|
LA SEGURIDAD COMO UN TODO La Seguridad de Mapfre se ha planificado con una definición vertical y central, pero se aplica de manera transversal e integral En menos de un año, Mapfre ha puesto en marcha e implantado un Centro de Control general, desde el que gestionar operativamente su concepto y modelo de seguridad integral. Un cambio radical y positivo, para proteger los activos del negocio, que ha implicado a todas las áreas de la compañía, así como a todo el personal. 
Mapfre cuenta con una Subdirección General de Seguridad y Medio Ambiente (DISMA), desde la que se dirigen y gestionan todos los asuntos relacionados con medio ambiente y seguridad, incluyendo las competencias relativas al marco regulatorio (LOPD, etc.), continuidad de negocio y protección contra incendios. Dentro de ella se enmarca la Dirección de Seguridad, liderada por Guillermo Llorente, director de Seguridad de Mapfre, y de la que dependen cinco subdirecciones.
Según Guillermo Llorente, a nivel estratégico, el proceso de conformación de esta estructura de Seguridad en Mapfre ha pasado por fases de definición de una Política de Seguridad y de un Plan Director de Seguridad, una progresiva asunción de competencias y funciones y una progresiva adaptación de la estructura de la organización al concepto de funcionamiento definido en el Plan Director y la Política de Seguridad. En este proceso se ha intentado aplicar siempre una visión global: "Desde Seguridad, miramos la organización como un todo, pues ésta afecta a todos los procesos y actividades, a todos los medios e instalaciones y a todo el personal, con una definición vertical y central, pero con una aplicación transversal", explica Llorente. Desde esa visión global, pretenden dotar a Mapfre de una Seguridad Integral, intentando proteger todos sus activos (personas y patrimonio, información e imagen) frente a todo tipo de amenazas (terrorismo, delincuencia, emergencias, catástrofes, etc.), y conseguir que esa protección sea constante y permanente.
Desde la Subdirección de Seguridad en Aplicaciones, que dirige Jacinto Muñoz, se lleva a cabo la gestión de identidades y criptografía, la seguridad en las aplicaciones a lo largo de todo su ciclo de vida y las revisiones tecnológicas de portales y aplicaciones.
La Subdirección de Infraestructuras Tecnológicas, de la que se encarga Andrés Peral, se centra en la gestión de vulnerabilidades, en los sistemas de información, la contingencia informática y el diseño de arquitectura tecnológica de seguridad (firewall, antivirus, antispam...).
Por otra parte, en la Subdirección de Explotación de Tecnologías de Seguridad, que dirige Lionel Güitta, se da servicio al resto de las áreas de seguridad. Estos tecnólogos de seguridad, se encargan del mantenimiento y explotación del laboratorio de investigación, las aplicaciones de seguridad -plataformas antivirus, antispam...-, sla administración de equipos, etc.
El terreno de las infraestructuras físicas es competencia de la Subdirección de Protección de Instalaciones, con responsabilidad en el diseño e implantación de las medidas de protección pasiva, los Sistemas Electrónicos de Seguridad (SES) y los de Protección Contra Incendios (PCI). Protegen así más de medio centenar de edificios singulares y emblemáticos de Mapfre, unas 3.500 oficinas.
Por último, en la Subdirección de Operaciones, que dirige Joaquín Juárez, se integra el Centro de Control General (CCG), y es donde se diseñan e implantan los Planes de Autoprotección y de Seguridad de las instalaciones y de los eventos, se dirigen investigaciones y se coordina la respuesta a incidentes, además de ocuparse de la seguridad personal de los altos cargos de la compañía.
Centro de Control General (CCG) 
| El CCG es la piedra angular del sistema implantado, y donde se plasma, de una manera más nítida, el concepto de Seguridad Integral que se aplica en Mapfre. En el CCG existen cuatro órganos clave: El Centro Operativo de Administración de Usuarios (COAS), para la gestión de accesos a aplicaciones y redes. El Centro Operativo de Seguridad de la Información (COSI), para la vigilancia y monitorización de equipos informáticos y redes. El Sistema de Control de Accesos (SCA), para la gestión de acreditaciones de accesos a edificios y zonas restringidas de los mismos. Y la Central Receptora de Alarmas (CRA), para la vigilancia y monitorización de edificios y oficinas. |
Todo funciona de manera combinada, obteniéndose sinergias de la interrelación entre las partes. El SCA y la CRA estarían dentro de la tradicionalmente conocida seguridad física; y el COAS y el COSI estarían en lo que se conoce habitualmente como seguridad lógica o informática. Sin embargo, el CCG juega con otros dos posibles tándem de este completo puzzle: el del COAS y el SCA, que permiten la habilitación para el acceso; y el del COSI y la CRA, que realizan la monitorización. La utilización de tecnología IP en la CRA y el SCA hace posible y facilita esta integración.
Guillermo Llorente argumenta que "la seguridad de un activo debe entenderse como la resultante de las medidas (físicas y lógicas) destinadas a protegerlo; en la que las medidas de seguridad son más eficaces y eficientes cuando se aplican de forma complementaria y en forma escalonada". Para ello, un pilar fundamental es la centralización en el CCG de servicios y actuaciones, ya que, en palabras de este directivo, "redunda en la optimización de procesos, con el consiguiente ahorro de costes y en un aumento del control de las operaciones, dotándonos de una mayor capacidad de respuesta a incidentes". Daniel Largacha, máximo responsable del CCG y Análisis Forense, es una de las personas clave en el equipo de Guillermo Llorente, y procede de la Dirección General de Tecnología y Procesos (DGTP) de Mapfre -ubicada en Aravaca-, donde realizaba funciones análogas a algunas de las hoy integradas en el área de Seguridad.
Desde su experiencia anterior, Largacha nos señala la evidente y significativa diferencia de tamaño entre el área de tecnología (DGTP) y de seguridad, a favor de aquella, así como la necesaria coordinación entre ambos y el establecimiento de una relación "entre iguales". | 
Guillermo Llorente, director de Seguridad de Mapfre. |
Joaquín Juárez, subdirector de Operaciones. | Uno de los problemas que tradicionalmente se identifican en la ubicación de responsabilidades de seguridad en el área de tecnología, indica Daniel Largacha, es el conflicto de intereses que les surge a los directivos de esta área cuando, en el día a día, tienen que atender, por un lado, a los requerimientos de negocio sobre plazos, etc., y por otro, a la necesidad de implantar criterios de seguridad en los desarrollos y sistemas. Por ello MAPFRE optó por esta segregación de funciones , aunque siempre dentro de una necesaria y cercana colaboración. |
| Como no podía ser de otra manera, el proyecto de Seguridad Integral que ha realizado Mapfre ha contado con socios de excepción. Uno de los compañeros de trabajo imprescindible ha sido la empresa Sabia, Bioingeniería Aragonesa. Su director general, Gerardo Benavente, asegura que lo que se ha hecho ha sido "integrar la gestión y la seguridad, basado en inteligencia de negocio; Business Intelligent, como acelerador del negocio y de la información que se maneja". De esta forma, se dota a los Centros de Proceso de Datos (CPD) de la compañía del entorno más seguro posible. | 
Daniel Largacha, responsable del CCG y Análisis Forense. |
El proyecto de Seguridad Integral de Mapfre, plasmado en el CCG, se ha llevado a cabo de forma rápida y eficiente, partiendo de una situación en 2007 que Daniel Largacha describe del siguiente modo: "La CRA estaba en fase avanzada; el COAS y el SCA en desarrollo; y el COSI en definición". Hoy todos ellos están a pleno funcionamiento.
El COAS, un escenario nuevo 
Javier Cepeda, jefe de la CRA. | El Centro Operativo de Administración de Usuarios (COAS) supone un cambio de paradigma en la gestión de usuarios y autorizaciones en Mapfre. Dicho órgano es concebido, desde su definición por la Comisión Delegada de la multinacional aseguradora, como un elemento común y centralizador, basado en el concepto de ventanilla única para la gestión de usuarios. Desde sus inicios, se ha ido centralizando en el COAS la gestión de usuarios con un enfoque transversal, como servicio global al conjunto de la organización. |
La gestión de identidades realizada por el COAS, definida desde la Subdirección de Seguridad en Aplicaciones, se basa en la definición de colectivos, entendidos éstos como conjuntos de usuarios con características funcionales similares y que requieren del mismo conjunto de accesos. La relación entre colectivos y autorizaciones se articula a través de una matriz de autorización, definida a partir de los requisitos especificados por las diferentes áreas de negocio. | Este planteamiento tiene como caso de éxito a la estructura de mediadores de la Red Comercial de Mapfre. "Quedan así predefinidos los accesos que un usuario debe tener a los distintos sistemas en función de la actividad laboral que desempeñará para Mapfre. Es un sistema que combina seguridad y operatividad, flexible y sujeto a excepciones", expone Daniel Largacha. | 
David Hernán, jefe del COSI. |
Este enfoque de administración por colectivos, junto con una aproximación basada en la optimización de procesos ha dado muy buenos resultados, según sus responsables, y ha hecho posible reducir el tiempo requerido para dar de alta a un usuario en el conjunto de sistemas de información de Mapfre que necesita para desarrollar su actividad laboral, hasta tan sólo tres horas a día de hoy. 
José Manuel Ortiz, jefe del COAS. | Por otro lado, para la seguridad de una organización, tan importantes son las altas en los sistemas como las bajas. En opinión de Largacha, este es un aspecto que habitualmente "se olvida y no se cuida en algunas organizaciones".
En Mapfre, las operaciones de alta y baja de usuarios están sincronizadas con la herramienta de gestión de Recursos Humanos corporativa. El proceso de alta automatizada lleva asociado la generación del identificador de usuario (Nombre Único de Usuario MApfre -NUUMA-), junto con los servicios comunes que deben tener todos los trabajadores de Mapfre: acceso a Internet, correo electrónico y Portal Interno. |
Daniel Largacha manifiesta el gran cambio que todo esto también ha supuesto para el departamento de Recursos Humanos, al tener que modificar sus procesos internos para alinearlos con el objetivo de agilizar la gestión de usuarios corporativa.
El COSI, un verdadero CERT
El Centro Operativo de Seguridad de la Información (COSI) es el Computer Emergency Response Team (CERT) o Security Operation Center (SOC) de Mapfre, desde donde se vigila y se analiza la seguridad de las redes y sistemas de información de Mapfre. Asimismo, desde este órgano, se coordina y lleva a cabo la respuesta a incidentes de seguridad acaecidos en los sistemas de información.
Largacha aclara que al igual que en el caso del COAS, son otras Subdirecciones quienes han definido y diseñado los procesos y herramienta soporte asociados a los servicios que se prestan en el CCG. Y es en los órganos de éste, en este caso en el COSI, donde se lleva a cabo la operación, de acuerdo con esas directrices.
"En el COSI se controlan, estudian y analizan las redes con, entre otros medios, sistemas de detección de intrusión (Intrusion Detection System -IDS-), que son los que 'escuchan' la red y buscan determinados patrones de ataque", añade Largacha. La detección de uno de estos patrones genera eventos que se registran en la consola de gestión centralizada de seguridad.
Y es que, hablando en cifras, cada día se reciben y procesan más de 51 millones de eventos generados en la red y servidores de Mapfre, con un inventario de activos tecnológicos de más de 25.000 equipos.
Respecto al spam, según criterios de clasificación establecidos por la consultora Gartner Group, Mapfre se encuentra en la banda alta de las estimaciones mundiales de porcentaje de spam recibido con respecto al correo total (entre un 85 y un 95 por ciento). Y es que de los más de cuatro millones de correos electrónicos que llegan diariamente a Mapfre, hay únicamente alrededor de unos 245.000 e-mails válidos.
En lo relativo al acceso a Internet, a diciembre de 2008, la multinacional de Seguros tenía más de 120 millones de accesos al mes. Aún así, según el director de Seguridad, Llorente, "sólo el 0,5 por ciento del total de intentos de acceso a Internet por personal propio se bloquean".
A partir de las herramientas disponibles, se ha definido un procedimiento antiphishing. El responsable del CCG y Análisis Forense manifiesta, seriamente, que la estrategia para luchar contra el phishing, se hace en estrecha colaboración, con todas las partes implicadas, contando con la colaboración de las principales entidades financieras con las que Mapfre se relaciona: "Si se detectan casos, Mapfre, además de ponerse en contacto con la entidad financiera, comunica "personalmente" el intento, o el fraude, a los afectadospara que lo comuniquen inmediatamente a su banco".
Como puede deducirse de los expuesto anteriormente, la relevancia de este centro para Mapfre es muy significativa. Para Llorente "el COSI recaba información de manera centralizada, de la que antes no disponíamos (o nos costaba mucho disponer), lo que representa un salto cualitativo muy importante en la detección y respuesta frente a incidentes de seguridad".
Para Mapfre, la seguridad parte de la correcta identificación y valoración de los activos a proteger, siendo necesario entender y mantener las relaciones entre los mismos, independientemente de su naturaleza.
En este sentido, José María García, jefe del Departamento de Gestión de Vulnerabilidades, nos habla del sistema Piscis, desarrollado por los técnicos de la Dirección de Seguridad, que integra, de forma gráfica e intuitiva, sistemas de información, usuarios y ubicación física. Dicho sistema se basa en la herramienta de inventariado de activos tecnológicos y gestión de vulnerabilidades de la compañía. "En el proceso aún nos queda el completar las relaciones entre el inventario de activos de información y el resto de elementos, para saber rápidamente qué impacto potencial puede tener un determinado ataque, y eso es algo en lo que estamos centrando nuestros esfuerzos", dice Llorente.
El SCA, hacia la credencial única
El Sistema de Control de Accesos (SCA) es una herramienta desarrollada plenamente por Sabia, Bioingeniería Aragonesa. En el SCA se centraliza la gestión de accesos a los edificios y zonas restringidas conectados al sistema con una única tarjeta. Para Daniel Largacha se trata de "un logro de un importante nivel de complejidad y con un muy importante impacto en lo que se refiere a aumento de la seguridad y ahorro de costes, básicamente porque Mapfre posee inmuebles singulares, muchos y muy dispersos; y por la anterior diversidad de tarjetas de identificación y control, incompatibles entre sí, que había en el pasado, con la subsiguiente dificultad en materia de gestión".
Según Gerardo Benavente, "la tarjeta se ha desarrollado en evolución de la tecnología de Radio Frequency IDentification (RFID) para posibilitar el acceso biométrico". En este sentido, Benavente ahonda: "La creación de SCA es la virtualización de lo físico y lo químico, sobre un sistema de infraestructura IP, concebido en tecnología IP, con un interfaz único, único controlador de usuario, que mejora el control de gestión de acceso". A lo que suma Daniel Largacha: "Todo ello, integrado en los sistemas de la compañía, enlazado con el sistema de Recursos Humanos, desde el que al igual que al empleado se le desencadena la generación de los accesos lógicos, también se le emite la tarjeta única de identificación, y ambos elementos se dan de baja cuando esa persona deja de estar "activa" en Mapfre, y eso para nosotros es fundamental".
El SCA es el primer paso hacia un objetivo mucho más ambicioso: conseguir una única credencial para el acceso lógico y físico. "Es un proyecto común a toda la Dirección de Seguridad, cuyos beneficios están claros: autenticación robusta, facilidad para el usuario (un único PIN en la tarjeta), optimización de la gestión (centralizada en el CCG) e integración con sistemas de cifrado de disco (blindaje de puestos)", enumera Guillermo Llorente.
En este sentido, desde la Dirección de Seguridad, de la que es responsable Llorente, han puesto en marcha una nueva PKI corporativa. "Nuestro objetivo es tener una herramienta de gestión del ciclo de vida de los certificados digitales e integrar los mismos en la tarjeta de acreditación única, un proyecto que está en marcha".
Pero todo lleva su ritmo. "Este año y el siguiente -relata Guillermo Llorente- la credencial única se va a implantar inicialmente para colectivos muy específicos, en concreto para los usuarios móviles".
Para lograr el objetivo de la credencial única, la coordinación entre el SCA y el COAS es fundamental. "El SCA y el COAS son órganos muy cercanos, pues ambos gestionan "accesos"; y con la CRA y el COSI tendremos que seguir un planteamiento análogo, pues ambos "monitorizan", comenta Largacha.
Una CRA de actividad propia Mapfre cuenta hoy con una Central Receptora de Alarmas (CRA) de actividad propia, homologada por la Dirección General de la Policía (Ministerio del Interior), es decir, que está destinada a dar servicio exclusivo a las instalaciones de Mapfre, y no a terceros.
En el CCG, tienen tres turnos de personal (mañana, tarde y noche), con sus respectivos responsables. Dentro del recinto (sala blindada) donde se sitúa la CRA, está también el COSI, del que es responsable David Hernán, y el SCA.
Para Javier Cepeda, jefe de la CRA, "la gestión de la CRA de Mapfre es más amplia que una la de una CRA normal, ya que tenemos que garantizar la continuidad del negocio, y si ocurre algo, se tienen que restablecer las oficinas afectadas, con los criterios de seguridad adecuados para desarrollar la actividad, con objeto de poder estar en funcionamiento a la mayor brevedad". Para ello, en la CRA están perfectamente coordinados con otras áreas, y nunca quedan oficinas desconectadas por la noche -algo posible gracias a la tecnología IP-, así como ante cualquier incidente, habitualmente nocturno. La reparación de los daños, impulsada desde la CRA, se realiza durante la misma noche en la que se produce el incidente, permitiendo la continuidad de la actividad normal de la oficina a la mañana siguiente. 
"Ha habido veces que el empleado o delegado, no ha sabido del percance hasta que ha notado que su llave habitual no abría la puerta", nos cuenta Cepeda. "Se le da formación al usuario en detección de falsas alarmas, se estudian y se toman las decisiones, gracias a lo cual hoy solo tenemos alrededor de un dos por ciento de falsas alarmas; casi todo lo que llega a la Policía es verdadero", concluye Cepeda.
En esta línea, Largacha apoya diciendo que "la bidireccionalidad que permite el sistema implantado y la CRA propia ha permitido que el importante problema de las falsas alarmas sea prácticamente inexistente en esta CRA".
De hecho, el pasado mes de mayo hizo dos años de la homologación de la CRA de Mapfre (hoy tiene más de 2.500 oficinas conectadas) y no han tenido ni un apercibimiento por parte del Ministerio del Interior.
En lo relativo al diseño del sistema, hay numerosos aspectos destacables. Por un lado, la planificación de la instalaciones de Sistemas Electrónicos de Seguridad (SES) no se hace con instalación masiva de detectores o cámaras, sino más bien "mediante una asignación lógica de zonas, identificando los puntos vulnerables de cada área; un sistema racional, normalizado y estandarizado de implantación de SES", narra Joaquín Juárez, subdirector de Operaciones.
Pese a ello, Javier Cepeda hace notar y describe la complejidad de Mapfre, señalando que en alguno de sus edificios, hay instaladas 102 cámaras y 900 sensores. "El disponer de una CRA y de una herramienta como la que Sabia nos proporciona, nos da muchísima flexibilidad y posibilidad de identificación e implantación constante de mejoras", puntualiza Javier Cepeda.
Como indicadores más significativos, desde la CRA se gestionan más de 700 alarmas al mes y y una media de 60 armados diarios desde el CCG (sin intervención humana).
Hasta la fecha, entre otras actuaciones, se han evitado más de 40 robos, se ha intervenido un atraco, se han tramitado tres inundaciones.
Investigación total
David Largacha especifica que, cuando hay algún problema, toda esta estrecha integración de sistemas y profesionales permite que se lleve a cabo una adecuada y oportuna respuesta e investigación de cada incidente.
Y es que, como defiende Joaquín Juárez, subdirector de Operaciones, "en Mapfre hay un muy alto nivel de desarrollo e implementación tecnológica y un grupo de profesionales de excepción, como corresponde a una empresa con presencia en más de 42 países".
Este directivo, que viene de las Fuerzas Armadas, tiene una visión de la seguridad transparente: "La seguridad no tiene que ser secreta: secretos son los procedimientos".
Líneas de actuación y avance
Una de las líneas de actuación en las que están inmersos en la Dirección de Seguridad es la puesta en marcha de una plataforma criptográfica, infraestructura que proporciona servicios de firma electrónica, validación de firma y custodia de documento firmado, enfocada principalmente a optimizar los procesos existentes, tanto internos como externos, permitiendo la adaptación a la legislación vigente (Ley para el Impulso de la Sociedad de la Información -LISI-). Como primer hito, Mapfre ha conseguido ofrecer a sus clientes acceso (identificación) y contratación del alta (firma) a la Oficina Internet Mapfre mediante DNI electrónico y certificado de la Fábrica Nacional de Moneda y Timbre (FNMT). Laboratorio de Investigación de Seguridad
En este laboratorio de Investigación de Seguridad, que gestiona el área de la que se encarga Lionel Güitta, cuentan con 16 puestos de trabajo para la realización de pruebas e investigaciones a disposición de todas las áreas.
El equipo de laboratorio es un rack para herramientas y maquetas de soluciones de seguridad, independiente del resto de la red de Mapfre, con ocho servidores con aumento de la capacidad de proceso y almacenamiento, gracias a 15 o 20 servidores virtuales. Sin embargo, el entorno en el que se trabaja y se hacen las pruebas es lo más parecido a lo que hay en producción. El segundo rack es exclusivo para equipos de producción para la Dirección de Seguridad, con servidores para investigaciones, en los que virtualizan la máquina.
El laboratorio es un área de acceso restringido, controlado desde la Central Receptora de Alarmas, y su configuración permite el trabajo de varios equipos simultáneamente. Una base sólida
Gerardo Benavente, director general de Sabia Bioingeniería Aragonesa
El SCA es un producto que engloba en una única interfaz, un sistema de control de accesos, un sistema completo de seguridad, un sistema de control de presencia, y que permite la gestión de funcionalidades relacionadas con la inmótica. Esto tiene ventajas evidentes en el proceso de implantación, ya que simplifica notablemente el proceso de instalación y de aprendizaje y en el proceso de mantenimiento.
El SCA incorpora un software gráfico que permite visualizar mediante un sistema de planos, y en tiempo real, el estado del sistema. Ante una alarmas y a la vista del plano se puede valorar la gravedad de la detección de una intrusión por el sistema. Ante una alarma y a la vista de plano, se puede valorar la gravedad de la detección de una intrusión por el sistema. Esto es una ayuda básica para controlar las falsas alarmas.
Dentro del sistema de seguridad, se ha integrado el manejo de grabadores de imágenes. Ante la generación de una alarma se puede mostrar de forma automática la imagen recogida por uno o varias cámaras de la instalación. Como en el apartado anterior, esto permite controlar el número de falsas alarmas.
El hecho de integrar el control de accesos con seguridad permite la generación de alarmas ante intentos de accesos reiterados no permitidos. También ante la apertura de accesos sin intervención del sistema. Estas alarmas serán tratadas de la forma más conveniente por el personal del CRA, aplicando los protocolos adecuados.
Dentro del SCA, destacamos su módulo de visitas. Esta implantado en la Torre Mapfre de Barcelona. En dicha instalación se están gestionando más de 1.000 visitas al día, con tiempos de acreditación inferiores a cinco segundos.
Los diferentes componentes del SCA se comunican mediante protocolo IP nativo. El uso de una conexión IP con las placas que forman el sistema, proporciona un conjunto de ventajas asociadas e innatas a este protocolo:
-La comunicación con el hardware esta permanentemente supervisada. Cualquier pérdida de conectividad implica la generación de la correspondiente alarma, activándose los protocolos de actuación adecuados.
-En el caso de disponer de una red informática, no hay un coste adicional para los procesos de comunicación con los elementos instalados.
-La actualización inmediata de la información en cada placa.
-Se dispone de información en el centro de control del estado del sistema en tiempo real.
El SCA trabaja con una única base de datos central. Además de las lógicas ventajas de mantenimiento que esto proporciona, permite la gestión centralizada de permisos. Desde cualquier punto de la red se puede gestionar los permisos de acceso a cualquiera de los edificios conectado al sistema.
A pesar de disponer de un repositorio de datos central, la decisión de la apertura de un acceso, la toma siempre localmente la placa. Esto permite el funcionamiento correcto del sistema ante pérdidas de conectividad entre los elementos.
|
