seguritecnia 410

22 SEGURITECNIA Julio-Agosto 2014 el segundo, que se conoce como 3G ( Gate, Gun and Guard ), es una seguridad de cumplimiento. “Aquí la seguridad no se gestiona, sólo se administra, está ba� sada en medidas y es ajena al riesgo”. Las organizaciones deben tender hacia un modelo como el primero. “Es esen� cial una visión estratégica de la seguri� dad, afrontar de manera integral la ges� tión del riesgo y utilizar para ello meto� dología”, apuntó. A continuación, el directivo se cen� tró en analizar qué son los sistemas de gestión de la seguridad, clave para apli� car el primer modelo, y que se defi� nen como “la parte de sistema de ges� tión general basado en un enfoque de riesgo empresarial que se establece para la creación, implementación, con� trol y revisión de la seguridad”. Incluye la estructura organizativa, las políticas, las actividades, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. Y dentro de los sistemas de gestión de la seguridad hay varias familias y estándares, que, aun� que no son la panacea, “sí son un com� pañero imprescindible para saber qué es lo que hay que hacer en cada caso”, añadió. Seguridad en puertos Durante la siguiente conferencia tam� bién se abordó el tema de la seguridad integral. En esta ocasión, Enrique Po- lanco , socio director de Global Techno� logy 4E, se refirió al hecho de que, ante situaciones excepcionales, las autorida� des deben activar el plan de alerta de ciberseguridad de forma paralela a la seguridad física, puesto que no se pue� den separar ambos cuando es preciso enfrentarse a amenazas reales y globa� les. Así, de hecho, sucedió con la pro� clamación de Felipe VI, lo que a ojos de Polanco es un hecho “altamente loable”. Por desgracia, continuó, “es muy di� fícil encontrar en los planes de segu� ridad de cualquier empresa que, ante un evento de especial relevancia (como junta de accionistas, previsión de huel� gas o manifestaciones, etc.), se incluya entre los procedimientos de seguridad habituales algunos como cambiar las ción, la seguridad organizativa y la infor� mática, y se menciona la imposición re� glamentaria de la garantía de calidad de los servicios. “Si bien antes la seguridad era consi� derada un producto, similar a ‘hombre/ pistola’, y con la entrada de las TIC em� pezó a considerarse un departamento, dependiente de la evolución tecnoló� gica, hoy hablamos de seguridad como proceso, como parte de la dirección es� tratégica de una empresa, que se ges� tiona con unos objetivos, estándares, etc.”, explicó el directivo. Ahora bien, las organizaciones deben mejorar el modelo de madurez de la seguridad, que se puede estandarizar a través de cinco supuestos: medidas de seguri� dad, departamento de seguridad, plan de seguridad, sistema de gestión es� tandarizada y modelos de excelencia. Cada empresa se puede situar en cada una de estas etapas; pero, para García Diego, lo ideal sería estar entre el cuarto y el quinto supuesto. Durante su ponencia, el directivo también mencionó los dos puntos de vista sobre los cuales se ha de contem� plar la seguridad: estratégico y comple� mentario. El primero pretende preser� var la indemnidad de las personas y la continuidad del negocio siendo respe� tuosa con los stakeholders . Por su parte, ción de seguridad y riesgo de los mó� viles y tabletas; o un servicio antibotnet con kits de desinfección e información sobre cómo evitar las redes de ordena� dores usados de forma remota para lan� zar ataques. Por otra parte, este orga� nismo también pondrá al alcance de las Fuerzas de Seguridad del Estado la he� rramienta Evidence Detector, que faci� lita el análisis automatizado en investi� gaciones de ciberdelitos, especialmente de la pedofilia. Para finalizar su intervención, Rego se refirió a cómo el CERT de Seguri� dad e Industria ayuda a la ciberresilien� cia a través de un catálogo de servi� cios como la respuesta a incidentes, la detección proactiva o la alerta tem� prana. Asimismo, hizo hincapié en la importancia de la celebración de los ���Ci berejercicios 2014, que se celebrarán en septiembre y octubre, en los que se rea� lizan simulacros de incidentes y que ya cuentan con 18 operadores estratégicos involucrados. Por último, el directivo mencionó la propuesta de realizar un primer estudio sobre “la construcción de un marco integral de indicadores de resiliencia para empresas y adminis� traciones”, lo que permitiría “medir el grado de madurez nacional”. Estándares de gestión Con la ponencia titulada Estándares de gestión en seguridad integral se dio paso al director de Seguridad y presidente de la Asociación de Directivos de Se� guridad de Cantabria (ADISCAN), José Manuel García Diego , para hablar de la seguridad como concepto. En pri� mer lugar, el directivo quiso reivindicar el papel de los legisladores en este en� torno. Y es que, como afirmó durante su intervención, “los empresarios no tie� nen una cultura de la seguridad ni de los riesgos”. “Eso nos ha obligado a los profesionales a apoyarnos fuertemente en los legisladores. Ellos han sido los mejores aliados de la seguridad”, co� mentó para después pasar a hablar de la Ley 5/2014 de Seguridad Privada. En ella se introducen conceptos impor� tantes como el de la seguridad integral, la eficacia, la organización, la planifica� José Manuel García Diego, presidente de la Asociación de Directivos de Seguridad de Cantabria (ADISCAN).