Ejemplo de Implantación

de un SGSI
Lecciones Aprendidas
p

Antonio de Cárcer
PROSEGUR
Antonio.decarcer@prosegur.com
Agenda

Quienes somos

¿ q un SGSI en
¿Por qué
PROSEGUR?

Las Lecciones
aprendidas

2
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
¿Quienes somos?

EL GRUPO PROSEGUR
PROSEGUR
Romania
#2

France
#3-5

Spain Singapore
#1 #4

Portugal
P t l
#1
• Fundada en 1976

Mexico • La primera multinacional española del sector de

# 3 - 10 seguridad
Colombia
#2
• Líder absoluto en cuota de mercado en los países
Brazil dónde opera
#1
Peru
#1 • El tercer mayor operador global del sector
Paraguay
#1 • Única del sector que cotiza en la Bolsa española
Uruguay
Chile
#1 • Presencia en directa en 15 países y operaciones en
#1
Argentina más de 30
#1
• Más de 10.000 clientes corporativos y más de
300.000 particulares y negocios

• Más de 104.000 empleados

Source: Freedonia group, DBK and Aproser 2002-2009 reports

4
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Posición en el mercado internacional
Facturación Global
Capitalización*
Capitalización Ventas 2009 (millones de Euros €)
en Millones de Euros en Millones de Euros
2.560,70 €

3.954 7.788
2.178,40 €
2.051,70 €
1.841,80 €

2.666 2.187 1.628,40 €

2.482 6.074

792 2.021

579 1.162 2006 2007 2008 2009 2010

Plantilla Mundial
398 739 104.500
101.000
94.500
84.200
186 790 77.500

* Datos de 4 de Octubre de 2010

Tamaño del mercado mundial de seguridad: ~ 100K M Euros

2% 1%
6%
Vigilancia Activa
4%
Consultoría de Seguridad
Logistica de Valores

51%
Tecnologías de Seguridad
35% Proteccion Contra Incendios
Monitorización Remota 2006 2007 2008 2009 2010

CRA alarmas y Acudas

5
PSG20101104 – ACD/Apps 1%
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Productos y Servicios

Vi il
Vigilancia
i T
Transporte
t de
d Fondos
F d Si t
Sistemas de
d Seguridad
S id d

Visión Integradora Especializada

Automatización Efectivo Consultoría de Seguridad Prot. Contra Incendios

6
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Enfoque de Gestor de Riesgos Global

Gestión del Riesgo Corporativo

Financieros Crédito Reputación Operativos

Coordinación y Gestión Conjunta

7
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
¿Por qué un SGSI?

Las exigencias del Negocio

 Alto valor de los activos de Información

Vi il
Vigilancia
i T
Transporte
t de
d Fondos
F d Si t
Sistemas de
d Seguridad
S id d

ERP CSC - USAP

CRM NOVI-SIP2000
• Nominas
• Información de Cliente • Provisión de • Contabilidad
Soporte
S t a lla
Servicio • Compras
• Gestión Comercial Operación • Gestión
• Gestión de los Contratos • Facturación • Gestión de
• Financiero
Activos

Automatización Efectivo Consultoría de Seguridad Prot. Contra Incendios

9
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
VIGILANCIA ACTIVA

• Más de 102.000 vigilantes de

seguridad en todo el mundo

• Más de 95 millones de horas de

servicio realizadas en 2010

• En más de 15.000 centros de

trabajo

• Un servicio fuertemente tecnificado

y dependiente de las
comunicaciones

10
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Supervisión, Información y Control
Herramientas de “tiempo real” para:
• Control de presencia
• Reporte de incidencias
• Monitorización de actividad
• Interacción con el cliente
• Etc..

Sistemas de reporte Web:

• I f
Informes de
d Actividad
A ti id d
• KPI’s de medición de calidad
• E t d i
Estandarización
ió dde lla actividad
ti id d
• Monitorización de progreso
• I l t ió rápida
Implantación á id d
de nuevos procedimientos
di i t

11
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Centros de Control y Centrales Receptoras

Centro de Control Corporativo

p Centrales Receptoras
Centrales Receptoras
p
• 1500 Metros cuadrados • 60 en 12 países
• Más de 100 operadores • Más de 300.000 conexiones
• Áreas multicliente y espacios dedicados • Redundantes y balanceadas
• Más de 9000 conexiones simultaneas • Replicables al Centro de Control

12
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Servicios de Seguridad Informática

SEGURIDAD INFORMATICA
• Control de Accesos a sistemas
• Integridad de sistemas
• Control de comunicaciones

ANALISIS DE LOG Y CORRELACION

DE EVENTOS

• Gestión y monitorización de presencia

• Acceso de aplicaciones y sistemas

• Predicción y detección del fraude

13
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Gestión de la cadena de aprovisionamiento del efectivo

El ciclo del efectivo Tiendas

Agencias

• Emisión • Transporte Centro

• Control calidad • Tratamiento comercial
• Detección
D t ió d de • Gestión
G tió ATM
• Fábrica efectivo falso caja fuerte Desplazado

Desde hace más de 30 Desde hace 4 años

años,
Actualmente, estamos Además, hemos
años, Prosegur ofrece ofrecemos una gestión
trabajando para ofrecer comenzado a realizar
servicios tradicionales de integral de cajeros
nuevos servicios dentro de servicios de gestión de
transporte y gestión de automáticos,
las sucursales bancarias y fondos directamente para
fondos, como parte del principalmente los
en las cámaras acorazadas la Distribución
ciclo d
desplazados
l d

Logística de valores Gestión ATM’s Gestión de Agencias Gestión del efectivo

• Más de 48.000 b
bancarias
i para la
l Distribución
Di t ib ió
transacciones electrónicas • Mas de 8100 cajeros • Entrega de cambio
diarias atendidos y monitorizados • Previsión y planificación

• Monitorización de equipos • Gestión de la recaudación

• 2100 MM Billetes al año
(cajeros y recicladores) • Back Office,
Office terminales de
• 4400 MM Monedas al Año venta e integración de
• Petición en remoto de fondos sistemas

14
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved 14
La necesidad de un SGSI para PROSEGUR

Factores Internos
• LOPD
Ley Organica de Protección de Datos

• Ley de Seguridad Privada

• LSSICE
Ley de Servicios de la Sociedad del la Inf. y del Comercio Elect.

• SEPBLAC
Ley de Prevención de Blanqueo de Capitales

• ….

Factores Externos
• Confianza frente a clientes

• Diferenciación

• RSC

15
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
 La evolución de la Gestión del Riesgo Corporativo
ENFOQUE
Q AL
NEGOCIO

SEGURIDAD
FASE VI INTEGRAL
Física + Lógica

Seguridad
FASE V
Gestionada

Gestión de
FASE IV
Riesgos
g

ENFOQUE
PARCIAL Proyectos de
FASE III
Seguridad

Cumplimiento
FASE II
Legal

Seguridad
FASE I
Básica ad-hoc

Grado de Madurez Empresarial

16
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Lecciones Aprendidas

Aplicabilidad al ENS
Lecciones Aprendidas

• Delimitar el Alcance del SGSI

• Control del Apetito al Riesgo

• Organización de la Seguridad

• Metodología
g y Herramientas

SGSI ENS
• Confidencialidad •Confidencialidad •Trazabilidad
• Integridad •Integridad •Autenticidad
• Disponibilidad •Disponibilidad

18
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Alcance del SGSI
• Dedicar el tiempo suficiente a establecer un alcance
del SGSI controlable

• Una “inteligente” definición del alcance puede hacer

que el proyecto de definición e implantación de un
SGSI sea un proyecto alcanzable y asumible por la
organización
i ió o, en caso contrario, t i un proyecto
t
elefante que conduzca al desaliento de los que
participan y al fracaso del mismo.

El Esquema Nacional de Seguridad (ENS) define el alcance mínimo

d l SGSI a los
del l servicios
i i y sistemas
i t que tratan
t t i f
información
ió de
d la
l
Administración Pública en el ámbito de la Ley 11/2007 (servicios a
los que acceden los ciudadanos a través de medios electrónicos)
Un planteamiento en fases sucesivas puede facilitar la definición de un
proyecto “asumible” por la organización.

19
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Alcance del SGSI

• VIGILANCIA: Actividad de vigilancia

presencial realizada en terceras
empresas que contratan el servicio,
según requisitos de cada cliente, así
como el servicio de telecontrol /
televigilancia de empresas prestado
desde un centro de control central.

• CONSULTORÍA: Diseño,
CONSULTORÍA Di ñ planificación
l ifi ió y
asesoramiento de actividades
relacionadas con la seguridad.

• Certificación en primera mitad de 2011 para

Zona Centro y Cataluña. Delegaciones:
Madrid,, Extremadura,, Guadalajara,
j , Albacete,,
Cuenca, Ciudad Real, Toledo, Barcelona,
Gerona, Lleida y Zaragoza

20
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
 Control del Apetito al Riesgo
• El apetito
tit de
d riesgo
i es la
l cantidad
tid d de
d riesgo
i en un nivel
i l amplioli
que una empresa está dispuesta a aceptar para generar valor.
• No hay dos organizaciones iguales
• La Norma ISO 27.000 deja en manos de cada organización el
grado de inversión en la gestión del riesgo.
• El tratamiento de los riesgos deberá ser adecuado al nivel de
riesgo evaluado considerando siempre la posibilidad de
transferir, aceptar y evitar el riesgo
• Mitigar el riesgo suele
s ele ser una
na buena
b ena opción,
opción pero también la
más cara. Priorizar siempre en función del análisis del riesgo
El Esquema Nacional de Seguridad (ENS) incluye en su Artículo 43. la
clasificación de los sistemas de información para “modular” el apetito al
riesgo.
1 La categoría de un
1. n sistema de información,
información en materia de seguridad,
seg ridad
modulará el equilibrio entre la importancia de la información que maneja, los
servicios que presta y el esfuerzo de seguridad requerido, en función de los
riesgos a los que está expuesto,
expuesto bajo el criterio del principio de
proporcionalidad
21
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Organización de la seguridad

Prosegur ha creado el Comité de Seguridad presidido por el

Director de Seguridad, miembro del Comité de Dirección
de la Empresa y en su composición destacan:
• Responsable del SGSI de la Dirección de Seguridad
• Responsable del área de desarrollo de Tecnologías de la Información
• Responsable
p del área de explotación
p de Tecnologías
g de la información
• Responsable de Seguridad de la Información de Tecnologías de la
Información
• Responsable de la Administración del sistema de calidad y medioambiente
• Asesoría Legal (Responsable de LOPD)
• Oficina Técnica Comercial
• Gerente de Vigilancia
• Gerente de consultoría ((Experto
p en ISO 27.000))

El Esquema Nacional de Seguridad (ENS) establece como requisito mínimo en

el Artículo 12. Organización e implantación del proceso de seguridad.
La seguridad deberá comprometer a todos los miembros de la organización.
La política de seguridad según se detalla en el anexo II, sección 3.1, deberá
identificar unos claros responsables de velar por su cumplimiento y ser
conocida por todos los miembros de la organización administrativa.

22
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Metodología y Herramientas
Prosegur realizó
P li ó ell análisis
áli i de
d riesgos
i d la
de l seguridad
id d de
d la
l
información con relación a las 3 dimensiones clásicas de la
seguridad: Confidencialidad, Integridad y Disponibilidad. El
análisis
áli i para determinar
d t i ell valor
l del
d l riesgo
i (R) ha
h incluido:
i l id
• Identificación de los activos
• Identificación de amenazas
• Determinación de la frecuencia de aparición de dichas amenazas
• Nivel de Vulnerabilidad (exposición a las amenazas)
• Impacto en el Negocio

Prosegur utiliza la herramienta Meycor, software sobre plataforma WEB, para implantar y
gestionar el plan de acción de mejora del SGSI

MAGERIT (versión
( ió 2),
2) es un método
é d formal
f l para investigar
i i l
los riesgos
i que
soportan los Sistemas de Información, y para recomendar las medidas
apropiadas que deberían adoptarse para controlarlos. Los objetivos
perseguidos
id por la
l Herramienta
H i t Pilar,
Pil gratuita
t it para la
l administración,
d i i t ió son:
• Realizar el análisis de riesgos según la metodología Magerit e ISO/IEC 27005.
• Diseño del plan de mejora de la seguridad.
seguridad

23
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
¡ Muchas
M h Gracias
G i !