Presentación de PowerPoint - asis.org.mx · •Descripción general de los componentes del PPS...
Transcript of Presentación de PowerPoint - asis.org.mx · •Descripción general de los componentes del PPS...
Seguridad Física
• Bibliografía • Protection of Assets Manual
• Physical Security • Capítulos 1 al 12
• Applications• Capítulo 2 High-rise structures: Life Safety and Security
consderations
• Facilities Physical Security Measures guideline
• General Security Risk Assessment guideline
SEGURIDAD FISICA
DEFINICION DEL PROBLEMA
PROGRAMA DE PREPARACIÓN PARA PRESENTAR EL EXAMEN COMO PROFESIONAL
DE PROTECCIÓN CERTIFICADO
Ing. Raúl Granados Sánchez, PSP
PPS• Proceso complejo
• El Gerente de seguridad debe liderar el proyecto
• Debe de estar alineado con las metas y objetivos de la organización
• Integrar: Personal, tecnología y procedimientos
• Presupuesto, tiempo, Staff, alcances
• Diseño de la solución
Definiciones
• Sistema: Conjunto de productos y/o procesos combinados para lograr una solución a un problema o lograr una meta
• Integración: Combinación de una variedad de componentes ( como personal, procedimientos y tecnología) para formar un sistema
• Enfoque o aproximación de Sistemas (system Approach): Método lógico para resolver un problema en el cual una solución exhaustiva es desarrollada para un problema con diversas dimensiones. • Tres pasos
• Evaluación de la vulnerabilidad
• Implementación de contramedidas
• Evaluación de la efectividad
RISK MANAGEMENT
• “Actividades coordinadas para dirigir y controlar una organización con respecto a los Riesgos” ISO/IEC
2009
• Se apoya en la evaluación de riesgos “Risk Assessment”
• La evaluación de riesgos se apoya en la Evaluación de vulnerabilidad
Riesgo
• La Expectativa de pérdida anual • In certitud de perdida financiera • Variación entre resultados actuales y esperados• Probabilidad de que una perdida ocurra• La posible ocurrencia de un evento indeseable• El resultado del riesgo es una perdida o una perdida de valor• Resultados o eventos adversos que una organización desea
evitar y está en función de la probabilidad de que dicho evento ocurra, su magnitud e inminencia
• La probabilidad de una consecuencia
Tipos de Riesgo
• Riesgo puro• Crimen
• Riesgos naturales
• Normalmente perdida
• Riesgo Dinámico o Especulativo • Derivado de negocios
• Perdidas o ganancia
Risk Assessment
• Es el proceso para definir que tan grande es el riesgo
• Medir o clasificar el riesgo▪ Cuantitativos
▪ Cualitativos
• Heurístico (ad hoc)
• Inductivo
• Deductivo
• Qué Puede salir mal?
• Cuál es la probabilidad de que algo salga mal?
• Cuáles son las consecuencias?
“Se examina el resultado de un ataque exitoso por un adversario, la
probabilidad que este ocurra, como se desarrolla y cuanta gente es
afectada”
Risk Management
• Qué se puede hacer?
• Cuáles son las opciones disponibles?
• Cuáles son las ventajas y desventajas en términos de costos beneficios y riesgo?
• Cuáles son los impactos de las decisiones actuales de la dirección sobre futuras opciones?
Manejo de riesgo - Métodos
• Evitar
• Reducir
• Distribuir
• Transferir
• Asumir
• Fortalecer /Resistir (Site Hardening)
Reducción del riesgo
• Prevenir el ataque• Disuasión
• inteligencia
• Protegerse contra un ataque• Sistemas de protección física (PPS)
• Reducir o mitigar las consecuencias• Pueden ser implementadas antes, durante y después del
evento
Bienes / Assets
• La identificación de bienes incluye asignarle un valor • Criticalidad
• Consecuencia de pérdida
• Severidad
• Priorizar
• Efecto en la organización en caso de pérdida o daño
• Métodos de valuación:
• Valor económico $$$
• Consecuencia
• Políticas
Valuación de bienesEconómico
DIRECTOS
• Costo de un reemplazo temporal
• Costo de reemplazo permanente del bien
• Tiempos muertos
• Perdidas financieras asociadas
• Afectaciones comerciales
• Incremento de primas de seguros
• Deducibles
• Tiempo del personal y dirección empleado
INDIRECTOS
• Mala publicidad
• Perdida de Reputación
• Percepción negativa de los clientes o usuarios
• Gastos adicionales de publicidad o RP
• Baja moral de empleados
TCF• Total Cost Formula
K = (Cp+Ct+Cr+Ci)-(I-a)
• K = Criticalidad, Costo total de pérdida
• Cp: Costo de reemplazo permanente
• Ct: Costo de reemplazo temporal
• Cr: Costo total relacionado
• Ci: Costo total de ingresos
• I: Indemnización disponible
• a: deducible y costos asociados
AMENAZAS• Amenazas:
• Relacionadas con Humanos
• Acciones malévolas, malintencionadas, criminales
• Security
• Peligros ( Hazards ):
• Safety
• Eventos accidentales, no intencionales
• Relacionados con la naturaleza
AMENAZAS• Definición de la amenaza se realiza durante la evaluación de
riesgo ( Risk Assessment )
• Tácticas• Engaño• Fuerza• Encubierta ( Stealth )• Combinaciones
• Probabilidad del ataque
• Adversarios
– Internos
– Externos
– Externos coludidos con internos
DBT• Design Basis Threat
• Diseño en base a amenaza
• “El adversario contra el cual la instalación debe ser protegida”
• Tipo de amenaza• Tácticas• Modos de operación• Capacidad
• Número• Armamento• Organización• $$$
• Nivel de amenaza• Motivación
• Ideológica• Financiera• Personal
Amenazas
• Pocas veces la amenaza es única
• Espectro de amenazas• Categorías o clasificación
de las amenazas• Vándalos
• Empleados Descontentos
• Criminales
• Extremistas
• El diseño del PPS deberá estar basado en el espectro de amenazas definido
El DBT debe ser protegido como información sensible *
PROBABILIDAD DE LA AMENAZA
• Probabilidad o Frecuencia
• Datos históricos
• Historia de eventos similares en compañías similares
• Localización geográfica y entorno
• Condiciones políticas y sociales
• Cambios en la economía
• Procedimientos y procesos
• Criminalidad
• Estimaciones Cualitativas: Muy alto, alto, medio, bajo
• Dar por hecho la amenaza
Datos Históricos• Retail
• Estimación de eventos basado en información estadística
• No siempre disponible, organizada o completa• Base de datos completa
• La frecuencia de ocurrencia sugiere la probabilidad de ocurrencia
• Predicciones fiables basadas en datos históricos
Datos Históricos• Base de datos de
registro de incidentes:• Fecha de ocurrencia• Hora del evento• Lugar del evento • Naturaleza del evento• Descripción especifica
del evento• Modo de operación o
forma de ocurrencia• Identificador del evento• Valor de los bienes
afectados
BIENES• Un bien es un recurso que requiere
protección debido a su valor, su importancia para mantener la continuidad del negocio o por la dificultad de conseguir su reemplazo en un periodo de tiempo
• Tangibles
– Edificios, mobiliario, dinero, equipo
• Intangibles
– Procesos, reputación, propiedad intelectual
“Los empleados son los bienes más críticos de una empresa u organización”
Vulnerabilidad
• Vulnerability asessment
• Vulnerability analisys“Proceso para identificar y cuantificar vulnerabilidades”
“Método para identificar puntos débiles de una facilidad, lugar, entidad o persona”
• VulnerabilidadUna debilidad que puede ser aprovechada por el adversario
Vulnerability Assessment
• VA
• Debe ser desarrollado para establecer la base de la efectividad del PPS, basada en las amenazas definidas
• Se repite para verificar la efectividad de las mejoras propuestas
• Se realiza periódicamente para comprobar el desempeño del sistema
VA Team • Esencial para un buen
análisis
• Team Leader• Sistemas de seguridad
• Administración de proyectos
• Miembros• Ingeniero de sistemas
de seguridad
• Experto en respuesta
• Analista de datos
• Operaciones
• Otros especialistas• Cerrajeros
• Legal
• IT
• safety
Objetivos del VA
• Caracterización de la facilidad• Evaluación del PPS
implementado
• Identificar los elementos del PPS • Detección, retraso,
respuesta
• Estimar su desempeño contra las amenazas
• El PPS es descrito por componentes y a nivel de sistema y mediante los medios que las amenazas pueden comprometer o vencer al PPS
• Site Survey
Site Survey • Tour por las
instalaciones
• Planos
• Localización de activos clave
• Operación y producción
• Ubicación de componentes del PPS
• Estados de la facilidad
• Revisión de documentos • Revisiones previas
• Registros
• Bitácoras
• Entrevistas con personal
Testing • Evaluar la efectividad del PPS
• Test funcional• Los elementos o dispositivos funcionan de acuerdo a lo esperado
• Test operacional • Operación o uso correcto del elemento
• Test de desempeño*• Repetición de múltiples pruebas para medir la efectividad o capacidad contra
diferentes amenazas
• *Normalmente realizado en laboratorio u otra facilidad
• Consideraciones temporales • Horario, turnos, vacaciones, feriados, huelgas
Detección
• Descubrimiento de acciones cubiertas o evidentes de acciones del adversario
• Probabilidad de detección de la acción del adversario
• Tiempo requerido para comunicar y evaluar la alarma
Detección• Entry Control
• Throughput (capacidad)
• Aceptación en Falso
• Rechazo en Falso
• Personal • Personal de seguridad en
puestos fijos o en rondines
• Evaluación de la alarma• Validar si la alarma es
verdadera o alarma no deseada. Evaluación primaria
• -Información sobre la amenaza, cuantos, donde, capacidad de fuerza, quien,. Evaluación Secundaria
* La detección no está completa si no hay evaluación
Retraso
• Segunda función del PPS
• Detener o alentar el avance del agresor
• Efectividad medida en minutos o segundos para que la amenaza pueda vencer el elemento
• Barreras
• Chapas y cerraduras
• Elementos activos
• Elementos de respuesta en puestos fijos y posiciones bien protegidas
*Retraso previo a la detección solamente es disuasión
Respuesta
• Prevenir el éxito del ataque
• Interrupción• Arribo de la fuerza de respuesta para detener el avance del agresor
• Despliegue ( Deployment) • Tiempo desde que la fuerza de respuesta recibe el aviso
hasta que está en posición para interrumpir al adversario • Efectividad de la comunicación
• Probabilidad de despliegue correcto
• Tiempo de Despliegue
Aproximaciones del VA• Compliance
• Cumplimiento de políticas o regulaciones
• Presencia de equipo y procedimiento
• Checklists
• Nivel de consecuencia bajo
• Costo Beneficio
• Performance Base• Evaluación de cada elemento
del PPS y como contribuye al desempeño general
• Efectividad global del PPS• Diagrama de secuencia del
adversario
• Análisis del camino del adversario
• Análisis de escenarios
• Análisis de neutralización
• Determinar efectividad del sistema y riesgo
• Desarrollar mejoras
VA
• El resultado final del VA es determinar la efectividad del PPS
• Reporte a la alta dirección• Información clara y no tendenciosa
• Definir situación actual del PPS
• Proponer soluciones o upgrades
• Puede ser formal o informal, oral o escrito
• Distribución limitada del documento
Reporte VA• Descripción de la instalación
• Operaciones o funciones primarias
• Definición de amenazas y bienes
• Descripción general de los componentes del PPS existente
• Vulnerabilidades
• Efectividad del sistema
• Propuesta de mejoras
• Demostrar como las mejoras pueden ayudar al desempeño
• Reforzar el documento con imágenes, planos, gráficas, etc.
Evaluación de Riesgo Risk Assessment
• Qué puede salir mal?
• Cuál es la posibilidad de que algo salga mal?
• Cuales son las consecuencias?
• Determinación del riesgo:• Efectividad del sistema
(VA)
• Amenaza
• Valor del bien
• Decisión sobre el nivel de riesgo
“Conforme la capacidad de la amenaza se incrementa, la
efectividad de los elementos o incluso todo el PPS
disminuye”
Riesgo
R = T x A x V
R= Riesgo Residual
T = Amenaza, ( Definición de amenaza y probabilidad de ataque )
A= Bien a proteger ( Asset )
V= Vulnerabilidad ( Efectividad del Sistema )
SEGURIDAD FISICA
PRINCIPIOS DE DISEÑO Y CONCEPTOS
PROGRAMA DE PREPARACIÓN PARA PRESENTAR EL EXAMEN COMO PROFESIONAL
DE PROTECCIÓN CERTIFICADO
Ing. Raúl Granados Sánchez, PSP
Características del PPS
• Protección en Profundo
• Mínima consecuencia por la falla de un componente
• Protección Balanceada
Protección en Profundo
• El agresor, deberá evitar o derrotar una serie de dispositivos de protección en secuencia
• Las medidas pueden ofrecer niveles de efectividad diferente, o requerir diferentes tiempos para superarlos, pero el agresor deberá irlos enfrentando
Protección en Profundo
• Protección por capas• Incrementar el nivel de desconocimiento del sistema al agresor• Requerir mayor nivel de preparación y sofisticación del atacante• Crear pasos que el atacante fallara terminando por abortar la
misión.Mínimo dos sistemas de alarma en alta seguridadCombinación de sistemasLeyes de probabilidad
Protección por capasLayer Protection
• Tipos de capas• Detección
• Retraso|
• Defensa
• Tres capas PrincipalesBarreras de perímetro -
Primera línea de defensa
Paredes exteriores ,pisos, techos
Segunda línea de defensa
Líneas internas
Tercera línea de defensa
Mínima Consecuencia de Falla
• Fallas• Ambientales
• Causadas por el agresor
• Planes y acciones de contingencia • Fuentes de energía alterna ( UPS, Plantas Generadoras,
Baterías )
• Apoyos externos a sistemas ( apoyo de policía local)
Protección Balanceada
• No importa que técnica use el agresor siempre existirán elementos efectivos de protección
• El tiempo mínimo de penetración de los elementos de protección en un sistema balanceado deberá ser el mismo para cada uno de los elementos
• La probabilidad de detección en cada
• Barrera debe ser igual
Protección Balanceada
• Proveer protección adecuada contra todos los tipos de amenazas ( DBT ) en todos los escenarios posibles y mantener un balance con otras consideraciones como costos, seguridad( Safety ), integridad estructural, operaciones.
Criterios de Diseño
• Compliance Base• Feature Criteria
• Selección de elementos de acuerdo para satisfacer requerimientos
• La efectividad es solamente reflejo del cumplimiento de los requerimientos o regulaciones
• Performance Base• Selección de elementos de
acuerdo a su contribución en el sistema
• Medida de la efectividad en conjunto
• El incremento de la efectividad se compara con el costo de l implementación de la mejoras
• Análisis costo Beneficio
“Todo proceso de diseño debe tener criterios para evaluar sus elementos”
Medición de Desempeño
• Detección• Probabilidad de detección• Tiempo para comunicación y evaluación• Frecuencia de alarmas no deseadas
• Retraso• Tiempo para superar obstáculos
• Respuesta• Probabilidad de la correcta comunicación
con la fuerza de respuesta• Tiempo para comunicar• Probabilidad de despliegue • Tiempo de despliegue• Efectividad de la fuerza