COLOMBIA Cartagena, D.T. Octubre 8 de 2004 Security: una necesidad sentida de las empresas...
35
COLOMBIA COLOMBIA Cartagena, D.T. Octubre 8 de 2004 Security: una necesidad sentida de las empresas adherentes. Código de Security. Ing. Juan Carlos Duque PLENARIA DE COORDINADORES
-
Upload
sara-garzon -
Category
Documents
-
view
219 -
download
0
Transcript of COLOMBIA Cartagena, D.T. Octubre 8 de 2004 Security: una necesidad sentida de las empresas...
COLOMBIACOLOMBIA
Cartagena, D.T. Octubre 8 de 2004
Security: una necesidad sentida de las empresas adherentes. Código de Security.
Ing. Juan Carlos Duque PLENARIA DE COORDINADORES
Security: una necesidad sentida de las empresas adherentes. Código de Security.
Ing. Juan Carlos Duque PLENARIA DE COORDINADORES
Ing. JCD Página 2
Implementación del código Security para dar
respuesta a las necesidades de las
empresas adherentes, desarrollar la gestión
integral de riesgo y aumentar el
posicionamiento de RI
Implementación del código Security para dar
respuesta a las necesidades de las
empresas adherentes, desarrollar la gestión
integral de riesgo y aumentar el
posicionamiento de RI
Ing. JCD Página 3
Código de SecurityCódigo de Security Este código esta diseñado para ayudar a las
empresas a mejorar continuamente su desempeño en security usando un enfoque basado en riesgo para identificar, revisar y manejar vulnerabilidades, prevenir o mitigar incidentes, aumentar el entrenamiento y la capacidad de respuesta, y mantener y mejorar las relaciones con las partes interesadas
Ing. JCD Página 4
AntecedentesAntecedentes Creciente importancia del tema tanto a
nivel nacional como internacional En algunos países (Brasil y España) se han
incorporado parte de las exigencias del código de security en otros códigos. En evaluación Chile.
En otros (EUA, Argentina y Uruguay) se ha adoptado el código de security.
Necesidad sentida de algunas empresas adherentes de adoptar un sistema de gestión para el tema security.
Ing. JCD Página 5
Encuesta realizada Sep.2004Encuesta realizada Sep.2004 Número de respuestas recibidas (sep.06.2004):
34 empresas Su organización identifica, tiene planes y/o
desarrolla actividades en temas de security:Todas
La empresa considera o ha considerado conveniente abordar el tema security como parte de un programa estructurado corporativoSi 26 (76,5%) No 7 (20,6%)
Estaría de acuerdo en incluir en el proceso de Responsabilidad Integral prácticas de security?Si 27 (79,4%) No 6 (17,6%)
Ing. JCD Página 6
Código 7. SecurityCódigo 7. Security
1. Compromiso del Liderazgo. 2. Análisis de Amenazas, Vulnerabilidades y
Consecuencias. 3. Implementación de Medidas de Security. 4. Información y Cyber-Security. 5. Documentación de los programas, procesos y
procedimientos gerenciales de security. 6. Entrenamiento, simulacros y dirección. 7. Comunicaciones, diálogo e intercambio de información. 8. Respuesta a amenazas de la security. 9. Respuesta ante incidentes de security. 10. Auditorias. 11. Verificación por parte de Terceros. 12. Manejo del cambio. 13. Mejora Continua.
Ing. JCD Página 7
Prácticas Security vs CPG´sPrácticas Security vs CPG´sExigencia código security Elemento
nuevoAmpliar
cobertura CPG´s
1. Compromiso del Liderazgo No Si2. Análisis de Amenazas,
Vulnerabilidades y ConsecuenciasNo Si
3. Implementación de Medidas de Security.
Si Si
4. Información y Cyber-Security. Si Si5. Documentación de los programas,
procesos y procedimientos gerenciales de security.
No Si
6. Entrenamiento, simulacros y dirección.
No Si
7. Comunicaciones, diálogo e intercambio de información.
No Si
Ing. JCD Página 8
Exigencia código security Elemento nuevo
Ampliar cobertura
CPG´s8. Respuesta a amenazas de la security. No Si9. Respuesta ante incidentes de security. No Si10. Auditorias. No Si11. Verificación por parte de Terceros. No Si12. Manejo del cambio. No Si13. Mejora Continua No Si
Prácticas Security vs CPG´s
Prácticas Security vs CPG´s
Ing. JCD Página 9
ObjetivosObjetivos Desarrollar y mejorar el nivel de
implementación de las prácticas de protección integral en las empresas adherentes
Dar respuesta a las necesidades de desarrollar un sistema de gestión de protección integral en algunas empresas adherentes
Ampliar y fortalecer la gestión integral del riesgo en salud, seguridad, ambiental, distribución y transporte, seguridad física, información y control de cambios
Ing. JCD Página 10
Código 7. SecurityCódigo 7. Security
1. Compromiso del Liderazgo. 2. Análisis de Amenazas, Vulnerabilidades y
Consecuencias. 3. Implementación de Medidas de Security. 4. Información y Cyber-Security. 5. Documentación de los programas, procesos y
procedimientos gerenciales de security. 6. Entrenamiento, simulacros y dirección. 7. Comunicaciones, diálogo e intercambio de información. 8. Respuesta a amenazas de la security. 9. Respuesta ante incidentes de security. 10. Auditorias. 11. Verificación por parte de Terceros. 12. Manejo del cambio. 13. Mejora Continua.
Ing. JCD Página 11
Compromiso del Liderazgo. El compromiso de la alta gerencia con la mejora continua a través de la publicación de políticas, provisión de recursos suficientes y debidamente calificados y establecer responsabilidad. El compromiso de la industria química con security comienza arriba. Este elemento pide que los lideres de las empresas demuestren un claro compromiso con sus palabras y acciones, desde la casa matriz hasta las instalaciones.
1.Compromiso del liderazgo.1.Compromiso del liderazgo.
Ing. JCD Página 12
1: Compromiso del liderazgo.1: Compromiso del liderazgo.Las principales políticas que deben ser establecidas, ya sea a nivel de la planta o de la compañía son:
Control de accesoUso de alcohol y drogasViolencia, amenazas, intimidación y otros trastornosArmas en poder de los empleados Selección previa al empleoProtección de la informaciónInspección de cofresInforme de incidentes y amenazasRespuesta a amenazas de bombas y paquetes sospechososÉtica (requerimiento de informar violaciones, etc.)
Ing. JCD Página 13
2. Análisis de Amenazas, Vulnerabilidades y
Consecuencias.
2. Análisis de Amenazas, Vulnerabilidades y
Consecuencias. Priorizacion y análisis periódico de potenciales
amenazas de security, vulnerabilidades y consecuencias usando metodologías aceptadas. Utilizando herramientas y métodos generalmente aceptados, las compañías conducirán análisis para identificar como pueden mejorar su security. Este proceso será aplicado usando herramientas y métodos generalmente aceptados, conduciendo análisis para identificar la mejor forma de abordar security. Las empresas también utilizaran herramientas para analizar la security de la venta de productos, distribución y ciberespacio. Estos análisis iniciales serán conducidos con una programación agresiva y luego deberán conducirse en forma periódica y sistemática.
Ing. JCD Página 14
2. Análisis de Amenazas, Vulnerabilidades y Consecuencias.
2. Análisis de Amenazas, Vulnerabilidades y Consecuencias.
Sabotaje Ataque cibernético Violencia en
lugares de trabajo
Robos Fraudes Infiltración Terrorismo químico
o biológico
Asalto Vandalismo
Amenaza de bombas
Robo de información confidencial
Alteración de productos
Interrupción de sistemas de enfriamiento para cuartos de equipos electrónicos, electricidad, teléfonos, agua, etc.
Ing. JCD Página 15
3. Implementación de medidas de security
3. Implementación de medidas de security
Las empresas tomaran acción cuando se identifiquen y anticipen riesgos potenciales de security. Estas acciones pueden incluir la implementación de medidas adicionales de security para proveer una mayor protección a las personas, la propiedad, productos, procesos, información y sistemas de información. En la planta, estas acciones pueden incluir la instalaciones de nuevas barreras físicas, modificación a los procesos de producción o sustitución de materiales. En venta de productos y distribución, las acciones pueden incluir medidas tales como nuevos procedimientos para proteger el comercio por Internet o investigación adicional sobre los proveedores de servicio de transporte
Ing. JCD Página 16
Control de acceso Control de uso de alcohol y drogas Violencia, amenazas, intimidación y otros trastornos Control de armas en poder de los empleados Selección previa al empleo Protección de la información Inspección de cofres Informe de incidentes y amenazas Respuesta a amenazas de bombas y paquetes
sospechosos Ética (requerimiento de informar violaciones, etc.)
3. Implementación de medidas de security
3. Implementación de medidas de security
Ing. JCD Página 17
4. Información y Cybersecurity
4. Información y Cybersecurity
Las redes y los sistemas de información son tan críticos para el éxito de una compañía como sus sistemas de la fabricación y de distribución. Consideración especial debe darse a los sistemas que apoyan el comercio electrónico (“e-commerce”), el gerenciamiento del negocio, telecomunicaciones y controles de proceso. Las acciones pueden incluir controles adicionales para la detección de intrusos que intenten accesar las redes de voz y datos, la verificación de las prácticas de la security de la información aplicadas por los asociados con conexión digital y nuevos controles en el acceso a los sistemas de control de proceso digitales en nuestras instalaciones.
Ing. JCD Página 18
Protección de información hablada Protección de documentos Protección de computadoras y redes
Práctica 4: Información y Cybersecurity. Práctica 4: Información y Cybersecurity.
Ing. JCD Página 19
Protección de computadoras y redes Protección de computadoras y redes Cuartos de computadora físicamente seguros,
centros de control de motores, cuartos – archivo idealmente con sistemas electrónicos o biométricos, que registren entradas y salidas.
Emplear “fire walls”, protección de virus, encriptado, identificación del usuario y usar
autentificación de usuarios y mensajes para proteger el cuarto de la computadora principal y todas las redes secundarias, tales como sistemas de control de acceso, que están conectados a la misma o a su exterior.
Enseñar a los empleados a estar atentos al uso de artimañas para obtener las
contraseñas de su computadora. Requerir al administrador del sistema que inhabilite
todo el software de conexión a INTERNET que puede venir incluido en los sistemas
operativos.
Ing. JCD Página 20
Dejar que los principios de “acceso menor”, “necesidad de saber” y “separación de funciones” guíen la determinación de las autorizaciones del usuario, más bien que su posición o precedente.
Si es posible, coloque el cuarto de computación por encima de la planta baja del edificio, para reducir la probabilidad de los robos o daños por el agua (proveniente de combate contra incendio, rotura de cañerías o inundaciones). El cuarto de computación no debe estar adyacente a una pared exterior.
No colocar carteles indicando la ubicación de las instalaciones de computación.
Equipar el cuarto de computación con suficientes medios de comunicación para facilitar una información rápida en caso de emergencia.
Permitir solo a personas autorizadas la entrada a cuartos centrales de computación.
No entregar llaves o combinaciones de cerraduras a visitantes.
Requerir que los empleados notifiquen a la gerencia, con anticipación si ellos deben entrar a las instalaciones de computación, durante horas que no está programado trabajar.
Ing. JCD Página 21
5. Documentación5. Documentación
Para sostener un programa de security constante y confiable en el tiempo, las compañías documentarán los elementos claves de su programa. La consistencia y la confiabilidad darán como resultado un lugar de trabajo y una comunidad más seguros.
Ing. JCD Página 22
6. Entrenamiento, simulacros y dirección
6. Entrenamiento, simulacros y dirección
A medida que se desarrollan prácticas eficaces de security, las compañías realzan el conocimiento y las capacidades en security con el entrenamiento, los simulacros y la dirección. Este compromiso va mas más allá de los empleados y de contratistas para incluir otros, cuando sea apropiado, por ejemplo distribuidores de productos o entidades de respuesta a emergencias. Este tipo de trabajo conjunto mejora nuestra capacidad de disuadir y de detectar incidentes mientras que consolida nuestra capacidad total de security.
Ing. JCD Página 23
Los empleados y contratistas deben servir como los ojos y oídos del esfuerzo de protección de toda la compañía.
El alerta y el entrenamiento pueden transformar a estas personas en sistemas de vigilancia naturales.
Reforzar las prácticas existentes, tales como: Cierre con llave de puertas Observación e informe de paquetes sospechosos Inquirir a personas que no lleven su tarjeta
identificatoria Uso de passwords en las computadoras. Reforzar el entrenamiento mediante recordatorios
por E-mail, charlas, carteles, avisos, videos, panfletos, posters, etc.
6. Entrenamiento, simulacros y dirección. 6. Entrenamiento, simulacros y dirección.
Ing. JCD Página 24
7. Comunicaciones, diálogo e intercambio de información. 7. Comunicaciones, diálogo e intercambio de información.
La comunicación es un elemento clave en la mejora de la security. Mantener canales de comunicación abierto y eficaces incluye pasos tales como compartir prácticas eficaces de security con otros a través de industria y mantener la interacción con los funcionarios y entidades oficiales. Al mismo tiempo, las compañías entienden que su papel es proteger a sus empleados y a las comunidades donde funcionan, mientras que salvaguardan la información que podría significar una amenaza si cayese en las manos incorrectas.
Ing. JCD Página 25
8. Respuesta a amenazas de la security
8. Respuesta a amenazas de la security
Las compañías toman muy en serio las amenazas físicas y cibernéticas. Ante tales amenazas, las compañías evaluarán puntualmente la situación y responderán. Las amenazas verdaderas y creíbles serán divulgadas y comunicadas al personal de la compañía y a oficiales de la ley, tal como sea apropiado.
Ing. JCD Página 26
9. Respuesta ante incidentes de security
9. Respuesta ante incidentes de security
Las compañías se mantendrán vigilantes en sus esfuerzos por disuadir y detectar cualquier incidente de security. Sin embargo, si ocurre un incidente la compañía responderá e involucrará puntualmente las entidades gubernamentales tal como sea apropiado. Después de investigar el incidente, la compañía incorporará los aprendizajes claves, y si lo considera, los compartirá con otras agencias de la industria y el estado e implementara las acciones correctivas a que haya lugar.
Ing. JCD Página 27
Archivar información de los incidentes de protección
Establecer varios canales para el informe del incidente. Por ejemplo, pueden decidir divulgar el N° de teléfono y el E-mail de la persona a cargo de la protección. Algunas compañías han establecido canales por los cuales los empleados puedan expresar sus sospechas en forma anónima.
Puede ser útil hacer obligatorio para los empleados informar los incidentes de protección.
9. Respuesta ante incidentes de security.
9. Respuesta ante incidentes de security.
Ing. JCD Página 28
Continuación…Continuación…
Medidas de Respuesta a Emergencias:Desarrollar un plan de respuesta en emergencias que se ajuste a las necesidades de la planta y a sus recursos.Desarrollar un sistema para el recuento de empleados y visitantes durante la emergencia.Controlar el incidente de manera que la evidencia sea preservada para investigaciones posteriores.Desarrollar un sistema de comunicaciones en caso de crisis para el personal clave y el grupo de protección, de tal manera que ellos puedan (1) dar señales de ayuda subrepticiamente cuando sea necesario, (2) controlar un pequeño incidente para evitar que se convierta en uno grande y (3) contactar otros grupos claves fácilmente durante la crisis
Ing. JCD Página 29
10. Auditorias 10. Auditorias Las compañías determinarán periódicamente
sus programas de security y los procesos necesarios para asegurar que esos programas y procesos están adecuadamente implementados y se tomara las acciones correctivas a que haya lugar. En circunstancias que lo ameriten, estas revisiones también aplicaran a los programas y procesos de otras compañías con las cuales la empresa tenga negocios tales como proveedores químicos, proveedores de servicios logisticos o clientes.
Ing. JCD Página 30
11. Verificación por parte de Terceros
11. Verificación por parte de Terceros
Las compañías analizarán el security de sus instalaciones, identificarán cualquier medida de security necesaria, pondrán esas medidas en ejecución y harán revisiones vs. esas medidas. Para ayudar al publico a tener confianza en la security de nuestras instalaciones, las compañías invitarán a terceros con credibilidad – tales como bomberos, oficiales de la ley, interventores del seguro y/o oficiales gubernamentales - que confirmen que las compañías hayan implementado las medidas de security físicas a las que se han comprometido. Además, las compañías deben consultar con estas mismas entidades y personas cuando se consideren y/o implementen medidas adicionales de security.
Ing. JCD Página 31
12. Manejo del cambio. 12. Manejo del cambio. La evaluación y el manejo de asuntos de security
asociados con los cambios que involucran las personas, la propiedad, productos, procesos, la información o sistemas de información. Nuestros empleados así como nuestros procesos contribuyen a, y se apoyan en cambios e innovaciones a productos y tecnologías. Al considerar cualquier cambio, las compañías evaluaran y revisarán asuntos de security que puedan presentarse. Esto puede incluir cambios tales como nuevas asignaciones del personal para la instalación de nuevos equipos de proceso o software o hardware
Ing. JCD Página 32
13. Mejora Continua 13. Mejora Continua Nuestro compromiso con la security llama para que
las compañías busquen la mejora continua en todos nuestros procesos de security. Puesto que las prácticas para manejar security evolucionan, se anticipa que los programas y las medidas de security de la compañía tecnología evolucionen también reflejando los nuevos conocimientos y tecnología. Continuamente las compañías harán seguimiento, mediciones y se enfocaran en el mejoramiento de esfuerzos para mantener la security de las personas, propiedad, productos, procesos, información y sistemas de información cada día en un nivel mas alto.
Ing. JCD Página 33
Hacer lo siguiente, a intervalos apropiados.Actualizar la evaluación de riesgos y las auditorías a planta.Revisar el nivel de cumplimiento del personal y contratistas con los procedimientos de protección.Establecer una rutina de control y mantenimiento de los sistemas de protección (tales como control de acceso, detección de intrusos y vigilancia televisiva).
13. Mejoramiento Continuo. 13. Mejoramiento Continuo.
Ing. JCD Página 34
Las compañías compartirán la información sobre prácticas eficaces de security en la industria y con profesionales externos calificados en security. Las compañías continuarán ampliando el conocimiento y el compromiso con las prácticas de security realizadas a través de la cadena de valor de la industria química.
El Consejo Americano de la Industria Química continuará proporcionando dirección, incluyendo ejemplos de prácticas eficaces de security de sus miembros, ayudandoles en la implementación de este código; hará revisiones periódicas, emitiendo una nueva revisión de la guiá cuando sea apropiado.
Debido a que el desarrollo y los cambios que se presentan en los asuntos de security son tan rápidos, el Consejo Americano de la Industria química valorará el Código de Security, sus Prácticas Gerenciales y el programa de implementación a los 2 años de implementado o antes si lo considera necesario
Ing. JCD Página 35
RecursosRecursosRequiere acompañamiento y apoyo a las empresas
adherentes por parte del Proceso de RI
Se cuenta con:
el apoyo y la experiencia del proceso a nivel internacional (ICCA, CEFIC, FEIQUE, ABIQUIM, ASIQUIM, CIQYP y otros)
experiencia de algunas empresas adherentes en la implementación de actividades de security
sinergia con los cuerpos de seguridad (policía), la promoción institucional para conformar frentes de seguridad entre empresas (comités de ayuda mutua) y la certificación BASC
Instancias de participación para coordinadores a nivel nacional y regional
