Seguritecnia 365

96 SEGURITECNIA Junio 2010 Artículo Técnico ridad Física (si exceptuamos la norma ISO 28000 a la que nos referiremos más adelante). Desde Cuevavaliente Ingenieros he- mos participado algunas veces en el es- tablecimiento de un Sistema de Gestión de Seguridad conjunto de Seguridad Fí- sica y Seguridad Lógica (por llamarlo de alguna manera) y hemos vivido las con- tradicciones de que la norma ISO 27001 se adapte como un guante a las nece- sidades de la gestión de la Seguridad Lógica (o Seguridad de la Información) y que no hay forma de encajar en ese modelo las particularidades de la ges- tión de la Seguridad Física. La nueva ISO 31000 La publicación del nuevo estándar ISO 31000:2009 de Gestión de Riesgos (de fecha 13 de Noviembre de 2009), da una oportunidad de normalización a nuestro sector de la Seguridad frente a riesgos deliberados ( Security ). Esta oportunidad es muy importante por dos razones: ▪ Cubre todo el espectro de la ges- tión de la seguridad (como el ISO 27001). ▪ También se or ienta a la mejora continua con el esquema Plan-Do- Check-Act , PDCA (Planificar, Realizar, Comprobar y Reaccionar), típico de las normas ISO. La ISO 31000 está dirigida a todo tipo de empresas y organismos y, en general, a todo tipo de “Seguridades”, siendo muy fácilmente adaptable a la que nos ocupa. Su implantación en una empresa, por ejemplo, permitiría contar con un conjunto de procedimientos y norma- tiva interna que garantizará, entre otros aspectos, los siguientes: ▪ Contar con unos objetivos claros del Sistema de Seguridad, orienta- dos al negocio y asumidos por la alta Dirección. ▪ Contar con un cuerpo normativo específico, armonizado con la nor- mativa interna de la empresa. ▪ Disponer de un Análisis de Riesgos consensuado con los responsables de la empresa, que determinará de forma di- recta la disposición de los re- cursos de seguridad necesarios (Plan de gastos e inversiones). ▪ Disponer de una métrica de desempeño de la seguridad, que permita analizar las des- viaciones sobre objetivos pro- puestos. ▪ Contar con procedimien- tos de análisis del desempeño (a partir de la métrica) y de las consiguientes tomas de deci- siones tendentes a corregir las desviaciones. La necesidad Hasta ahora, la implantación de planes de seguridad utilizaba distintos están- dares dependiendo del tipo de riesgos atendidos: Seguridad Informática -ISO 27001- o Seguridad Medioambiental -ISO 14000-, por ejemplo. En el caso de la seguridad física de riesgos deliberados ( Security en inglés y, en adelante, “Seguridad Física” en este texto), que es la especialidad en la que desarrolla sus actividades Cuevavaliente Ingenieros, se ha estado utilizando en diferentes países la norma australiana neozelandesa AS/NZS 4360, que ha sido adaptada en diferentes entornos en los últimos 15 años. La norma AS/NZS referida no cubre el mismo espectro que las ISO 27001 y 14000 en sus disciplinas, pues sólo afecta a la forma en que se deben ana- lizar los riesgos y, en consecuencia, pla- nificar las medidas de seguridad (que no es poco). De hecho, en nuestra em- presa hemos adaptado a esta norma nuestra herramienta de Análisis de Ries- gos y Planificación de Medidas de Seguridad, GRSec. La ISO 27001, por ejemplo, en el terreno de la Seguridad de la Información, define cómo plani- ficar, implementar, operar, con- trolar, revisar, mantener y mejo- rar el denominado Sistema de Gestión de la Seguridad de la Información (SGSI). Es decir, de- termina cómo gestionar todo el Sistema de Gestión de la Segu- ridad Informática (o el llamado a veces Plan de Seguridad), de forma completa y en busca de la mejora continua. No hay nada parecido apli- cable a la que llamamos Segu- La necesaria normativa ISO sobre seguridad Alfonso Bilbao Iglesias / Director general de Cuevavaliente Ingenieros