4 MAP3S - Casos de Estudio

CARTA DE
NAVEGACIÓN PARA
UNA ORGANIZACIÓN
SEGURA
Alberto Ray Sánchez

Morella Behrens Lanz
4 Material didáctico para el curso en línea,

extracto del libro
Caracas, 2017
Extracto del libro “Carta de Navegación para una Organización Segura” (Ray & Behrens,
2014)
Caso de Estudio: Hospital

Se trata de un centro de salud que atiende cerca de 200.000
pacientes al año, en todas sus especialidades. Sus servicios más críticos
son Emergencia, los procesos quirúrgicos e imagenología. Se encuentra
en una zona populosa de la ciudad con altos índices de criminalidad. El
hospital está distribuido en cinco edificaciones ubicadas en un espacio de
15.000 metros cuadrados, atravesados por una vía de alto tránsito
vehicular y peatonal.
Cuando se estudió la problemática que rodeaba el hospital,

detectamos que existía una seguridad reactiva más que proactiva, es
decir, se prefería reaccionar en vez de llevar a cabo una política
preventiva, de señalización y de propagación de normas de seguridad.
A continuación, se mencionan los problemas detectados en el

centro de salud y que, al no ser atacados a tiempo, originaron algunas
consecuencias:
Cultura del “relajo”

Tanto en el interior del centro de salud, como en sus
inmediaciones, ocurrían eventos de distinta índole, tales como robos y
hurtos. Existía una cultura de seguridad muy relajada, centrada
específicamente en un servicio de vigilancia privada, con muchos errores.
Había un ambiente de desorden, donde predominaba la “cultura del
relajo” por parte de visitantes, pacientes y personal del hospital.
4-1
2014)
Falta de señalización
La falta de una adecuada señalización y de normas, también
originaba algunas conductas irregulares, el deterioro de la infraestructura
del hospital y el incumplimiento de los procedimientos existentes. Todo
ello originaba un espiral vicioso de inseguridad.
Fallas en el personal
El hospital tenía fallas en la gestión de seguridad del personal, el
cual estaba capacitado para lo básico en caso de que se presentara alguna
situación fuera de lo normal. La seguridad se basaba en vigilancia, cuyo
personal no estaba lo suficientemente capacitado para posibles eventos.
Debido al aumento de incidentes y a la ubicación en una zona

propensa a hechos delictivos, existía una alta percepción de inseguridad
en el interior de las instalaciones.
Ausencia de tecnología
La tecnología no formaba parte de la seguridad, lo que dificultaba
la detección de eventos y de estadísticas, propiciando más bien el
desconocimiento sobre qué controlar y gestionar. Por ejemplo, el hecho
de que el hospital no contara con un sistema de video vigilancia, impedía
que el personal de seguridad contara con al menos una prueba para una
futura investigación.
4-2
2014)
Marco situacional
Identificación de vulnerabilidades
Cultura de la organización
 Falta de sentido de pertenencia
 Falta de planificación (las cosas se hacen reactivamente)
 Dificultad en la comunicación entre médico y empleado
 Nuevo personal médico contratado no identificado con la cultura
Gestión
 Gestión de seguridad deficiente
 Falta de apoyo gerencial a la gestión de seguridad
Recursos humanos
 Baja nivel de formación del personal de seguridad
Infraestructura
 Varias entradas y salidas
 Dispersión de la infraestructura (5 edificios)
 Crecimiento acelerado de los servicios médicos
 Falta de espacio físico
Normas y procedimientos
 Impunidad. Falta de sanciones ante violación de normas
 Falta de control sobre el material médico
4-3
2014)
 Descuido por las normas básicas de seguridad (ej. No se usa la

identificación y todos la tienen)
 Descuido de las buenas prácticas y costumbres (ej. cortesía,

calidad de servicio, etc.)
Tecnología
 Falta de tecnología y sistemas de seguridad
 Sistemas de comunicación poco efectivos
Identificación de amenazas
 El entorno, zonas marginales cercanas
 La situación política, el clima político
 La delincuencia
 Pacientes alterados que acuden al hospital
 Visitantes con actitudes agresivas o poco amistosas
Identificación de riesgos
1. Robo, hurto, asalto y agresiones en las vías de acceso al hospital
2. Robo, hurto, estafa dentro de las instalaciones del hospital
3. Hurto de material médico quirúrgico
4. Condiciones de inseguridad laboral e industrial relacionadas con

la infraestructura
5. Conmoción social en el país
6. Bioriesgos (Riesgos de infección)
4-4
2014)
7. Conflictividad social en el hospital
8. Afectación de la imagen del hospital por percepción de insegura
Involucrados
Personal administrativo
Está conformado por el personal que labora en las áreas de

admisión y egreso de pacientes, recursos humanos, facturación,
cobertura de seguros, auditoría, farmacia, entre otras. Son las personas
que tratan directamente con el público en trámites que tienen que ver con
alguna documentación.
NIVEL DE COMPROMISO: MEDIO
Proveedores
Son las empresas que proveen al centro de salud de materiales e

insumos; equipos tecnológicos; sistemas y accesorios de seguridad;
asesoría y servicios; alimentación; servicios de energía y agua potable;
mantenimiento; medicinas; equipamiento; suministros y otros bienes.
NIVEL DE COMPROMISO: ALTO
Visitantes
Están integrados por los familiares, amigos y conocidos de los

pacientes. Deben adaptarse a un horario establecido de visitas y deben
cumplir las reglas y regulaciones del hospital. Deben actuar de manera
respetuosa tanto con los pacientes, como con el personal del hospital.
NIVEL DE COMPROMISO: BAJO
4-5
2014)
Pacientes
Es el personal que recibe asistencia por parte del personal médico.

Los pacientes reciben los servicios de un médico u otro profesional de la
salud, y pueden ser sometidos a un examen, a una revisión, tratamiento o
a una intervención. Son quienes, en teoría, reciben la mayor atención por
parte del personal del centro de salud.
Médicos
Es el profesional que tiene como objetivo mejorar la salud de las

personas y salvar vidas humanas. Sus especialidades y responsabilidades
van desde las más sencillas hasta las más complicadas. Realizan estudios,
diagnósticos, tratan lesiones y diversas enfermedades, entre otras
labores. Los médicos deben ser capaces de dar respuestas acertadas y
rápidas.
Empresas de seguro
Son las compañías que cubren determinados riesgos económicos,

dependiendo de cada evento. Contar con sus servicios es de vital
importancia, en caso de que se produzca una determinada emergencia. Se
puede decir que estas empresas funcionan como una especia de
intermediarios financieros, en caso de que el paciente no tenga la
facilidad económica al momento de ser admitido en el centro de salud.
4-6
2014)
Nivel de compromiso de los involucrados

Involucrados Nivel de compromiso
Personal administrativo Medio
Visitantes Bajo
Empresas de seguro Alto
Pacientes Medio
Médicos Alto
Proveedores Alto
Marco estratégico
Norte Estratégico
Se identificaron cuatro conceptos vinculados con el Norte de la
seguridad en el hospital:
1. Garantizar la tranquilidad de médicos, empleados, pacientes,

visitantes y proveedores.
2. Minimizar la exposición a riesgos
3. Crear el valor de la prevención dentro de la organización
4. Incentivar la participación activa de todos
El Norte Estratégico se convierte en el primer criterio de

normalidad de la organización y se plasma en la política de seguridad. Es
compromiso del hospital maximizar los esfuerzos para procurar un clima
de tranquilidad en sus instalaciones e inmediaciones, ¿de qué manera?
 Minimizando el nivel de exposición a riesgos que puedan

ocasionar pérdidas y accidentes
4-7
2014)
 Promoviendo prácticas seguras de trabajo
 Preservando la integridad de sus activos y fomentando la cultura

preventiva como un valor de la organización
 Estimulando la participación activa de todos en la institución
Ejes Estratégicos y brechas

1. Usuarios: Son las personas que asisten al hospital en busca de
servicios de salud. Son también usuarios los acompañantes y
visitantes
2. Infraestructura física: Es el conjunto de bienes inmuebles en los

que se desarrolla de forma permanente (y en algunos casos
temporales) los procesos clave y funciones administrativas de la
institución
3. Tecnología de seguridad: Son los sistemas y equipos que se

emplean como herramientas para brindar protección a las
personas y la infraestructura
4. Recursos humanos: Es el grupo de personas que labora en la

institución. Médicos, enfermeras, personal de apoyo,
administrativo, personal con labores específicas de seguridad,
contratado y proveedores que, de forma directa, permanente o
temporal desarrollan sus funciones en la organización
5. Políticas, normas y procedimientos: Es el marco regulatorio

mediante el cual la Dirección de la institución transmite a la
organización el “Deber Ser” de la seguridad
4-8
2014)
6. Cultura de la organización: Es el conjunto de normas, hábitos y

valores, que comparten y practican las personas en la institución, y
que hacen de esta su forma de comportamiento
7. Las comunidades cercanas: Son los vecinos y negocios que

circundan al hospital
8. Organismos del Estado: Se trata de los entes y fuerzas del Estado

que se interrelacionan con el hospital en cualquiera de sus
procesos operativos o administrativos, y que pueden coadyuvar en
las funciones de protección o resguardo de bienes e instalaciones
Impacto de la seguridad en los procesos claves

Procesos básicos de Emergencias Hospitalización Cirugía Procesos
seguridad de Apoyo
Prevención Media Alta Alta Media
Protección Alta Media Alta Alta
Planificación Media Alta Alta Baja
Valoración de ejes
Eje Deber ser Actual Brecha
Tecnología 56 12 44
Infraestructura 66 23 43
Cultura organizacional 61 20 41
RRHH 59 22 37
Comunidades 43 13 30
Cuerpos de seguridad 49 22 27
PNP 61 39 22
Usuarios 51 34 17
4-9
2014)
Marco de acción
Listado de propuestas
Usuarios y RRHH
 Difusión del plan de seguridad
 Órdenes de puesto de informadora, portero y vigilante
 Actualización de data para carnetización
 Reorganización del transporte para empleados
 Levantamiento de data del personal tercerizado
 Migración de cesta ticket a tarjeta para el pago de beneficio
 Creación de la Gerencia de Seguridad y el cargo de Administrador

de Tecnología en Seguridad
 Contratación de empresa tercerizada de vigilancia y revisión de

gestión
 Planificación del personal de seguridad en función de sus roles y

ubicaciones
4-10
2014)
Políticas, normas y procedimientos
 Consolidación de estadísticas de seguridad
 Norma de seguridad ambulatorio
 Norma de seguridad emergencia
 Normativa contratistas
 Incremento de medidas de seguridad en caja
 Procedimiento de desincorporación de activos
 Norma de seguridad de quirófano
 Control de puerta del cuarto de basura
 Aprobación del protocolo para manejo de desechos hospitalarios
 Norma de seguridad de ambulatorio
 Uso de parlantes para anunciar fin de hora de visita y mensajes de

seguridad
 Procedimiento de notificación de obras a seguridad
 Aprobación de la política de seguridad del hospital
Infraestructura y tecnología
 Implementación de mobiliario para resguardo de pertenencias de

pacientes en la Emergencia
 Adquisición e instalación de puertas automáticas en área

quirúrgica
 Adquisición e instalación del sistema de control de acceso
4-11
2014)
 Mantenimiento y mejoras Iluminación externa
 Construcción de Gerencia de Seguridad y CECON
 Diseño, adquisición e instalación de sistema de cámaras externas
 Definición de ubicación y adquisición de cámaras internas
 Adquisición de equipo y materiales para carnetización
 Instalación de sistemas de alarmas
 Adquisición de mensajes mensuales de texto para celulares con

fines de seguridad
 Diseño del eje central (backbone) de la fibra óptica para la red de

datos de seguridad
Comunidades y cuerpos de seguridad
 Incremento de la colaboración mutua entre policía y el hospital
 Acuerdos con tránsito para mejorar la fluidez del tráfico en los

alrededores del hospital
 Integrar la seguridad al proceso de responsabilidad social que

desarrolla el hospital
Cultura organizacional
 Revisión y actualización de riesgos de seguridad en la institución
 Difusión de recomendaciones de seguridad para consultorios
 Consolidación del sistema de gestión de la seguridad del hospital
 Difusión de la seguridad y prevención como valores del centro
4-12
2014)
Mapa de ruta
Eje Estratégico
Organismos del
Infraestructura
Comunidades
Cuerpos de
Tecnología
Seguridad
seguridad
RRHH de
Usuarios
Normas
Riesgo
Cultura
Estado
Robo/Hurto en vías de acceso al
hospital
Robos/Hurto/Estafas dentro del
Cuadrante Cuadrante
hospital
Hurto de material médico
Prioritario Importante
quirúrgico
Condiciones de inseguridad
laboral
Conflictos sociales en el país
Bioriesgos
Cuadrante Cuadrante
Conflictos laborales en el hospital
Hospital por ambiente de
Necesario Visionario
seguridad
Evaluación de la seguridad por procesos claves

Iniciativa o proyecto Fecha de inicio Duración
Crear comisión para implantación y seguimientos de Inmediato Permanente
políticas y acciones de seguridad en el Hospital
Revisar y mejorar el CCTV. Diseñar e instalar sistema de Inmediato Dos años
control de acceso en áreas críticas
Diseñar e instalar un centro de control y comando de Inmediato Seis meses
seguridad
Verificar las condiciones de la infraestructura para su Inmediato Tres años
adecuación según normas de seguridad industrial y laboral
Sensibilizar en la necesidad de establecer políticas, normas Inmediato Seis meses
y procedimientos de seguridad
Capacitar el personal de seguridad En tres meses Tres meses
Definir normas para el control de accesos y restricciones de En tres meses Tres meses
paso
4-13
2014)
Hacer la gestión de seguridad controlable y auditable En tres meses Seis meses

Facilitar el acceso seguro de los usuarios Inmediato Un mes
Revisar y mejorar la iluminación exterior En tres meses Dos meses
Restablecer las relaciones con el Instituto de tránsito para En seis meses Permanente
hacer más fluido el paso de vehículos en las inmediaciones
(proyecto movilidad del tránsito)
Abordar tema de parqueros a nivel institucional En seis meses Permanente
Abordar con instituciones vecinas el tema de seguridad En nueve meses Permanente
Diseñar y desarrollar proyectos de responsabilidad social En seis meses Permanente
con comunidades vecinas
Establecer vínculos con la comunidad y con autoridades del Inmediato Permanente
Estado
Desarrollar medios de inteligencia para prevenir hechos Inmediato Permanente
delictivos
Crear comisión para implantación y seguimientos de Inmediato Permanente
políticas y acciones de seguridad en el Hospital
Conclusiones del caso

En este modelo diseñado para un centro de salud, nos trazamos un
Mapa de Ruta con un cronograma tentativo a cumplir durante un período
de tres años. Una vez llevado a cabo el proyecto, se mejoró el sentido de
pertenencia que el personal tenía sobre el hospital, aumentando
significativamente el valor sobre el tema de la prevención.
De igual forma, la imagen que los empleados tenían acerca del

personal de seguridad comenzó a cambiar de forma positiva, elevando el
nivel de la Gerencia encargada de esta área. Se creó un Centro de
Comando y Control (CECON) conformado por 120 cámaras, las cuales se
ubicaron en las áreas más críticas de la edificación.
El proyecto también permitió conformar una brigada especial de

seguridad, con personal capacitado para responder ante emergencias.
También se diseñaron auditorías en el área de prevención de seguridad,
las cuales permitieron disminuir de forma significativa esa postura
reactiva que existía anteriormente, a una más proactiva.
4-14
2014)
Se mejoró la iluminación interna y externa del hospital, lo que

permitió aumentar la percepción de seguridad. Este aspecto logró
disminuir el miedo no sólo entre el personal del centro de salud, sino
también entre los mismos visitantes que permanecían en la edificación
hasta horas nocturnas.
Otro de los aspectos que también contribuyó con lo anterior,

fueron los cambios de rutina que se lograron hacer, como la restricción de
acceso a los pacientes a algunas áreas y los horarios de visitas.
Se colocaron señalizaciones por colores y áreas, y se restringió el

paso hacia algunas zonas claves a través de la instalación de un sistema
de control de acceso, de acuerdo al rango de los cargos del personal. Se les
recomendó evitar el uso de joyas y objetos de valor, que pudieran servir
de provocación para los delincuentes, y se estableció una determinada
vestimenta de trabajo.
Se crearon normas y procedimientos de seguridad, en caso de

posibles contingencias, y se documentaron algunas recomendaciones de
prevención. Se desarrolló un sistema de referencias del personal
contratado y se alinearon los esfuerzos en el área de tecnología. La
seguridad ya no sólo se basaba en vigilancia, sino también contaba con el
apoyo de herramientas tecnológicas para hacer aún más fácil la detección
de posibles eventos.
Asimismo, también llegamos a la conclusión de que, una vez

iniciado el proyecto, era necesario mantener la continuidad del mismo a
través de la figura de algunas personas que pudieran difundir
información preventiva. Por tal motivo, se transmitieron mensajes a
través de una campaña, escogiendo a personal capacitado para que
fueran elementos de propagación.
4-15
2014)
Al tiempo de llevarse a cabo el proyecto, se realizaron encuestas

para estudiar los comentarios y la percepción de la gente que concurría al
centro de salud. A través de indicadores, pudimos valorar la gestión del
plan ejecutado.
Al cabo de dos años, logramos impactar en estos indicadores:
 Reducción de 75% de los incidentes en el área de seguridad
 Reducción de 82% en cantidad de dinero perdida por incidentes de

seguridad
De igual forma, alrededor de un 75% se identificaba con el tema

preventivo y no reactivo (al principio sólo un 20% estaba de acuerdo con
este aspecto), mientras que la percepción positiva del ambiente de
seguridad en los pacientes, y del personal médico, logró aumentar en un
65%. Actualmente, de no haberse llevado a cabo esta solución, el hospital
contaría con unos índices delictivos más elevados y su cultura de
seguridad no sería la misma.
4-16
2014)
4-17
2014)
Caso de estudio: Centro

Comercial
Best Super Mall (BSM) es un centro comercial que opera desde
hace 20 años en el lado oeste de una ciudad de un millón y medio de
habitantes, capital de un estado de Venezuela. La zona que
tradicionalmente ha sido de clase media, ha venido transformándose en
un espacio más popular debido al crecimiento poblacional. Por ello,
nueva vialidad y transporte público facilitan el acceso al espacio
comercial. BSM tiene un amplio estacionamiento que circunda la
estructura desde donde puede entrarse a las áreas comerciales y grandes
tiendas a través de un total 12 puertas en todos sus flancos. En los
espacios de BSM se encuentra un hotel, un centro de convenciones, salas
de cine, un supermercado, entidades bancarias, un centro de joyerías, un
espacio tipo feria de comidas y tiendas con gran variedad de productos y
servicios. En oportunidades, se aprovechan las áreas de estacionamiento
para realizar conciertos y eventos especiales.
La gerencia del centro comercial solicita nuestra intervención

luego de que una serie de hurtos en los estacionamientos, robos en las
joyerías y pérdida de mercancía en algunas tiendas se manifiestan de
forma súbita, estos incidentes han impactado la imagen del lugar,
haciendo que los usuarios disminuyan la frecuencia de sus visitas.
Recientemente, se presentó un incidente importante en la feria de comida
cuando dos visitantes discutieron por una mesa, y uno de ellos hizo uso
de un arma de fuego hiriendo en un hombro a la persona con quien
discutía.
4-18
2014)
En la primera aproximación que hicimos pudimos identificar

elementos tales como:
 Fallas en la organización del personal de seguridad
 Falta de presencia física de oficiales de seguridad en áreas clave
 Tecnología de seguridad insuficiente y desactualizada
 Fallas en procedimientos de prevención y protección de la

instalación
 Infraestructura con problemas de mantenimiento
 Accesos a áreas restringidas no controlados
Marco situacional
Gestión
 La seguridad tiene muchos responsables pero no existe “el

responsable”
 No existen rutinas definidas de supervisión del personal de

seguridad
4-19
2014)
 La seguridad está diluida entre otras funciones
 Falta de vigilancia en los accesos
 La seguridad ha perdido importancia en el Centro Comercial
 El personal de seguridad no se percibe integrado en equipo
 Baja consciencia de seguridad en los arrendatarios
 Falta de asesoría en temas de seguridad
 No se producen respuestas oportunas en materia de seguridad
 En el personal de servicio las conductas positivas no se refuerzan y

las negativas no se amonestan
 No se informa de resultados en investigaciones sobre incidentes de

seguridad
 Proceso de toma de decisiones sobre, el manejo de efectivo en

taquillas del estacionamiento
 Acumulación de efectivo en comercios durante fines de semana
RRHH de seguridad
 Personal no capacitado para cumplir tareas de seguridad
 Falta de coordinación, control y supervisión del personal
 Poco motivado a cumplir con su trabajo. Desconoce lo que debe

hacer
 Perfil del personal no adecuado para funciones de seguridad
 Sin liderazgo, guía e instrucciones para realizar el trabajo
 Personal poco respetado por arrendatarios y usuarios
4-20
2014)
 Alta rotación de personal. Ausentismo laboral
 Personal de seguridad contratado no se le hacen suficientes

verificaciones pre-empleo
 Falta de especialización del personal que opera el Centro de

Control
Políticas y normas de seguridad
 Horarios extendidos por diversidad de tiendas
 Las joyerías no cuentan con un esquema especial de control de

protección
 No existen procedimientos para responder ante emergencias o

contingencias
 No existen procedimientos explícitos para el Centro de Control
 No existen normas de control de acceso a áreas restringidas
 Las órdenes de puesto de vigilancia no son explícitas
 No existen normas de regulación de horarios para apertura de

puertas
 El personal empleado de los locales no está identificado. No se

cuenta con un procedimiento de registro para empleados
 Escaso control sobre proveedores y contratistas dentro del centro

comercial
Infraestructura de seguridad
 Múltiples entradas peatonales y vehiculares
4-21
2014)
 Estacionamientos con áreas de usos mixtos
 Déficit de iluminación en estacionamiento algunas áreas de

estacionamiento
 Puertas de acceso a pasillos de servicio abiertas hacia el exterior

del centro comercial
 Locales comerciales con accesos desde los estacionamientos y

entradas al centro comercial
 Zonas de servicio con acceso desde el exterior. Áreas internas

pueden facilitar que personas se oculten
 Centro de control con espacio limitado y sin acceso restringido
 Locales con condiciones inseguras
Tecnología de seguridad
 Insuficiencia de cámaras de seguridad en áreas internas y externas
 Deficiencia en la calidad de las imágenes grabadas
 No existen controles de acceso a las áreas de servicio, oficinas y

áreas restringidas
 No existen botones de emergencia en tiendas y áreas públicas
 No existen sistemas de detección de intrusos en áreas internas del

centro comercial
 No se cuenta con sensores de puertas abiertas
 No se cuenta con dispositivos de control y verificación de rondas

de vigilancia
4-22
2014)
Cultura de seguridad
 Bajo nivel de compromiso de los clientes con la seguridad
 La seguridad se considera como un proceso operativo y no como

un proceso estratégico en la organización
 Exceso de confianza de clientes, usuarios y empleados
 Reciclaje de empleados entre los comercios
 La inseguridad es una percepción en aumento dentro del Centro

Comercial
 Temor de arrendatarios y usuarios a denunciar hechos delictivos
Listado de amenazas
 Delincuentes/ estafadores que ingresan al Centro Comercial
 Empleados de tiendas
 Contratistas
 Empleados desmotivados o molestos con la organización
 Visitantes armados
 Baja capacidad de respuesta de los organismos de seguridad
 Servicios públicos
 Fenómenos naturales
 Situación país
 Comercio informal en el perímetro
 Vialidad perimetral facilita huida de delincuencia
4-23
2014)
Tabla de jerarquización de riesgos

N° Riesgos Prob. Impac. Val.
1 Daño a la reputación del CC por problemas de seguridad 10 7 70
2 Robo/Hurto de activos en locales del CC 6 9 54
3 Robo/Hurto/Estafas a usuarios dentro del CC 5 9 45
4 Fuga de información sensible 6 7 42
5 Consumo de droga en las instalaciones 6 7 42
6 Incidentes con menores 6 6 36
7 Inundaciones 5 7 35
8 Accidentes laborales. Accidentes de usuarios 3 7 21
9 Conflictos laborales que afecten productividad del CC 3 5 15
10 Daño intencional a las instalaciones del CC 2 4 8
Mapa de calor
En el análisis de riesgos, usualmente los riesgos se grafican en lo
que se denomina un Mapa de Calor, donde las probabilidad e impacto se
grafican en dos ejes. Esta representación permite ordenar los riesgos en
tres escalas cualitativas: bajo, medio y alto.
4-24
2014)

Involucrados Nivel de Compromiso
Gerencia CC Alto
Dueños de tiendas y arrendatarios Medio
Empleados de tiendas Bajo
Visitantes Bajo
Proveedores Medio
Marco estratégico
El objetivo de la seguridad en Best Super Mall.
Esta política indica la seguridad que necesitamos y queremos en

las instalaciones del Centro Comercial.
Algunos de los conceptos manejados por el equipo y que se alinean

con el Norte de la seguridad fueron:
 Confianza
 Tranquilidad
 Sentido de Pertenencia
 Comodidad
 Cultura de prevención
 Protección
En base a las opiniones recogidas por los consultores se seleccionó

la frase “Espacio seguro para la tranquilidad” como Norte de la
estrategia y se propone la siguiente política de seguridad:
Es nuestro compromiso brindar un espacio seguro y tranquilo al fomentar la

prevención como valor, minimizando los riesgos que puedan ocasionar incidentes y
estimulando la participación de todos.
4-25
2014)
En la política se señala la orientación y rumbo de la seguridad: la

tranquilidad y se mencionan los objetivos a cumplir que son:
 Minimizar los riesgos
 Estimular la participación de todos
Para lograrlo se propone como principal herramienta el fomento

de la cultura preventiva.
Ejes de la estrategia
Para orientar los esfuerzos hacia este Norte de la seguridad,
definimos también un conjunto de elementos determinantes y que
conforman las columnas sobre las cuales desarrollaremos la estrategia. A
estos elementos se les denominan ejes estratégicos o líneas de acción. En
el BSM se definieron los siguientes:
 Infraestructura física: Es el conjunto de bienes inmuebles en

los que se desarrolla las actividades comerciales y funciones
administrativas del Centro. Dentro de este eje está la
infraestructura destinada específicamente a la seguridad (cercas,
muros, centros de control, puestos de vigilancia, etc.).
 Tecnología de seguridad: Son los sistemas y equipos que se

emplean como herramientas para brindar protección a las
personas, los activos y la infraestructura. Es una tendencia en
instalaciones de gran tamaño, centralizar el control tecnológico en
centros de comando para la seguridad. En ellos, se monitorean y
administran los sistemas o plataformas de manera eficiente y con
sentido integral de la seguridad.
4-26
2014)
 RRHH de seguridad: Se refiere al personal fijo o contratado

dedicado de forma total o parcial a labores de custodia y resguardo
de los usuarios, instalaciones y activos.
 Políticas, normas y procedimientos: Es el marco regulatorio

mediante el cual la Dirección le transmite a la organización el
“Deber ser” de la seguridad.
En este sentido, un centro comercial debe contar al menos con tres

normas básicas:
o Control de acceso y clasificación de áreas
o Operaciones de vigilancia y protección física
o Respuestas a contingencias
o Clasificación de la información
 Cultura de la organización: Es el conjunto común de normas,

hábitos y valores, que comparten y practican las personas en el
Centro Comercial, y que hacen de esta su forma de
comportamiento.
 Arrendatarios: Es el grupo de empresas o personas propietarias

de los fondos de comercio que operan sus negocios en el centro
comercial y que mantienen un contrato de arrendamiento con el
propietario del Centro Comercial.
 Usuarios: Son las personas que laboran, visitan o prestan

servicios en el centro comercial.
 Las comunidades cercanas: Son los vecinos que circundan al

centro comercial. Se consideran comunidades: las asociaciones de
4-27
2014)
vecinos, los consejos comunales y las asociaciones que agrupan a

edificios de oficinas o comerciales que rodean al inmueble.
 Cuerpos de seguridad del Estado: Se trata de los entes y

fuerzas del Estado (municipal, regional y nacional) que se
interrelacionan con el centro comercial en sus procesos operativos
o administrativos y que pueden coadyuvar en las funciones de
protección o resguardo de personas, bienes e instalaciones (ej.:
Guardia Nacional, Policía Nacional, Policía Municipal, Bomberos
etc.).
Nota: Todos los ejes están relacionados entre sí y su numeración

no indica jerarquía.
Los ejes son importantes pues las acciones que establezcamos

dentro de la estrategia serán valoradas en función de sus impactos sobre
estos. Esto quiere decir que si una acción específica (por ejemplo:
establecer normas de control de acceso) actúa sobre varios ejes al mismo
tiempo, está tendrá más peso que aquella que toque sólo un eje, por lo
que servirán de herramientas de priorización de acciones.
Valoración de los ejes estratégicos

 Impacto: Grado de intensidad que tendrán las medidas de
seguridad que se tomen (poder de penetración). Consideración
importante: Esta medición de Impacto no está relacionada con el
Impacto estimado en la tabla de clasificación de riesgos.
 Sensibilidad: Grado de facilidad con el que pueden actuar las

medidas de seguridad que se implementen.
4-28
2014)
Con los resultados de la matriz de doble impacto podemos

establecer tres referencias que facilitarán el proceso de formulación del
Mapa de Ruta. La primera referencia la define el impacto de cada eje
sobre los demás. Es el perímetro del Deber Ser. Es decir, la frontera que
delimita la correlación de esfuerzos entre ellos.
Matriz de doble impacto
Infraestructura Tecnología RRHH Normas y Cultura Usuarios Arrendatarios Organismos Comunidades Impacto
seguridad Procedimien. organizacional seguridad
Infraestructura
10 10 5 7 8 8 3 6 57
Tecnología
3 8 7 10 10 8 6 3 55
4 7 9 9 8 8 4 3 52
RRHH
seguridad
3 4 9 8 9 10 3 3 49
Normas y
Procedimien.
10 7 10 10 9 10 2 5 63
Cultura
organizacional
Usuarios
7 5 8 5 8 10 3 6 52
Arrendatarios
9 5 8 8 8 9 3 4 54
3 3 5 7 4 7 7 8 44
Organismos
seguridad
Comunidades
6 3 5 7 5 7 7 8 48
Impacto
45 44 63 58 59 67 68 32 38
La segunda referencia es la estimación de la Situación Actual. Se

logra mediante el levantamiento y la información que recoge el equipo
4-29
2014)
consultor durante el proceso. La diferencia entre la Situación Actual y el

Deber Ser se denomina Brecha y es la variable con la que trabajaremos.
La tercera referencia la define la sensibilidad y se refiere a la

facilidad que tiene un eje de ser modificado. Se muestra la tabla de
valoración de ejes y jerarquización de brecha:
Valoración de Ejes
Tecnología 55 13 42
Normas y procedimientos 49 20 29
Infraestructura 57 28 29
RRHH de seguridad 52 26 26
Cultura de la organización 63 40 23
Usuarios 52 30 22
Clientes 54 40 14
Organismos de seguridad 44 44 0
Comunidades 48 48 0
El tamaño de la brecha indica de forma cualitativa la magnitud de

la inversión que debe hacerse para cerrarla. La inversión no sólo se mide
en dinero, también se deben considerar otros recursos tales como tiempo,
esfuerzo, talento, disponibilidad, etc. En este punto, vale señalar que el
cierre de las brechas está íntimamente vinculado con la mitigación de los
riesgos, por lo que deben tenerse presentes, las fases de efectividad de las
acciones de mitigación.
En la tabla se aprecia que los cuatro primeros ejes con mayores

brechas son en orden descendente: tecnología, normas, infraestructura y
4-30
2014)
RR.HH. de seguridad. Esta jerarquización servirá de base para conformar

la matriz de mapa de ruta.
A continuación se muestran de forma gráfica los resultados:
Según los resultados obtenidos, además de la tecnología y la

infraestructura que figuran de primero y tercero en la lista, se aprecia que
buena parte del trabajo a realizar para alcanzar una seguridad para la
tranquilidad se ubica en las zonas “blandas” de la estrategia. Es decir en
todo aquello relacionado con la gente. De igual, forma resalta el rol que
deben cumplir los RRHH de seguridad como elemento aliado a mejorar la
protección del centro comercial.
Marco de acción
Infraestructura
 Mejorar Iluminación del estacionamiento
4-31
2014)
 Reforzar el cerramiento perimetral del Centro Comercial
 Mejorar seguridad en depósitos de almacenamiento
 Revisar si escaleras de emergencia cumplen con normativa
 Cumplir con Requisitos de legislación para discapacitados
 Señalizar e identificar con elementos gráficos y mapas la ubicación

de locales y servicios en el Centro Comercial
 Demarcar y señalizar área de estacionamiento
RRHH de seguridad
 Adiestrar y especializar al personal de seguridad
 Crear gerencia corporativa de seguridad
 Actualizar perfil del oficial de seguridad
 Revisar proceso de reclutamiento
 Crear brigada de respuesta a incidentes
 Especializar al personal del Centro de Control
Tecnología
 Actualizar del sistema de incendio
 Instalar controles de acceso para pasillo de servicio
 Mejorar al sistema de video vigilancia. Aumentar cobertura y

calidad
 Mejorar sistema de botón de pánico en locales y aéreas comunes
 Evaluar nuevas tecnologías de seguridad
4-32
2014)
 Integrar de los diferentes sistemas de seguridad
 Incrementar cámaras en el estacionamiento
Cultura de prevención
 Promocionar cultura del modelaje
 Desarrollar estrategia comunicacional con mensajes claves
 Realizar actividades especiales para sensibilizar cultura de

prevención
 Divulgación de logros de la gestión de seguridad
 Reforzar las conductas positivas
Usuarios
 Desarrollar Campaña de cultura preventiva
 Construir mensajes en base a vulnerabilidades detectadas
 Realizar reingeniería del proceso de seguridad
 Desarrollar auditores del proceso de seguridad
 Crear rutinas de vigilancia que custodien el perímetro
 Desarrollar Convenio de servicio con proveedores de seguridad
 Identificar perfil de potenciales delincuentes
Arrendatarios
 Involucrar a arrendatarios en campaña de cultura preventiva
 Crear y mantener base de datos de empleados recontratados
4-33
2014)
Organismos de Seguridad
 Desarrollar iniciativas de acercamiento y acuerdos con organismos

de seguridad
Comunidades
 Afianzar las relaciones con comunidades vecinas
Mapa de ruta
Eje Estratégico
Organismos del
procedimientos
Infraestructura
organizacional
Comunidades
Arrendatarios
Tecnología
seguridad
Normas y
RRHH de
Usuarios
Riesgo
Cultura
Estado
Daño a la reputación del CC por
problemas de seguridad
Robo/Hurto de activos en locales
del CC Cuadrante Cuadrante
Robo/Hurto/Estafas a usuarios
dentro del CC
Fuga de información sensible Prioritario Importante
Consumo de droga en las
instalaciones
Incidentes con menores
Inundaciones
Cuadrante Cuadrante
Accidentes laborales. Accidentes
de usuarios
Conflictos laborales que afecten Necesario Visionario
productividad del CC
Daño intencional a las
instalaciones del CC
4-34
2014)
Organigrama de la Seguridad
Si bien, la seguridad en un centro comercial es uno de los atributos
que más aprecian clientes y usuarios, resulta complicado demostrarlo, en
parte por la sensibilidad que ella tiene. De aquí resulta clave darle
visibilidad a la función de seguridad en este tipo de organizaciones. La
seguridad debe tener espacio tanto en la visión estratégica como en las
tareas operativas.
El sentido estratégico se obtiene a través de la constitución de un

comité de alto nivel para la seguridad, integrado por el Gerente de
Operaciones de la organización, los gerentes de los centros comerciales,
los gerentes corporativos vinculados a la seguridad y el equipo consultor.
Las funciones principales del Comité Estratégico de Seguridad (CES)
serán:
 Evaluación de proyectos
 Alineación de proyectos con la política de seguridad
 Definición de criterios para la seguridad
 Creación y actualización de normativas
 Estimación de costos de cada proyecto de seguridad
 Búsqueda y selección de proveedores
 Definir alcances de los proyectos
 Evaluación de los indicadores de gestión
 Análisis de las tendencias
 Análisis del entorno
4-35
2014)
Adicionalmente, la función de seguridad debe tener una posición

gerencial a nivel corporativo según se destaca en el organigrama anexo.
Entre las funciones principales que cumplirá el gerente de seguridad
estarán las siguientes:
 Generar un vínculo entre la Estrategia y las Operaciones
 Darle visibilidad a la seguridad como proceso explícito en la

Organización
 Coordinar operativamente la seguridad
 Optimizar los RR.HH. de seguridad
 Efectuar seguimiento de los proyectos de seguridad
 Responsable de indicadores de gestión
Para instrumentar y complementar la función de la seguridad a través

de la organización, se sugiere crear jefaturas regionales que operarán
como brazos ejecutores del gerente de seguridad con doble línea de
reporte, al gerente seguridad y a los gerentes de centros comerciales.
Organigrama de la función de Seguridad
Gerencia de
Operaciones
Comité
Estratégico de
Seguridad
Gerencia Corp Gerencia Centro

Otras Gerencias
de Seguridad Comercial
Jefatura de
Seguridad
BSM
Especialista
Brigada de Facilitadores
Centro de
Seguridad de Seguridad
Control
4-36
2014)
Por debajo de las jefaturas se mantendrán los facilitadores de

seguridad, algunos de ellos con especialización en seguridad y con la
orientación de atención al cliente. Para completar la organización,
deberán especializarse dos equipos de facilitadores; la brigada de
seguridad y los operadores de Centro de Control.
Las funciones de la Brigada de Seguridad serán las siguientes:
 Apoyar en respuesta a incidentes
 Participar en labores de desalojo del centro comercial
 Escoltar movilización de dinero dentro del comercial
 Intervenir en potenciales conflictos con usuarios
 Implementar procedimientos especiales para menores extraviados
 Implementar procedimientos especiales en baños y áreas

restringidas
Zonas de seguridad
 Zona Pública: Avenidas y vías perimetrales que circundan el
Centro Comercial
 Zona Controlada 1: Estacionamientos y parque de diversiones
 Zona Controlada 2: Galerías, rutas de evacuación, ascensores y

escaleras
 Zonas Restringida: Oficinas, locales comerciales y pasillos de

servicio
 Zonas de Máxima Restricción: Centro de Control, depósitos

locales comerciales, bóvedas, depósitos y cuartos de datos
4-37
2014)
Proyectos asociados a la seguridad del BSM

De acuerdo a las prioridades establecidas, dividiremos el mapa de
ruta de la seguridad en el BSM en dos conjuntos según la naturaleza de
los proyectos. En primer lugar, estarán los proyectos sectorizados por
espacio físico dentro del centro comercial. En segundo lugar, se
encuentran los proyectos definidos sobre los ejes estratégicos. Debemos
aclarar que la división sólo tiene sentido metodológico ya que se
complementan en el mapa. La distribución de los proyectos se observa en
el gráfico de Jerarquización del Mapa de Ruta que se muestra a
continuación:
4-38
2014)

En este modelo diseñado para el BSM, nos trazamos un Mapa de
Ruta con un cronograma tentativo a cumplir durante un período de
dieciocho meses. Una vez llevado a cabo el proyecto, se incrementó la
percepción de seguridad del centro comercial, mejorando de forma
considerable la reputación del sitio. El número promedio de usuarios
creció en 28% en el mismo lapso. En encuestas realizadas se pudo
corroborar que las principales razones para visitar el BSM eran la
variedad de servicios y la seguridad.
El usuario percibió un aumento del orden, iluminación y limpieza

de las áreas de estacionamiento. El tiempo promedio de visita estimado
por el tiempo de permanencia de los vehículos en el centro comercial, se
incrementó en un 16% luego de año y medio de iniciada la nueva
estrategia de seguridad basada en este mapa de ruta.
Otro de los aspectos que también contribuyó con el proceso de

prevención fue la creación de la norma de control de acceso y áreas de
seguridad del centro comercial regulando y restringiendo el paso a zonas
de servicio y creando horarios diferenciados por puestas de acceso. De la
misma forma se implantó la norma de operaciones de vigilancia que
definió el alcance las funciones de los oficiales de seguridad.
En tecnología se amplió el centro de control de la seguridad

incorporando nuevas cámaras en áreas externas e internas, se
adiestraron a los operadores del centro formándolos en el análisis de
perfiles de potenciales amenazas.
Asimismo, también llegamos a la conclusión de que, una vez

iniciado el proyecto, era necesario mantener la continuidad del mismo a
4-39
2014)
través de la figura de algunas personas que pudieran difundir

información preventiva. Por tal motivo, se transmitieron mensajes a
través de una campaña, escogiendo a personal capacitado para que
fueran elementos de propagación.
Luego de dieciocho meses, logramos impactar en estos

indicadores:
 Reducción de 61% de los incidentes en el área de seguridad
 Disminución en un 48% en los tiempos de respuesta en casos en

los que se requirió la presencia del personal de seguridad
El mapa de ruta está actualmente en desarrollo en su cuadrante

visionario y se espera aumentar la consciencia de previsión de empleados
y arrendatarios así como estrechar aún más el acercamiento con cuerpos
de seguridad y comunidades vecinas.
4-40
2014)
4-41
2014)
Caso de Estudio: Banco

Se trata de una institución financiera privada, especializada en
Banca Comercial, ubicada dentro del estrato pequeño pero en pleno
crecimiento.
Sus servicios más críticos son el área de operaciones electrónicas

(tarjetas de débito / crédito y operaciones por Internet), créditos y
negocios fiduciarios. Con agencias a lo largo del territorio nacional con
aproximadamente 200 cajeros automáticos y 4000 puntos de venta.
Cuando se estudió la problemática que rodeaba al negocio,

conocimos que se habían detectado algunos fraudes bancarios,
principalmente en el uso de las tarjetas de crédito en cajeros automáticos
y a través del Internet vía “phishings” a los clientes, generando pérdidas
importantes; además, era necesario acometer diversos proyectos para
poder cumplir con las regulaciones y normas establecidas por el ente
regulador lo cual se les dificultaba debido a los crecientes costos
operacionales que estaba enfrentando el Banco.
A continuación, se mencionan los problemas detectados en el

banco que debían ser afrontados a tiempo antes que originaran
consecuencias mayores:
Pérdidas incrementales asumidas como costos de

operación
La falta de una adecuada infraestructura para la detección de los
fraudes, así como de políticas y normas de seguridad efectivas que
facilitaran el establecimiento de controles efectivos, unido a la
4-42
2014)
incapacidad de respuesta oportuna ante la ocurrencia de ciertos eventos,

estaba generando la adopción de las pérdidas como un mal necesario.
Costos operacionales crecientes sin resultados

efectivos
El personal de seguridad estaba sometido a mucha presión por
parte del ente regulador quien le exigía la ejecución semestral de costosos
análisis de vulnerabilidad, el establecimiento de controles para el
cumplimiento de la normativa y la puesta en marcha de planes de
continuidad de los servicios, todo lo cual le estaba incrementando de
forma acelerada sus costos operacionales y la necesidad de más personal,
sin poder mostrar resultados efectivos que propiciaran un mayor apoyo
de la Directiva del banco.
Incremento de los incidentes de seguridad

A pesar de existir una definición básica de las políticas de
seguridad y de los controles requeridos, los mismos no se habían podido
implantar por falta de recursos. Además, la tecnología no formaba parte
de la seguridad, lo que dificultaba la detección de eventos o incidentes y
generación de estadísticas.
Potencial impacto negativo sobre la imagen

reputacional
Existía una gran preocupación sobre cómo mostrar, a corto plazo,
una imagen confiable ante el público y ganarse la credibilidad del ente
regulador cuyas auditorias habían mostrado numerosos incumplimientos
de la normativa.
4-43
2014)
Marco situacional
Cultura de la Organización
 Falta de planificación (enfoque reactivo)
 Falta de visión y entendimiento de la seguridad
 Exceso de confianza entre los empleados
Gestión
 Gestión de seguridad deficiente
 Gestión reactiva
 Poco apoyo de la Directiva a la gestión de seguridad
Recursos Humanos
 Formación básica del personal de seguridad
 Alta dependencia de los servicios de terceros
 Impunidad. Falta de sanciones ante violación de normas
4-44
2014)
 Políticas y normativas de seguridad no divulgadas al personal
 Descuido en el cumplimiento de normas básicas de seguridad (ej.

no se usa la identificación de acceso a áreas sensibles o
controladas)
Tecnología
 Falta de tecnología y sistemas de seguridad
 Imposibilidad de detectar incidentes de forma oportuna
 Dependencia organizacional de Seguridad de la Gerencia de

Tecnología
 Dificultad en la coordinación de respuestas oportunas con

participación de grupos multidisciplinarios
Identificación de amenazas
 Entorno con dificultades económicas y políticas
 Incremento de la delincuencia
 Dinamismo en los esquemas de fraudes electrónicos bancarios
 Escasez de recursos humanos especializados en el mercado
Identificación de riesgos
1. Fraudes electrónicos
2. Complicidades internas para la comisión de delitos
3. Multas por incumplimientos con el ente regulador
4. Pérdida de personal por emigración
4-45
2014)
5. Conmoción social en el país
6. Afectación a la imagen del banco por percepción de inseguridad
Tabla de jerarquización de riesgos

N° Riesgos Prob. Impac. Val.
1 Fraudes electrónicos 10 9 90
2 Complicidades internas para cometer delitos 8 9 72
3 Multas por incumplimientos con el ente regulador 7 8 56
4 Pérdida de personal por emigración 7 4 28
5 Conmoción social en el país 3 4 12
6 Afectación a la imagen del banco por percepción de 3 3 9
inseguridad
Involucrados
Personal Ejecutivo
Es el personal de confianza que cubre cargos ejecutivos y labora en

los distintos departamentos del banco. Sus especialidades y
responsabilidades varían dependiendo de su área de desempeño.
4-46
2014)
Personal Técnico
Está conformado por el personal que labora en las áreas de

mantenimiento y soporte de la tecnología (ej. aplicaciones, cajeros
automáticos (ATMs), puntos de venta (POS), entre otras). Son las
personas que tratan directamente con el personal técnico de los
proveedores y quienes tienen acceso privilegiado a información sensible.
Personal Administrativo
Es el personal del banco que cubre cargos en el área de

administración, caja, recepción, centro de soporte, ellos son quienes
usualmente tienen mayor contacto con clientes y visitantes. Sus
especialidades y responsabilidades varían dependiendo de su área de
desempeño.
Contratistas
Son las empresas o personas externas al banco que proveen

servicio bajo la figura de un contrato por tiempo definido. Entre ellos se
encuentran las empresas que proveen servicio técnico especializado a los
sistemas y aplicaciones, equipos de computación, ATMs, POS.
Proveedores
Son las empresas o personas externas al banco que proveen

servicio bajo la figura de un contrato para la ejecución de un proceso
4-47
2014)
dado. Entre los proveedores se encuentran las empresas de transporte de

valores, el personal de vigilancia y el personal de limpieza, entre otros.
NIVEL DE COMPROMISO: BAJO

Involucrados Nivel de Compromiso
Personal ejecutivo Alto
Personal técnico Alto
Personal administrativo Medio
Contratistas Medio
Proveedores Bajo
Marco estratégico
Norte Estratégico
Se identificaron cinco conceptos vinculados con el Norte de la
seguridad en el banco:
1. Minimizar la exposición a riesgos
2. Asegurar la continuidad de los servicios
3. Desarrollar una cultura de gestión proactiva de la seguridad
4. Sembrar el valor de la prevención dentro de la organización
5. Incentivar la participación activa de todos
Como Norte Estratégico de la seguridad se definió:
Asegurar la continuidad de los servicios, con una mínima exposición a riesgos, mediante
una gestión proactiva de la seguridad basada en prevención y con la participación activa
de todos en la organización.
4-48
2014)
Ejes Estratégicos y Brechas
 Clientes: Son los usuarios de los servicios que ofrece el banco.
 Tecnología: Son los sistemas y equipos que se emplean para

soportar los procesos del negocio y brindar protección.
 Recursos Humanos: Es el grupo de personas que labora en el

banco. Empleados, personal de apoyo, administrativo, personal
con labores específicas de seguridad, contratado y proveedores
que, de forma directa, permanente o temporal desarrollan sus
funciones en la organización.
 Políticas, Normas y Procedimientos: Es el marco regulatorio

mediante el cual la Dirección de la institución transmite a la
organización el “Deber Ser” de la seguridad.
 Cultura de la Organización: Es el conjunto de normas, hábitos

y valores, que comparten y practican las personas en la institución,
y que hacen de ésta su forma de comportamiento.
 Ente Regulador: Es la institución gubernamental que tiene bajo

su responsabilidad normar y controlar el funcionamiento de las
instituciones del sector bancario, para que éstas brinden el mejor
servicio posible a sus clientes enmarcado en el marco de
protección legal.
4-49
2014)
Matriz de Doble Impacto
Clientes Tecnología e RRHH PNP Cultura Ente Sensibilidad Impacto

Infraestructura regulador
Clientes 10 10 5 7 8 8 57
Tecnología e
Infraestructura 3 8 7 10 10 8 55
RRHH 4 7 9 9 8 8 52
PNP 3 4 9 8 9 10 49
Cultura 10 7 10 10 9 10 63
Ente regulador 7 5 8 5 8 10 52
Sensibilidad 9 5 8 8 8 9 54
Impacto 45 44 63 58 59 67 68
Valoración de Ejes
Clientes 7 6 1
Tecnología e Infraestructura 26 8 18
RRHH 19 14 5
PNP 26 7 19
Cultura 18 10 8
Ente regulador 25 8 17
4-50
2014)
¿Dónde deben ponerse los esfuerzos?

 Incorporar tecnología para facilitar la detección y respuesta
oportuna
 Implementar y divulgar las políticas de seguridad
 Desarrollar una cultura organizacional orientada a la seguridad y a

la prevención
 Capacitar al personal para que pueda detectar y mitigar

vulnerabilidades e incumplimientos de las regulaciones
 Reforzar el cumplimiento de la normativa del ente regulador
Marco de acción
RRHH
 Difusión del plan de seguridad
4-51
2014)
 Actualización de la data para carnetización
 Levantamiento de la data del personal contratado
 Creación de la Gerencia de Seguridad y el cargo de Administrador

de Tecnología en Seguridad
 Planificación del personal de seguridad en función de sus roles y

ubicaciones
Capacitación del personal de seguridad sobre:
 Gestión de la seguridad
 Ejecución de pruebas internas de auditoría, medición de los

niveles de seguridad y cumplimiento de normativas
 Gestión de planes de mitigación de vulnerabilidades
Políticas, Normas y Procedimientos
 Completar definición de políticas y normas
 Solicitar aprobación de la política de seguridad del banco por parte

de la Directiva
 Publicar y divulgar PNP al personal del banco
 Completar la definición de controles de seguridad sobre las

distintas plataformas que soportan los procesos del banco
 Definir con las Unidades de RR.HH. y Legal las sanciones a aplicar

ante el incumplimiento de las políticas y normas
4-52
2014)
Tecnología e Infraestructura
 Revisar y reforzar la Arquitectura de Seguridad
 Implantar un sistema de monitoreo (tipo SIEM – “Security

Information and Event Management”) para la detección,
notificación y respuesta a posibles incidentes de seguridad
 Incorporar niveles de inteligencia al SIEM para la emisión de

alertas por violación de controles y ante el incumplimiento de las
políticas
 Implementación de funcionalidades al SIEM para facilitar la

ejecución de análisis de vulnerabilidad y certificar las mitigaciones
 Implementación de solución para la gestión automática de la

seguridad y las operaciones de las redes de ATMs
 Contratación de servicio para la gestión de ataques tipo phishings
 Adquisición e instalación del sistema de control de acceso a las

instalaciones y a las áreas críticas del banco
 Reforzar sistema de cámaras
 Adquisición de equipo y materiales para carnetización
 Definición y aprobación por Directiva de una organización

interdisciplinaria virtual para la respuesta oportuna a incidentes
de seguridad
Cultura organizacional
 Difusión de la seguridad y la prevención como valores del banco
4-53
2014)
 Divulgar las políticas de seguridad a todo el personal del banco, a

través de charlas y campaña promocional
Mapa de ruta
Eje Estratégico
Ente regulador
Infraestructura
Tecnología e
Clientes
Riesgo
Cultura
RRHH
PNP
Fraudes electrónicos
Complicidades internas para la
comisión de delitos
Cuadrante Cuadrante
Multas por incumplimiento con el Prioritario Importante
ente regulador
Pérdida de personal por

emigración Cuadrante Cuadrante
Conmoción social en el país
Afectación de la imagen del
Necesario Visionario
banco por percepción de
inseguridad
Cronograma de Ejecución
3m 6m 9m 12m 18m 24m 36m
Completar definición de políticas y normas

Conseguir aprobación de políticas por Directiva
Completar definición de controles de seguridad
Definir sanciones por incumplimiento normas
Revisar y reforzar Arquitectura de Seguridad
Incorporar sistema monitoreo y alerta (SIEM)
Implementar SIEM en evaluación sist. seguridad
Implementar gestión automática de red ATM’s
4-54
2014)
Implementación gestión servicio anti phishing

Sistema de control de acceso
Sistema CCTV
Sistema de carnetización
Organización de respuesta a incidentes
Actualización de Data para la Carnetización
Levantamiento de Data Personal Contratado
Creación Gcia. Segur. y Admin Tecn. Seguridad
Planific. RRHH Segur en base Roles y Respons
Capacitación del Personal de Seguridad
Divulgación Plan de Seguridad
Seguridad y Prevención como Valores
Divulgación Políticas Seguridad

A través de la aplicación del modelo MAP³S en el banco
presentado como ejemplo, fue posible lograr un consenso sobre la
problemática existente y que se definieran prioridades para trazar un
Mapa de Ruta, con un cronograma tentativo a cumplir durante un
período de dos años.
El personal que participó en el proyecto de aplicación del MAP³S

cambió su visión sobre el área de la seguridad y coincidieron en la
necesidad de elevar su perfil de reporte al más alto nivel de la
organización, dotándola de las herramientas de apoyo necesarias para
lograr una gestión proactiva. Así mismo, se entendió que el recurso
humano es un factor clave en la gestión de la seguridad y que es necesario
lograr su compromiso y cambio cultural hacia la prevención.
4-55
2014)
Una vez divulgadas las políticas y normas de seguridad y

compartido el Norte estratégico de la seguridad con el personal, se
mejoró el sentido de pertenencia que el personal tenía sobre el banco, lo
cual aumentó significativamente el valor de la prevención.
El proyecto también permitió conformar una brigada especial de

seguridad, con personal capacitado para responder ante emergencia. Se
diseñaron auditorías en el área de prevención de seguridad, las cuales
permitieron disminuir de forma significativa esa postura reactiva que
existía anteriormente, a una más proactiva. Además, al contar con el
conocimiento y herramientas necesarias, se disminuyeron
progresivamente los incumplimientos de las normativas exigidas por el
ente regulador.
Se crearon normas y procedimientos de seguridad en caso de

posibles contingencias, y se documentaron algunas recomendaciones de
prevención. Se alinearon los esfuerzos en el área de tecnología acordando
dotar de herramientas tecnológicas que facilitaran la detección oportuna
de posibles eventos. Se creó un grupo de trabajo multidisciplinario para
la identificación de los controles de seguridad requeridos con el objeto de
lograr una gestión efectiva de la seguridad.
Para asegurar la continuidad del proyecto, se definió una campaña

de divulgación y se le asignó a la Gerencia de RR.HH. la responsabilidad
de coordinar charlas de inducción al nuevo personal y de actualización
del personal en el tiempo a través de las cuales se difundiría información
preventiva. Se asignó personal capacitado para que actuara como
elemento de propagación en los programas de divulgación que
coordinaría RR.HH.
4-56
2014)
Hoy día, luego de dos años de haber definido su Modelo MAP³S, el

banco cuenta con la contribución de su personal en la prevención de
incidentes de seguridad. La Gerencia de Seguridad tiene su Mapa de Ruta
el cual mantiene actualizado y cuenta con todo el apoyo de la Directiva.
La plataforma tecnológica instalada ha mostrado con creces sus

beneficios en la detección y prevención de los fraudes y el personal de
seguridad está motivado y en capacidad de detectar y mitigar posibles
vulnerabilidades antes de someterse a las auditorias, habiéndose
disminuido de forma considerable las inconformidades en el
cumplimiento de las regulaciones.
4-57
2014)
4-58
2014)
Referencias
Behrens, M & Ray, A (2014). MAP3S: Carta de Navegación para una

organización segura. Ediciones Italgráfica. Caracas. 1era Edición.
Publicación realizada con fines educacionales

Prohibida su venta o reproducción
4-59
2014)
Créditos
Autores
Morella Behrens L. Alberto Ray S.

Ingeniero en Computación, con larga trayectoria Ingeniero Electrónico, consultor en seguridad con más
profesional, es Presidente y fundador de la empresa de 20 años de experiencia. Especialista en diseño de
SecureNet Corp C.A. cuya área de especialización es la estrategias para la mitigación de riesgos en
gestión de la seguridad informática. Está certificada en el organizaciones. Presidente de Riesgo Positivo
Programa Avanzado de Gerencia del IESA y como CISM Consultores, empresa dedicada al análisis de entorno y
y CGEIT de ISACA. toma de decisiones en escenarios complejos.
Publicación editada por
Luis Castellanos
Ingeniero de Sistemas con Maestría en Ingeniería de Sistemas y Oficial Superior de Artillería
retirado del Ejército Venezolano. Docente Universitario y Experto en Seguridad, Tecnología y en
e-Learning.
4-60

4 MAP3S - Casos de Estudio

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

4 MAP3S - Casos de Estudio

Cargado por

Copyright:

Formatos disponibles

CARTA DE

Alberto Ray Sánchez

4 Material didáctico para el curso en línea,

Caso de Estudio: Hospital

Cuando se estudió la problemática que rodeaba el hospital,

A continuación, se mencionan los problemas detectados en el

Cultura del “relajo”

Debido al aumento de incidentes y a la ubicación en una zona

 Falta de sentido de pertenencia

 Falta de planificación (las cosas se hacen reactivamente)

 Dificultad en la comunicación entre médico y empleado

 Nuevo personal médico contratado no identificado con la cultura

 Gestión de seguridad deficiente

 Falta de apoyo gerencial a la gestión de seguridad

 Baja nivel de formación del personal de seguridad

 Varias entradas y salidas

 Dispersión de la infraestructura (5 edificios)

 Crecimiento acelerado de los servicios médicos

 Falta de espacio físico

 Impunidad. Falta de sanciones ante violación de normas

 Falta de control sobre el material médico

 Descuido por las normas básicas de seguridad (ej. No se usa la

 Descuido de las buenas prácticas y costumbres (ej. cortesía,

 Falta de tecnología y sistemas de seguridad

 Sistemas de comunicación poco efectivos

 La situación política, el clima político

 Pacientes alterados que acuden al hospital

 Visitantes con actitudes agresivas o poco amistosas

2. Robo, hurto, estafa dentro de las instalaciones del hospital

3. Hurto de material médico quirúrgico

4. Condiciones de inseguridad laboral e industrial relacionadas con

5. Conmoción social en el país

6. Bioriesgos (Riesgos de infección)

7. Conflictividad social en el hospital

8. Afectación de la imagen del hospital por percepción de insegura

Está conformado por el personal que labora en las áreas de

NIVEL DE COMPROMISO: MEDIO

Son las empresas que proveen al centro de salud de materiales e

NIVEL DE COMPROMISO: ALTO

Están integrados por los familiares, amigos y conocidos de los

NIVEL DE COMPROMISO: BAJO

Es el personal que recibe asistencia por parte del personal médico.

NIVEL DE COMPROMISO: MEDIO

Es el profesional que tiene como objetivo mejorar la salud de las

NIVEL DE COMPROMISO: ALTO

Son las compañías que cubren determinados riesgos económicos,

NIVEL DE COMPROMISO: ALTO

Nivel de compromiso de los involucrados

1. Garantizar la tranquilidad de médicos, empleados, pacientes,

2. Minimizar la exposición a riesgos

3. Crear el valor de la prevención dentro de la organización

4. Incentivar la participación activa de todos

El Norte Estratégico se convierte en el primer criterio de

 Minimizando el nivel de exposición a riesgos que puedan

 Promoviendo prácticas seguras de trabajo

 Preservando la integridad de sus activos y fomentando la cultura

 Estimulando la participación activa de todos en la institución

Ejes Estratégicos y brechas

2. Infraestructura física: Es el conjunto de bienes inmuebles en los

3. Tecnología de seguridad: Son los sistemas y equipos que se

4. Recursos humanos: Es el grupo de personas que labora en la

5. Políticas, normas y procedimientos: Es el marco regulatorio

6. Cultura de la organización: Es el conjunto de normas, hábitos y

7. Las comunidades cercanas: Son los vecinos y negocios que