Julian Flores Garcia Segurpricat

Julian Flores Garcia Segurpricat
Julian Flores Garcia Director Segurpricat

domingo, 22 de julio de 2012

Profesionales, analistas, gobiernos, normativas tecnologías y amenazas impulsan la integración La Ley pic, la voluntad del gobierno de continuar apoyando los fundamentos de la seguridad global y el posicionamiento de más organizaciones a favor de la convergencia certifican el éxito de un congreso pionero en la unión de seguridad física y lógica bajo el mismo prisma organizativo.


Gestión integral de la Seguridad
SEG2: EL TIEMPO NOS DA LA RAZÓN
Profesionales, analistas, gobiernos, normativas tecnologías y amenazas impulsan la integración
La Ley pic, la voluntad del gobierno de continuar apoyando los fundamentos de la seguridad global y el posicionamiento de más organizaciones a favor de la convergencia certifican el éxito de un congreso pionero en la unión de seguridad física y lógica bajo el mismo prisma organizativo.
Por Ángel Gallego
Este año se celebra la cuarta edición del Encuentro de la Seguridad Integral (Seg2), que en menos de un lustro se ha convertido en un referente. Este foro profesional es pionero en la dinamización y el impulso del concepto, el desarrollo y la aplicación de la Seguridad Global, así como en el esfuerzo por acercar y promover el intercambio de información y experiencias entre los sectores, los organismos y los profesionales afectados.
Cuando una idea triunfa, el paso del tiempo es el encargado de situarla en una suerte de paraninfo donde conviven las buenas prácticas y lo políticamente correcto. Lejos queda entonces, y no pocas veces en el olvido, el impagable tesón de aquellos que apoyaron esa iniciativa desde el principio, cuando la corriente de pensamiento dominante era bien distinta. Entonces, plantear otro camino convertía en ‘Quijotes’ a los precursores, a los iniciadores.
Por este motivo, es de justicia reconocer el trabajo y el ahínco de los que descubrieron en la Seguridad Integral un caballo que hoy, además de ser ganador, se presenta como incuestionable. Desde 2009 (y mucho antes), año en que se celebró el I Seg2 en España, esta visión estratégica de la Seguridad como un proceso global dentro del negocio ha ganado adeptos. Sorprende ver cómo algunos de ellos ‘se han subido al carro’ de la convergencia apresuradamente -después de haberla ignorado o criticado-, en vista de que el marco normativo europeo se posiciona con contundencia a favor de esta tesis, como analizaremos en detalle más adelante.
Editorial Borrmart, a través de sus revistas RED SEGURIDAD y SEGURITECNIA, volverá a congregar a los principales actores de la Seguridad Integral el próximo 10 de mayo en el Hotel Husa Princesa de Madrid, en un foro preparado con el mismo ánimo de siempre, pero con la satisfacción que supone saberse reconocido, discurriendo por la senda correcta, conscientes de que no hay que deshacer lo andado...
Esta travesía no hubiese sido posible sin la inestimable colaboración del Instituto Nacional de Tecnologías de la Comunicación (Inteco) y del apoyo de compañías como Eulen Seguridad o Telefónica Ingeniería de Seguridad (TIS), que acompañan a Borrmart y le prestan su confianza para potenciar este evento desde su arranque así como Deloitte y GMV, que repiten apuesta en esta cuarta edición. También es de justicia agradecer la implicación de quienes han apreciado en este congreso una oportunidad estratégica de negocio en alguna ocasión: AlienVault, Applus+, S21sec, SIEG, Alcatel-Lucent, Microsoft, ABS Quality, Áudea, Isdefe, SonicWall, Tb-Security, Unitronics y Visiona Security. Asimismo, agrupaciones profesionales como la Asociación de Directivos de Seguridad Integral (ADSI), la Asociación Española de Empresas de Seguridad (AES), la Confederación Empresarial de Usuarios de Seguridad y Servicios (CEUSS), la Federación Española de Seguridad (FES), ISACA Madrid, ISMS Forum, Ametic, ASIS España, Astic o la Asociación Española para la Promoción de la Inteligencia Competitiva (Asepic) han aportado cada año su enriquecedora visión, siempe proclive a la unión de ambos mundos, en las diferentes mesas de debate.
Desde su primera edición, el Seg2 tiene la inmensa fortuna de contar con un ‘apadrinamiento’ de lujo por parte de Mapfre, multinacional española de referencia en el ámbito asegurador y… en la convergencia de seguridades. Así lo reconoció la consultora Gartner el pasado año, valorando a la compañía como un caso de éxito mundial, gracias a una concepción organizativa de la Seguridad como un proceso único de control. Y así lo comparte generosamente todo el equipo de la Subdirección General de Seguridad y Medio Ambiente (DISMA) de Mapfre, encabezado por su director Guillermo Llorente, siempre dispuesto a participar en el Encuentro de la Seguridad Integral ofreciendo ideas, iniciativas, conocimientos, opiniones, metas superadas, nuevos retos, superación de obstáculos, enfrentamiento a desafíos... Y en este directivo de la Seguridad es en quien desea personalizar esta editorial su más sincera gratitud, así como al trabajo que realiza su grupo de expertos.

Directores de Seguridad física y de la información actúan como punta de lanza de dos equipos condenados a entenderse. ¿Veremos algún día a un director único, formado para gestionar riesgos globales?
Evolución continua

Seguridad Integral es un concepto que todavía pocas organizaciones han llevado a la práctica. No se puede negar que su despliegue sea complejo y que demanda una reinvención organizativa y cultural, como la que ha experimentado Mapfre, que no ha dejado de evolucionar, del mismo modo que el Seg2, un escenario siempre abierto al intercambio de ideas, la crítica constructiva y a la visión de diferentes enfoques de la Seguridad.
La defensa firme de un posicionamiento estratégico u organizativo no significa que no se admitan discrepancias. Precisamente este foro se ha caracterizado por dar voz a quien lo ha solicitado y por destacar la complejidad que entraña alcanzar la meta de la Seguridad Global. Las ponencias y los debates se encaminan a despejar el trayecto de una realidad cuyo beneficio, a largo plazo, supera el esfuerzo que cuesta alcanzarla.
En 2009, el primer encuentro sirvió para abrir los ojos a los sectores implicados sobre el peligro que se cernía sobre las organizaciones, precisadas de una Seguridad Global ante la explosión de amenazas físicas y lógicas. En aquel Seg2 primigenio se hablaba de la necesidad de establecer un Plan Director de Seguridad: “El primer paso a dar es que la Seguridad se considere un proceso dentro de la estructura productiva de la organización”, aseveró Carlos Blanco, director Nacional de Eulen Seguridad, vaticinando uno de los asuntos centrales del segundo encuentro: la figura del director de seguridad o Chief Security Officer (CSO). En la edición inicial también se advirtió de la necesidad de proteger los sistemas SCADA (Supervisory Control And Data Acquisition), mucho antes de que Stuxnet y su ‘hijo’ Duqu demostrasen de qué eran capaces. Aquel primer evento a nivel nacional sirvió para que, por primera vez, el sector de la seguridad TIC y el de la seguridad física se sentasen en la misma mesa, sin darse la espalda, porque “la concepción holística de la Seguridad no es el comienzo de una moda, sino una necesidad”, según razonó Juan Antonio Gómez Bule, presidente del Consejo Asesor de S21sec y de SIEG.
En 2010, el segundo encuentro tuvo como aliados de excepción los Reales Decretos del Esquema Nacional de Seguridad (ENS), el Esquema Nacional de Interoperabilidad (ENI) y el de Protección de las Infraestructuras Críticas (PIC), éste último como respuesta a la Directiva Europea 2008/114, sobre la identificación y designación de estas instalaciones esenciales para el funcionamiento de una sociedad. También estuvo presente el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), representado por su director, Fernando Sánchez, que brindó a los asistentes una de sus primeras apariciones públicas.
Por otro lado, el foro evidenció que la tecnología de correlación de eventos (SIEM, por sus siglas en inglés) es la mejor respuesta práctica a la integración de la seguridad, como siempre ha defendido AlienVault; se puso sobre la mesa la necesidad de crear equipos multidisciplinares y apareció por primera vez la palabra ‘inteligencia’ -pronunciada por Enrique Polanco, veterano experto en Seguridad y uno de los fieles protectores de esta cita, a quien Borrmart agradece tanto su disposición- aplicada a la protección del negocio, como habilitador para que un CSO pueda tomar las mejores decisiones.
El III Seg2, antecesor de la próxima convocatoria, abordó la problemática de los planes de continuidad integrales e invitó a la reflexión: ¿Se podría haber evitado el ataque de Stuxnet o el desastre de Fukushima con un plan de seguridad global? De acuerdo con el posicionamiento más generalizado, hubiera sido posible minimizar sus efectos con unos planes adecuados, en línea con los mandatos de la Ley PIC, conciliadora, dinamizadora y aval número uno de la Seguridad Integral. 2011 fue el año en que la ‘inteligencia’ con mayúsculas disfrutó de mayor peso específico en ponencias y mesas redondas y quedó constancia de que, independientemente del ‘baile’ de siglas (CSO, CISO, CIO), la idea de implantar una dirección única ganó la batalla a los defensores de la independencia o separación de equipos profesionales.
Trayectoria paralela

ASIS International es una de las asociaciones más importantes del mundo en el campo de la seguridad física. Su apuesta por la integración no deja lugar a dudas y su trayectoria ha sido paralela en el tiempo a la del Seg2, atendiendo a James Willison, especialista en convergencia de Seguridad para ASIS en el Reino Unido, que firmó con ISACA e Information Systems Security Association (ISSA) la Alianza para la Gestión de los Riesgos de Seguridad Empresarial hace una década. El nuevo papel del CSO y la llegada de Stuxnet confirmaron que ASIS UK estaba en lo cierto y Willison continuó su labor de aprendizaje mientras difundía y compartía conocimiento sobre esta línea.
Entre los frutos de la colaboración entre las citadas asociaciones destaca la creación de Information Security Awareness Forum (ISAF) en 2007, cuando en la mente de editorial Borrmart cobraba fuerza la necesidad de organizar el primer encuentro nacional sobre convergencia. El trabajo de Willison y otros muchos expertos trascendió las fronteras británicas el pasado mes de junio tras la creación de una comisión especializada en Convergencia de Seguridad dentro de ASIS European Advisory Council (EAC), con el objetivo de divulgar y promover las bondades de esta disciplina organizativa por todo el continente.
Corriente normativa favorable

Es para la organización del Seg2 un motivo de satisfacción comprobar que su leitmotiv encuentra reflejo en otras latitudes y que, después de unos primeros años en los que explicar la convergencia no era una labor sencilla, la concienciación sobre la misma y sus beneficios son difundidos por reputados expertos de todo el mundo.
Igualmente bienvenido es el respaldo que la legislación ha dado a la Seguridad Integral, en menos de un año, aprobando la Ley PIC (Ley 8/2011), que se convierte en verdadero baluarte para esta visión global, y es en un antes y un después para la gestión de la Seguridad y su función y actividad.
Y los apoyos continúa con el nuevo Ejecutivo, según se desprende de la primera comparecencia en el Senado del ministro del Interior, Jorge Fernández Díaz, donde a petición propia, informó sobre las líneas generales de la política de su departamento. Durante su intervención, Fernández se refirió a tres líneas de trabajo ya iniciadas y que, según sus palabras, considera “especialmente interesantes”: “Incluir en la Estrategia Nacional de Ciberseguridad que el Gobierno está elaborando los mecanismos precisos para hacer frente a esta amenaza creciente y, en particular, al ciberterrorismo, mejorando además la protección de las Infraestructuras Críticas, dado que la mayoría fundamentan su operación en procesos informáticos”. En este sentido, el ministro aseguró que se continuará potenciando el CNPIC, implantando además en su seno una Oficina de Coordinación Cibernética (OCC).
Asimismo, el pasado mes de febrero, Fernández Díaz se pronunció a favor de modificar la Ley de Seguridad Privada, con objeto de adaptarnos a Europa en este terreno y optimizar la colaboración público-privada. Esta declaración de intenciones invita a la reflexión, plantea sesudos interrogantes e invita a la esperanza de que la Seguridad Integral sea contemplada como una realidad en el nuevo texto. En el pasado Foro SICUR, el comisario jefe de la Unidad Central de Seguridad Privada del Cuerpo Nacional de Policía (UCSP), Esteban Gándara, expresó lo siguiente respecto a la posible reforma: “Todo parece apuntar” a que planteará un modelo de Seguridad Integral, “entendida como una suma de la seguridad física con las demás seguridades”.
También en la feria bienal, la Fundación ESYS presentó el Estudio de la Seguridad Privada en España. Estado de la cuestión 2012, un documento que entre sus conclusiones generales destaca dos puntos de notable interés: “La seguridad informática necesita con urgencia una normativa específica que se adapte a la realidad tecnológica actual”. Y, en segundo lugar: “El desarrollo normativo debe realizarse desde una perspectiva integral, pensando en la convergencia de la seguridad física e informática”.
Las semillas están sembradas en el mejor terreno para que la convergencia germine, pero en ese hipotético escenario: ¿Quién sería el director de Seguridad o CSO: el representante de la vertiente física o el de la lógica? Una nueva y futura Ley de Seguridad Privada supondría que la Seguridad de la Información dejase de depender de departamentos de Sistemas? ¿Están preparadas las organizaciones para este cambio? ¿Están formados los profesionales para gestionar riesgos globales?
El posicionamiento de Borrmart es favorable a la creación de estudios universitarios orientados a formar al profesional del futuro. No será sencillo, ni los más optimistas pueden asegurarlo, pero se convertiría en un garante de la Seguridad Global y en un reconocimiento a la labor que lleva desempeñando esta casa.
El tiempo, el mercado, la industria, las asociaciones y los expertos aprueban la Seguridad Integral, y la única incógnita que queda por resolver es si algún día este encuentro dejará de tener sentido por haber cumplido con su objetivo. Esa fecha llegará cuando el grado de madurez de la convergencia sea tal, que se dé por superada en la gran mayoría de las organizaciones. Entretanto, ¡larga vida al Seg2!