La Protección de Infraestructuras Críticas

La Ley 8/2011 y su normativa de desarrollo obligan a las Organizaciones, que han sido declaradas como operadores críticos, al cumplimiento de una serie de requisitos en relación con la protección de sus infraestructuras críticas, así como al control por parte de Organismos como el CNPIC.

Este hecho y la propia protección del negocio, exigen a la Organizaciones la implantación y seguimiento de un conjunto de medidas de Seguridad Integral (ciberseguridad, seguridad física, cuidado medio ambiental, seguridad electrónica, organizativa, personal-autoprotección,…) procedentes de diversas leyes, normas y estándares, así como una adecuada gestión del cumplimiento.

Esta gestión no es sencilla, debido al gran número de medidas en juego y a que es llevada a cabo por varias áreas de la Organización que normalmente utilizan metodologías diferentes y de forma aislada, con información propietaria y en distintos formatos, lo que redunda en duplicidad de esfuerzos y una mayor dificultad para una protección efectiva y para poder demostrar el cumplimiento.

Se necesita una gestión integral con una metodología definida y común para toda la Organización que:

• Trate la Seguridad y el cumplimiento de forma Integral.

• Permita la racionalización de los requisitos comunes a diferentes leyes, normas y estándares aplicables.

SIG - PICSistema Integrado de Gestión de la Protección de Infraestructuras Críticas

Pallars 99, planta 4, oficina 4108018 BarcelonaTel.: +34 902 480 580Fax: +34 934 675 830

www.sia.es

Avda. de Europa, 2Alcor Plaza - Edificio B - Parque Oeste Alcorcón28922 Alcorcón - MadridTel.: +34 902 480 580Fax: +34 913 077 980

• Permita la disponibilidad de la información y su consumo compartido por las distintas áreas y conocer el estado las medidas de seguridad, para cada infraestructura, en tiempo real.

• Aúne esfuerzos en el seguimiento y control de la Seguridad.

Sistema Integrado de Gestión de la Seguridad y el Cumplimiento PIC (SIG – PIC)

SIA ha desarrollado Sistema Integrado de Gestión para el seguimiento y control de la Protección de Infraestructuras Críticas (SIG-PIC), siguiendo un modelo fácil de gestionar y de comprender, y que obtiene un considerable ahorro de tiempo y esfuerzo. Entre sus principales características están:

• Enfoque y herramientas de Gobierno, Gestión Riesgo y Cumplimiento (GRC) que establecen un marco integrado de gestión y de control proactivo y permite disponer de información de calidad en cada momento para la toma de decisiones.

Gestión aislada por las áreas de la Organización

“Es necesaria una Gestión Integral de la Seguridad, con una metodología definida y común”

Gestión integral y común para todas las áreas de la Organización

www.sia.es

Avda. de Europa, 2Alcor Plaza - Edificio B

Parque Oeste Alcorcón28922 Alcorcón - Madrid

Tel.: +34 902 480 580Fax: +34 913 077 980

Pallars 99planta 4, oficina 41

08018 BarcelonaTel.: +34 902 480 580Fax: +34 934 675 830

• Creación de Modelo Unificado de Controles (MUC) que permite obtener un conjunto reducido de medidas/controles que cubra todos los requerimientos aplicables, facilitando su implantación y seguimiento y, por tanto, el cumplimiento normativo.

• Basado en la Gestión de Procesos (BMP) por las áreas implicadas, con definición de los mismos y llegando a una operación administrada por proceso en lugar de la tradicional operación funcional.

• Estructura alineada con estándares de Gestión reconocidos (ISO-27001, ISO-20000, ISO-22301, ISO-9001, ISO-14001,...) para ser conforme en cualquier auditoría.

• Modelo de Capas definido en la metodología propia de SIA, que permite la trazabilidad de las medidas de seguridad con los procesos y tareas a realizar.

El modelo del SIG-PIC de SIA permite, como aspectos destacables:

• La gestión de los principales procesos PIC, por cada área implicada y el control centralizado por la Dirección de Seguridad Corporativa:

• Gestión de objetivos, planes de mejora y tratamiento del riesgo, no conformidades, incidentes-problemas,…, así como los proyectos asociados.

• La generación de informes e indicadores online y en tiempo real del estado de la Seguridad Integral y el cumplimiento.

Gestión del cumplimiento de medidas (MUC)

Ciclo de vida de procesos del SIG

CHECK

PLAN

DO

RECURSOS – (Gestión de Recursos) Alta (Clasificación), baja y modificación

ACT

0100.P. Estrategia y Planificación 0200.P.Objetivos

1000.C.P AARR

0800.C.P Auditoría

0300.P.Proyectos/Plan Acción

0700.C.P Medición/

Monitorización

1300.R.P GESTIÓN ACTIVOS

1400.R.P GESTIÓN DE RRHH

1700.R.P GESTIÓN FINANCIERA

0500.D.P Transición/

Implantación

0600.D.P Operación

PLAN

ACT DO

CHECK

SIGMapa de procesos

0900.C.P Análisis de Impacto

1100.A. Revisión por la Dirección - Mejora

1500.R.P GESTIÓN DE PROVEEDORES

1600.R.P GESTIÓN DE CLIENTES/

RELACIÓN NEGOCIO

0701.C.MUCMODELO UNIFICADO

DE CONTROLES – REQUISITOS

0701.C.MUCMODELO UNIFICADO

DE CONTROLES – REQUISITOS

0400.D.P Diseño

1200.R.P Seguridad FISICA

1

Principales procesos PIC

Análisis y Gestión del Riesgo

Gestión de la Continuidad del Negocio (BIAs, Estrategias, Planes yPruebas)

Ciclo de vida (PDCA) de las medidas/controles

Gestión de Auditorías y evidencias

Gestión de Proveedores

Gestión de Recursos (humanos, financieros, materiales,…)

Principales procesos PIC

Estado del cumplimiento por norma e infraestructura

Medición de Indicadores