seguritecnia 457

SEGURITECNIA Octubre 2018 47 Protección de Infraestructuras Críticas ple que permitiera la escalabilidad y el control sin acciones ineficientes. El éxito del proyecto no se debió solo a la metodología empleada o a la her- ramienta seleccionada –en este caso, una herramienta internacionalmente reconocida, como es Archer de RSA–, sino al correcto entendimiento de la in- formación mínima necesaria sin hacer complicadas pantallas de control de cada uno de los actores. Las personas no necesitan aplicacio- nes complejas que muestren la gran- deza del fabricante o las inmensas po- sibilidades de acceso a la información que pueden tener. Solo necesitan la in- formación mínima y necesaria para re- alizar su actividad. Este ha sido quizás el principal éxito del proyecto: ofrecer a cada persona la información única que necesita en el menor número de clics y acceso a través de cualquier dispos- itivo móvil. La simplicidad del modelo ha sido su éxito. El mecanismo de certificación se basa en un modelo en el que existe una fi- gura, el owner , que es el responsable de proporcionar la evidencia del con- trol; un revisor, que es el encargado de rramienta cuya principal característica fuera su buena usabilidad. Identificación Tal y como comenzaba el artículo, el punto inicial es la correcta identifica- ción de los responsables necesarios para la certificación de las medidas de seguridad necesarias. Por ello, tras un proceso de definición adecuado de las evidencias que se iban a reque- rir, y en base al gran trabajo que se es- taba realizando anteriormente, se se- leccionaron aquellas personas que po- drían aportar más información sobre los controles. Como ocurre en las grandes organiza- ciones, la responsabilidad de la implan- tación de las medidas de seguridad está muy difuminada. Una de las misiones del Grupo de Trabajo PIC es facilitar las me- jores herramientas posibles para que los responsables de implantación de las me- didas puedan realizar su cometido con éxito. Por ello, y tras un duro benchmar- king de herramientas y metodologías de control, así como un arduo proceso de li- citación, se consiguió, en colaboración con el Grupo SIA, crear un modelo sim- de las medidas de seguridad. Es requi- sito imprescindible para cualquier or- ganización disponer de una informa- ción veraz y actualizada del estado de implantación de los controles, y el mo- delo creado en Endesa permite un cre- cimiento escalable y adaptable a cual- quier organización. Transformación de la seguridad Endesa, tras muchos años de gestión y control del área de seguridad corpora- tiva, se enfrenta a un reto importante: certificar las medidas de seguridad que garanticen un adecuado sistema de protección y control en las infraestruc- turas críticas. Se partía de un modelo en el que la coordinación era compleja debido al número de interlocutores y a la disper- sión de medios utilizados para mante- ner el contacto con ellos. Este hecho generaba un seguimiento dificultoso, así como un elevado coste de manteni- miento. El acceso a la información más actualizada en la gestión de casos con- cretos que requiriesen un mayor grado de detalle era lento y exigía de mucho tiempo y esfuerzo. Gracias al propio esfuerzo de todo el equipo interno de seguridad de Endesa, en colaboración con una empresa líder en seguridad de la información, el Grupo SIA, pudimos transformar nuestro com- plejo y costoso sistema de seguimiento a un modelo más racional y eficiente. Los objetivos que nos planteamos en esta transformación inicial estaban claros: Tener un mayor control de la situa- ción de las medidas de seguridad im- plantadas. Ahorrar tiempo en tareas administra- tivas. Mejorar las capacidades para la toma de decisiones. Tener una mayor implicación de los responsables de la implantación de las medidas ( owners ). Diseñar un proceso de atribución de responsabilidades internas en la orga- nización que permita el fácil ejercicio de cada una de las atribuciones de los responsables partiendo de la premisa de que el resultado debía ser una he-