II Encuentro de la Seguridad Integral, Seg2 2010 - Eulen Seguridad

GRUPO EULEN GRUPO EULEN GRUPO EULEN

Protección de
Infraestructuras Críticas
Un impulso a la convergencia
de la seguridad

Ricardo Cañizares Sales
Director de Consultoría
23 de junio de 2.010

Índice

• Evolución
• Antecedentes
• Protección de Infraestructuras Criticas
• Conclusiones


Evolución

Convergencia de la Seguridad

Febrero
2005


Octubre
2008


Marzo
2009


Octubre
2009


Junio
2010


A partir de
ahora …….

EL FUTURO


Antecedentes

Antecedentes

• Protección de Riesgos Laborales
• Seguridad Medioambiental
• Seguridad Alimentaria
• Protección Contraincendios
• Seguridad Privada
• La Seguridad de la Información
• …….

Seguridad de la Información

• Octubre 1992
– LORTAD
– Agencia de Protección de Datos

• Junio 1999
– Reglamento de Seguridad

14


• Diciembre 1999
– LOPD

• Diciembre 2007
– Reglamento de Desarrollo de la LOPD

Madurez y consolidación

15


• Normas
– 1995
• BS-7779
– 1998
• BS-7779-1
• BS-7779-2 (certificable)
– 2000
• ISO/IEC 17799 (BS-7779-1)

16


• Normas
– 2002
• UNE-ISO/IEC 17799
– 2004
• UNE-71502 (certificable)
– 2005
• ISO/IEC 27001 (certificable)

17


• Normas
– 2007
• ISO/IEC 27001 (certificable)
• ISO/IEC 27002
• AENOR abandona la UNE-71502

Aumentan las implantaciones de SGSI

18


• 2004
– Centro Criptológico Nacional

• 2005
– INTECO

19


• 2007
– CCN-CERT

– ENISE

20


• 2007
– Esquema de evaluación y certificación

• 2010
– Esquema Nacional de Seguridad

21


Criticas
Protección
Infraestructuras

Infraestructuras Criticas

• 2004
– Unión Europea
– Programa Europeo
de Protección de
Infraestructuras
Críticas (PECIP)


• 2007
– Acuerdo Consejo de Ministros
– Centro Nacional para la Protección de
Infraestructuras Críticas (CNPIC)
– Primer Plan Nacional de Protección de las
Infraestructuras Críticas


• 2008
– Directiva 2008/114 del Consejo de la Unión Europea
– Establece que la responsabilidad principal y última
de proteger las infraestructuras críticas europeas
corresponde a los Estados miembros y a los
operadores de las mismas y determina el desarrollo
de una serie de obligaciones y de actuaciones por
aquéllos, que deben incorporarse a las legislaciones
nacionales.


• 2010
– Borrador de Real Decreto por el que se
establecen medidas para la protección de las
infraestructuras críticas

Borrador de Real Decreto
• Infraestructuras estratégicas (IE):
– Las instalaciones, redes, sistemas y equipos físicos y
de tecnología de la información sobre las que
descansa el funcionamiento de los servicios públicos
esenciales.

• Infraestructuras críticas (IC):
– Las infraestructuras estratégicas cuyo funcionamiento
es indispensable y no permite soluciones alternativas,
por lo que su interrupción o destrucción tendría un
grave impacto sobre los servicios públicos
esenciales.

• En consecuencia, y dada la complejidad de la materia,
su incidencia sobre la seguridad de las personas y sobre
el funcionamiento de las estructuras básicas nacionales
e internacionales, y en cumplimiento de lo estipulado por
la Directiva 2008/114/CE, se hace preciso elaborar una
norma cuyo objeto es, por un lado, regular la protección
de las infraestructuras críticas contra ataques
deliberados de todo tipo (tanto de carácter físico como
cibernético)

• Los Planes Estratégicos Sectoriales estarán basados en
un análisis general de riesgos donde se contemplen las
vulnerabilidades y amenazas potenciales, tanto de
carácter físico como lógico, que afecten al sector o
subsector en cuestión en el ámbito de la protección de
las infraestructuras estratégicas.

• El Plan de Seguridad del Operador deberá
fundamentarse en un análisis de riesgos apropiado en el
que se contemplen, de una manera global, tanto las
amenazas físicas como lógicas.


• ¿Desde que punto de vista se plantea la
seguridad de las IC?

CONVERGENCIA

Sectores Estratégicos
• Administración Pública
• Espacio
• Industria Nuclear
• Industria Química
• Instalaciones de Investigación
• Energía
• Salud
• Tecnologías de la Información y las Comunicaciones
• Transporte
• Alimentación
• Sistema Financiero y Tributario

Otras Iniciativas

• ISO
– Comité TC 223
– Societal Security

• AENOR
– Subcomité CTN 196/SC1
– Continuidad de infraestructuras y servicios
críticos


Conclusiones

Conclusiones

• El modelo tradicional de la seguridad está
superado.

• Los análisis de riesgos deben contemplar de
una forma global, tanto las amenazas físicas
como lógicas.

• El modelo de convergencia es una obligación
para los operadores de infraestructuras críticas.


El siguiente paso

Modelo de Madurez

• Avanzar en la madurez de la Seguridad
Corporativa

• Dentro de un proceso de mejora continua

36

Modelo de Madurez

– Modelo de Madurez de Capacidades
CMM (Capability Maturity Model)

37

Modelo de Madurez

• CMMI
– Integración de Modelos de Madurez de
Capacidades
• ISO/IEC 21827 SSE-CMM.
– System Security Engineering Capability
Maturity Model
• People CMM
– People Capability Maturity Model
• …..
38

Modelo de Madurez

0 No-existente
1 Inicial/Ad Hoc
2 Repetible pero intuitivo
3 Proceso definido
4 Administrado y Medible
5 Optimizado

39

Modelo de Madurez
• Los incidentes de seguridad ocasionan
respuestas con acusaciones personales, debido
a que las responsabilidades no son claras.

• Los servicios prestados por terceros pueden no
cumplir con los requerimientos específicos de
seguridad de la empresa

• Los informes de seguridad no contienen un
enfoque claro de negocio


EULEN SEGURIDAD


42
Nuestro enfoque

CONVERGENCIA

Nuestras capacidades

• Inteligencia
• Conocimientos
• Metodología
• Tecnología
• Personas

43


44
Nuestra experiencia

Eulen Seguridad
• Comprometida con la
excelencia en la
prestación de servicios

honestidad y ética
profesional

Seguridad de nuestra
Sociedad

45


más de 35 años innovando
para proteger
su patrimonio
46

II Encuentro de la Seguridad Integral, Seg2 2010 - Eulen Seguridad

Recommandé

Recommandé

Contenu connexe

Plus de Ricardo Cañizares Sales

Plus de Ricardo Cañizares Sales (20)

Dernier

Dernier (20)

II Encuentro de la Seguridad Integral, Seg2 2010 - Eulen Seguridad