Modelo de Eficiencias en Seguridad
aplicado a las Infraestructuras Críticas
TESIC 27 de Noviembre de 2012
2
> 150.000 Personas 17 países ?
3ª Mundo
3
Productos y Servicios
Infraestructuras Críticas
• El mundo de la seguridad se enfrenta a nuevos retos … y a viejos conocidos, desde nuevos puntos de
vista
• Nuevos estándares de seguridad: Protección y Resiliencia “la capacidad de sobreponerse a
un estímulo adverso”
• Normativa: “Protección de infraestructuras críticas”
• Londres
• Nueva York
• Madrid
Atentados
• Tsunami Fukujima
• Terremoto Lorca
Desastres Naturales
¿Hay que cumplir ? Sí, LEY.
Pero sin penalizaciones
4
Estrategia de Seguridad Infraestructuras Críticas
IC 1 IC 2 IC n
PSO
• Personas• Activos
• Infraestructuras• Coordinación
PPEPPEPPE
PERSONAL
INFRAESTRUCTURAS
ACTIVOS
Enlace
5
Productos y Servicios
Infraestructuras Críticas
Qué deben tener las IC Cómo aportamos valor
PSO • Política general de seguridad del operador y marco de
gobierno.(Responsable y enlace – Director de Seguridad)
• Relación de Servicios Esenciales prestados por el Operador
Crítico.
• Metodología de análisis de riesgo (amenazas físicas y lógicas).
(Continuidad de Negocio)
• Criterios de aplicación de Medidas de Seguridad Integral
(adaptación del plan director de seguridad)
• Revisión: Bienal.
• Actualización y mantenimiento.
• Tiempo de reacción: 6 meses (2 meses de aprobación
posterior)
• Auditoría Seguridad física
• Auditoría Seguridad Lógica
• Plan de Continuidad de Negocio
• Análisis de sistemas SCADA
• Análisis de Riesgos
• Plan de mitigación, implantación y coordinación
• Planes de Seguridad Integral
• Realización y coordinación de Simulacros
• Actualizaciones y mantenimientos
• Relación de planes de formación
• Realización de planimetría
Plan de Seguridad del Operador
Plan de Protección Específico
PPE • Organización de la seguridad.
• Descripción de la infraestructura.
• Resultado del análisis de riesgos.
• Plan de Acción propuesto
• Revisión: Bienal.
• Actualización y mantenimiento
• Tiempo de reacción: 4 meses después del PSO (aprobación 2 meses)
Acompañamiento • Presentar los planes
• Presentar las renovaciones
• Interlocución
3 meses Nombramiento del enlace
Clasificación de Seguridad de protección (Comunicaciones,
confidencialidad, integridad y disponibilidad)
TITULO III Artt. 15 y 18
Responsable Seguridad y Enlace (Director de Seguridad)
• EL CNPIC identificará las infraestructuras críticas que hay en nuestro territorio
CONVERGENCIA
SEGURIDAD
FISICA
SEGURIDAD
LÓGICA
CENTRO DE MANDO Y CONTROL
MONITORIZACIÓN, CCTV
CONTROL DE ACCESOS A SSIICONTROL DE ACCESOS
PROTECCIÓN PERIMETRAL
PRL - PCI
RESPALDO
SEGURIDAD DE LA INFORMACION
ANÁLISIS DE RIESGOS, PLAN DIRECTOR DE SEGURIDAD
Empresa muy dependiente de infraestructuras y activos físicos
AUDITORÍAS, PLANES DE CONTINUIDAD DE NEGOCIO
GESTION DE LAS EMERGENCIAS
Working Committee on CRITICAL INFRASTRUCTURES
CONTROL ANTI-INTRUSION
CONTROL ANTI-HURTO
DLP
SEGURIDAD DE LAS COMUNICACIONES
CONVERGENCIA
MONITORIZACIÓN, CCTV
CONTROL DE ACCESOS A SSIICONTROL DE ACCESOS
PROTECCIÓN PERIMETRAL
PRL - PCI
RESPALDO
SEGURIDAD DE LA INFORMACION
GESTION DE LAS EMERGENCIAS
Working Committee on CRITICAL INFRASTRUCTURES
CONTROL ANTI-INTRUSION
CONTROL ANTI-HURTO
DLP
SEGURIDAD DE LAS COMUNICACIONES
CUMLIMIENTO
SEGURIDAD
FISICA
SEGURIDAD
LÓGICAEmpresa muy dependiente de activos de información
CENTRO DE MANDO Y CONTROL
ANÁLISIS DE RIESGOS, PLAN DIRECTOR DE SEGURIDAD
AUDITORÍAS, PLANES DE CONTINUIDAD DE NEGOCIO
8
•Caída de ventas
•Disminución de márgenes
•Revisión costes indirectos
•Revisión, reducción y aplazamiento
de inversiones
•Incremento costes financieros
•Dificultad para encontrar
financiación
•…
No podemos afrontar la seguridad de las infraestructuras críticas
fuera del contexto “que nos domina”…
9
Con nuevas exigencias
• Auditorias
• Análisis de
Riesgos
• Planes de:
• Autoprotección
• Seguridad
Disminuir gasto corriente
Disminuir inversión
Nuevos retos
Incremento de incidencias
10
Que nos hacen gestionar unos presupuestos “en equilibrio”
2010
¿Hasta dónde podemos
hacer equilibrios con el
modelo actual?
11
¿Qué podemos hacer?
nuestras
alternativas...
12
Alternativa # 1
13
Alternativa # 2
14
Alternativa # 3
15
La teoría dice que tenemos tres caminos…
Continuista Incremental Rupturista
Grado de compromiso
Continuismo Cambio de PolíticasCreación de un nuevo
juego
Optimizar el gasto en
seguridad
Reducir servicios
Reducir el precio de cada
servicio
Cambiar el peso de los
diferentes elementos que
componen la seguridad
Reducir horas de vigilante
Incrementar horas de
auxiliares
Cambiar las variables que
definen el sector de la
seguridad
¿Qué hago para crear un
nuevo modelo de seguridad?
Mejoras incrementales
La eficacia es inversamente proporcional al tiempo que
llevamos practicándolas
Implica casi siempre renunciar a servicio y a prestaciones
No hay límites de inicio
No supone renunciar a
servicio ni a prestaciones
Sostenibles en el tiempo
QUÉ
CÓMO
16
Cambiando el modelo de seguridad a partir de dos ejes
•Cambiar el servicio de
seguridad
•Aportar en positivo
Modelo de Eficiencias Prosegur
La seguridad en la cadena de valor
1
2
17
Cambiar el servicio de seguridad: El modelo de eficiencias
1. Punto de vista global
2. Trabajar simultaneamente sobre los
tres ejes del modelo de “caja
operativa”
3. Obtener una redefinición de los
estándares de seguridad basados
en tres ejes fundamentales
Cambios evolutivos asumibles
financiera y operacionalmente
Eficiencia económica
Aseguramiento de los niveles de
seguridad y Cumplimiento
Modelo de Eficiencias Prosegur
18
El modelo de eficiencias 1
Situación actual
Centro de control
Prosegur
Nuestra Propuesta
Propuesta económica*
Año 1 Año 2 Año 3 Año 4
Costes
Operativos70% 70% 70% 70%
Inversión 20% 20% 20% 7%
Total 90% 90% 90% 77%
*(% de la cifra de gasto del año anterior)
Ejemplo que resume 5 casos reales con clientes de diferentes sectores del ámbito privado
19
Modelo de Eficiencias 2
•Análisis global, todas las ubicaciones
•Análisis ineficiencias
•Análisis Personas, Procesos, Sistemas, homogeneizar, agrupar,
realizar en remoto, presencia – capacidad de respuesta
•Sin cambios en las operaciones de negocio
1
•Análisis operaciones de negocio – seguridad
•Análisis impacto operaciones no esenciales en costes seguridad
•Propuesta cambios en operaciones para conseguir ahorros
2
•Priorización de riesgos en función del coste asumido para su
prevención y del impacto en la empresa
•Workshop: “Nuevos riesgos asumidos por la empresa”
•Puede suponer cambios en operaciones no críticas
3
-20%
-6%
-5%
Ejemplo de proyecto con un cliente que invierte más de 4,5M € /anuales en seguridad en
el sector privado. Requisito: “Inversiones 0 €”
Nivel de Riesgo máximo asumible
desde el punto de vista de Prosegur
-31%
20
•Cambiar el servicio de
seguridad
•Aportar en positivo
Modelo de Eficiencias Prosegur
La seguridad en la cadena de
valor
1
2
Cambiando el modelo de seguridad a partir de dos ejes
21
La aportación de valor de cada compañía está directamente relacionada con la capacidad para
conseguir que sus procesos clave de negocio se ejecuten conforme a su diseño
•Uno de los líderes en España en el sector retail invierte algo más
de 30M€ en seguridad cada año
•Un ahorro del 5% supondría 1,5M€ que van directos a mejorar la
cuenta de resultados
•Este mismo retailer tiene cada año cerca de 200M€ en pérdida
desconocida
•Un ahorro del 5% supone mejorar la cuenta de resultados en 10M€
•La pérdida desconocida depende en una buena parte de que los procesos de negocio se
ejecuten correctamente
•Todas las actividades tienen su “perdida desconocida”
22
Un ejemplo real de aporte en positivo a la cuenta de resultados de la seguridad
•Monitorización en remoto de los procesos de descarga de
mercancía en tienda a tienda cerrada
1
•Monitorización en remoto de los procesos de apertura y
cierre de tiendas
2
•Monitorización en remoto de equipos necesarios para el
funcionamiento de la empresa. Tanto situación (encendido /
apagado) como valores de referencia
3
•Cumplimiento de los
procesos de negocio, tal y
como están diseñados
•Reducción de costes
operativos (pérdida
desconocida)
•Monitorización en tiempo real de tiendas en horario de
apertura
4
23
Prosegur está aquí para ser vuestro socio en seguridad a largo plazo
2013
2014
•Otro modelo de seguridad es posible
•La Seguridad puede aportar valor a vuestro modelo de negocio
•Si de verdad buscamos ahorros, no podemos centrarnos en el PVP/hora