Ejemplo de Implantación de un SGSI -...

Lecciones Aprendidas

Ejemplo de Implantación de un SGSI

Antonio de Cárcer [email protected]

2PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d

Agenda

Quienes somos

¿Por qué un SGSI en PROSEGUR?

Las Lecciones aprendidas

¿Quienes somos?

EL GRUPO PROSEGUR


PROSEGUR

Source: Freedonia group, DBK and Aproser 2002-2009 reports

Mexico# 3 - 10

Portugal# 1

Colombia# 2

Brazil# 1

Argentina# 1

Peru# 1

Chile# 1

Spain# 1

Romania# 2

France# 3 - 5

Paraguay# 1

Uruguay# 1

Singapore# 4

• Fundada en 1976

• La primera multinacional española del sector de seguridad

• Líder absoluto en cuota de mercado en los países dónde opera

• El tercer mayor operador global del sector

• Única del sector que cotiza en la Bolsa española

• Presencia en directa en 15 países y operaciones en más de 30

• Más de 10.000 clientes corporativos y más de 300.000 particulares y negocios

• Más de 104.000 empleados

• Fundada en 1976

• La primera multinacional española del sector de seguridad

• Líder absoluto en cuota de mercado en los países dónde opera

• El tercer mayor operador global del sector

• Única del sector que cotiza en la Bolsa española

• Presencia en directa en 15 países y operaciones en más de 30

• Más de 10.000 clientes corporativos y más de 300.000 particulares y negocios

• Más de 104.000 empleados


77.500 84.200

94.500 101.000 104.500

2006 2007 2008 2009 2010

Plantilla Mundial

Posición en el mercado internacional

1.628,40 €

1.841,80 €

2.051,70 €2.178,40 €

2.560,70 €

2006 2007 2008 2009 2010

Facturación Global(millones de Euros €)Ventas 2009

en Millones de Euros

Capitalización*

* Datos de 4 de Octubre de 2010

Tamaño del mercado mundial de seguridad: ~ 100K M E uros

186

398

579

792

2.482

2.666

3.954

790

739

1.162

2.021

6.074

2.187

7.788

en Millones de Euros

51%

1%

35%

4%

2% 1%6% Vigilancia Activa

Consultoría de Seguridad

Logistica de Valores

Tecnologías de Seguridad

Proteccion Contra Incendios

Monitorización Remota

CRA alarmas y Acudas


Productos y Servicios

Vigilancia Transporte de Fondos Sistemas de Seguridad

Automatización Efectivo Consultoría de Seguridad Prot. Contra Incendios

Las exigencias del Negocio

¿Por qué un SGSI?


Enfoque de Gestor de Riesgos Global

Financieros Crédito Reputación Operativos

CoordinaciCoordinaci óón y Gestin y Gesti óón Conjuntan Conjunta


Seguridad Básica ad-hoc

Cumplimiento Legal

Proyectos deSeguridad

Gestión de Riesgos

SeguridadGestionada

FASE I

FASE II

FASE III

FASE IV

FASE V

ENFOQUEPARCIAL

FASE VI

Madurez en la Integración de la Seguridad

SEGURIDADINTEGRAL

Física + Lógica

ENFOQUE ALNEGOCIO

Grado de Madurez Empresarial


Alto valor de los activos de Información

CSC - USAP• Nominas

• Compras

• Gestión de Activos

ERP• Contabilidad

• Gestión

• Financiero

Soporte a la Operación

NOVI-SIP2000• Provisión de

Servicio

• Facturación

CRM• Información de Cliente

• Gestión Comercial

• Gestión de los Contratos


VIGILANCIA ACTIVA

• Más de 102.000 vigilantes de seguridad en todo el mundo

• Más de 95 millones de horas de servicio realizadas en 2010

• En más de 15.000 centros de trabajo

• Un servicio fuertemente tecnificado y dependiente de las comunicaciones


Supervisión, Información y Control

Herramientas de “tiempo real” para:

• Control de presencia

• Reporte de incidencias

• Monitorización de actividad

• Interacción con el cliente

• Etc..

Sistemas de reporte Web:

• Informes de Actividad

• KPI’s de medición de calidad

• Estandarización de la actividad

• Monitorización de progreso

• Implantación rápida de nuevos procedimientos


Centros de Control y Centrales Receptoras

• 1500 Metros cuadrados

• Más de 100 operadores

• Áreas multicliente y espacios dedicados

• Más de 9000 conexiones simultaneas

Centrales Receptoras•60 en 12 países

•Más de 300.000 conexiones

•Redundantes y balanceadas

•Replicables al Centro de Control

Centro de Control Corporativo Centrales Receptoras


Servicios de Seguridad Inform ática

SEGURIDAD INFORMATICA

•Control de Accesos a sistemas

•Integridad de sistemas

•Control de comunicaciones

ANALISIS DE LOG Y CORRELACION DE EVENTOS

• Gestión y monitorización de presencia

• Acceso de aplicaciones y sistemas

• Predicción y detección del fraude

16PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d 1616

Logística de valores

•Más de 48.000 transacciones electrónicas diarias

•2.100 MM Billetes al año

•4.400 MM Monedas al Año

Gestión ATM’s•Mas de 8.100 cajeros atendidos y monitorizados

Gestión de Agencias bancarias•Previsión y planificación

•Monitorización de equipos (cajeros y recicladores)

•Petición en remoto de fondos

Gestión del efectivo para la Distribución •Entrega de cambio

•Gestión de la recaudación

•Back Office, terminales de venta e integración de sistemas

Gestión de la cadena de aprovisionamiento del efectiv o


La necesidad de un SGSI para PROSEGUR

Factores Internos

• LOPDLey Organica de Protección de Datos

• Ley de Seguridad Privada

• LSSICELey de Servicios de la Sociedad del la Inf. y del C omercio Elect.

• SEPBLACLey de Prevención de Blanqueo de Capitales

• ….

Factores Externos

• Confianza frente a clientes

• Diferenciación

• RSC

Aplicabilidad al ENS



• Delimitar el Alcance del SGSI

• Control del Apetito al Riesgo

• Organización de la Seguridad

• Metodología y Herramientas


• Confidencialidad• Integridad• Disponibilidad

SGSI ENS


Alcance del SGSI

• Dedicar el tiempo suficiente a establecer un alcance del SGSI controlable

• Una “inteligente” definición del alcance puede hacer que el proyecto de definición e implantación de un SGSI sea un proyecto alcanzable y asumible por la organización o, en caso contrario, un proyecto elefante que conduzca al desaliento de los que participan y al fracaso del mismo.

El Esquema Nacional de Seguridad (ENS) define el alcance m ínimo del SGSI a los servicios y sistemas que tratan informac ión de la Administración Pública en el ámbito de la Ley 11/200 7 (servicios a los que acceden los ciudadanos a través de medios e lectrónicos)

Un planteamiento en fases sucesivas puede facilitar la definición de un proyecto “asumible” por la organización.

El Esquema Nacional de Seguridad (ENS) define el alcance m ínimo del SGSI a los servicios y sistemas que tratan informac ión de la Administración Pública en el ámbito de la Ley 11/200 7 (servicios a los que acceden los ciudadanos a través de medios e lectrónicos)

Un planteamiento en fases sucesivas puede facilitar la definición de un proyecto “asumible” por la organización.


VIGILANCIA:

• Actividad de vigilancia presencial realizada en terceras empresas que contratan el servicio, según requisitos de cada cliente, así como el servicio de telecontrol / televigilancia de empresas prestado desde un centro de control central.

CONSULTORÍA:

• Diseño, planificación y asesoramiento de actividades relacionadas con la seguridad.

Certificación en primera mitad de 2011 para Zona Centro y Cataluña. Delegaciones: Madrid, Extremadura, Guadalajara, Albacete, Cuenca, Ciudad Real, Toledo, Barcelona, Gerona, Lleida y Zaragoza

Alcance del SGSI


Control del Apetito al Riesgo

• El apetito de riesgo es la cantidad de riesgo en un nivel amplioque una empresa está dispuesta a aceptar para generar valor.

• No hay dos organizaciones iguales

• La Norma ISO 27.000 deja en manos de cada organización el grado de inversión en la gestión del riesgo.

• El tratamiento de los riesgos deberá ser adecuado al nivel de riesgo evaluado considerando siempre la posibilidad de transferir, aceptar y evitar el riesgo

• Mitigar el riesgo suele ser una buena opción, pero también la más cara. Priorizar siempre en función del análisis del riesgo

El Esquema Nacional de Seguridad (ENS) incluye en su Artículo 43. la clasificación de los sistemas de información para “modular” el apetito al riesgo.

1. La categoría de un sistema de información, en materia de seguridad, modulará el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el criterio del principio de proporcionalidad

El Esquema Nacional de Seguridad (ENS) incluye en su Artículo 43. la clasificación de los sistemas de información para “modular” el apetito al riesgo.

1. La categoría de un sistema de información, en materia de seguridad, modulará el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el criterio del principio de proporcionalidad


Prosegur ha creado el Comité de Seguridad presidido por el Director de Seguridad , miembro del Comité de Dirección de la Empresa y en su composición destacan:• Responsable del SGSI de la Dirección de Seguridad• Responsable del área de desarrollo de Tecnologías de la Información• Responsable del área de explotación de Tecnologías de la información• Responsable de Seguridad de la Información de Tecnologías de la

Información• Responsable de la Administración del sistema de calidad y medioambiente• Asesoría Legal (Responsable de LOPD)• Oficina Técnica Comercial• Gerente de Vigilancia• Gerente de consultoría (Experto en ISO 27.000)

Organización de la seguridad

El Esquema Nacional de Seguridad (ENS) establece como requisito mínimo en el Artículo 12. Organización e implantación del proceso de seguridad.

La seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad según se detalla en el anexo II, sección 3.1, deberáidentificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.

El Esquema Nacional de Seguridad (ENS) establece como requisito mínimo en el Artículo 12. Organización e implantación del proceso de seguridad.

La seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad según se detalla en el anexo II, sección 3.1, deberáidentificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.


Metodología y Herramientas

Prosegur realizó el análisis de riesgos de la seguridad de la información con relación a las 3 dimensiones clásicas de la seguridad: Confidencialidad, Integridad y Disponibilidad. El análisis para determinar el valor del riesgo (R) ha incluido:

• Identificación de los activos

• Identificación de amenazas

• Determinación de la frecuencia de aparición de dichas amenazas

• Nivel de Vulnerabilidad (exposición a las amenazas)

• Impacto en el Negocio

MAGERIT (versión 2), es un método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlarlos. Los objetivos perseguidos por la Herramienta Pilar, gratuita para la administración, son:

•Realizar el análisis de riesgos según la metodología Magerit e ISO/IEC 27005.

•Diseño del plan de mejora de la seguridad.

MAGERIT (versión 2), es un método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlarlos. Los objetivos perseguidos por la Herramienta Pilar, gratuita para la administración, son:

•Realizar el análisis de riesgos según la metodología Magerit e ISO/IEC 27005.

•Diseño del plan de mejora de la seguridad.

Prosegur utiliza la herramienta Meycor, software so bre plataforma WEB, para implantar y gestionar el plan de acción de mejora del SGSI

¡ Muchas Gracias !

Ejemplo de Implantación de un SGSI -...

Documents

Transcript of Ejemplo de Implantación de un SGSI -...