Endesa avanza hacia una seguridad de la información orientada al negocio
Asumiendo la emergente visión de la seguridad como un proceso dinámico en continua revisión y evaluación, Endesa ha implantado un nuevo modelo de gestión del riesgo de seguridad de la información. Para ello ha elaborado una metodología innovadora apoyada en los servicios de consultoría del Grupo SIA, que también se ha encargado de desarrollar la herramienta de análisis para la toma de decisiones.
Uno de los principales objetivos perseguidos con Endesa en este proyecto ha sido alcanzar un mayor alineamiento de la seguridad de la información con las necesidades de su negocio, según Joaquín Álvarez, subdirector de Normativa y Coordinador de Seguridad de la Información Corporativo de Endesa. Por ello, la herramienta de análisis del riesgo ha sido dotada de la suficiente flexibilidad como para llevar a cabo una evaluación adaptada a cada proceso dentro de la organización. Así, incorpora una interfaz gráfica en la que los gestores de seguridad de cada proceso de negocio pueden introducir datos fijando las variables del proceso a analizar, los servicios y activos que de él dependen, etc. Una vez extraídas las conclusiones, éstas son elevadas a los responsables de ese proceso de negocio, que, en consecuencia, podrán decidir entre cuatro alternativas: asumir el nivel de riesgo, reducirlo, asegurarlo recurriendo a los servicios de una compañía aseguradora o cesar en la actividad objeto de análisis.
Otra de las características más importantes de la nueva herramienta es que, pese a su capacidad de alcanzar altos niveles de granularidad a la hora de adaptarse a los distintos procesos, se trata de un recurso basado en un enfoque global. Por ejemplo, una de las exigencias de Endesa era que el sistema, accesible en remoto, fuera el mismo para los tres negocios de la compañía –España, Europa y Latinoamérica-, sentando así las bases para una toma de decisiones apoyada en estándares comunes. Además, el análisis del riesgo debía tener en consideración la estructura funcional de la organización incluyendo factores como la seguridad organizativa, la seguridad legal, la seguridad tecnológica y la seguridad física, así como las relaciones entre ellos.
Recurso Web accesible desde cualquier lugar
La herramienta desarrollada por SIA se basa en una arquitectura Web, modular y flexible. Dado que ha de hacerse accesible en remoto desde cualquier parte del mundo, para aligerar las comunicaciones que ello implica se ha optado por repartir el peso del proceso introduciendo cierta carga en la parte cliente; en concreto, se apoya en un cliente Java.
En cuanto al modelo de gestión del riesgo al que da soporte la nueva herramienta se basa en una metodología propia sustentada sobre el conjunto de normas y buenas prácticas de la familia 7799 (ISO 17799, BS7799), así como en los marcos definidos en LOPD RD/994, UNE 71502 y legislaciones particulares del sector eléctrico. También se han integrado normas de carácter específico dentro de Endesa, como es su política de seguridad.
Apoyándose en esta metodología y en la nueva herramienta, la compañía espera poder identificar de manera clara los riesgos asociados a la información y, en consecuencia, el impacto que ese riesgo tendría en el negocio. El objetivo último es priorizar y agilizar la toma de decisiones relativas a la seguridad para mejorar el control del riesgo al que se encuentra sometida en cada momento la información. Tanto la metodología como la herramienta recogen mecanismos de medición y revisión continuada que permitan realizar evaluaciones cualitativas de los avances hacia niveles deseables de seguridad y cambiar criterios según la evolución que vaya experimentando el propio negocio.
Además, el nuevo proceso proporcionará a la organización la posibilidad de generación automática de cuadros de mando y de realización de cálculos cuantitativos a la hora de evaluar el retorno de su inversión en seguridad.
Otra de las características más importantes de la nueva herramienta es que, pese a su capacidad de alcanzar altos niveles de granularidad a la hora de adaptarse a los distintos procesos, se trata de un recurso basado en un enfoque global. Por ejemplo, una de las exigencias de Endesa era que el sistema, accesible en remoto, fuera el mismo para los tres negocios de la compañía –España, Europa y Latinoamérica-, sentando así las bases para una toma de decisiones apoyada en estándares comunes. Además, el análisis del riesgo debía tener en consideración la estructura funcional de la organización incluyendo factores como la seguridad organizativa, la seguridad legal, la seguridad tecnológica y la seguridad física, así como las relaciones entre ellos.
Recurso Web accesible desde cualquier lugar
La herramienta desarrollada por SIA se basa en una arquitectura Web, modular y flexible. Dado que ha de hacerse accesible en remoto desde cualquier parte del mundo, para aligerar las comunicaciones que ello implica se ha optado por repartir el peso del proceso introduciendo cierta carga en la parte cliente; en concreto, se apoya en un cliente Java.
En cuanto al modelo de gestión del riesgo al que da soporte la nueva herramienta se basa en una metodología propia sustentada sobre el conjunto de normas y buenas prácticas de la familia 7799 (ISO 17799, BS7799), así como en los marcos definidos en LOPD RD/994, UNE 71502 y legislaciones particulares del sector eléctrico. También se han integrado normas de carácter específico dentro de Endesa, como es su política de seguridad.
Apoyándose en esta metodología y en la nueva herramienta, la compañía espera poder identificar de manera clara los riesgos asociados a la información y, en consecuencia, el impacto que ese riesgo tendría en el negocio. El objetivo último es priorizar y agilizar la toma de decisiones relativas a la seguridad para mejorar el control del riesgo al que se encuentra sometida en cada momento la información. Tanto la metodología como la herramienta recogen mecanismos de medición y revisión continuada que permitan realizar evaluaciones cualitativas de los avances hacia niveles deseables de seguridad y cambiar criterios según la evolución que vaya experimentando el propio negocio.
Además, el nuevo proceso proporcionará a la organización la posibilidad de generación automática de cuadros de mando y de realización de cálculos cuantitativos a la hora de evaluar el retorno de su inversión en seguridad.
