Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Con el presente documento se pretende dar cumplimiento a las instrucciones del Curso
Superior de Dirección y Gestión de la Seguridad, estableciendo los contenidos míni-
mos sobre los que se debe de apoyar el alumno a la hora del diseño y elaboración de su
Plan de Seguridad.
Capítulo 1. Introducción.
Si es necesario definir términos y conceptos para mayor comprensión de destinatarios no es-
pecializados, se hará en este apartado.
Se pretende una descripción detallada de la actividad y del medio físico en el que se desarro-
lla. Igualmente, descripción del centro o establecimiento, dependencias e instalaciones donde
se desarrollen las actividades objeto del plan.
El principal objetivo es que el alumno pueda realizar una presentación y breve descripción de
la compañía o grupo al que pertenece la organización, pudiendo tenerse en cuenta aspectos
como:
225
– Desglose de la composición accionarial y grado de participación.
– Sedes principales y ubicación geográfica.
– Sector/es al que pertenece en función de la actividad desarrollada.
– Subsector/es para cada actividad desarrollada.
– Actividad desarrollada.
– Proveedores necesarios para la prestación de los servicios identificados (incluyendo
información como, por ejemplo, nombre de los proveedores y tipo de suministros
prestados).
– Clientes finales de los servicios prestados identificado/s (incluyendo información co-
mo, por ejemplo, países, administraciones, empresas, particulares, etc.).
– Descripción detallada de la actividad y del medio físico en el que se desarrolla.
– Denominación de la actividad, nombre y/o marca.
– Identificación de los titulares de la actividad.
– Nombre y/o Razón Social.
– Dirección postal, teléfono y fax.
– Dirección web, correo electrónico.
Se debería realizar una descripción del procedimiento de mantenimiento del inventario de los
servicios identificados como consecuencia de la evolución normal que cualquier empresa ex-
perimenta respecto a los servicios que ofrece. Se deberían describir las formas y procedimien-
tos de identificación, mantenimiento, revisión y actualización, así como el órgano responsable
encargado de los mismos. En dicho mantenimiento se debería tener en cuenta al menos:
226
1.3. ACTIVOS / ELEMENTOS DE LA INSTALACIÓN.
Igualmente:
227
Capítulo 2. Base legal de aplicación (relación).
El alumno recogerá en una breve referencia toda aquella normativa y buenas prácticas que
regulen el buen funcionamiento de los servicios prestados por todas y cada una de sus instala-
ciones, así como los motivos por los cuáles les son de aplicación.
Las normativas a incluir comprenden tanto las de rango nacional, autonómico, europeo e in-
ternacional, como las sectoriales, relativas a:
– Seguridad Física.
– Seguridad Lógica.
– Seguridad de la Información en cualquiera de sus ámbitos.
– Seguridad Ambiental.
– Autoprotección y Prevención de Riesgos Laborales.
228
Capítulo 3. Finalidad, objetivos y contenido del Plan. Política de seguri-
dad.
La alta dirección debe asegurarse de que los objetivos de seguridad, incluyendo aquéllos ne-
cesarios para cumplir los requisitos, se establecen en las funciones y niveles pertinentes de-
ntro de la organización. Los objetivos de seguridad deben ser medibles y coherentes con la
política de seguridad.
Esta Política de Seguridad puede adoptar formas diversas, todas ellas, igualmente válidas:
Documento en papel, manifestación en la Intranet de la Organización y, en general, cualquier
soporte que permita comprobar los aspectos recogidos en los apartados siguientes.
Objeto.
El objeto de la Política marca de manera fundamental todo el desarrollo posterior del cuerpo
normativo, la organización de la función y las actividades relacionadas con la seguridad, así
como, de manera muy clara, qué indicadores se utilizarán para medir la eficacia y eficiencia
de las medidas implantadas. Este objeto es la estrategia de la función de seguridad, por lo que
debería recoger cuál es su misión y su visión en el contexto de la estrategia global de la orga-
nización, aunque también podría adoptar otras formas (declaración de objetivos, etc.).
229
en el objeto que van a existir incidentes y que se realizará una gestión de los mismos que
permita minimizar su impacto en la consecución de los objetivos de la organización.
Ámbito o alcance.
La Política de Seguridad puede tener un alcance limitado en distintos ejes: geográficos (paí-
ses, regiones…), ámbitos de aplicación (físico, lógico…), organizativos (unidades, filiales…),
etc.
Lógicamente, cada organización puede decidir cuál es la mejor forma para organizarse y no
existen, a priori, modelos mejores o peores. En cualquier caso, para que la política de seguri-
dad sea relevante para el PSO debería incluir en su alcance los servicios esenciales y las IICC
operadas por la organización.
Los requisitos que existen en este sentido es que la(s) política(s) de seguridad debe(n) cubrir
exhaustivamente todas las instalaciones operadas por la organización incluyendo la protección
de las personas, los procesos y la tecnología (enfoque integral de la seguridad).
En relación con el alcance de la política, se debería prestar atención especial a aspectos tales
como los siguientes:
230
3.2. PLANIFICACIÓN.
Durante la planificación del PS, el Departamento de Seguridad debe determinar, cuando sea
apropiado, lo siguiente:
53
Un documento que especifique los procesos del Plan de Seguridad (incluyendo los procesos de realización del
producto) y los recursos que deben aplicarse a un producto, proyecto o contrato específico, que venimos deno-
minando como Manual.
231
Capítulo 4. Método de revisión y actualización.
La organización debe planificar e implementar los procesos de seguimiento, medición, análi-
sis y mejora necesarios para:
Esto debe comprender la determinación de los métodos aplicables, incluyendo las técnicas
estadísticas, y el alcance de su utilización.
La extensión de la documentación del sistema puede diferir de una organización a otra debido
al tamaño de la organización y el tipo de actividades; a la complejidad de los procesos y sus
interacciones, y a la competencia del personal.
La documentación del Plan de Seguridad (PS), que puede estar en cualquier formato o tipo de
medio, debe incluir:
54
Cuando aparezca el término “procedimiento documentado”, significa que el procedimiento se ha establecido,
documentado, implementado y mantenido.
232
o Asegurarse de que los documentos permanecen legibles y fácilmente identifi-
cables.
o Asegurarse de que se identifican los documentos de origen externo y se contro-
la su distribución.
o Prevenir el uso no intencionado de documentos obsoletos, y aplicarles una
identificación adecuada en el caso de que se mantengan por cualquier razón.
– Los registros requeridos. Los registros son un tipo especial de documento y deben
controlarse de acuerdo con los requisitos citados más adelante.
233
4.2. EJERCICIOS Y SIMULACROS.
La organización debe determinar, recopilar y analizar los datos apropiados para demostrar la
idoneidad y la eficacia del Plan de Seguridad y para evaluar dónde puede realizarse la mejora
continua de la eficacia del PS. Esto debe incluir los datos generados del resultado del segui-
miento y medición y de cualesquiera otras fuentes pertinentes, como pueden ser los simula-
cros.
Programa de revisión y actualización de toda la documentación que forma parte del Plan.
234
4.4. AUDITORÍAS E INSPECCIONES.
– Satisfacción del cliente/usuario. Como una de las medidas del desempeño del siste-
ma de gestión de la seguridad, la organización debe realizar el seguimiento de la in-
formación relativa a la percepción del cliente (interno, externo) con respecto al cum-
plimiento de sus requisitos por parte de la organización. Deben determinarse los
métodos para obtener y utilizar dicha información.
o Es conforme con las disposiciones planificadas, con los requisitos de esta nor-
ma internacional y con los requisitos del sistema de gestión de la seguridad es-
tablecidos por la organización.
o Se ha implementado y se mantiene de manera eficaz.
La dirección responsable del área que esté siendo auditada debe asegurarse de que se
toman acciones sin demora injustificada para eliminar las no conformidades, detecta-
das y sus causas. Las actividades de seguimiento deben incluir la verificación de las
acciones tomadas y el informe de los resultados de la verificación.
Estos métodos deben demostrar la capacidad de los procesos para alcanzar los resulta-
dos planificados. Cuando no se alcancen los resultados planificados, deben llevarse a
cabo correcciones y acciones correctivas, según sea conveniente, para asegurarse de la
conformidad del producto.
235
Debe mantenerse evidencia de la conformidad con los criterios de aceptación. Los re-
gistros deben indicar la(s) persona(s) que autoriza(n) la liberación del producto.
La liberación del producto y la prestación del servicio no deben llevarse a cabo hasta
que se hayan completado satisfactoriamente las disposiciones planificadas, a menos
que sean aprobados de otra manera por una autoridad pertinente y, cuando correspon-
da, por el cliente.
La organización debe tratar los productos no conforme mediante una o más de las si-
guientes maneras:
55
Es el caso de una prestación de servicio de vigilancia por personal no habilitado con TIP. Si el Departamento
de Seguridad es conocedor de la situación, está aceptando (liberando) el servicio.
236
Mejora.
237
Capítulo 5. Marco de gobierno. Organización de la seguridad.
El alumno debe asegurarse de que las responsabilidades y autoridades están definidas (Direc-
tor de Seguridad, Departamento de Seguridad) y son comunicadas dentro de la organización
(organigrama).
Es decir: justificar la existencia del departamento de seguridad (y por ende, del Director
de Seguridad) según alguno de los supuestos que contemplan las distintas normativas y/o
actividades de la organización.
238
5.4. DIRECTOR DEL PLAN DE AUTOPROTECCIÓN Y/O DIRECTOR
DEL PLAN DE ACTUACIÓN EN EMERGENCIA, CASO DE SER
DISTINTOS (DEL DIRECTOR DE SEGURIDAD).
Coordinación con otros Departamentos. Integración del Plan de Seguridad en otros de ámbito
superior (FFCCSS, Protección Civil, etc.).
A continuación, se debería recoger para cada uno de ellos, tanto el mecanismo de comunica-
ción principal como el secundario para casos de contingencias (canales que deberían ser pro-
bados periódicamente, como es lógico).
Asimismo, se deberían reflejar también las reuniones, comités, protocolos y cualquier otro
mecanismo que se emplee para la coordinación con dichos organismos / roles, así como los
procedimientos de actuación previstos ante las distintas situaciones críticas o extraordinarias
con el objetivo de minimizar el impacto de estas eventualidades.
El plan de formación y concienciación aportado por el alumno debería estar alineado con el
objeto de la Política de Seguridad.
239
ción de los servicios, tanto directa como indirectamente, y con independencia de que
se trate de personal propio o subcontratado.
– Medios - Mensajes. Para cada uno de los públicos objetivos anteriormente identifica-
dos, se debería reflejar el mensaje que se le desea transmitir, así como el medio que se
utilizará para hacérselo llegar (formaciones presenciales, vídeos, cursos online, boleti-
nes periódicos, sección específica en la Intranet, campañas de comunicación inter-
na…).
– Seguimiento. Es decir, los mecanismos de evaluación que se utilizarían para compro-
bar que las acciones que se han emprendido contribuyen a la consecución de los obje-
tivos marcados por el plan (como, por ejemplo, métricas de adecuación y aprovecha-
miento, política de firma de los asistentes, celebración de pruebas de aprovechamien-
to, etc.). Asimismo, se podría incluir quién se encarga de recoger la información, la
metodología que utilizará, la periodicidad de las acciones, así como las acciones co-
rrectivas previstas.
– Actualización. Como todo plan, el Plan de Formación y Concienciación tiene una du-
ración temporal, por lo que debería ser actualizado periódicamente para revisar sus
objetivos, mensajes, etc. El Plan debería incluir el procedimiento de revisión utilizado:
responsable, elementos a revisar y mecanismo de aprobación y publicación y difusión
de los cambios al mismo.
240
Capítulo 6. Inventario, análisis y evaluación de riesgos.
El alumno debe contar con al menos una metodología de análisis de riesgos que permita iden-
tificar y gestionar los principales riesgos a los que se encuentran expuestos los servicios deri-
vados de cada instalación.
Identificación de activos.
Identificación de amenazas.
Ante cada posible amenaza que se considere, se debería establecer una escala de probabilidad
de ocurrencia, a efectos de realizar el posterior análisis (ya sea este cualitativo o cuantitativo).
241
6.3. ANÁLISIS DE RIESGOS.
Cualquiera de las metodologías internacionalmente reconocidas que los alumnos quieran uti-
lizar para la identificación y posterior gestión de sus riesgos debería tomar en consideración,
al menos, las fases incluidas en los apartados estudiados.
Un aspecto fundamental de las metodologías de análisis de riesgos es que los distintos valores
que se utilizan y las estimaciones de los diferentes parámetros (probabilidad, magnitud, exten-
sión…) sean repetibles y con un mismo criterio a lo largo del tiempo para poder obtener valo-
res comparables.
Para cumplir con este objetivo, sería necesario estimar el impacto potencial que provocaría la
materialización de cada amenaza sobre los activos identificados por el alumno. El impacto
potencial mide el posible daño, independientemente de que sea más o menos probable. Sim-
plemente, se determina si es posible.
Inventario y descripción de las medidas y medios propuestos que eliminen o minimicen los
riesgos. Desarrollo y características del tipo de instalación general elegida. Componentes y
necesidades de la implantación de la instalación del edificio. Normativa aplicada en su elec-
ción e implantación.
242
Este capítulo se desarrollará mediante documentación escrita y se acompañará (al menos para
los medios de autoprotección; se recomienda para todas las medidas de seguridad) la docu-
mentación gráfica siguiente:
Los riesgos resultantes de la aplicación de estas medidas de control determinarán los riesgos
residuales a los que está expuesto cada instalación.
Como buenas prácticas para la aplicación de medidas de seguridad integral, el alumno puede
seleccionar las medidas de seguridad a implementar, por ejemplo, entre los estándares de se-
guridad reconocidos internacionalmente y en la legislación específica aplicable a su sector o
con carácter general.
Recursos humanos.
243
Infraestructura.
Ambiente de trabajo.
56
En este aspecto incluiríamos medios de seguridad pasiva, medios de seguridad activa.
244
Capítulo 7. Mantenimiento del inventario de activos / elementos de la
instalación.
Inventario y descripción de las medidas y medios, humanos y materiales, que dispone la enti-
dad para controlar los riesgos detectados, enfrentar las situaciones de emergencia y facilitar la
intervención de los Servicios Externos de Emergencias o de Seguridad Pública.
Debería prestarse atención a tres tipos de recursos con los cuales se debe actuar: recursos
humanos, infraestructura, y ambiente de trabajo.
245
Capítulo 8. Plan de actuación ante incidencias de seguridad.
Identificación y funciones de las personas y equipos que llevarán a cabo los procedimientos
de actuación en incidencias de seguridad (seguridad privada) y en emergencias (fuego).
Identificación del responsable de la puesta en marcha del Plan de Actuación ante incidencias
de seguridad (privada) y emergencias (fuego).
246
Capítulo 9. Implantación del Plan de Seguridad.
Comprende:
Usuarios o clientes son ‘partes interesadas’ (lo que en calidad denominamos ‘stakeholders’),
pudiendo definirlos, por tanto, como: “cualquier persona o entidad que es afectada o concer-
nida por las actividades o la marcha de una organización; por ejemplo, los trabajadores de esa
organización, sus accionistas, las asociaciones de vecinos afectadas o ligadas, los sindicatos,
las organizaciones civiles y gubernamentales que se encuentren vinculadas, etc.”
247
9.5. PROGRAMA DE DOTACIÓN Y ADECUACIÓN DE MEDIOS
MATERIALES Y RECURSOS.
248
Anexos.
– Planos (o croquis) descriptivos de todas las plantas de los edificios, de las instalacio-
nes y de las áreas donde se realiza la actividad.
– Planos (o croquis) de ubicación por plantas de todos los elementos y/o instalaciones de
riesgo, tanto los propios como los del entorno.
249