MONOGRÁFICO

Seguridad Integral
La convergencia en un
mundo interconectado

Sistemas, productos, servicios, tecnologías,

dispositivos, riesgos, amenazas, normativas... todo se
une, todo se integra, se mezcla, e Internet hace que lo
físico y lo virtual confluyan. La seguridad física hoy
se sostiene en sistemas electrónicos e informáticos.
Por su parte, la seguridad lógica necesita de la
seguridad tradicional para completar su protección.
Es el momento de compartir una misma visión y seguir
una sola dirección, la de la seguridad global.

Sumario:
n La creación de una industria potencial
n Visión y evolución de un sector prometedor INTECO
n Entrevista a José Luis Rodríguez Machón, director general de TELEFÓNICA INGENIERÍA DE SEGURIDAD
n El Plan Director de Seguridad Corporativa EULEN
n Sistemas de Gestión de la Seguridad, basados en modelos ISO APPLUS+
n Adquisición de datos y control de supervisión AUDEA SEGURIDAD DE LA INFORMACIÓN
n El nuevo concepto de 'Seguridad e Inteligencia' S21SEC
n Breve análisis del estado de la cuestión ALIENTVAULT
 convergencia
monográfico
La creación de una
industria potencial
Llega la hora de que la seguridad lógica y
la seguridad tradicional estrechen las manos
La futura obligación
de los países miembros
de la UE de proteger
sus infraestructuras
críticas ofrece un
papel protagonista a
la seguridad en todos
sus aspectos, que
previsiblemente se
extenderá, por fin, a todos
los ámbitos de la sociedad.
Tx: Mercedes Oriol Vico.
Ft: Getty Images.
A nadie nos pasa desapercibido que, con
la llegada de Internet y, sobre todo, con el
uso masivo de la Red, la vida nos ha cam-
biado radicalmente, no solo en el aspecto
personal y social, sino también, y de
manera significativa, en los procesos de
trabajo. Organizaciones, empresas e ins-
tituciones, privadas y públicas, de todos
y cada uno de los sectores y segmentos
industriales; gobiernos en todos sus nive-
les, y estados; comunidades científicas,
educativas, universitarias e investigado-
ras; cuerpos y fuerzas de seguridad...,
están viviendo esta transformación.
Este giro antropológico llega a todos,
incluso a los criminales, que no dudan en
cometer sus fechorías tradicionales por
medio de las más sofisticadas tecnologías.
Y lo que es peor, de la combinación de los
saberes más clásicos con los conocimien-
tos más avanzados. Así que ya no se trata
de protegernos frente a amenazas físicas
o ataques cibernéticos, sino de conseguir
una seguridad bajo una perspectiva total,
integral, única. Un nuevo planteamiento
52 red seguridad marzo 2009
que abarque la protección y defensa ante
amenazas tecnológicas, catástrofes natu-
rales y provocadas por el ser humano, así
como ante la gran lacra del terrorismo.
En esta línea, por la que muchos luchan
ya, el Consejo Europeo solicitó, en junio
de 2004, la elaboración de una estrategia
global para mejorar la protección de infra-
estructuras críticas. Desde entonces, se
han ido dando pasos en este sentido: el
Libro Verde sobre un Programa Europeo
para la Protección de Infraestructuras
Críticas (PEPIC) (noviembre de 2005); el
PEPIC (desde diciembre de ese mismo
año); hasta que el pasado 8 de diciem-
bre, el Consejo Europeo (CE) aprobó la
Directiva 2008/114, sobre la identificación
y designación de Infraestructuras Críticas
Europeas (ICE) y la evaluación de la nece-
sidad de mejorar su protección.
Esta normativa comunitaria obligará
a los sectores de energía y transporte
a cumplir nuevas pautas de seguridad
antes del 12 de enero de 2011, que serán
extensibles a otros sectores.
Dos aspectos serán claves, a partir
de ahora: el procedimiento del Plan de
Seguridad del Operador (PSO), que iden-
tificará los elementos infraestructurales
críticos de las ICE y las soluciones de
seguridad que existen o se están aplican-
do para su protección; y el responsable
de enlace para la seguridad, que ejercerá
la función de punto de contacto para
cuestiones de seguridad entre el propie-
tario u operador de la ICE y la autoridad
competente del Estado miembro.
Este gran avance transnacional en
Seguridad es el que llevan planteando
muchas compañías como estrategia de
Seguridad Corporativa, como las empre-
sas e instituciones que colaboran en este
monográfico y las que participarán en el
"I Encuentro de la Seguridad Integral",
que celebrará Editorial Borrmart durante
los próximos 25 y 26 de marzo, en el
convencimiento de que estamos en el
inicio de creación de la gran industria de
la Seguridad.
Y para finalizar con buen sabor de boca
y otro dato que argumenta nuestro razona-
miento, apuntar que un reciente estudio de
IDC e IBM estima que el negocio para ges-
tionar la convergencia entre infraestructu-
ras tecnológicas y físicas alcanzará los
122.000 millones de dólares en 2012.
especial

VISIÓN Y EVOLUCIÓN DE UN SECTOR PROMETEDOR
La seguridad:
hacia una sola dirección
La protección de los activos de una
empresa involucra actual y necesaria-
mente a las tecnologías de la informa-
ción, pero también tiene que ver con
la aplicación de las restricciones más
clásicas desde el punto de vista físi-
co, desde la denegación del acceso a
determinadas áreas de las instalaciones,
pasando por la ubicación de personal
de control y seguridad en los accesos,
hasta la grabación de los movimientos
de nuestro personal o de las visitas en
los distintos recintos y dependencias de
nuestras oficinas.
Existen tres grandes problemas en la
forma de tratar la seguridad desde un
punto de vista global:
• No se tiene conciencia empresarial
de que sea una política abarcable de
forma integral, y que por lo tanto impli-
caría poder disponer de una infraestruc-
tura necesaria para poder desarrollarla e
implementarla, algo en lo que muchas
empresas no pueden o desean invertir.
• Las dos grandes áreas que atien-
den a la seguridad física y la lógica
operan de manera independiente, con
procesos, recursos y presupuestos
independientes.
• Los proveedores de los recursos
necesarios (personal y TI) son de dos
mundos, hoy por hoy disjuntos, aunque
hay tecnología y formación suficientes
para llevar a cabo dicha integración.
El primer problema es una falla habi-
tual en las grandes y pequeñas com-
pañías, una falla que se produjo hace
especial
Marcos Gómez
Hidalgo
Subdirector de eConfianza
del Instituto Nacional
de Tecnologías de la
Comunicación (INTECO)
ya varios años con otras problemáticas
como la gestión de la calidad o la
de gestión de riesgos laborales, que
actualmente ya está en fase de integra-
ción con los procesos más operativos
de las empresas y que hoy ofrece unos
indicadores incontestables de retorno
de la inversión.
Esta falla se suele producir en las
grandes compañías por una falta de
transferencia de información entre los
grandes departamentos que la integran
y que dificulta una implementación sóli-
da de los procedimientos, una pobre
Será primordial ejercer una
importante tarea de concienciación
en toda la pirámide de la empresa
cultura de empresa y un personal que,
aun con formación suficiente, se resiste
a seguir las políticas establecidas. Esto,
traducido en la pequeña y mediana
empresa, es más fácil resumirlo en
que el día a día del mantenimiento de
su negocio les come en excesivo el
tiempo, en detrimento de invertir sus
recursos en hacer más óptimos sus
procesos y en obtener rendimientos
que reinvertir de nuevo en la mejora de
sus recursos y su TI.
red seguridad
convergencia monográfico
En el ámbito de una posible integra-
ción de la seguridad lógica y física será
primordial ejercer una importante tarea
de concienciación en toda la pirámide
de la empresa.
El segundo problema parece que
tiene una solución "lógica", pero com-
plicada, de implementar: integración
de las dos áreas bajo un único respon-
sable o director (que forme parte del
Comité de Dirección de la compañía) y
que aglutine la potestad para gestionar
recursos, TI y presupuestos de forma
integral.
El tercer problema está en boga
desde hace algunos años y hay ya
compañías que se están lanzando a
incluir en su porfolio de servicios y pro-
ductos una oferta integral de la seguri-
dad lógica y física.
Si las TI están evolucionando rápida-
mente con el fin de ofrecernos una
mayor competitividad empresarial, ¿por
qué no utilizarlas para disponer de una
potente área de seguridad, donde se
integre la protección física y lógica?
marzo 2009 53
 convergencia
monográfico

ENTREVISTA A JOSÉ LUIS RODRÍGUEZ MACHÓN, director general de

Telefónica Ingeniería de Seguridad (TIS)

"Debemos evitar que los temas de seguridad

se pierdan en aspectos tecnicistas y que las
empresas de seguridad pierdan su enfoque
principal en planteamientos oportunistas"
La evolución de Telefónica Ingeniería de Seguridad (TIS) pasa
por cuatro fechas clave. El origen de la división -1984-, como
proveedor de servicios de seguridad electrónica y física a todas las
infraestructuras de las empresas de Grupo Telefónica, de España
y Latinoamérica. El año 2002, en el que se crea la Dirección de
Seguridad de la Información y Prevención del Fraude, dirigida no sólo
a la corporación, sino al mercado. 2007, año en el que el volumen de
la actividad de TIS alcanza niveles históricos, permitiéndoles hacer
un cambio radical hacia los servicios integrales. Y hoy, momento
en el que la compañía está experimentando un fuerte crecimiento
y prevé un fuerte desarrollo en actividades de seguridad de la
información, así como en protección contra incendios, entre otras.
José Luis Rodríguez Machón, director general de TIS, nos habla
de "Seguridad Tecnológica Integral", y destaca que "la seguridad
física y lógica son parte de una misma realidad".

Tx: MOV.
Ft: SEGURITECNIA.
Desde Telefónica Ingeniería de
Seguridad (TIS), ustedes abanderan el
concepto de "Seguridad Tecnológica
Integral". Podría parecer que se refie-
re solo a la seguridad TIC por antono-
masia, pero creo que va mucho más
allá: ¿Le importaría explicarnos cuál
es la máxima de esta "filosofía"?
"Seguridad Tecnológica Integral" es el
concepto motor de nuestra actividad
desde los inicios de nuestra empresa
hace ya 25 años. Parte de la idea de
que la seguridad de una empresa, en la
protección de las vidas, los bienes y la
continuidad de negocio, no entiende de
conceptos parciales que, en la mayoría
de los casos, han sido definidos por las
propias empresas de seguridad en su
especialización para poder afrontarlos.
Es decir, seguridad física, electrónica,
lógica, etc., no son más que dimensio-
nes de una misma realidad. Por tanto,
seguridad integral hace referencia a que
la forma adecuada de entender y afron-
tar los riesgos no se limita a un ámbito
físico y lógico. El ejemplo es claro; hoy
en día, no es difícil ver cómo un proble-
ma de seguridad que surge en lo físico,
tiene consecuencias en el mundo lógico,
y viceversa. Es por esta razón, que la
mejor estrategia sea aquella que hunde
sus pilares en un correcto y completo
análisis de riesgos, y que vertebra sobre
él las medidas adecuadas para antici-
parse y reaccionar.
Siendo nuestra máxima la seguridad
integral, nuestra principal diferencia es
nuestro saber hacer en materia tecno-
lógica. Ser parte de un grupo líder en
tecnología y comunicaciones a nivel
mundial nos posiciona como un actor
diferenciado y reconocido. No hay que
olvidar que, todo riesgo y su materializa-
ción para ser correctamente afrontado,
debe detectarse de forma temprana,
comunicado de la forma más efectiva
y segura a aquella instancia que debe
tomar las decisiones y, a su vez, trans-
ferida a aquella otra instancia que debe
intervenir. Como podemos ver, bajo
cualquier planteamiento de respuesta
ante una amenaza, subyace intrínseca-
mente un concepto de comunicación.
Ser fuerte no sólo en la disuasión, en
la detección y en la reacción, sino en
la comunicación bajo cualquier circuns-
tancia es diferencial. Por tanto, nuestra
propuesta de valor se basa en hacer
uso de herramientas tecnológicas y de
comunicación que, convenientemente
integradas, posibilitan una efectiva res-
puesta y una sostenibilidad en la explo-
tación de la seguridad.
El nacimiento de TIS fue de natura-
leza casi interna, a lo que le siguie-
ron otras tres fechas clave. ¿Cuál
es el siguiente paso para Telefónica
Ingeniería de Seguridad?
El siguiente paso, como no puede ser
de otra forma, se basa en consolidar
nuestra presencia y compromiso por
mejorar los niveles de seguridad de
nuestros clientes. Para ello, queremos
reafirmar nuestro compromiso por dise-

56 red seguridad marzo 2009 especial


ENTREVISTA A JOSÉ LUIS RODRÍGUEZ MACHÓN, director general de
Telefónica Ingeniería de Seguridad (TIS)
ñar, integrar y poner a su disposición
las mejores soluciones de seguridad
electrónica, seguridad de la informa-
ción, prevención del fraude y protección
contra incendios. Tenemos el doble reto
de poner en valor nuestras reseñables
experiencias exitosas con clientes de
todas las ramas de actividad y tamaño,
así como extender nuestras propues-
tas de seguridad hacia las medianas
y pequeñas empresas, desde el reco-
nocimiento de que es posible acercar
la seguridad de la gran empresa a las
pymes, basándose en soluciones de
seguridad en modo servicio, gestiona-
das desde nuestros Centros de Control
de Seguridad Integral.
¿Cómo les fue 2008 y qué perspec-
tivas tienen para 2009? ¿Cree que la
industria de las TIC, en general, y el
sector de la Seguridad, en particular,
podrían no solo "librarse" de la actual
situación de crisis, sino hacer de
timón para la mejora económica?
2008 fue un año de consolidación de
ingresos y servicios tras un excelente
2007. En 2008, hemos logrado repetir
éxitos obtenidos en el mercado nacio-
nal, replicándolos internacionalmente.
Este hecho, confirma que nuestra forma
de hacer seguridad es valorada y perci-
bida por nuestros clientes, con indepen-
dencia del mercado en el que operen.
Así mismo, el sólido trabajo en 2008 en
protección contra incendios y seguri-
dad de la información, ha traído como
consecuencia que ya sea un hecho
sostenido en el tiempo la apuesta por
la apertura a clientes externos, supo-
niendo el trabajo en seguridad fuera del
Grupo Telefónica más del 60 por ciento
de nuestra actividad.
Por último, y no menos importante,
2008 ha supuesto un crecimiento impor-
tante en la cuantía y volumen de las ope-
raciones realizadas, para lo cual hemos
realizado una apuesta por el crecimiento
de nuestros recursos propios para la ins-
talación, operación y mantenimiento de
nuestros clientes. Todo ello configura un
2009, pese al contexto económico en
el que nos encontramos, que nos hace
esperar grandes resultados.
Está claro que la crisis va a traer un
deterioro de la actividad económica, así
especial
como la elevación de la incertidumbre
en la toma de decisiones de inversión.
Pese a ello, sabemos que aún más en
este contexto son necesarias las inver-
siones en materia de seguridad de cara
a protegerse frente a los riesgos cre-
cientes. La inversión de las empresas y
las administraciones en infraestructuras
y tecnologías son enormes para poder
seguir la demanda del mundo moderno
y los riesgos de terrorismo, delincuencia
organizada y otros de todo tipo, que
amenazan continuamente esas inver-
siones. Además, estamos convencidos
de que en este ámbito de la seguridad,
las decisiones de protección se deben
tomar tarde o temprano si verdadera-
mente las empresas y la Administración
son conscientes de las vulnerabilidades
"Pese al contexto económico en
el que nos encontramos, 2009 nos
hace esperar grandes resultados"
que tienen. En cualquier caso, también
en un entorno económico tan complejo
como el que se presenta, la confianza
en empresas sólidas que demuestren su
saber hacer y acompañen a los clientes
en todo momento, son la garantía de
haber elegido bien.
Para dar servicio a los usuarios en
un asunto tan crucial como es la
Seguridad, ¿qué puntos fuertes debe
tener un socio proveedor como TIS?
Seguridad es un concepto subjetivo
ligado a la sensación de mayor o menor
exposición a una amenaza. Elegir un
buen partner para iniciar el recorrido
parte de la confianza y la solidez en las
respuestas planteadas. Esta confianza
se logra en el día a día al demostrar
que se está cercano al cliente y que
se reconocen las necesidades últimas
de protección, haciendo un esfuerzo
ímprobo para identificar los problemas y
riesgos existentes, ayudando al cliente a
la hora de dar soluciones acordes, que
no sólo satisfagan esas necesidades
red seguridad
convergencia monográfico
aquí y ahora, sino a lo largo del tiempo.
Confianza en que el planteamiento de
seguridad realizado, entienda el tra-
tamiento de los riesgos con carácter
integral. Confianza en un equipo huma-
no altamente cualificado y fuertemente
motivado en prestar el mejor servicio,
con el fin de no sólo tener un cliente
satisfecho, sino un fan.
Del mismo modo, es clave contar
con un partner que esté continuamente
volcado por interiorizar las posibilidades
que aportan las nuevas tecnologías.
Que invierta gran parte de los recursos
en conocer y descender todo lo bueno
que traen las distintas tecnologías dis-
ponibles, y que aportan valor y suman
si son correctamente integradas con los
procesos de negocio.
Por último, el partner adecuado debe
trasladar toda su experiencia y capaci-
dades a la hora de dar respuesta a las
necesidades nuevas que le planteen sus
clientes.
¿Cuántas personas forman el equipo
de TIS?
El equipo humano que conforma
Telefónica Ingeniería de Seguridad ha
sufrido un gran cambio, no sólo en
número, sino en cualificación. Somos ya
530 profesionales volcados en la mejora
de la seguridad de nuestros clientes. La
gran mayoría de estos recursos se englo-
ban en operaciones y mantenimiento.
No es posible mantener los más altos
niveles de calidad, la ejecución y mante-
nimiento de los proyectos de seguridad
en nuestros clientes, sin una estructura
humana propia altamente formada y que
esté cercana al propio cliente. En ellos,
hay un número importante de ingenieros
especializados en las distintas disciplinas,
desde el análisis de riesgos hasta la
implantación y explotación final.
marzo 2009 57
 convergencia
monográfico
ENTREVISTA A JOSÉ LUIS RODRÍGUEZ MACHÓN, director general de
Telefónica Ingeniería de Seguridad (TIS)
¿En qué países están presentes?
¿Piensan abrir nuevas delegaciones?
Actualmente estamos presentes en
España y cinco países en Latinoamérica:
México, Brasil, Perú, Argentina y Chile.
Cuando digo que estamos presentes,
me refiero a que tenemos actividad
comercial y capacidad de soportar cual-
quier proyecto de seguridad integral con
recursos propios. En todos los países,
contamos con una Central Receptora
de Alarmas y una plantilla tanto técnica
como operacional, capaz de acompañar
a nuestros clientes y cubrir todas sus
necesidades de seguridad.
"TIS es una empresa integradora
de sistemas y tecnologías de
seguridad multi-marca"
En cuanto a tener como objetivo abrir
nuevas delegaciones, actualmente esta-
mos estudiando extender nuestras acti-
vidades a otros países, siempre siguien-
do la presencia del Grupo Telefónica y
sumando compromiso en los clientes de
Europa y Latinoamérica.
¿Con qué 'partners' y tecnologías
trabajan habitualmente?
Agradezco esta pregunta, pues me
sirve para reafirmar otro de los con-
ceptos motores de nuestra empresa
tras la Seguridad Tecnológica Integral.
Telefónica Ingeniería de Seguridad, por
definición, es empresa integradora de
sistemas y tecnologías de seguridad
multi-marca. Estar volcados en cubrir
las necesidades de seguridad de nues-
tros clientes, nos lleva a no condicionar
nuestras respuestas y planteamientos a
un único fabricante y tecnología. Cada
nuevo proyecto requiere un plantea-
miento a medida, y ello conlleva diseñar
las soluciones y servicios en base a la
mejor tecnología disponible. Esto no
quiere decir que no se confíe y nos
apoyemos frecuentemente en partners
líderes en sus tecnologías, pero siempre
nos cuestionamos cual es el fin último y
58 red seguridad marzo 2009
la forma más efectiva y eficiente de dar
respuesta.
En cuanto a las tecnologías que habi-
tualmente trabajamos, como se puede
imaginar, no están sujetas a nuestras
preferencias, sino a las necesidades que
nos trasladan. Lo que sí podemos ase-
gurar es que, principalmente, la dinámi-
ca de mercado nos está especializando
en tecnologías IP y sistemas integrables
e interoperables, pero no descartamos y
consideramos frecuentemente otro tipo
de medidas más tradicionales, por así
decirlo, si estás dan un mejor resultado
tanto funcional como económico.
Los productos y servicios que ofrece
TIS van desde análisis y gestión de
riesgos, protección de activos o con-
trol de accesos hasta las áreas nor-
mativa y legal, prevención del fraude
o auditoría y control. ¿Qué organiza-
ciones necesitan de su ayuda?
En Telefónica Ingeniería de Seguridad,
como parte del Grupo Telefónica, y más
aún en ámbitos de seguridad donde la
confianza, seriedad y confidencialidad
ha de primar, decir a quién y qué es lo
que se ha hecho, no suele ser nuestra
dinámica rectora. Lo que sí podemos
hacer es hablar de nuestras capacida-
des y trayectoria en los distintos secto-
res de actividad.
Nuestros principales clientes, aparte
del Grupo Telefónica, se encuentran en
los sectores de industria, energía y uti-
lities, trasporte y entidades financieras.
Desde 2006 hasta la fecha, también
venimos realizando proyectos de seguri-
dad y prestando servicios de seguridad
para la Administración Pública y la pro-
tección de infraestructuras críticas.
Por último, me gustaría reseñar que
en 2007, bajo nuestra estrategia de
extender la seguridad de la gran empre-
sa a pequeñas y medianas empresas,
hemos comenzado a prestar servicios
de seguridad en colectivos de pymes
concretos, donde nuestros planteamien-
tos de seguridad tecnológica integral
basados fuertemente en comunicacio-
nes, están aportando gran valor.
Desde su amplia experiencia en la ges-
tión y dirección de un negocio como el
que desarrolla TIS, ¿nos podría expo-
ner qué semejanzas encuentra entre la
seguridad lógica y la seguridad física,
y en qué pueden divergir?
Las semejanzas entre una y otra dimen-
sión de la seguridad radican en que son
parte de la misma realidad: la protección
de vidas, bienes y continuidad de nego-
cio. Toda amenaza debe ser, en la medi-
da de lo posible, evitada mediante una
correcta disuasión. De materializarse la
amenaza, ésta debe ser rápidamente
detectada a la vez que se contienen
sus efectos, mientras se desencadenan
las medidas de reacción oportunas que
aminoren al máximo su impacto. La
componente de comunicación también
es un elemento común y no debe ser
el eslabón débil por el que se rompe
la cadena. Y, por último, con indepen-
dencia de tratarse de uno u otro tipo de
seguridad, deben habilitarse los meca-
nismos que registren la información y
permitan analizar cómo se ha dado
respuesta y cómo se puede mejorar en
caso de repetirse el hecho.
¿Qué amenaza más hoy a la socie-
dad: la pérdida de activos fijos o la de
la información y las comunicaciones? El
problema es que tenemos que separar
aún conceptos de seguridad de funcio-
namiento y disponibilidad de la informa-
ción y las comunicaciones, de otros más
relacionados con seguridad contra actos
delictivos o cumplimiento de estándares.
De todas formas, siempre habrá zonas
grises marcadas por la complejidad de
la tecnología y los servicios, pero debe-
mos evitar que los temas de seguridad
se pierdan en aspectos tecnicistas y
que las empresas de seguridad pierdan
su enfoque principal en planteamientos
oportunistas de teórico negocio adicio-
nal, más visible y aceptado.
Como vemos, no es que haya seme-
janzas, sino que seguridad física y lógica
son parte de la misma realidad.
especial
 convergencia
monográfico
El PLAN DIRECTOR DE SEGURIDAD CORPORATIVA
Una herramienta básica para la
gestión integral de la seguridad
Se llame Convergencia de la
Seguridad, Seguridad Integral, Gestión
de la Seguridad Global o cualquier
término similar, es indudable que esta-
mos hablando de un nuevo paradigma
en la gestión de la seguridad de los
activos de las organizaciones. Este
concepto cubre los diferentes aspec-
tos de gestión de la seguridad, de
todos los activos que aportan valor
a las organizaciones: personas, infor-
mación, bienes materiales y bienes
inmateriales.
60 red seguridad marzo 2009
Carlos Blanco
Pasamontes
Director Nacional de
Eulen Seguridad
Como punto de partida se puede
decir que existen mecanismos de ges-
tión, incluso sistemas tecnológicos,
que ayudan a integrar los procesos
de seguridad en las organizaciones.
La mayor barrera a la que se enfrenta
la implantación de la Convergencia
de la Seguridad en las organizaciones
es que, actualmente, el estamento
directivo de las mismas, con algu-
nas excepciones, aún no concibe que
un único equipo de personas dirijan
y gestionen todos los procesos de
seguridad de la organización. El pri-
mer paso a dar es que la seguridad
se considere un proceso dentro de la
estructura productiva de la organiza-
ción, un proceso que aporta valor a
la organización, que interactúa con el
resto de procesos productivos y que
es imprescindible para el buen funcio-
namiento de estos.
Para alcanzar el objetivo de la
Convergencia de la Seguridad, es
necesario contar con un Plan Director
de Seguridad Corporativa, que esta-
blezca que la seguridad de todos los
activos de la organización es un pro-
ceso productivo más de la cadena de
valor de la misma, y fije la gestión de
dicho proceso mediante un sistema de
gestión de mejora continua.
Estructura coherente y coordinada
El objetivo del Plan Director de
Seguridad Corporativa es crear una
estructura coherente y coordinada de
personas, procesos y tecnología, que
permita la gestión proactiva de las
amenazas, vulnerabilidades e inciden-
tes de seguridad, con el objetivo final
de minimizar el impacto de los inci-
dentes de seguridad sobre la organi-
zación, garantizando la continuidad de
las operaciones de la organización y la
supervivencia de la misma.
El establecimiento de una nueva
figura directiva en la organización,
Director de Seguridad Corporativa o
Chief Security Officer (CSO) en la
especial

El PLAN DIRECTOR DE SEGURIDAD CORPORATIVA
terminología anglosajona, permitirá
coordinar todos los elementos rela-
cionados con la seguridad y gestionar
de forma integrada las funciones de
seguridad de la corporación. El perfil
profesional de esta figura debería ser
multidisciplinar y con una alta capaci-
dad de gestión.
La información, nuevo foco
Hasta hace unos años, el principal
foco de la seguridad estaba centrado
en las personas, edificios, productos,
maquinaria o cualquier otro activo de
valor de naturaleza física. Con los
cambios tecnológicos, que han dado
lugar a la Sociedad de la Información,
y a la aparición de nuevas amenazas,
ha variado este foco; se ha puesto de
manifiesto la necesidad de proteger
uno de los activos más importantes
de una organización, la Información y
los sistemas que la procesan, trans-
miten y almacenan. Es un hecho
que los activos inmateriales como la
información, la imagen o reputación
se han convertido en unos de los
activos más críticos de las organiza-
ciones.
El Plan Director de Seguridad
Corporativa debe recoger este cambio
de foco de la seguridad y contemplar
la gestión global los riesgos a los que
está expuesta la organización. Por
ello, uno de sus principales objetivos
es conseguir la alineación de todas
las acciones que se lleven a cabo en
el ámbito de la protección de activos
con las necesidades y objetivos del
negocio, teniendo en cuenta todos los
aspectos relativos a:
• La seguridad de la información.
• La seguridad de las personas.
• La seguridad patrimonial.
• La continuidad del negocio.
• La recuperación de desastres.
• La gestión de los riesgos de
seguridad.
• El cumplimiento legal.
• Seguridad ambiental.
• La seguridad laboral.
• La seguridad reputacional...
El desarrollo de un Plan Director de
Seguridad Corporativa, basado en el
paradigma de la Convergencia de la
Seguridad, nos va a permitir alcanzar
especial
convergencia monográfico
una serie de objetivos, entre los que
citaremos:
Alineación seguridad/negocio
Mayor alineación de la seguridad con el
negocio: El diseño de una arquitectura
de seguridad integrada y una estructura
de gestión, proporciona una visión glo-
bal de las necesidades de seguridad de
la organización, lo que permite alinear
la gestión de riesgos y los procesos de
seguridad con los objetivos de negocio
de la organización.
Gestión Global
Los procesos de seguridad se ges-
tionarán de forma global, pero serán
ejecutados por técnicos especialistas
de cada una de las funciones de segu-
ridad. Esta forma de gestión permite
incrementar el nivel de control interno
de los procesos de seguridad, sin per-
der eficacia y eficiencia en la ejecución
de los mismos.
Reducción de costes y tiempo
Reducción considerable de costes y
tiempo: El contemplar la seguridad
como un conjunto de procesos integra-
dos, con un objetivo común y definido,
la seguridad de la organización, va a Seguridad Corporativa, va a permitir
suponer un ahorro de costes conside- una mejora en el flujo de información
rables, gracias a la desaparición de la entre las distintas funciones de segu-
duplicidad de funciones, de los solapes ridad implicadas y los equipos que las
entre las mismas y a una mejora del gestionan, lo que va a permitir romper
flujo de información. La implantación de las barreras que actualmente pueden
la Convergencia de la Seguridad facili- existir entre ellos.
ta el incremento de productividad del Disponer de un Plan Director de
personal y permite el ahorro de costes Seguridad Corporativa, que contemple
y tiempo, en duplicidad de trabajos, en todos los riesgos a los que esta
logística, en infraestructura, en tecnolo- expuesta una organización, es una
gía de seguridad, etc. necesidad imperiosa. Aquellas organi-
zaciones que no dispongan de él están
Intercambio de información en una clara desventaja respecto al
Correcto intercambio de información: resto y están asumiendo riesgos inne-
La estructura organizativa y de ges- cesarios, que pueden llegar a poner en
tión, establecida en el Plan Director de peligro su supervivencia.
Las organizaciones sin Plan
Director de Seguridad están
en una clara desventaja
red seguridad marzo 2009 61
 convergencia
monográfico
SISTEMAS DE GESTIÓN DE LA SEGURIDAD, BASADOS EN MODELOS ISO
La importancia de
la seguridad integral
nadie cuestiona a estas alturas que
estamos en tiempos de cambio. Y no
hablamos de la situación económica
actual, sino de los cambios sociales,
económicos y culturales generados por
el desarrollo de las tecnologías digita-
les. Al igual que la revolución industrial
supuso una modificación radical en la
sociedad occidental, la revolución tec-
nológica está transformando el mundo
en que vivimos.
Esta revolución, que nace con el
desarrollo de las tecnologías digitales y
la expansión de Internet, está sentando
Todas las amenazas que afecten
a la seguridad se deben gestionar
de forma integrada
los pilares de una nueva estructura
social que tiene a la información como
activo fundamental: la Sociedad de la
Información.
Para que este nuevo paradigma fun-
cione, es necesario garantizar la seguri-
dad y buen funcionamiento de los pila-
res sobre los que se apoya esta nueva
Sociedad de la Información: disponibi-
lidad, integridad y confidencialidad de
los datos.
62 red seguridad marzo 2009
Laura Prats Abadía
Responsable Producto
Seguridad TI de Applus+
LGAI Technological Center
Pero ¿qué entendemos por seguri-
dad? A priori parece que en las empre-
sas hay una doble visión de la seguri-
dad. Desde una perspectiva tradicional,
por un lado, se controla la seguridad
de accesos, los ataques y las amena-
zas físicas y, por otro lado, se trabaja
para implantar nuevas tecnologías de
la información que garanticen la seguri-
dad informática.
Sin embargo, tanto una como otra
son necesarias y se solapan: los equi-
pos informáticos necesitan de la seguri-
dad tradicional y ésta se apoya en gran
medida en los sistemas informáticos.
Por lo tanto, todas las amenazas que
afecten a la seguridad desde cualquier
punto de vista se deben gestionar de
forma integrada.
Nos referimos entonces a la seguri-
dad integral. En otras palabras, se trata
de crear una estructura organizativa y
de gestión que, mediante un proceso
de análisis y mejora continua, contemple
todos los aspectos relacionados con la
seguridad. Es necesario, por lo tanto,
un sistema que pueda gestionarla en
su totalidad, en el escalón adecuado
del organigrama, con responsabilidad y
recursos adecuados. Sólo de esta forma
se puede garantizar el correcto funcio-
namiento de las funciones productivas y
de crecimiento de las compañías.
La seguridad de la información
Desde el entorno de las Tecnologías de
la Información y las Comunicaciones
(TIC) se ha definido a la seguridad de
la información como la disponibilidad,
integridad y disponibilidad de la misma.
Esta filosofía se recoge en normas
internacionales como las normas ISO
27001 e ISO 27002, que contemplan
aspectos de seguridad física, control
de acceso y seguridad de infraestruc-
turas, aunque se desarrollan en mayor
grado aquellos relacionados con la
seguridad lógica y organizativa.
Para alcanzar la integración de los
distintos aspectos de la seguridad, es
posible apoyarse en los modelos de
mejora continua utilizados por los siste-
mas de gestión ISO (norma ISO 27001,
por ejemplo). Con el ciclo presentado
en este esquema se establecerían las
necesidades y medidas de seguridad
y se irían analizando y mejorando per-
manentemente para garantizar la ade-
cuación de la seguridad a la situación
de la empresa.
Aunque una norma de este tipo es
adecuada para establecer un sistema
especial

SISTEMAS DE GESTIÓN DE LA SEGURIDAD, BASADOS EN MODELOS ISO
de gestión, es necesario trabajar tam-
bién en el desarrollo de un marco de
buenas prácticas o normas que apoyen
la selección de medidas concretas en
cada uno de los aspectos de la segu-
ridad.
Medidas en un CPD
Para poner un ejemplo de las medidas
de seguridad a utilizar, consideraremos
el caso de un centro de proceso de
datos. Todas las compañías necesitan
del buen funcionamiento de estas ins-
talaciones para desarrollar su trabajo
Por lo tanto, si hay algún sitio en la
empresa que necesite de una garantía
de seguridad eficiente es sobre todo el
Centro de Proceso de Datos (CPD).
En concreto, entonces, se deberían
revisar los siguientes aspectos:
1. Localización. El lugar en el que se
instale el CPD va a influir en la seguri-
dad del mismo. Hay que evitar zonas
inundables, industrias peligrosas alre-
dedor, zonas de riesgo sísmico, etc.
2. Edificación. Además de cumplir
las normativas, se deben considerar
aspectos relativos a la seguridad como
los puntos de acceso al edificio, las
zonas de carga y descarga, etc.
3. Distribución del edificio. Es impor-
tante vigilar la distribución del edificio,
ya que va a facilitar la implantación
de infraestructuras (cableado, clima-
tización) y de medidas de control de
acceso y vigilancia.
4. Infraestructuras. Aspectos
como garantía de suministro eléctri-
co, adecuada climatización, control
de humedad e inundaciones, sistema
anti-incendios, etc. deben diseñarse y
mantenerse para el adecuado funcio-
namiento de los equipos.
5. Control de accesos y vigilancia.
Se deben delimitar los puntos de acce-
so y mantener un sistema de control
seguro en función del perfil de cada
usuario. Además, se debe implantar un
sistema de vigilancia que mantenga la
seguridad.
6. Seguridad de la red. Los equipos
lógicos deben estar adecuadamente
configurados, libres de vulnerabilidades
y con las medidas de seguridad implan-
tadas. Se deben considerar las tecnolo-
gías de seguridad adecuadas en función
de los servicios proporcionados.
especial
7. Seguridad lógica. Además del acce-
so físico, los nuevos sistemas incorporan
la posibilidad de acceder en remoto a la
información. Por lo tanto, hay que garan-
tizar que esa vía de entrada sea segura.
8. Continuidad de los servicios. Los
servicios que inciden en el funciona-
miento del CPD deben estar garanti-
zados a los niveles establecidos por la
empresa, exigidos legalmente y acorda-
dos contractualmente. Para ello hay que
desarrollar planes de continuidad que
garanticen la recuperación de los servi-
cios en el tiempo y el nivel adecuado.
9. Seguridad de los datos. En los
sistemas electrónicos tenemos herra-
mientas que nos permiten garantizar
la seguridad de los datos en caso de
incidentes. Para ello deberemos tener
un adecuado sistema de copias de
seguridad que permita una rápida recu-
peración y un sistema de activación de
logs para poder analizar los incidentes
ocurridos y obtener evidencias.
10. Gestión de la seguridad. Aunque
lo mencionamos en último lugar, en
realidad es un punto de partida de un
ciclo continuo que permita mantener y
mejorar los niveles de seguridad. Para
ello se analizarán riesgos, se diseñan
políticas y se desarrollan procedimien-
tos para su implantación. En particular,
se deben desarrollar procedimientos
como los de gestión de incidentes y
control de cambios.
Los puntos anteriores no pretenden
ser exhaustivos y necesitan un desa-
rrollo que permita concretar qué, cómo
red seguridad
convergencia monográfico
y cuándo aplicar cada una de las reco-
mendaciones. La dificultad consiste en
decidir qué se toma como referencia
para seleccionar las medidas concretas
a aplicar. En este punto se pueden
buscar códigos de buenas prácticas y
normativas de organizaciones de pres-
tigio que ayudan a la implantación real
de la seguridad.
Actualmente existen normativas para
la aplicación de la seguridad lógica y
guías y estudios para los sistemas de
seguridad física. Pero la seguridad es
una, la de la información, sea cual sea
el origen de la amenaza.
Applus+, multinacional española líder
en ensayos, inspección, certificación y
servicios tecnológicos, cuenta con un
equipo multidisciplinar capaz de certifi-
car todos los aspectos de la seguridad
que pueden afectar a un Centro de
Proceso de Datos.
marzo 2009 63
 convergencia
monográfico

ADQUISICIÓN DE DATOS Y CONTROL DE SUPERVISIÓN

La Gestión de Riesgos de
Seguridad en Sistemas SCADA

Antonio Martínez
Responsable de Seguridad TIC
de Áudea Seguridad de
la Información

El término SCADA (Supervisory • Transductores: Convierten una tocolo de capa 7 (MBAP-MODBUS

Control And Data Adquisition) se refie- señal física en una señal eléctrica. Application Protocol) es simple. Las
re a la adquisición de datos y control transacciones están basadas en un
de supervisión. Se trata de un soft- Respecto a la comunicación física, esquema request-reply. El cliente/
ware diseñado para funcionar sobre actualmente se emplean conexiones master (MTU) realiza una petición al
equipos tradicionales para controlar directas, accesos telefónicos, ethernet servidor/slave (RTU), quien responde.
procesos industriales, proporcionando o wireless, y en cuanto a los protoco- Cada mensaje enviado contiene un
la información necesaria a operadores los de comunicación empleados, algu- código que indica tanto al master
y supervisores para mejorar la eficacia nos de los más extendidos son ASCII, como al slave la operación a realizar.
del proceso de monitorización y con- MODBUS TCP/IP, PROFInet, DNP3,
trol, y permitiendo la toma de decisio- BSAP/IP, CIP o TASE/ICCP. También Sistemas comprometidos
nes en algunos entornos que pueden se emplean protocolos en capas supe- Existen algunas amenazas, que de
ser críticos, como en sistemas de ges- riores como OPC (OLE for Process ser explotadas podrían comprometer
tión de agua y fluidos, energía eléctrica Control OPC Foundation-OLE/COM), la seguridad de todo el sistema a
y nuclear, señalización para tráfico, sis- ODBC/JDBC, FTP y HTML para la través de la consecución de objetivos
temas de control ambiental, procesos representación de datos. La figura mayores para un posible atacante del
de fabricación, seguridad, etc. inferior muestra un diagrama típico sistema:
Un sistema SCADA esta confor- de comunicación entre componentes + Acceso no autorizado: El acce-
mado por los siguientes elementos de un SCADA, empleando MODBUS so a cualquiera de los componentes
fundamentales: TCP/IP. del SCADA permitiría explotar otras
• Interfaz Operador HMI (Human Si analizamos la seguridad para vulnerabilidades. Por ello se deben
Machine Interface): Entorno visual que MODBUS, el funcionamiento del pro- proteger los accesos de terceros, las
brinda el sistema para la interacción
con los otros elementos.
• Unidad Central (MTU): Ejecuta
acciones de control, almacena y pro-
cesa los datos.
• Unidad Remota (RTU): Cualquier
elemento que envía información a
la MTU, ubicado en el sitio remoto.
Similares a los PLC (Programmable
Logic Controller).
• Sistema de Comunicaciones: Se
encarga de la transferencia de infor-
mación desde el punto donde se rea-
lizan las operaciones, hasta donde se
supervisa y controla el proceso.

64 red seguridad marzo 2009 especial


ADQUISICIÓN DE DATOS Y CONTROL DE SUPERVISIÓN
instalaciones remotas y los medios
de transmisión tanto cableados como
inalámbricos.
+ Identificar cada dispositivo del
SCADA en la red: La obtención de
información a través de Port Scan
TCP/502 (MODBUS), y la realización
de técnicas de fingerprinting y captura
del tráfico de la red, permitiría obtener
acceso a los mensajes intercambiados
entre master y slave.
Las vulnerabilidades propias de este
protocolo afectan principalmente a las
siguientes dimensiones de la seguri-
dad:
X Confidencialidad: El tráfico no es
cifrado.
X Integridad: El protocolo depende
de la integridad de los niveles inferio-
res, ya que MBAP no los incorpora.
X Autenticación: No existe autenti-
cación en ninguno de los niveles.
Gestión y control de riesgos
Para gestionar los riesgos relacio-
nados con sistemas SCADA, entre
otros: manipulación de configuración
de acceso no autorizado, escucha
de información, corrupción de men-
sajes y denegación de servicio, es
recomendable adoptar los siguientes
controles:
especial
• Cifrar en la medida de lo posible
todas las conexiones y enlaces que
salgan del perímetro de seguridad
físico establecido.
• Cualquier gateway que comu-
nique con el exterior es susceptible
de ataque, por lo que debe ser pro-
tegido, asegurado y aislado de otros
SCADA.
• Cualquier conexión con terceros
debe ser protegida mediante firewalls
y VPN.
• Los sistemas detectores de intru-
sos (IDS) son piezas fundamentales en
el despliegue de SCADA. Si han sido
convenientemente ajustados, permiten
detectar la mayoría de los ataques,
estableciendo patrones de conducta
no adecuados y generando alertas en
tiempo real.
red seguridad
convergencia monográfico
• Un sistema de almacenamiento de
logs y eventos suficientemente prote-
gido, que permita el análisis forense y
la obtención de evidencias ante cual-
quier acción legal.
Un ejemplo práctico
Como ejemplo práctico, indicar que en
algunos sistemas SIM, como el amplia-
mente extendido OSSIM (Open Source
Security Information Management
System), ya se han desarrollado fir-
mas de IDS para los protocolos más
extendidos como MODBUS, ICCP y
DNP3, como se puede ver en el cua-
dro inferior.
Además, OSSIM también proporciona
la posibilidad de detección de anoma-
lías en distintos tipos de tráfico emplea-
dos por SCADA, fundamentalmente
en MODBUS, Ethernet/IP, PROFIBUS,
ControlNet, Infonet, HART, UCA, FieldBus,
Distributed Network Protocol (DNP), Inter-
Control Center Communication Protocol
(ICCP) y Telecontrol Application Service
Element (TASE).
En resumen, los SCADA son siste-
mas cuya misión es controlar procesos
en muchos casos críticos. La integra-
ción con servicios y redes modernas
han introducido riesgos en estos sis-
temas que no deberían ser asumidos
por sus responsables, debido a los
altos impactos que ocasionarían.
Aunque en este artículo se ha ana-
lizado con mayor detalle el protocolo
MODBUS, la mayoría de los proto-
colos citados durante el mismo tie-
nen deficiencias similares, ya que no
fueron diseñados para la integración
con las tecnologías actuales, por lo
que se recomienda un análisis
exhaustivo de las tecnologías y pro-
tocolos empleados en cada uno de
sus elementos.
marzo 2009 65
 convergencia
monográfico
EL NUEVO CONCEPTO DE 'SEGURIDAD E INTELIGENCIA'
La convergencia de la seguridad
física y la seguridad lógica
C on el paso de los años la seguri-
dad física ha ido adaptándose a los
medios digitales y el alineamiento
entre los departamentos de seguri-
dad física y los departamentos de
seguridad lógica es algo cada vez
más común y demandado en las
organizaciones. Desde hace unos
años venimos observando cómo
esta realidad está transforman-
do la fisonomía del mercado de la
Seguridad y de la de sus actores
principales. Dentro de un mercado
donde existen diversos planos del
La concepción holística de la
seguridad no es sólo el comienzo
de una moda, sino una necesidad
concepto de la seguridad, se hace
necesaria una coexistencia entre
todos ellos para lograr la seguri-
dad de la sociedad. En las últimas
cuatro décadas, hemos vivido la
implantación de una nueva legisla-
ción en materia de seguridad. Este
tipo de legislación, antes reservada
únicamente al Estado, ha ampliado
su radio de acción a elementos que
permiten el desarrollo de la vida de
los ciudadanos en sus relaciones
66 red seguridad marzo 2009
Juan Antonio
Gómez Bule
Presidente del Consejo Asesor
de S21sec
con sus semejantes y con la admi-
nistración, la custodia de sus datos
personales, su derecho a la intimi-
dad, etcétera.
Actualmente, vivimos en una
sociedad en la que se hace impres-
cindible compatibilizar los derechos
fundamentales de libertad con la
seguridad, esto supone el nacimien-
to de un modelo de convivencia en
permanente revisión. La concepción
holística de la seguridad no es sólo
el comienzo de una moda, sino más
bien una necesidad que ha veni-
do impuesta por la maduración del
propio mercado donde el riesgo,
cada vez mayor, es global, transna-
cional, con abundantes recursos y
con herramientas tecnológicas que
hacen, que los que debemos pro-
teger los activos de los ciudadanos,
de las empresas y de los Estados,
tengamos que identificar este ries-
go de una forma global y en el que
nuestra actuación toma cada día
una mayor relevancia.
Si observamos detenidamente a
las grandes empresas, vemos cómo
sus modelos de actuación han ido
cambiando tanto en lo que a merca-
dos se refiere como en el desarrollo
de nuestras habilidades de com-
petencia internacional. Hoy en día,
las compañías necesitan que exista
un flujo de información permanente
para posicionar adecuadamente la
estrategia del desarrollo de su nego-
cio. La seguridad global del negocio
implica un desarrollo cualitativo del
servicio de seguridad patrimonial,
de activos, de seguridad informáti-
ca, de inteligencia de negocio, de
inteligencia competitiva, y un largo
etcétera. Nuestro objetivo como
empresa de seguridad es pasar del
análisis forense de datos a la pros-
pectiva que permita el alineamiento
total con el resto del negocio.
Riesgo, Seguridad e Inteligencia
La figura actual del Director de
Seguridad Corporativo irá dejando
paso, en un futuro no tan lejano, a la
de Director de Gestión del Riesgo,
Seguridad e Inteligencia. Bajo esta
nueva orientación se resuelven pro-
blemas competenciales que histó-
ricamente se han venido reprodu-
ciendo en todas las compañías, en
mayor o menor medida.
El problema de la inexistencia his-
tórica de una filosofía de actores de
Inteligencia y Seguridad hace que el
especial
 convergencia monográfico

EL NUEVO CONCEPTO DE 'SEGURIDAD E INTELIGENCIA'

sector de la Seguridad necesite una dades de inteligencia e impidan la podemos visualizarla en iniciativas
profunda transformación, al mismo fuga de información; los analistas de colaborativas frente a riesgos terro-
tiempo que genera numerosas opor- inteligencia que presenten informes ristas, crimen organizado, pederas-
tunidades, puesto que supone un adecuados a las necesidades del tia, riesgos ubicuos o delincuentes
aumento de la eficiencia y de la efi- negocio. En definitiva, el antiguo que usan Internet para perseguir sus
cacia empresarial en la competencia concepto de la separación entre las fines; Estados que golpean a otros
de los mercados globales. distintas seguridades forma parte utilizando la ciberdelincuencia encu-
Para actuar globalmente es nece- del pasado, debemos evolucionar bierta; ataques de denegación de
sario tener una visión unificada del al nuevo paradigma de 'Seguridad e servicio a países; ataques a sus infra-
riesgo, y para obtener esta visión Inteligencia' como elemento consus- estructuras críticas, etc.
es imprescindible tener una exacta tancial y vital al desarrollo estratégi- Estas nuevas situaciones obligan
cuantificación y cualificación de los co de las empresas. a realizar un cambio muy significati-
distintos elementos que configuran vo en las estrategias de las empre-
los diversos riesgos. Adquieren una Evolución hacia la colaboración sas de seguridad frente a los riesgos
especial importancia en el contex- La necesidad de evolucionar al con- globales donde la tecnología evolu-
to que hemos venido planteando, cepto de 'Seguridad e Inteligencia' ciona. Se busca minimizar los ries-
la disponibilidad de herramientas se visualiza claramente en las necesi- gos, anticiparnos a escenarios futu-
que valoren la crisis y que identifi- dades que tiene el Estado en cuanto ros analizando información existen-
quen escenarios sobre las distintas a políticas de Seguridad y Defensa, te, concienciar, formar, gestionar el
soluciones a tomar; la recolección así como en la colaboración de los cambio, prevenir el caos, ofrecer
de información de diversas fuentes; distintos actores institucionales públi- sensación de seguridad a los que
las herramientas tecnológicas de cos, como pueden ser administracio- nos rodean y, en definitiva, gestionar
firmas españolas sin puertas trase- nes y universidades; privados, como globalmente la Seguridad en mayús-
ras que permitan desarrollar activi- empresas y ciudadanos. También culas.

2
ca II
8 Épo
ro 200
32 Ene
Revista es Nº
nes
especializada
cion en Seguridad Informática, Protección de datos y Comunicaciones Nº 33 Marzo 2008 Época II
acio
2008

a II unica
Comunic
Ép
oc
atos
dato s y Com
ión de

Proteja los sistemas informáticos

07
20 , Protecc
Enero

bre rmática
iemad Info
a Novurid
en Seg
lizad º 31
especia N
Revista s
ione
icac

de e
un
om
yC
tos

to
da
d
de

ec a d
ción
ec
Prot
nes

ef lític
a,
átic
unicacio

de su empresa con la mejor herramienta:

rm
Info
rid
ad
l
e o s
es al p seña
gu
Se
s y Com

a en
izad
cial

te
pe

E s a c t u n t ra
es
de dato

ista
Rev
tección

su co
tica, Pro rmá
ad Info
Segurid a en lizad

La información especializada.
la
biar
especia

cam
a a
rio . un
usua ésta er es
blec sidad
Revista

al mo
an es co esta ce
lig e las ne sus ta
o ágen ed
ob pu o y a ya en s.
e
o im in PC S cu vo
qu do dd torn al TM ositi
s
ña ucie
nd Ala su en ica. ico en disp
¡¡¡
se de a óm n ún ok s y
e eT
ntra od en tabl econ
co an pr
en
okke ap logo con uario elo
es
de rmin s eTte ad daa da y r el que us éb
pi ta de ru
mp
vo er

d.
as te te rá en mpo a 12
ositi n fu a rá
m
19:
lític plem tie liz
ad 17:
y co
ad.co
po men disp ació form
7

da
im a al ntra 200
s dica n 11/
dad

de ic de te
ite
it st ce 05/
oke
urid
La rió nt rio

ri
ma te pe
rm ro robustión
e eT
14
pe ga de au usua le illa y ge

guw.redseg
14:28:
g 2007
seguri

la
n egia o de SSO senc a dee o d lon
a 20/12/

a iv
Co at en a tem
estr cada
tip ok
eT form sis rmmat 0801 5
rce
5 Ba 41 10
swew www.redseguridad.com
de ción s de zado info e
en a , 70 93 32 red d
solu ione an
kit .es/et
re
ok on lanca Fax. registe
La licac ás av rcel ab 42
w.
su
red

are
ap el m te ddin Ba Florid 5 50 eToken

ww
n C./ 93 32 in and Ltd.
co lici la
So w.a Tel. Aladd tems,
¡¡¡ e ww
en
Sys
rid 7 ed.
ad 266 71 res
erv ledge
Visit 7 M 754 rights
odd k
ht Know
2803x. 91 . All dd
in

rid nz, 1400 Fa tems, Ltd

eT
Ala 1
of
MadAlbasa 5 99 ge Systradem
s/
ark

C./ 91 37 owled is a e
Tel.
n.
Kn ken
in eTo
i
dd s;
Ala
© demark
tra
dd
la
A

1
d
.ind
dad
uri
d Seg
Re
da

Suscríbase:
Don Ramón de la Cruz, 68. 28001 Madrid. Tel.: +34 91 402 9607. Fax: +34 91 401 8874. especial
red http:
seguridad marzo
www.borrmart.es. 2009 67
E-mail:red@borrmart.es
 convergencia
monográfico
BREVE ANÁLISIS DEL ESTADO DE LA CUESTIÓN
Convergencia de la seguridad,
¿realidad o ficción?
La necesidad de la seguridad proviene
de la existencia de peligro, amenaza
y riesgo. El objetivo de la seguridad
consiste en garantizar el normal funcio-
namiento del sistema que protege, par-
tiendo del reconocimiento de la insegu-
ridad del mismo y de su entorno.
Para muchas organizaciones el sis-
tema de información es su activo más
importante. Los delincuentes necesi-
tan información y esta se encuentra en
soporte digital.
La gestión de la seguridad es el
ejercicio continuo y realimentado del
estudio de las vulnerabilidades de la
seguridad para prevenir los fallos y
corregir los errores.
La convergencia de la seguridad no
consiste en proporcionar un arma a
los técnicos de seguridad lógica y un
ordenador a los guardias y vigilantes
de seguridad. Consiste en la integra-
ción de todos los recursos dedica-
dos a la misma, para, contemplando
la seguridad como un todo, actuar
bajo un mando único, centralizando
la Dirección y coordinando todas las
acciones. Es la respuesta a la evolu-
ción de la inseguridad. El Gobierno de
la Seguridad Corporativa es global e
integral, vincula los aspectos físicos,
informáticos y electrónicos, afecta a los
directivos de la organización, a los de
Tecnología, a los gerentes de seguridad
física y lógica, y a todo el personal.
El modelo de convergencia de la
seguridad, con la integración de fun-
68 red seguridad marzo 2009
Victorino Martín
Jorcano
Director de Operaciones de
AlienVault
ciones, es un elemento crucial para el
incremento de la calidad y la compe-
titividad. Su adopción proporcionará
ahorro en los costes y en el tiempo
dedicado a las tareas de protección. El
contemplar la seguridad como un todo
coordinado contribuirá a disminuir el
número de incidentes de seguridad
y, lo que es más importante, facilitará
resolverlos con prontitud, eficacia y sin
que los atacantes puedan conseguir
sus objetivos.
Catalizadores
• El valor de los elementos a prote-
ger está pasando de elementos físicos
a activos intangibles basados en la
información.
• Los delincuentes emplean todo lo
que puede ser beneficioso para lograr
sus objetivos, combinando elementos
físicos y lógicos.
Ventajas
+ Mando único. El Director de
Seguridad (CSO) asume la responsa-
bilidad de toda la seguridad.
+ Gestión única de recursos: huma-
nos, económicos y materiales.
+ Visión global de la seguridad: estra-
tegia conjunta y objetivos comunes.
+ Personal de seguridad versátil.
La especialización del personal para
cubrir los diferentes ámbitos técnicos
permitirá poder emplearlos en función
de la misma.
+ Reducción de costes. Por el
empleo de estándares tecnológicos
comunes.
+ La tecnología a utilizar en segu-
ridad es similar; los dispositivos tam-
bién, por ejemplo la misma aplicación
de gestión de la seguridad puede
recoger elementos de información
(eventos de dispositivos) de seguri-
dad física como tornos de acceso y
de seguridad lógica como accesos a
bases de datos; el centro de control
podría ser el mismo.
Inconvenientes
El personal que trabaja en seguridad
lógica ve al que trabaja en seguridad
física como "los de la porra", y estos a
los otros como "los hackers" ya que:
X Se consideran diferentes.
X Tienen diferencias culturales importan-
tes.
X Sus áreas de conocimiento son
diferentes.
Riesgos
• Luchas de poder entre departa-
mentos relacionados con la seguridad.
• Rechazo a la convergencia: par-
celas de poder, pérdida de peso en la
organización.
Conclusiones
X La convergencia de la seguridad
tiende a ser algo habitual.
X Puede ser beneficiosa, pero sin el
modelo adecuado, el enfoque puede
ser erróneo.
especial