barcelona, Gerona, Lleida y Zaragoza

20 PSG20101104 – ACD/Apps

(21)

Control del Apetito al Riesgo

El tit d i l tid d d i i l li

• El apetito de riesgo es la cantidad de riesgo en un nivel amplio que una empresa está dispuesta a aceptar para generar valor. • No hay dos organizaciones iguales

• La Norma ISO 27.000 deja en manos de cada organización el grado de inversión en la gestión del riesgo.

• El tratamiento de los riesgos deberá ser adecuado al nivel de • El tratamiento de los riesgos deberá ser adecuado al nivel de

riesgo evaluado considerando siempre la posibilidad de

transferir, aceptar y evitar el riesgo

Mitigar el riesgo s ele ser na b ena opción pero también la

• Mitigar el riesgo suele ser una buena opción, pero también la más cara. Priorizar siempre en función del análisis del riesgo

El Esquema Nacional de Seguridad (ENS) incluye en su Artículo 43. la

clasificación de los sistemas de información para “modular” el apetito al

riesgo.

1 La categoría de n sistema de información en materia de seg ridad

clasificación de los sistemas de información para “modular” el apetito al

riesgo.

1 La categoría de n sistema de información en materia de seg ridad

1. La categoría de un sistema de información, en materia de seguridad, modulará el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los

riesgos a los que está expuesto bajo el criterio del principio de

1. La categoría de un sistema de información, en materia de seguridad, modulará el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los

riesgos a los que está expuesto bajo el criterio del principio de

riesgos a los que está expuesto, bajo el criterio del principio de

proporcionalidad

riesgos a los que está expuesto, bajo el criterio del principio de

(22)

Organización de la seguridad

Prosegur ha creado el Comité de Seguridad presidido por el

Director de Seguridad, miembro del Comité de Dirección

de la Empresa y en su composición destacan:

• Responsable del SGSI de la Dirección de Seguridad

• Responsable del área de desarrollo de Tecnologías de la Información • Responsable del área de explotación de Tecnologías de la informaciónp p g • Responsable de Seguridad de la Información de Tecnologías de la

Información

• Responsable de la Administración del sistema de calidad y medioambiente Asesoría Legal (Responsable de LOPD)

• Asesoría Legal (Responsable de LOPD) • Oficina Técnica Comercial

• Gerente de Vigilancia

• Gerente de consultoría (Experto en ISO 27.000)( p )

El Esquema Nacional de Seguridad (ENS) establece como requisito mínimo en el Artículo 12. Organización e implantación del proceso de seguridad.

La seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad según se detalla en el anexo II, sección 3.1, deberá identificar unos claros responsables de velar por su cumplimiento y ser La seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad según se detalla en el anexo II, sección 3.1, deberá identificar unos claros responsables de velar por su cumplimiento y ser

22 PSG20101104 – ACD/Apps

conocida por todos los miembros de la organización administrativa. conocida por todos los miembros de la organización administrativa.

(23)

Metodología y Herramientas

P li ó l áli i d i d l id d d l

Prosegur realizó el análisis de riesgos de la seguridad de la información con relación a las 3 dimensiones clásicas de la seguridad: Confidencialidad, Integridad y Disponibilidad. El

áli i d t i l l d l i (R) h i l id

análisis para determinar el valor del riesgo (R) ha incluido:

• Identificación de los activos • Identificación de amenazas

• Determinación de la frecuencia de aparición de dichas amenazas • Nivel de Vulnerabilidad (exposición a las amenazas)

• Impacto en el Negocio

MAGERIT ( ió 2) é d f l i i l i

Prosegur utiliza la herramienta Meycor, software sobre plataforma WEB, para implantar y gestionar el plan de acción de mejora del SGSI

MAGERIT (versión 2), es un método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas

apropiadas que deberían adoptarse para controlarlos. Los objetivos

id l H i t Pil t it l d i i t ió

MAGERIT (versión 2), es un método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas

apropiadas que deberían adoptarse para controlarlos. Los objetivos

id l H i t Pil t it l d i i t ió

perseguidos por la Herramienta Pilar, gratuita para la administración, son:

• Realizar el análisis de riesgos según la metodología Magerit e ISO/IEC 27005. • Diseño del plan de mejora de la seguridad

perseguidos por la Herramienta Pilar, gratuita para la administración, son:

• Realizar el análisis de riesgos según la metodología Magerit e ISO/IEC 27005. • Diseño del plan de mejora de la seguridad

• Diseño del plan de mejora de la seguridad. • Diseño del plan de mejora de la seguridad.