2PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
Agenda
Quienes somos
¿Por qué un SGSI en PROSEGUR?
Las Lecciones aprendidas
4PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
PROSEGUR
Source: Freedonia group, DBK and Aproser 2002-2009 reports
Mexico# 3 - 10
Portugal# 1
Colombia# 2
Brazil# 1
Argentina# 1
Peru# 1
Chile# 1
Spain# 1
Romania# 2
France# 3 - 5
Paraguay# 1
Uruguay# 1
Singapore# 4
• Fundada en 1976
• La primera multinacional española del sector de seguridad
• Líder absoluto en cuota de mercado en los países dónde opera
• El tercer mayor operador global del sector
• Única del sector que cotiza en la Bolsa española
• Presencia en directa en 15 países y operaciones en más de 30
• Más de 10.000 clientes corporativos y más de 300.000 particulares y negocios
• Más de 104.000 empleados
• Fundada en 1976
• La primera multinacional española del sector de seguridad
• Líder absoluto en cuota de mercado en los países dónde opera
• El tercer mayor operador global del sector
• Única del sector que cotiza en la Bolsa española
• Presencia en directa en 15 países y operaciones en más de 30
• Más de 10.000 clientes corporativos y más de 300.000 particulares y negocios
• Más de 104.000 empleados
5PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
77.500 84.200
94.500 101.000 104.500
2006 2007 2008 2009 2010
Plantilla Mundial
Posición en el mercado internacional
1.628,40 €
1.841,80 €
2.051,70 €2.178,40 €
2.560,70 €
2006 2007 2008 2009 2010
Facturación Global(millones de Euros €)Ventas 2009
en Millones de Euros
Capitalización*
* Datos de 4 de Octubre de 2010
Tamaño del mercado mundial de seguridad: ~ 100K M E uros
186
398
579
792
2.482
2.666
3.954
790
739
1.162
2.021
6.074
2.187
7.788
en Millones de Euros
51%
1%
35%
4%
2% 1%6% Vigilancia Activa
Consultoría de Seguridad
Logistica de Valores
Tecnologías de Seguridad
Proteccion Contra Incendios
Monitorización Remota
CRA alarmas y Acudas
6PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
Productos y Servicios
Vigilancia Transporte de Fondos Sistemas de Seguridad
Automatización Efectivo Consultoría de Seguridad Prot. Contra Incendios
9PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
Enfoque de Gestor de Riesgos Global
Financieros Crédito Reputación Operativos
CoordinaciCoordinaci óón y Gestin y Gesti óón Conjuntan Conjunta
10PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
Seguridad Básica ad-hoc
Cumplimiento Legal
Proyectos deSeguridad
Gestión de Riesgos
SeguridadGestionada
FASE I
FASE II
FASE III
FASE IV
FASE V
ENFOQUEPARCIAL
FASE VI
Madurez en la Integración de la Seguridad
SEGURIDADINTEGRAL
Física + Lógica
ENFOQUE ALNEGOCIO
Grado de Madurez Empresarial
11PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
Alto valor de los activos de Información
CSC - USAP• Nominas
• Compras
• Gestión de Activos
ERP• Contabilidad
• Gestión
• Financiero
Soporte a la Operación
NOVI-SIP2000• Provisión de
Servicio
• Facturación
CRM• Información de Cliente
• Gestión Comercial
• Gestión de los Contratos
12PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
VIGILANCIA ACTIVA
• Más de 102.000 vigilantes de seguridad en todo el mundo
• Más de 95 millones de horas de servicio realizadas en 2010
• En más de 15.000 centros de trabajo
• Un servicio fuertemente tecnificado y dependiente de las comunicaciones
13PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
Supervisión, Información y Control
Herramientas de “tiempo real” para:
• Control de presencia
• Reporte de incidencias
• Monitorización de actividad
• Interacción con el cliente
• Etc..
Sistemas de reporte Web:
• Informes de Actividad
• KPI’s de medición de calidad
• Estandarización de la actividad
• Monitorización de progreso
• Implantación rápida de nuevos procedimientos
14PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
Centros de Control y Centrales Receptoras
• 1500 Metros cuadrados
• Más de 100 operadores
• Áreas multicliente y espacios dedicados
• Más de 9000 conexiones simultaneas
Centrales Receptoras•60 en 12 países
•Más de 300.000 conexiones
•Redundantes y balanceadas
•Replicables al Centro de Control
Centro de Control Corporativo Centrales Receptoras
15PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
Servicios de Seguridad Inform ática
SEGURIDAD INFORMATICA
•Control de Accesos a sistemas
•Integridad de sistemas
•Control de comunicaciones
ANALISIS DE LOG Y CORRELACION DE EVENTOS
• Gestión y monitorización de presencia
• Acceso de aplicaciones y sistemas
• Predicción y detección del fraude
16PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d 1616
Logística de valores
•Más de 48.000 transacciones electrónicas diarias
•2.100 MM Billetes al año
•4.400 MM Monedas al Año
Gestión ATM’s•Mas de 8.100 cajeros atendidos y monitorizados
Gestión de Agencias bancarias•Previsión y planificación
•Monitorización de equipos (cajeros y recicladores)
•Petición en remoto de fondos
Gestión del efectivo para la Distribución •Entrega de cambio
•Gestión de la recaudación
•Back Office, terminales de venta e integración de sistemas
Gestión de la cadena de aprovisionamiento del efectiv o
17PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
La necesidad de un SGSI para PROSEGUR
Factores Internos
• LOPDLey Organica de Protección de Datos
• Ley de Seguridad Privada
• LSSICELey de Servicios de la Sociedad del la Inf. y del C omercio Elect.
• SEPBLACLey de Prevención de Blanqueo de Capitales
• ….
Factores Externos
• Confianza frente a clientes
• Diferenciación
• RSC
19PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
• Delimitar el Alcance del SGSI
• Control del Apetito al Riesgo
• Organización de la Seguridad
• Metodología y Herramientas
Lecciones Aprendidas
• Confidencialidad• Integridad• Disponibilidad
SGSI ENS
20PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
Alcance del SGSI
• Dedicar el tiempo suficiente a establecer un alcance del SGSI controlable
• Una “inteligente” definición del alcance puede hacer que el proyecto de definición e implantación de un SGSI sea un proyecto alcanzable y asumible por la organización o, en caso contrario, un proyecto elefante que conduzca al desaliento de los que participan y al fracaso del mismo.
El Esquema Nacional de Seguridad (ENS) define el alcance m ínimo del SGSI a los servicios y sistemas que tratan informac ión de la Administración Pública en el ámbito de la Ley 11/200 7 (servicios a los que acceden los ciudadanos a través de medios e lectrónicos)
Un planteamiento en fases sucesivas puede facilitar la definición de un proyecto “asumible” por la organización.
El Esquema Nacional de Seguridad (ENS) define el alcance m ínimo del SGSI a los servicios y sistemas que tratan informac ión de la Administración Pública en el ámbito de la Ley 11/200 7 (servicios a los que acceden los ciudadanos a través de medios e lectrónicos)
Un planteamiento en fases sucesivas puede facilitar la definición de un proyecto “asumible” por la organización.
21PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
VIGILANCIA:
• Actividad de vigilancia presencial realizada en terceras empresas que contratan el servicio, según requisitos de cada cliente, así como el servicio de telecontrol / televigilancia de empresas prestado desde un centro de control central.
CONSULTORÍA:
• Diseño, planificación y asesoramiento de actividades relacionadas con la seguridad.
Certificación en primera mitad de 2011 para Zona Centro y Cataluña. Delegaciones: Madrid, Extremadura, Guadalajara, Albacete, Cuenca, Ciudad Real, Toledo, Barcelona, Gerona, Lleida y Zaragoza
Alcance del SGSI
22PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
Control del Apetito al Riesgo
• El apetito de riesgo es la cantidad de riesgo en un nivel amplioque una empresa está dispuesta a aceptar para generar valor.
• No hay dos organizaciones iguales
• La Norma ISO 27.000 deja en manos de cada organización el grado de inversión en la gestión del riesgo.
• El tratamiento de los riesgos deberá ser adecuado al nivel de riesgo evaluado considerando siempre la posibilidad de transferir, aceptar y evitar el riesgo
• Mitigar el riesgo suele ser una buena opción, pero también la más cara. Priorizar siempre en función del análisis del riesgo
El Esquema Nacional de Seguridad (ENS) incluye en su Artículo 43. la clasificación de los sistemas de información para “modular” el apetito al riesgo.
1. La categoría de un sistema de información, en materia de seguridad, modulará el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el criterio del principio de proporcionalidad
El Esquema Nacional de Seguridad (ENS) incluye en su Artículo 43. la clasificación de los sistemas de información para “modular” el apetito al riesgo.
1. La categoría de un sistema de información, en materia de seguridad, modulará el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el criterio del principio de proporcionalidad
23PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
Prosegur ha creado el Comité de Seguridad presidido por el Director de Seguridad , miembro del Comité de Dirección de la Empresa y en su composición destacan:• Responsable del SGSI de la Dirección de Seguridad• Responsable del área de desarrollo de Tecnologías de la Información• Responsable del área de explotación de Tecnologías de la información• Responsable de Seguridad de la Información de Tecnologías de la
Información• Responsable de la Administración del sistema de calidad y medioambiente• Asesoría Legal (Responsable de LOPD)• Oficina Técnica Comercial• Gerente de Vigilancia• Gerente de consultoría (Experto en ISO 27.000)
Organización de la seguridad
El Esquema Nacional de Seguridad (ENS) establece como requisito mínimo en el Artículo 12. Organización e implantación del proceso de seguridad.
La seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad según se detalla en el anexo II, sección 3.1, deberáidentificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.
El Esquema Nacional de Seguridad (ENS) establece como requisito mínimo en el Artículo 12. Organización e implantación del proceso de seguridad.
La seguridad deberá comprometer a todos los miembros de la organización. La política de seguridad según se detalla en el anexo II, sección 3.1, deberáidentificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización administrativa.
24PSG20101104 – ACD/Apps© Prosegur Cia de Seguridad S.A. – All Rights Reserve d
Metodología y Herramientas
Prosegur realizó el análisis de riesgos de la seguridad de la información con relación a las 3 dimensiones clásicas de la seguridad: Confidencialidad, Integridad y Disponibilidad. El análisis para determinar el valor del riesgo (R) ha incluido:
• Identificación de los activos
• Identificación de amenazas
• Determinación de la frecuencia de aparición de dichas amenazas
• Nivel de Vulnerabilidad (exposición a las amenazas)
• Impacto en el Negocio
MAGERIT (versión 2), es un método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlarlos. Los objetivos perseguidos por la Herramienta Pilar, gratuita para la administración, son:
•Realizar el análisis de riesgos según la metodología Magerit e ISO/IEC 27005.
•Diseño del plan de mejora de la seguridad.
MAGERIT (versión 2), es un método formal para investigar los riesgos que soportan los Sistemas de Información, y para recomendar las medidas apropiadas que deberían adoptarse para controlarlos. Los objetivos perseguidos por la Herramienta Pilar, gratuita para la administración, son:
•Realizar el análisis de riesgos según la metodología Magerit e ISO/IEC 27005.
•Diseño del plan de mejora de la seguridad.
Prosegur utiliza la herramienta Meycor, software so bre plataforma WEB, para implantar y gestionar el plan de acción de mejora del SGSI