Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sgsi1 PDF
Sgsi1 PDF
de un SGSI
Lecciones Aprendidas
p
Antonio de Cárcer
PROSEGUR
Antonio.decarcer@prosegur.com
Agenda
Quienes somos
¿ q un SGSI en
¿Por qué
PROSEGUR?
Las Lecciones
aprendidas
2
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
¿Quienes somos?
EL GRUPO PROSEGUR
PROSEGUR
Romania
#2
France
#3-5
Spain Singapore
#1 #4
Portugal
P t l
#1
• Fundada en 1976
4
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Posición en el mercado internacional
Facturación Global
Capitalización*
Capitalización Ventas 2009 (millones de Euros €)
en Millones de Euros en Millones de Euros
2.560,70 €
3.954 7.788
2.178,40 €
2.051,70 €
1.841,80 €
2.482 6.074
792 2.021
Plantilla Mundial
398 739 104.500
101.000
94.500
84.200
186 790 77.500
2% 1%
6%
Vigilancia Activa
4%
Consultoría de Seguridad
Logistica de Valores
51%
Tecnologías de Seguridad
35% Proteccion Contra Incendios
Monitorización Remota 2006 2007 2008 2009 2010
5
PSG20101104 – ACD/Apps 1%
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Productos y Servicios
Vi il
Vigilancia
i T
Transporte
t de
d Fondos
F d Si t
Sistemas de
d Seguridad
S id d
6
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Enfoque de Gestor de Riesgos Global
7
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
¿Por qué un SGSI?
Vi il
Vigilancia
i T
Transporte
t de
d Fondos
F d Si t
Sistemas de
d Seguridad
S id d
9
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
VIGILANCIA ACTIVA
10
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Supervisión, Información y Control
Herramientas de “tiempo real” para:
• Control de presencia
• Reporte de incidencias
• Monitorización de actividad
• Interacción con el cliente
• Etc..
11
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Centros de Control y Centrales Receptoras
12
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Servicios de Seguridad Informática
SEGURIDAD INFORMATICA
• Control de Accesos a sistemas
• Integridad de sistemas
• Control de comunicaciones
13
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Gestión de la cadena de aprovisionamiento del efectivo
14
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved 14
La necesidad de un SGSI para PROSEGUR
Factores Internos
• LOPD
Ley Organica de Protección de Datos
• LSSICE
Ley de Servicios de la Sociedad del la Inf. y del Comercio Elect.
• SEPBLAC
Ley de Prevención de Blanqueo de Capitales
• ….
Factores Externos
• Confianza frente a clientes
• Diferenciación
• RSC
15
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
La evolución de la Gestión del Riesgo Corporativo
ENFOQUE
Q AL
NEGOCIO
SEGURIDAD
FASE VI INTEGRAL
Física + Lógica
Seguridad
FASE V
Gestionada
Gestión de
FASE IV
Riesgos
g
ENFOQUE
PARCIAL Proyectos de
FASE III
Seguridad
Cumplimiento
FASE II
Legal
Seguridad
FASE I
Básica ad-hoc
16
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Lecciones Aprendidas
Aplicabilidad al ENS
Lecciones Aprendidas
• Organización de la Seguridad
• Metodología
g y Herramientas
SGSI ENS
• Confidencialidad •Confidencialidad •Trazabilidad
• Integridad •Integridad •Autenticidad
• Disponibilidad •Disponibilidad
18
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Alcance del SGSI
• Dedicar el tiempo suficiente a establecer un alcance
del SGSI controlable
19
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Alcance del SGSI
• CONSULTORÍA: Diseño,
CONSULTORÍA Di ñ planificación
l ifi ió y
asesoramiento de actividades
relacionadas con la seguridad.
20
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Control del Apetito al Riesgo
• El apetito
tit de
d riesgo
i es la
l cantidad
tid d de
d riesgo
i en un nivel
i l amplioli
que una empresa está dispuesta a aceptar para generar valor.
• No hay dos organizaciones iguales
• La Norma ISO 27.000 deja en manos de cada organización el
grado de inversión en la gestión del riesgo.
• El tratamiento de los riesgos deberá ser adecuado al nivel de
riesgo evaluado considerando siempre la posibilidad de
transferir, aceptar y evitar el riesgo
• Mitigar el riesgo suele
s ele ser una
na buena
b ena opción,
opción pero también la
más cara. Priorizar siempre en función del análisis del riesgo
El Esquema Nacional de Seguridad (ENS) incluye en su Artículo 43. la
clasificación de los sistemas de información para “modular” el apetito al
riesgo.
1 La categoría de un
1. n sistema de información,
información en materia de seguridad,
seg ridad
modulará el equilibrio entre la importancia de la información que maneja, los
servicios que presta y el esfuerzo de seguridad requerido, en función de los
riesgos a los que está expuesto,
expuesto bajo el criterio del principio de
proporcionalidad
21
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Organización de la seguridad
22
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
Metodología y Herramientas
Prosegur realizó
P li ó ell análisis
áli i de
d riesgos
i d la
de l seguridad
id d de
d la
l
información con relación a las 3 dimensiones clásicas de la
seguridad: Confidencialidad, Integridad y Disponibilidad. El
análisis
áli i para determinar
d t i ell valor
l del
d l riesgo
i (R) ha
h incluido:
i l id
• Identificación de los activos
• Identificación de amenazas
• Determinación de la frecuencia de aparición de dichas amenazas
• Nivel de Vulnerabilidad (exposición a las amenazas)
• Impacto en el Negocio
Prosegur utiliza la herramienta Meycor, software sobre plataforma WEB, para implantar y
gestionar el plan de acción de mejora del SGSI
MAGERIT (versión
( ió 2),
2) es un método
é d formal
f l para investigar
i i l
los riesgos
i que
soportan los Sistemas de Información, y para recomendar las medidas
apropiadas que deberían adoptarse para controlarlos. Los objetivos
perseguidos
id por la
l Herramienta
H i t Pilar,
Pil gratuita
t it para la
l administración,
d i i t ió son:
• Realizar el análisis de riesgos según la metodología Magerit e ISO/IEC 27005.
• Diseño del plan de mejora de la seguridad.
seguridad
23
PSG20101104 – ACD/Apps
© Prosegur Cia de Seguridad S.A. – All Rights Reserved
¡ Muchas
M h Gracias
G i !