Post on 18-Jun-2015
description
SGPIC: Sistemas de Gestión para la Protección de
Infraestructuras Críticas (IC).
Gestión y Protección de IC. Mantenimiento Continuo.
Global SPIC®
Alejandro Delgado, Director de Proyectos
Introducción
Infraestructuras Críticas y su necesidad de gestión
Esta ponencia se centrará en el concepto SGPIC
SISTEMAS DE GESTIÓN
PARA LA PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS
¿Por qué crear un Sistema de Gestión?
La idea parte de la necesidad de gestionar adecuadamente las medidas técnicas
propuestas por la Ley 8/2011.
Introducción
Problemática: complejidad & tamaño
Diseñar el PSO y los PPE son tareas complejas y que requieren de un
equipo con un alto grado de conocimiento de la IC y con grandes
conocimientos técnicos.
La gran mayoría de las IC son de gran tamaño y con sistemas complejos.
La repercusión mediática en caso de error a la hora de diseñar e implementar
los planes puede ser enorme, dados los daños materiales y humanos que
pueden ocurrir.
Desarrollo
Gran cantidad de medidas técnicas
En la Ley 8/2011 y más concretamente en el Plan de Seguridad del Operador
(PSO) y en los Planes de Protección Específicos (PPE) encontramos un gran
número de medidas de seguridad que necesitaremos tener implantadas si
queremos cumplir con todos los requisitos que nos marca la Ley para una
adecuada protección de una Infraestructura Crítica (IC).
Sin embargo, es sabido que las medidas técnicas no son suficientes para
conseguir un grado de protección adecuado y así lo resalta el PSO en su
apartado 2.2.3 “Modelo de Gestión Aplicado”.
Desarrollo
Modelo de Gestión Aplicado
¿Qué persigue este apartado?
Sin nombrarlo específicamente lo que pretende es montar un SISTEMA DE
GESTIÓN en torno a la IC y las medidas de seguridad técnicas que hayamos
implementado.
El propio PSO lo justifica de la siguiente manera:
“La seguridad integral depende de un proceso de gestión integral que
debe aportar el control organizativo y técnico necesario para determinar en
todo momento el nivel de exposición a las amenazas y el nivel de protección
y respuesta que es capaz de proporcionar la organización para la protección
y seguridad de sus servicios esenciales e Infraestructuras Críticas”.
Desarrollo
Modelo de Gestión Aplicado
Y continúa diciendo:
“Por tanto, de acuerdo con esta política de seguridad, el Operador Crítico
deberá recoger dentro del PSO su modelo de gestión, que deberá contemplar
al menos, los siguientes aspectos:
•Una implementación de controles de seguridad acorde con las prioridades
y necesidades evaluadas.
•Una evaluación y monitorización periódica de seguridad”.
Desarrollo
Modelo de Gestión Aplicado
Son conceptos claros de SISTEMA DE GESTIÓN aunque en ningún momento
se exija explícitamente.
En el PPE también encontramos más medidas encaminadas a la Gestión:
• Realizar un análisis y una gestión de riesgos (ya especificado en el
PSO).
• Revisarlo de manera bienal o cuando se produzcan cambios.
• Delegados de seguridad y mecanismos de coordinación.
• Procedimientos para la realización, gestión y mantenimiento de
activos.
• Procedimientos de formación, concienciación y capacitación.
• Procedimientos operativos para la monitorización, supervisión y
evaluación/auditoría de los activos físicos y lógicos.
• Procedimientos de gestión de accesos.
• Procedimientos de gestión y respuesta de incidentes.
Desarrollo
Modelo de Gestión Aplicado
¿Qué nos quieren decir el PSO y el PPE?
Medidas técnicas
Gestión
Seguridad
Desarrollo
Implantar un Sistema de Gestión en una IC
Tenemos muchos marcos de referencia en los que basarnos, donde la
experiencia positiva de la implantación de un sistema de gestión para
controlar y mejorar las medidas técnicas nos puede valer como guía.
Los más relacionados con lo exigido por la Ley 8/2011 son:
• ISO 27001: sistemas de gestión de seguridad de la información.
• ISO 20000: sistemas de gestión de servicios (TI).
• BS 25999: sistemas de gestión de continuidad de negocio. Futura ISO
22301.
¿Por qué estos estándares y no otros?
Desarrollo
Implantar un Sistema de Gestión en una IC
Todos comparten la misma filosofía
Sistema de Gestión
Medidas Técnicas
Medidas Organizativas
Desarrollo
Implantar un Sistema de Gestión en una IC
Tienen muchísima relación con la Protección de IC
Tanto en el PSO como en los PPE se hace mención a:
• Realizar un análisis y gestión de riesgos -> ISO 27001.
• Gestionar adecuadamente los servicios -> ISO 20000.
• Realizar y probar planes de continuidad de negocio -> BS 25999.
Adoptar sus marcos de trabajo nos aportará múltiples beneficios al usar métodos
de trabajo contrastados y con experiencia en todo tipo de organizaciones.
Todos adoptan el ciclo PDCA (ciclo de Deming) de mejora continua.
Desarrollo
Ciclo de Implantación de un SGPIC
•Revisión del SG.
•Cuadro de mando.
•Auditoría interna.
•Validación del SG.
•Mediciones.
•Revisión por Dirección.
•Gestión No Conformidades, acciones preventivas y correctivas.
•Implantación de Mejoras.
•Implementación de PSO y PPE.
•Implementación de procesos.
•Implementación de controles.
•Formación y concienciación.
•Planificación del proyecto.
•Grupo de Trabajo.
•Alcance.
•Políticas.
•Planes, PSO y PPE.
•Análisis de Riesgos.
•BIA
PLAN DO
CHECK ACT
Desarrollo
Implantar un Sistema de Gestión en una IC
Vamos a conseguir grandes beneficios con este enfoque
Un sistema de gestión provee un entorno de control sobre todo aquello que
hayamos implementado, articulando procedimientos formales de revisión y
monitorización.
Seremos proactivos, anticipándonos a la ocurrencia de incidentes gracias a
los datos aportados por el sistema de gestión.
Seremos más eficaces y eficientes a la hora de resolver incidentes gracias a
la información recopilada sobre otros incidentes similares.
Desarrollo
Implantar un Sistema de Gestión en una IC
Vamos a conseguir grandes beneficios con este enfoque
Mantenimiento continuo: tan importante es desarrollar e implementar
correctamente los planes definidos como mantenerlos actualizados en el
tiempo.
Los sistemas cambian y las amenazas también, por lo que todos los
aspectos de revisión del sistema que nos propone un sistema de gestión
basado en el ciclo PDCA cobran gran importancia.
Las revisiones periódicas, el cuadro de mando y las auditorías bienales
persiguen este objetivo.
Desarrollo
Interrogantes sobre un buen Sistema de Gestión en una IC
¿De qué serviría un plan de continuidad de negocio que hace referencia a
sistemas que ya no existen?
¿Estaríamos haciendo bien nuestro trabajo si cada vez tardamos más en resolver
incidencias?.
¿Estaríamos siendo eficientes si cada vez incurrimos en más costes para
gestionar la protección de nuestra infraestructura?.
¿Sería útil que nuestro análisis de riesgos contemplase amenazas que ya fueron
gestionadas o que incluso ya no existen al haber cambiando nuestros sistemas?
Desarrollo
Interrogantes sobre un buen Sistema de Gestión en una IC
¿Qué sensación tenemos una vez implantado nuestro SGPIC?
¿Grandes medidas técnicas de protección?
¿Ambiente de control?
¿Tenemos por fin todo medido y registrado?
¿Tenemos información suficiente para mejorar de manera objetiva nuestros
niveles de protección?
Todas estas preguntas debería tener siempre respuestas positivas.
Desarrollo
¿Cómo abordar el proyecto?
En la medida de lo posible, se recomienda el uso de herramientas que
automaticen las tareas que se deben desarrollar.
Son proyectos extensos y abordarlos de manera “artesanal” lo único que
conseguirá será incurrir en más costes, más tiempo y tener una visión de
complejidad que no se corresponde con la realidad.
Como hemos visto tiene mucha relación con estándares que ya están
consolidados en el mercado, por lo que es lógico aprovechar ese saber hacer y
la experiencia en proyectos de ese tipo.
Desarrollo
¿Cómo abordar el proyecto?
Al ser proyectos con mucho carácter técnico, en el equipo de trabajo es
recomendable implicar a personal del departamento de TI.
Contar con ayuda externa –consultores que nos den la visión de cómo se ha
resuelto el problema en otras organizaciones- puede ser de gran utilidad en ciertas
partes del proyecto.
Dividir el proyecto en fases crecientes de dificultad ayuda a lanzarlo y que no
decaiga nada más comenzar.
No son proyectos que necesiten presupuestos desorbitados, ya que gran parte
del trabajo técnico está hecho, sólo hay que aplicarle una capa de gestión.
Conclusiones
Concepto de SGPIC
Es la suma de Sistema de Gestión + Protección de Infraestructura Crítica
SG PIC SGPIC
Conclusiones
Concepto de SGPIC
La gestión, por sí sola, aporta más ventajas que las medidas técnicas de manera
aislada.
Dentro de la gestión, los procesos de revisión, actualización y mejora son los
más importantes a la hora de mantener el SGPIC vigente.
Tenemos estándares de reconocido prestigio que cubren la mayoría de los
requisitos pedidos por la Ley 8/2011 para la Protección de las IC.
Usando herramientas que automaticen ciertos procesos (análisis de riesgos o
BIA, por ejemplo) el proyecto se reduce en tiempo, coste y complejidad. No se
debe hacer de manera “artesanal”.
Herramientas GlobalSuite
Introducción
GlobalSuite es la herramienta gracias a la cual podrá implantar y mantener cualquier Sistema de
Gestión basado en las normas ISO 27001, ISO 20000, BS 25999/UNE 71599, Esquema Nacional de
Seguridad (ENS), Ley de Protección de Datos (LOPD), etc. Ahora también con los requisitos para
ayudar a la implantación y mantenimiento de SGPICs (Sistemas de Gestión para la Protección de
Infraestructuras Críticas).
GlobalSuite permite implantar y gestionar sistemas de gestión ya sea de manera individual así
como ampliarlos a otros sistemas de manera integrada. Cumple también con el ciclo de gestión
PDCA de otros estándares como ISO 9001, ISO 14001, etc. permitiendo su llevanza de manera
integrada con los anteriores o bien de manera separada.
GlobalSUITE : : Modelado de Procesos de Negocio
GlobalSUITE : : Modelado de Árbol de Activos
GlobalSUITE.:. Análisis .:. Gestión de Riesgos
GlobalSUITE . : : . BIA
GlobalSUITE . : : . RTOs y RPOs
GlobalSUITE . : : . Plan de Gestión de Incidentes
GlobalSUITE . : : . Plan de Continuidad
GlobalSUITE . : : . Activación del Plan de Continuidad
Más información
MADRID – BARCELONA – CIUDAD REAL
info@audisec.es – 902 056 203
Visítenos en nuestra web www.audisec.es