Seguritecnia 373

SEGURITECNIA Marzo 2011 51 Artículo Técnico El dato único. Menor coste, menos errores El concepto de “dato único” implica que, en una corporación, un dato, como el listado de empleados, solo se introduce una vez y está disponible para todos los sistemas. Una CRA-C es un sistema corpora- tivo, del mismo nivel que los ERP y CRM. La sincronización con el resto de los sis- temas debe abarcar al menos a usua- rios, instalaciones, calendarios laborales, puestos de trabajo y responsabilidades de los empleados. La sincronización permite un consi- derable ahorro de horas de trabajo para mantener actualizada la base de datos de Seguridad. La baja de un trabajador implica automáticamente la eliminación de su código de gestión de las centrales de intrusión y la restricción del acceso a las instalaciones. El traslado de un jefe de un centro a otro conlleva la migra- ción de sus derechos al nuevo centro de trabajo. La sincronización debe hacerse en tres niveles: ▪ Datos maestros: empleados, códigos de seguridad, tarjetas de identifica- ción, edificios, calendarios… ▪ Datos profesionales: puesto de tra- bajo, nivel de responsabilidad… ▪ Reglas de seguridad: quién tiene de- recho a qué. El primer nivel permite disponer en Seguridad de datos fundamentales so- bre la propia organización. El segundo nivel posibilita la traducción de la información re- levante a otros sistemas en in- formación útil para Seguridad. El puesto de trabajo y su centro definen qué sistemas de intru- sión puede manejar y qué dere- chos de acceso posee. El tercer nivel son las reglas que el departamento de Segu- ridad implanta basándose en los dos niveles anteriores. Son nor- mas fáciles de entender, como: “si eres jefe de sección, tienes acceso 24 horas a tu centro de trabajo”; o “si eres director de oficina, puedes ar- mar y desarmar la central de tu oficina”. Arquitectura de instalaciones. Árboles y conjuntos Podemos pensar en cada instalación como un abonado interno. Esta forma de pensar está heredada de las CRA con- vencionales, donde cada abonado es in- dependiente de los demás; pero una gran corporación siempre dispone de una organización compleja. Utilizar una estructura lineal en Seguridad –todas las instalaciones están al mismo nivel y son iguales– hace muy difícil la extracción de información a partir del flujo de eventos. No es lo mismo una alarma de robo en un almacén de material sin interés que en una oficina de banca privada. En los siguientes puntos se describen los requisitos necesarios en una CRA- C. El valor de los datos –si es informa- E l objetivo de una Central Re- ceptora de Alarmas (CRA) no es recibir y gestionar eventos. El objetivo es extraer la infora de deci- siones. Como ejemplo podemos poner el armado en la hora de cierre de cien- tos –si no miles– de oficinas bancarias. Este procedimiento genera centenares de eventos en la CRA, pero lo realmente im- portante, la información que hay que extraer, es el con- junto de oficinas que no se han armado en el horario pre- visto. Durante mucho tiempo, los responsables de Seguridad han estado limitados por las capacidades de las recepto- ras, que prácticamente solo son capaces de mostrar los eventos recibidos y gestio- nar los mediante sencillos procedi - mientos. El objetivo de una CRA Corporativa (CRA-C) debe ser: ▪ Reducción de costes. ▪ Presentación de información en vez de datos. ▪ Ayuda a la toma de decisiones. ▪ Interoperación con otros sistemas de seguridad. ▪ Flujo automático de información ha- cia los responsables. La reducción de costes viene implí- cita en el resto de los objetivos. Como veremos en este artículo, la extracción automática de información, la correcta presentación de procedimientos de re- solución y los flujos de información ha- cia el responsable de la resolución con- siguen una disminución en la propor- ción entre el número de operadores y el de instalaciones gestionadas. Datos ‘versus’ información La problemática de la información en una CRA Corporativa Juan Domingo Sandoval González / Director de I+D de Arquero Sistema Corporativo