Documentos de Académico
Documentos de Profesional
Documentos de Cultura
vulnerabilidades
La gestin de riesgos no tiene que ver con eliminar el riesgo sino con controlarlo y estar preparado
para enfrentar fallas de seguridad con flexibilidad. Una inspeccin de seguridad en instalaciones y
una matriz de riesgos/vulnerabilidades puede permitirles a los gerentes de seguridad tomar
mejores decisiones de trabajo en relacin con la tecnologa de video de seguridad nueva y
existente.
Libro blanco
La tecnologa de seguridad es solo una parte de la gestin de riesgos empresariales, aunque una
muy importante. Es un buen ejercicio analizar la organizacin desde afuera hacia dentro y
centrarse en las posibilidades. Dicha evaluacin de riesgos debe ser creativa y subjetiva. Pero no es
el punto final. Crear y evolucionar continuamente una matriz de riesgos/vulnerabilidades aade la
capacidad de priorizar amenazas a la vez que se elige o actualiza la tecnologa que se demostrar
ms efectiva en trminos de costo y prevencin de prdidas.
Tales ejercicios tambin aportan inteligencia personalizada de negocios al trabajo del director de
seguridad. Eso es til especialmente hoy con el ascenso del video de seguridad y los desafos que
plantea la coexistencia de lo analgico y lo digital mientras que la seguridad hace la transicin a la
videovigilancia digital.
En lo que se refiere a la inspeccin de seguridad en instalaciones y a la elaboracin de una matriz
de riesgos/vulnerabilidades, el CSO Terry Jones y Helena Smith, su segunda al mando, quienes
trabajan para una mediana empresa, buscarn consejo externo para aportar un punto de vista
fresco a la tarea. Jones y Smith han hecho parte de esta serie de libros blancos al afrontar aspectos
especficos de las tecnologas y las demandas de la empresa.
Un primer informe de esta serie de libros blancos se analiz, en forma general, la estrategia de
coexistencia como base de un paso costo-efectivo del video de seguridad analgico a digital. Ese
libro blanco tambin daba un vistazo al impacto en la infraestructura, incluyendo la distribucin de
la red de datos empresariales, el ancho de banda y esquemas de compresin. Un segundo libro
blanco explor las cmaras analgicas a IP y de megapxeles y alta definicin. El tercer libro
blanco analiz las ventajas y maneras como la fibra ptica mejora la operacin y el resultado final
de la empresa de las soluciones de vigilancia. Un cuarto libro blanco examin la mirada de
opciones de almacenamiento y las formas de determinar cules son las mejores para las
necesidades de la empresa. Estos libros blancos anteriores estn en ingls y pueden descargarse
de www.infinova.com
La gestin de riesgos es un concepto amplio pero valioso
Durante el caf, Helena comparti con Terry cierta informacin que encontr recientemente en
un seminario sobre riesgos corporativos al que asisti con los gerentes de riesgos y de seguridad
informtica de la firma, basado en materiales de PricewaterhouseCoopers. All aprendi que la
convergencia o la fusin de los riesgos de seguridad es un trmino amplio que cubre una
multiplicidad e interdependencia de una variedad de riesgos que enfrenta una firma.
Eso requiere una respuesta que agrupe a todos los dedicados a la seguridad en la organizacin
para que evalen los riesgos colectivos corporativos, riesgos que cuando se analizan en forma
aislada pueden elevar la probabilidad de materializarse. Muchos de los riesgos de seguridad
convencionales se observan de manera aislada. Esos riesgos pueden fusionarse o superponerse en
puntos especficos durante el ciclo de vida del riesgo, y como tales, pueden convertirse en un
punto ciego para la organizacin o para los responsables de la seguridad. La convergencia de los
riesgos de seguridad es importante porque esos riesgos combinados o en convergencia que
plantean el mayor riesgo para personas y organizaciones a menudo son desconocidos. Eso incluye
riesgos de seguridad en convergencia surgidos de procesos operativos comunes y
complementarios, adems de amenazas ms conocidas. Para proteger nuestra gente, nuestros
negocios y nuestros activos, debemos mantenernos por delante de quienes nos atacan y trabajar
con fuerzas internas y externas para identificar y entender esos posibles puntos ciegos que
pueden causar el mayor dao a la empresa, Helena le aconseja a Terry. Eso justifica la inspeccin
de seguridad regular en instalaciones que conduzca a cambios en una matriz de
riesgos/vulnerabilidades.
Autor
Mark S. Wilson
Vicepresidente de mercadeo
Infinova
L-V
Sb.
Dom.
Feriados
Acceso general:
1. Sin identificacin
2. Escarapela
3. Pase
4. Director de seguridad
5. Recepcionista
6. Llaves
7. Tarjeta electrnica
_____________________________________
_____________________________________
_____________________________________
_______________S Horario de oficina normal_
____________________________________
_______________S___________________
_______________S___________________
Permetro total:
1. Est el permetro definido claramente por un alambrado, un muro u otra barrera fsica?
______________Alambrado__________________
2. La barrera limita o controla el acceso vehicular o peatonal a la instalacin? O ambos?
______________Ambos___________________
3. Hay avisos de seguridad en el permetro? ______________No_____________________
4. Hay controles de acceso electrnicos en el permetro? ______________S Limitados____________
5. Hay deteccin de intrusiones en el permetro? ______________No____________________
6. Hay video de seguridad en el permetro? ______________S____________________
7. Un oficial de seguridad patrulla en el permetro? ______________S en el horario regular
________
Una inspeccin especfica del estacionamiento, garaje:
1. rea total (en pies2 o m2)
_____________________________________
2. Capacidad para vehculos
_____________________________________
3. Nmero, ubicacin de entradas vehiculares, salidas
_____________________________________
4. Niveles
_____________________________________
5. Elevadores, escaleras
_____________________________________
6. Telfonos para emergencias
_____________________________________
7. Portones
_____________________________________
8. Control de acceso con tarjeta electrnica
_____________________________________
9. Iluminacin nmero de luces
_____________________________________
10. Video de seguridad nmero de cmaras, ubicacin de
cada cmara, edad de las cmaras
_____________________________________
11. Video monitoreado, en tiempo real, grabado o ambos
_____________________________________
12. reas que el video no cubre
_____________________________________
Entradas totales al edificio:
1. Nmero, ubicacin de entradas
2. Horarios de funcionamiento
3. Trfico en cada una de ellas
_____________________________________
_____________________________________
_____________________________________
4. Deteccin de intrusiones
_____________________________________
5. Controles de acceso electrnico
_____________________________________
6. Llaves y cerraduras
_____________________________________
7. Video de seguridad
_____________________________________
8. Jefe de seguridad, recepcionista
_____________________________________
Detalles especficos para una puerta -- Puerta nmero 8:
1. Tipo de puerta
_____________________________________
2. Horarios de operacin
_____________________________________
3. Trfico que reciben
_____________________________________
4. Deteccin de intrusiones
_____________________________________
5. Control de acceso electrnico
_____________________________________
6. Llaves y cerraduras
_____________________________________
7. Video de seguridad
a. Tipo de cmara(s)
_____________________________________
b. Ubicacin de cmara(s)
_____________________________________
c. Vista de cmara(s)
_____________________________________
d. Tipo de monitoreo
_____________________________________
e. Edad de la(s) cmara(s)
_____________________________________
f. Alimentacin elctrica para las cmara(s) _____________________________________
8. Jefe de seguridad, recepcionista
_____________________________________
La tarea de revisar todos los aspectos de una instalacin y de las tecnologas de seguridad
existentes puede parecer abrumadora. Pero las recomendaciones suelen incluir soluciones de
poco o ningn costo, desde formas rentables de ampliar la coexistencia de lo analgico y lo digital
hasta la expansin del sistema de video IP.
En ocasiones, puede realizarse una inspeccin de seguridad en instalaciones en combinacin con
una expansin planeada o una fusin o la adquisicin de otras instalaciones. Esta es una
oportunidad real de mejorar la seguridad en todo un edificio, y elimina la confusin y las posibles
omisiones de seguridad que pueden derivar en sistemas de seguridad en conflicto.
Los nmeros de la matriz al servicio de la iniciativa
El paso siguiente de la inspeccin de seguridad en instalaciones estima las amenazas y
vulnerabilidades asociadas con el sitio, lo que lleva a Terry y Helena a su matriz de riesgos y
vulnerabilidades.
A diferencia de una inspeccin de seguridad en instalaciones, una estimacin de amenazas
considera el espectro completa de las amenazas (es decir, naturales, causadas por el hombre,
accidentales) para una instalacin, ubicacin o un punto de cmara. La estimacin aporta
informacin de soporte para evaluar la posibilidad de que ocurra cada amenaza. Para las
amenazas naturales, pueden usarse datos histricos relativos a la frecuencia para desastres
naturales determinados, como tornados, huracanes, inundaciones, incendios o terremotos para
determinar la credibilidad de una amenaza determinada. Para amenazas criminales, los informes
de incidentes en el lugar los ndices delincuenciales en el rea circundante proporcionan un buen
indicador del tipo de actividad criminal que puede amenazar la instalacin.
Tras terminar con el consultor, Terry y Helena trabajan en las estimaciones de amenazas y en el
desarrollo de su matriz de riesgos y vulnerabilidades. En una sala de reuniones pegaron las
amenazas generales que haban identificado.
Accidentes que involucra a empleados y visitantes
Desastres naturales
Prdida de datos
Fraude
Espionaje intelectual
Vandalismo
Amenazas contra personas
Robo fsico
Ataques a la marca y a la reputacin
Y a continuacin clasificaron por escalas el impacto potencial de cada amenaza en la empresa. El
impacto de prdida es el grado en el que se vera afectada la misin de la empresa por un ataque
exitoso de la amenaza determinada. Un componente clave de la estimacin de vulnerabilidades es
la definicin acertada de las calificaciones de impacto de prdidas y vulnerabilidades. Helena
ofreci una serie de muestra de definiciones de impactos de prdida que encontr en internet.
Devastador: La instalacin o la reputacin de la compaa se ve afectada o contaminada ms all
del uso o el valor a corto plazo. La mayora de artculos o activos estn perdidos, destruidos o
daados sin posibilidad de reparacin/restauracin. Un incidente violento puede cerrar la
instalacin o una parte crucial de ella por un nmero de das importante. El nmero de visitantes a
la instalacin y otros en la organizacin puede reducirse hasta a 75% por un periodo de tiempo.
Ejemplo: un terremoto golpea un rea incluyendo un parque industrial.
Grave: La instalacin o la reputacin de la compaa se ve parcialmente afectada o
contaminada. Ejemplos incluyen brechas parciales en la estructura como resultado del clima o el
agua, o graves incidentes criminales, humo, violencia en el lugar de trabajo, fraude mayor o daos
por incendios en algunas reas. Algunos elementos o activos de la instalacin estn daados sin
posibilidad de reparacin, pero la instalacin se mantiene casi intacta. Es posible que toda la
instalacin est cerrada por un periodo de tiempo menor. El nmero de visitantes a la instalacin
y otros en la organizacin puede reducirse hasta a 50% durante un periodo de tiempo limitado.
Ejemplo: Un incidente de violencia en el lugar de trabajo que incluya prdidas de vida mltiples y
cubrimiento nacional en los medios de comunicacin.
Evidente: La instalacin se cierra o es incapaz de funcionar temporalmente, pero puede seguir
sin interrupcin de ms de un da. Un nmero de activos puede sufrir daos, pero la mayora de la
instalacin no se ve afectada. El nmero de visitantes a la instalacin y otros en la organizacin
puede reducirse hasta a 25% por un periodo de tiempo limitado.
Ejemplo: Una persona de confianza deshabilit el aire acondicionado de la sala del servidor en
venganza por la prdida de un ascenso.
Menor: La instalacin no experimenta un impacto importante en las operaciones (el paro es
inferior a cuatro horas) y no hay prdida de activos importantes.
Ejemplo: Un vndalo escribe en una pared del estacionamiento.
La vulnerabilidad es por lo general una combinacin del atractivo de una instalacin como blanco y
del nivel de disuasin o defensa que proporcionan las contramedidas existentes, que pueden
incluir polticas, procedimientos, productos y servicios. El atractivo del blanco es una medida de
los activos, la reputacin o la instalacin a los ojos de un agresor y est influenciada por la funcin
o importancia simblica de la instalacin.
Las definiciones de muestra para las calificaciones de vulnerabilidad son las siguientes:
Muy alta: una instalacin de alto perfil o seccin de ella que constituya un blanco muy atractivo
para posibles adversarios, y que el grado de disuasin o defensa proporcionado por las
contramedidas existentes sea inadecuado.
Alta: una instalacin de perfil alto o moderado que constituya un blanco en cierto modo
atractivo o cuyo nivel de disuasin o defensa, proporcionado por las contramedidas existentes, sea
inadecuado.
Moderada: una instalacin de perfil moderado que constituya un blanco potencial o cuyo nivel
de disuasin o defensa, proporcionado por las contramedidas existentes, sea marginalmente
adecuado.
Baja: no es una instalacin de perfil alto o moderado y constituye un blanco probable o su grado
de disuasin o defensa, proporcionado por las contramedidas existentes, sea adecuado.
Puede usarse una combinacin del impacto de las clasificaciones de prdida y vulnerabilidad para
evaluar el riesgo potencial a la instalacin por una amenaza determinada.
Una matriz de riesgos/vulnerabilidades puede desplegar los elementos totales o pasar con rapidez
a ubicaciones especficas como el permetro, el garaje de estacionamiento, las puertas de
entrada/salida, los pasillos, el centro de computadores, el control y comando de seguridad.
Matriz que identifica niveles de riesgo
Vulnerabilidad a la amenaza
Impacto de
prdidas
Devastador
Muy alto
Alto
Moderado
Bajo
Grave
Evidente
Menor
Estos riesgos son altos. Deben implementarse las contramedidas recomendadas para mitigar estos riesgos lo antes
posible.
Estos riesgos son moderados. Debe planificarse la implementacin de contramedidas en el futuro cercano.
Estos riesgos son bajos. La implementacin de contramedidas reforzar la seguridad, pero tiene menos urgencia que
los riesgos anteriores.
Terry mencion entonces la necesidad de completar la matriz segn las amenazas especficas
ligadas a ubicaciones especficas y sus medidas de seguridad existentes. Terry y Helena peg una
grfica en la pared de la sala de reuniones (vase la grfica arriba) que le dio un colega de
seguridad de una firma de transporte cercana, pero que poda aplicarse a cualquier tipo de
empresa.
Hay muchos resultados prcticos de todo el ejercicio.
Para Terry y Helena, uno es el estacionamiento. Al observar que el lote est en un vecindario
urbano, que ha habido nmeros crecientes de incidentes de vandalismo e ingreso ilegal, que el
CEO y los trabajadores han mencionado que se sienten menos seguros al usar el parqueadero a la
par que los organismos de orden pblico han solicitado recientemente video de seguridad ms
detallado de los incidentes, el par de seguridad puso esta rea en los cuadros de impacto de
prdidas grave y alta vulnerabilidad a las amenazas en su matriz.
certificado bajo las normas ISO 9001:2000 y ms de 250 ingenieros con una lista de innovaciones
en la industria de video, los socios de canal de Innova les proporcionan a sus usuarios finales
confiabilidad en productos y liderazgo tcnico reconocidos en la industria.
Con el fin de que los socios de canal de Infinova puedan crear soluciones completas, Infinova
ofrece cmaras de vigilancia IP y sus componentes, cmaras analgicas para CCTV, DVR y sus
componentes, accesorios para cmaras, monitores, suministros elctricos y dispositivos para
comunicaciones por fibra ptica. Innova tiene adems la capacidad tcnica y la flexibilidad en la
produccin para permitir que los integradores propongan soluciones personalizadas. Por otro
lado, Innova se asociar con otros fabricantes para producir para producir otros equipos y
software de vigilancia para ayudar a sus socios de canal a crear soluciones llave en mano.
Contrario a la mayora de otras empresas, Innova respaldar los productos de sus socios al igual
que los propios para asegurar que el integrador y sus clientes que una llamada solo a Innova
se encargue de todo.
Infinova trabaja diligentemente para garantizar que sus socios de canal puedan ofrecer soluciones
con conciencia del costo. Con los sistemas hbridos de Infinova, los socios de canal pueden
proponer sistemas que protejan la inversin de un cliente en su sistema de vigilancia analgica ya
instalado, pero que tambin los pongan en un camino de migracin dinmica a los sistemas IP.
Infinova es elogiada por sus excepcionales programas de mantenimiento. Un aspecto por resaltar
es la poltica de reposicin avanzada en 24 horas que aplica la empresa, en la cual se despacha de
inmediato un producto sustituto al recibir notificacin de algn problema.
Con un enfoque en el cliente as, Innova suele conocerse como el fabricante de los
integradores.