COLOMBIA Cartagena, D.T. Octubre 8 de 2004 Security: una necesidad sentida de las empresas adherentes. Código de Security. Ing. Juan Carlos Duque PLENARIA DE COORDINADORES Security: una necesidad sentida de las empresas adherentes. Código de Security. Ing. Juan Carlos Duque PLENARIA DE COORDINADORES

Ing. JCD Página 2 Implementación del código Security para dar respuesta a las necesidades de las empresas adherentes, desarrollar la gestión integral de riesgo y aumentar el posicionamiento de RI

Ing. JCD Página 3 Código de Security  Este código esta diseñado para ayudar a las empresas a mejorar continuamente su desempeño en security usando un enfoque basado en riesgo para identificar, revisar y manejar vulnerabilidades, prevenir o mitigar incidentes, aumentar el entrenamiento y la capacidad de respuesta, y mantener y mejorar las relaciones con las partes interesadas

Ing. JCD Página 4 Antecedentes  Creciente importancia del tema tanto a nivel nacional como internacional  En algunos países (Brasil y España) se han incorporado parte de las exigencias del código de security en otros códigos. En evaluación Chile.  En otros (EUA, Argentina y Uruguay) se ha adoptado el código de security.  Necesidad sentida de algunas empresas adherentes de adoptar un sistema de gestión para el tema security.

Ing. JCD Página 5 Encuesta realizada Sep.2004  Número de respuestas recibidas (sep ): 34 empresas  Su organización identifica, tiene planes y/o desarrolla actividades en temas de security: Todas  La empresa considera o ha considerado conveniente abordar el tema security como parte de un programa estructurado corporativo Si 26(76,5%)No 7(20,6%)  Estaría de acuerdo en incluir en el proceso de Responsabilidad Integral prácticas de security? Si 27(79,4%)No 6(17,6%)

Ing. JCD Página 6 Código 7. Security  Compromiso del Liderazgo.  Análisis de Amenazas, Vulnerabilidades y Consecuencias.  Implementación de Medidas de Security.  Información y Cyber-Security.  Documentación de los programas, procesos y procedimientos gerenciales de security.  Entrenamiento, simulacros y dirección.  Comunicaciones, diálogo e intercambio de información.  Respuesta a amenazas de la security.  Respuesta ante incidentes de security.  Auditorias.  Verificación por parte de Terceros.  Manejo del cambio.  Mejora Continua.

Ing. JCD Página 7 Prácticas Security vs CPG´s Exigencia código securityElemento nuevo Ampliar cobertura CPG´s  Compromiso del Liderazgo NoSi  Análisis de Amenazas, Vulnerabilidades y Consecuencias NoSi  Implementación de Medidas de Security. Si  Información y Cyber-Security. Si  Documentación de los programas, procesos y procedimientos gerenciales de security. NoSi  Entrenamiento, simulacros y dirección. NoSi  Comunicaciones, diálogo e intercambio de información. NoSi

Ing. JCD Página 8 Exigencia código securityElemento nuevo Ampliar cobertura CPG´s  Respuesta a amenazas de la security. NoSi  Respuesta ante incidentes de security. NoSi  Auditorias. NoSi  Verificación por parte de Terceros. NoSi  Manejo del cambio. NoSi  Mejora Continua NoSi Prácticas Security vs CPG´s

Ing. JCD Página 9 Objetivos  Desarrollar y mejorar el nivel de implementación de las prácticas de protección integral en las empresas adherentes  Dar respuesta a las necesidades de desarrollar un sistema de gestión de protección integral en algunas empresas adherentes  Ampliar y fortalecer la gestión integral del riesgo en salud, seguridad, ambiental, distribución y transporte, seguridad física, información y control de cambios

Ing. JCD Página 10 Código 7. Security  Compromiso del Liderazgo.  Análisis de Amenazas, Vulnerabilidades y Consecuencias.  Implementación de Medidas de Security.  Información y Cyber-Security.  Documentación de los programas, procesos y procedimientos gerenciales de security.  Entrenamiento, simulacros y dirección.  Comunicaciones, diálogo e intercambio de información.  Respuesta a amenazas de la security.  Respuesta ante incidentes de security.  Auditorias.  Verificación por parte de Terceros.  Manejo del cambio.  Mejora Continua.

Ing. JCD Página 11  Compromiso del Liderazgo. El compromiso de la alta gerencia con la mejora continua a través de la publicación de políticas, provisión de recursos suficientes y debidamente calificados y establecer responsabilidad. El compromiso de la industria química con security comienza arriba. Este elemento pide que los lideres de las empresas demuestren un claro compromiso con sus palabras y acciones, desde la casa matriz hasta las instalaciones. 1.Compromiso del liderazgo.

Ing. JCD Página 12 1: Compromiso del liderazgo. Las principales políticas que deben ser establecidas, ya sea a nivel de la planta o de la compañía son: Control de acceso Uso de alcohol y drogas Violencia, amenazas, intimidación y otros trastornos Armas en poder de los empleados Selección previa al empleo Protección de la información Inspección de cofres Informe de incidentes y amenazas Respuesta a amenazas de bombas y paquetes sospechosos Ética (requerimiento de informar violaciones, etc.)

Ing. JCD Página Análisis de Amenazas, Vulnerabilidades y Consecuencias.  Priorizacion y análisis periódico de potenciales amenazas de security, vulnerabilidades y consecuencias usando metodologías aceptadas. Utilizando herramientas y métodos generalmente aceptados, las compañías conducirán análisis para identificar como pueden mejorar su security. Este proceso será aplicado usando herramientas y métodos generalmente aceptados, conduciendo análisis para identificar la mejor forma de abordar security. Las empresas también utilizaran herramientas para analizar la security de la venta de productos, distribución y ciberespacio. Estos análisis iniciales serán conducidos con una programación agresiva y luego deberán conducirse en forma periódica y sistemática.

Ing. JCD Página Análisis de Amenazas, Vulnerabilidades y Consecuencias.  Sabotaje  Ataque cibernético  Violencia en lugares de trabajo  Robos  Fraudes  Infiltración  Terrorismo químico o biológico  Asalto  Vandalismo   Amenaza de bombas   Robo de información confidencial   Alteración de productos   Interrupción de sistemas de enfriamiento para cuartos de equipos electrónicos, electricidad, teléfonos, agua, etc.

Ing. JCD Página Implementación de medidas de security  Las empresas tomaran acción cuando se identifiquen y anticipen riesgos potenciales de security. Estas acciones pueden incluir la implementación de medidas adicionales de security para proveer una mayor protección a las personas, la propiedad, productos, procesos, información y sistemas de información. En la planta, estas acciones pueden incluir la instalaciones de nuevas barreras físicas, modificación a los procesos de producción o sustitución de materiales. En venta de productos y distribución, las acciones pueden incluir medidas tales como nuevos procedimientos para proteger el comercio por Internet o investigación adicional sobre los proveedores de servicio de transporte

Ing. JCD Página 16  Control de acceso  Control de uso de alcohol y drogas  Violencia, amenazas, intimidación y otros trastornos  Control de armas en poder de los empleados  Selección previa al empleo  Protección de la información  Inspección de cofres  Informe de incidentes y amenazas  Respuesta a amenazas de bombas y paquetes sospechosos  Ética (requerimiento de informar violaciones, etc.) 3. Implementación de medidas de security

Ing. JCD Página Información y Cybersecurity  Las redes y los sistemas de información son tan críticos para el éxito de una compañía como sus sistemas de la fabricación y de distribución. Consideración especial debe darse a los sistemas que apoyan el comercio electrónico (“e-commerce”), el gerenciamiento del negocio, telecomunicaciones y controles de proceso. Las acciones pueden incluir controles adicionales para la detección de intrusos que intenten accesar las redes de voz y datos, la verificación de las prácticas de la security de la información aplicadas por los asociados con conexión digital y nuevos controles en el acceso a los sistemas de control de proceso digitales en nuestras instalaciones.

Ing. JCD Página 18  Protección de información hablada  Protección de documentos  Protección de computadoras y redes Práctica 4: Información y Cybersecurity.

Ing. JCD Página 19 Protección de computadoras y redes  Cuartos de computadora físicamente seguros, centros de control de motores, cuartos – archivo idealmente con sistemas electrónicos o biométricos, que registren entradas y salidas.  Emplear “fire walls”, protección de virus, encriptado, identificación del usuario y usar  autentificación de usuarios y mensajes para proteger el cuarto de la computadora principal y todas las redes secundarias, tales como sistemas de control de acceso, que están conectados a la misma o a su exterior.  Enseñar a los empleados a estar atentos al uso de artimañas para obtener las  contraseñas de su computadora.  Requerir al administrador del sistema que inhabilite todo el software de conexión a  INTERNET que puede venir incluido en los sistemas operativos.

Ing. JCD Página 20  Dejar que los principios de “acceso menor”, “necesidad de saber” y “separación de funciones” guíen la determinación de las autorizaciones del usuario, más bien que su posición o precedente.  Si es posible, coloque el cuarto de computación por encima de la planta baja del edificio, para reducir la probabilidad de los robos o daños por el agua (proveniente de combate contra incendio, rotura de cañerías o inundaciones). El cuarto de computación no debe estar adyacente a una pared exterior.  No colocar carteles indicando la ubicación de las instalaciones de computación.  Equipar el cuarto de computación con suficientes medios de comunicación para facilitar una información rápida en caso de emergencia.  Permitir solo a personas autorizadas la entrada a cuartos centrales de computación.  No entregar llaves o combinaciones de cerraduras a visitantes.  Requerir que los empleados notifiquen a la gerencia, con anticipación si ellos deben entrar a las instalaciones de computación, durante horas que no está programado trabajar.

Ing. JCD Página Documentación  Para sostener un programa de security constante y confiable en el tiempo, las compañías documentarán los elementos claves de su programa. La consistencia y la confiabilidad darán como resultado un lugar de trabajo y una comunidad más seguros.

Ing. JCD Página Entrenamiento, simulacros y dirección  A medida que se desarrollan prácticas eficaces de security, las compañías realzan el conocimiento y las capacidades en security con el entrenamiento, los simulacros y la dirección. Este compromiso va mas más allá de los empleados y de contratistas para incluir otros, cuando sea apropiado, por ejemplo distribuidores de productos o entidades de respuesta a emergencias. Este tipo de trabajo conjunto mejora nuestra capacidad de disuadir y de detectar incidentes mientras que consolida nuestra capacidad total de security.

Ing. JCD Página 23  Los empleados y contratistas deben servir como los ojos y oídos del esfuerzo de protección de toda la compañía.  El alerta y el entrenamiento pueden transformar a estas personas en sistemas de vigilancia naturales.  Reforzar las prácticas existentes, tales como:  Cierre con llave de puertas  Observación e informe de paquetes sospechosos  Inquirir a personas que no lleven su tarjeta identificatoria  Uso de passwords en las computadoras.  Reforzar el entrenamiento mediante recordatorios por E- mail, charlas, carteles, avisos, videos, panfletos, posters, etc. 6. Entrenamiento, simulacros y dirección.

Ing. JCD Página Comunicaciones, diálogo e intercambio de información.  La comunicación es un elemento clave en la mejora de la security. Mantener canales de comunicación abierto y eficaces incluye pasos tales como compartir prácticas eficaces de security con otros a través de industria y mantener la interacción con los funcionarios y entidades oficiales. Al mismo tiempo, las compañías entienden que su papel es proteger a sus empleados y a las comunidades donde funcionan, mientras que salvaguardan la información que podría significar una amenaza si cayese en las manos incorrectas.

Ing. JCD Página Respuesta a amenazas de la security  Las compañías toman muy en serio las amenazas físicas y cibernéticas. Ante tales amenazas, las compañías evaluarán puntualmente la situación y responderán. Las amenazas verdaderas y creíbles serán divulgadas y comunicadas al personal de la compañía y a oficiales de la ley, tal como sea apropiado.

Ing. JCD Página Respuesta ante incidentes de security  Las compañías se mantendrán vigilantes en sus esfuerzos por disuadir y detectar cualquier incidente de security. Sin embargo, si ocurre un incidente la compañía responderá e involucrará puntualmente las entidades gubernamentales tal como sea apropiado. Después de investigar el incidente, la compañía incorporará los aprendizajes claves, y si lo considera, los compartirá con otras agencias de la industria y el estado e implementara las acciones correctivas a que haya lugar.

Ing. JCD Página 27  Archivar información de los incidentes de protección  Establecer varios canales para el informe del incidente. Por ejemplo, pueden decidir divulgar el N° de teléfono y el de la persona a cargo de la protección. Algunas compañías han establecido canales por los cuales los empleados puedan expresar sus sospechas en forma anónima.  Puede ser útil hacer obligatorio para los empleados informar los incidentes de protección. 9. Respuesta ante incidentes de security.

Ing. JCD Página 28 Continuación…  Medidas de Respuesta a Emergencias: Desarrollar un plan de respuesta en emergencias que se ajuste a las necesidades de la planta y a sus recursos. Desarrollar un sistema para el recuento de empleados y visitantes durante la emergencia. Controlar el incidente de manera que la evidencia sea preservada para investigaciones posteriores. Desarrollar un sistema de comunicaciones en caso de crisis para el personal clave y el grupo de protección, de tal manera que ellos puedan (1) dar señales de ayuda subrepticiamente cuando sea necesario, (2) controlar un pequeño incidente para evitar que se convierta en uno grande y (3) contactar otros grupos claves fácilmente durante la crisis

Ing. JCD Página Auditorias  Las compañías determinarán periódicamente sus programas de security y los procesos necesarios para asegurar que esos programas y procesos están adecuadamente implementados y se tomara las acciones correctivas a que haya lugar. En circunstancias que lo ameriten, estas revisiones también aplicaran a los programas y procesos de otras compañías con las cuales la empresa tenga negocios tales como proveedores químicos, proveedores de servicios logisticos o clientes.

Ing. JCD Página Verificación por parte de Terceros  Las compañías analizarán el security de sus instalaciones, identificarán cualquier medida de security necesaria, pondrán esas medidas en ejecución y harán revisiones vs. esas medidas. Para ayudar al publico a tener confianza en la security de nuestras instalaciones, las compañías invitarán a terceros con credibilidad – tales como bomberos, oficiales de la ley, interventores del seguro y/o oficiales gubernamentales - que confirmen que las compañías hayan implementado las medidas de security físicas a las que se han comprometido. Además, las compañías deben consultar con estas mismas entidades y personas cuando se consideren y/o implementen medidas adicionales de security.

Ing. JCD Página Manejo del cambio.  La evaluación y el manejo de asuntos de security asociados con los cambios que involucran las personas, la propiedad, productos, procesos, la información o sistemas de información. Nuestros empleados así como nuestros procesos contribuyen a, y se apoyan en cambios e innovaciones a productos y tecnologías. Al considerar cualquier cambio, las compañías evaluaran y revisarán asuntos de security que puedan presentarse. Esto puede incluir cambios tales como nuevas asignaciones del personal para la instalación de nuevos equipos de proceso o software o hardware

Ing. JCD Página Mejora Continua  Nuestro compromiso con la security llama para que las compañías busquen la mejora continua en todos nuestros procesos de security. Puesto que las prácticas para manejar security evolucionan, se anticipa que los programas y las medidas de security de la compañía tecnología evolucionen también reflejando los nuevos conocimientos y tecnología. Continuamente las compañías harán seguimiento, mediciones y se enfocaran en el mejoramiento de esfuerzos para mantener la security de las personas, propiedad, productos, procesos, información y sistemas de información cada día en un nivel mas alto.

Ing. JCD Página 33  Hacer lo siguiente, a intervalos apropiados. Actualizar la evaluación de riesgos y las auditorías a planta. Revisar el nivel de cumplimiento del personal y contratistas con los procedimientos de protección. Establecer una rutina de control y mantenimiento de los sistemas de protección (tales como control de acceso, detección de intrusos y vigilancia televisiva). 13. Mejoramiento Continuo.

Ing. JCD Página 34  Las compañías compartirán la información sobre prácticas eficaces de security en la industria y con profesionales externos calificados en security. Las compañías continuarán ampliando el conocimiento y el compromiso con las prácticas de security realizadas a través de la cadena de valor de la industria química.  El Consejo Americano de la Industria Química continuará proporcionando dirección, incluyendo ejemplos de prácticas eficaces de security de sus miembros, ayudandoles en la implementación de este código; hará revisiones periódicas, emitiendo una nueva revisión de la guiá cuando sea apropiado.  Debido a que el desarrollo y los cambios que se presentan en los asuntos de security son tan rápidos, el Consejo Americano de la Industria química valorará el Código de Security, sus Prácticas Gerenciales y el programa de implementación a los 2 años de implementado o antes si lo considera necesario

Ing. JCD Página 35 Recursos Requiere acompañamiento y apoyo a las empresas adherentes por parte del Proceso de RI Se cuenta con:  el apoyo y la experiencia del proceso a nivel internacional (ICCA, CEFIC, FEIQUE, ABIQUIM, ASIQUIM, CIQYP y otros)  experiencia de algunas empresas adherentes en la implementación de actividades de security  sinergia con los cuerpos de seguridad (policía), la promoción institucional para conformar frentes de seguridad entre empresas (comités de ayuda mutua) y la certificación BASC  Instancias de participación para coordinadores a nivel nacional y regional

Ing. JCD Página 36  Adoptar una estrategia de implementación piloto de las prácticas de security en 2 ó 3 empresas que permitan medir el impacto y resultados.  Desarrollar un plan de implementación gradual de las prácticas de security integrado al del RCMS de mediano plazo que sea flexible y permita que todas las empresas adherentes puedan cumplirlo.  Diseñar una estrategia que comprometa a los gerentes y coordinadores y facilite la implementación.  Fortalecer el mecanismo de ayuda mutua para crear sinergia entre los coordinadores de las prácticas de security  Crear sinergia en la implementación de las prácticas de security con la norma BASC (14 empresas adherentes se encuentran certificadas)  Formular estrategias creativas para la verificación Estrategias para implementación