Anexo A

Anexo A. Modelo de Plan de Seguridad.

Con el presente documento se pretende orientar al alumno en la elaboración de un Plan de
Seguridad, desarrollando el modelo planteado en el tema 15 (15.2.3. Guion para la elabora-
ción de un Plan de Seguridad), para mejor comprensión del alumno y con el objeto de facili-
tarle la elaboración del proyecto final del curso.

Capítulo 0. Objetivo del Plan de Seguridad.

Desarrollar la motivación de la confección del Plan de Seguridad: obligación normativa,
mandato empresarial, etc.

Con el presente documento se pretende dar cumplimiento a las instrucciones del Curso
Superior de Dirección y Gestión de la Seguridad, estableciendo los contenidos míni-
mos sobre los que se debe de apoyar el alumno a la hora del diseño y elaboración de su
Plan de Seguridad.

Capítulo 1. Introducción.
Si es necesario definir términos y conceptos para mayor comprensión de destinatarios no es-
pecializados, se hará en este apartado.

1.1. RELACIÓN DE ACTIVIDADES PRESTADAS POR LA

ORGANIZACIÓN.

Se pretende una descripción detallada de la actividad y del medio físico en el que se desarro-
lla. Igualmente, descripción del centro o establecimiento, dependencias e instalaciones donde
se desarrollen las actividades objeto del plan.

El principal objetivo es que el alumno pueda realizar una presentación y breve descripción de
la compañía o grupo al que pertenece la organización, pudiendo tenerse en cuenta aspectos
como:

– Razón Social y matriz.

– Desglose de la estructura societaria.

225
 – Desglose de la composición accionarial y grado de participación.
– Sedes principales y ubicación geográfica.
– Sector/es al que pertenece en función de la actividad desarrollada.
– Subsector/es para cada actividad desarrollada.
– Actividad desarrollada.
– Proveedores necesarios para la prestación de los servicios identificados (incluyendo
información como, por ejemplo, nombre de los proveedores y tipo de suministros
prestados).
– Clientes finales de los servicios prestados identificado/s (incluyendo información co-
mo, por ejemplo, países, administraciones, empresas, particulares, etc.).
– Descripción detallada de la actividad y del medio físico en el que se desarrolla.
– Denominación de la actividad, nombre y/o marca.
– Identificación de los titulares de la actividad.
– Nombre y/o Razón Social.
– Dirección postal, teléfono y fax.
– Dirección web, correo electrónico.

Se debería realizar una descripción del procedimiento de mantenimiento del inventario de los
servicios identificados como consecuencia de la evolución normal que cualquier empresa ex-
perimenta respecto a los servicios que ofrece. Se deberían describir las formas y procedimien-
tos de identificación, mantenimiento, revisión y actualización, así como el órgano responsable
encargado de los mismos. En dicho mantenimiento se debería tener en cuenta al menos:

– El ajuste de cartera de servicios, fusiones, adquisiciones, ventas de activos...

– La internalización de procesos operativos.

1.2. DESCRIPCIÓN DE LAS INSTALACIONES DE LA

ORGANIZACIÓN.

Descripción del centro o establecimiento, dependencias e instalaciones donde se desarrollen

las actividades objeto del plan.

– Dirección Postal del emplazamiento de la actividad. Denominación de la actividad,

nombre y/o marca. Teléfono y fax.
– Descripción del entorno urbano, industrial o natural en el que figuren los edificios,
instalaciones y áreas donde se desarrolla la actividad.
– Descripción de los accesos. Condiciones de accesibilidad para la ayuda externa.
– Identificación de los titulares de la actividad. Nombre y/o Razón Social. Dirección
postal, teléfono y fax.

226
1.3. ACTIVOS / ELEMENTOS DE LA INSTALACIÓN.

– Descripción y localización de los elementos, instalaciones, procesos de producción,

etc.
– Descripción del entorno urbano, industrial o natural en el que figuren los edificios,
instalaciones y áreas donde se desarrolla la actividad. Identificación de los titulares y
del emplazamiento de la actividad.
– Dirección postal del emplazamiento de la actividad.
– Descripción de los accesos.
– Condiciones de accesibilidad para la ayuda externa.
– Teléfono y fax.
– Dirección web, correo electrónico.

Igualmente:

Identificación, cuantificación y tipología de las personas tanto afectas a la actividad como

ajenas a la misma que tengan acceso a los edificios, instalaciones y áreas donde se desarrolla
la actividad.

1.4. CLASIFICACIÓN Y DESCRIPCIÓN DE USUARIOS.

Clasificación y descripción de usuarios: trabajadores, usuarios, clientes, visitantes, aforos,

horarios de ocupación, turnos, etc.

227
Capítulo 2. Base legal de aplicación (relación).
El alumno recogerá en una breve referencia toda aquella normativa y buenas prácticas que
regulen el buen funcionamiento de los servicios prestados por todas y cada una de sus instala-
ciones, así como los motivos por los cuáles les son de aplicación.

Las normativas a incluir comprenden tanto las de rango nacional, autonómico, europeo e in-
ternacional, como las sectoriales, relativas a:

– Seguridad Física.
– Seguridad Lógica.
– Seguridad de la Información en cualquiera de sus ámbitos.
– Seguridad Ambiental.
– Autoprotección y Prevención de Riesgos Laborales.

2.1. NORMATIVA O REGLAMENTACIÓN SECTORIAL O POR

ACTIVIDAD DE LA INSTALACIÓN A APLICAR.

– Relación de la normativa o reglamentación sectorial o por actividad de la instalación a

aplicar.
– Normativa o reglamentación sectorial o por actividad de la instalación a aplicar según
R.D. 393/2007.
– Normativa o reglamentación sectorial o por actividad de la instalación a aplicar según
Código Técnico de la Edificación - DB SI: Seguridad en caso de incendio.

2.2. NORMATIVA DE SEGURIDAD PRIVADA A APLICAR.

– Relación de la normativa de seguridad privada a aplicar.

2.3. OTRAS NORMATIVAS DE APLICACIÓN.

– Relación de otras normativas de aplicación:

o Obligatorias.
o Voluntarias.

228
Capítulo 3. Finalidad, objetivos y contenido del Plan. Política de seguri-
dad.
La alta dirección debe asegurarse de que los objetivos de seguridad, incluyendo aquéllos ne-
cesarios para cumplir los requisitos, se establecen en las funciones y niveles pertinentes de-
ntro de la organización. Los objetivos de seguridad deben ser medibles y coherentes con la
política de seguridad.

3.1. POLÍTICA GENERAL DE SEGURIDAD DE LA ORGANIZACIÓN.

El Plan de Seguridad definirá la política general de la organización para garantizar la seguri-

dad integral del conjunto de instalaciones o sistemas de su propiedad o gestión.

El marco normativo de cualquier organización estará compuesto, habitualmente, por un con-

junto de políticas de alto nivel, normas o estándares de desarrollo y procedimientos operativos
o instrucciones de trabajo. La Política de Seguridad a la que se refiere este punto se trata del
documento de mayor nivel de este conjunto mencionado que debería reunir una serie de re-
quisitos que detallaremos a continuación:

– Es adecuada al propósito de la organización;

– incluye un compromiso de cumplir con los requisitos y de mejorar continuamente la
eficacia del sistema de gestión (Plan de Seguridad);
– proporciona un marco de referencia para establecer y revisar los objetivos de seguri-
dad;
– es comunicada y entendida dentro de la organización; y
– es revisada para su continua adecuación.

Esta Política de Seguridad puede adoptar formas diversas, todas ellas, igualmente válidas:
Documento en papel, manifestación en la Intranet de la Organización y, en general, cualquier
soporte que permita comprobar los aspectos recogidos en los apartados siguientes.

Objeto.

El objeto de la Política marca de manera fundamental todo el desarrollo posterior del cuerpo
normativo, la organización de la función y las actividades relacionadas con la seguridad, así
como, de manera muy clara, qué indicadores se utilizarán para medir la eficacia y eficiencia
de las medidas implantadas. Este objeto es la estrategia de la función de seguridad, por lo que
debería recoger cuál es su misión y su visión en el contexto de la estrategia global de la orga-
nización, aunque también podría adoptar otras formas (declaración de objetivos, etc.).

Normalmente, la estrategia de seguridad reflejará la intención de la organización de cumplir

sus objetivos a largo plazo minimizando los riesgos, cumpliendo las normas de seguridad que
le sean aplicables y previniendo y anticipando los incidentes que pudieran afectar a dichos
objetivos organizativos. Dado que la seguridad absoluta no es factible, es lógico que se asuma

229
en el objeto que van a existir incidentes y que se realizará una gestión de los mismos que
permita minimizar su impacto en la consecución de los objetivos de la organización.

El objeto de la política debería resaltar la protección de la organización especialmente frente a

ataques deliberados. Dado que este tipo de amenazas presentan un perfil de baja probabilidad
y alto impacto, su protección no responde a los parámetros habituales de eficacia y eficiencia.
Por lo tanto, se debería recoger en esta política para la protección de la organización qué crite-
rios se aplicarán para responder adecuadamente a la materialización de estas amenazas de alto
impacto de forma que se minimice el daño sobre las personas, el medio o el servicio que se
provee.

Ámbito o alcance.

La Política de Seguridad puede tener un alcance limitado en distintos ejes: geográficos (paí-
ses, regiones…), ámbitos de aplicación (físico, lógico…), organizativos (unidades, filiales…),
etc.

Lógicamente, cada organización puede decidir cuál es la mejor forma para organizarse y no
existen, a priori, modelos mejores o peores. En cualquier caso, para que la política de seguri-
dad sea relevante para el PSO debería incluir en su alcance los servicios esenciales y las IICC
operadas por la organización.

Los requisitos que existen en este sentido es que la(s) política(s) de seguridad debe(n) cubrir
exhaustivamente todas las instalaciones operadas por la organización incluyendo la protección
de las personas, los procesos y la tecnología (enfoque integral de la seguridad).

En relación con el alcance de la política, se debería prestar atención especial a aspectos tales
como los siguientes:

– Consideración integral de la seguridad incluyendo los aspectos lógicos y físicos.

– Inclusión, tanto de los sistemas de información TIC de gestión, como de los sistemas
de información para el control de los procesos industriales.
– Aplicación a los servicios y a las localizaciones y ubicaciones consideradas.
– Inclusión de las relaciones de dependencia como, por ejemplo, las empresas filiales
que operen los servicios de la organización.

230
3.2. PLANIFICACIÓN.

Durante la planificación del PS, el Departamento de Seguridad debe determinar, cuando sea
apropiado, lo siguiente:

– Objetivos de seguridad (consensuados o establecidos por la alta dirección) y los re-

quisitos para obtenerla.

La organización debe asegurarse de que los objetivos de seguridad, incluyendo aqué-

llos necesarios para cumplir los requisitos para el producto/servicio, se establecen en
las funciones y niveles pertinentes dentro de la organización. Los objetivos de seguri-
dad deben ser medibles y coherentes con la política de seguridad.

– Planificación del Plan de Seguridad (PS). La organización debe asegurarse de:

o La planificación del sistema de gestión de la seguridad se realiza con el fin de

cumplir los requisitos citados, así como los objetivos de la seguridad.
o Se mantiene la integridad del sistema de gestión de la seguridad cuando se pla-
nifican e implementan cambios de éste.
o La necesidad de establecer procesos, documentos y de proporcionar recursos
específicos para la seguridad.
o Las actividades requeridas de verificación, validación, seguimiento, inspección
y ensayo o prueba específicas para la seguridad así como los criterios para la
aceptación de la misma.
o Los registros que sean necesarios para proporcionar evidencia de que los pro-
cesos de realización y la seguridad resultante cumplen los requisitos.

El resultado de esta planificación debe presentarse de forma adecuada 53 para la metodología

de operación de la organización.

53
Un documento que especifique los procesos del Plan de Seguridad (incluyendo los procesos de realización del
producto) y los recursos que deben aplicarse a un producto, proyecto o contrato específico, que venimos deno-
minando como Manual.

231
Capítulo 4. Método de revisión y actualización.
La organización debe planificar e implementar los procesos de seguimiento, medición, análi-
sis y mejora necesarios para:

– Demostrar la conformidad del producto/servicio prestado.

– Asegurarse de la conformidad del sistema de gestión de la seguridad.
– Mejorar continuamente la eficacia del sistema de gestión de la seguridad.

Esto debe comprender la determinación de los métodos aplicables, incluyendo las técnicas
estadísticas, y el alcance de su utilización.

La extensión de la documentación del sistema puede diferir de una organización a otra debido
al tamaño de la organización y el tipo de actividades; a la complejidad de los procesos y sus
interacciones, y a la competencia del personal.

La documentación del Plan de Seguridad (PS), que puede estar en cualquier formato o tipo de
medio, debe incluir:

– Declaraciones documentadas de una política de seguridad y de objetivos de seguri-

dad.

– Un manual del PS. La organización debe establecer y mantener un manual de la cali-

dad que incluya:

o El alcance del sistema, incluyendo los detalles y la justificación de cualquier

exclusión.
o Los procedimientos documentados 54 requeridos en esta norma internacional,
o referencia a los mismos.
o Una descripción de la interacción entre los procesos del sistema de gestión de
la seguridad.

– Los documentos necesitados por la organización para asegurarse de la eficaz plani-

ficación, operación y control de sus procesos. Los documentos requeridos por el sis-
tema deben controlarse. Debe establecerse un procedimiento documentado que defina
los controles necesarios para:

o Aprobar los documentos en cuanto a su adecuación antes de su emisión.

o Revisar y actualizar los documentos cuando sea necesario y aprobarlos nueva-
mente.
o Asegurarse de que se identifican los cambios y el estado de revisión actual de
los documentos.
o Asegurarse de que las versiones pertinentes de los documentos aplicables se
encuentran disponibles en los puntos de uso.

54
Cuando aparezca el término “procedimiento documentado”, significa que el procedimiento se ha establecido,
documentado, implementado y mantenido.

232
 o Asegurarse de que los documentos permanecen legibles y fácilmente identifi-
cables.
o Asegurarse de que se identifican los documentos de origen externo y se contro-
la su distribución.
o Prevenir el uso no intencionado de documentos obsoletos, y aplicarles una
identificación adecuada en el caso de que se mantengan por cualquier razón.

– Los registros requeridos. Los registros son un tipo especial de documento y deben
controlarse de acuerdo con los requisitos citados más adelante.

Los registros deben establecerse y mantenerse para proporcionar evidencia de la con-

formidad con los requisitos así como de la operación eficaz del sistema de gestión de
la seguridad.

Los registros deben permanecer legibles, fácilmente identificables y recuperables. De-

be establecerse un procedimiento documentado para definir los controles necesarios
para la identificación, el almacenamiento, la protección, la recuperación, el tiempo de
retención y la disposición de los registros.

4.1. DESCRIPCIÓN DE LA METODOLOGÍA Y PERIODICIDAD DE

REVISIÓN Y/O ACTUALIZACIÓN DEL PLAN DE SEGURIDAD.

– Generalidades. La organización debe, a intervalos planificados, revisar el sistema de

gestión de seguridad de la organización, para asegurarse de su conveniencia, adecua-
ción y eficacia continuas.

La revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad

de efectuar cambios en el sistema de gestión, incluyendo la política de seguridad y los
objetivos de seguridad. Deben mantenerse registros de las revisiones por la organi-
zación.

– Información para la revisión. La información de entrada para la revisión por la di-

rección debe incluir:
o Resultados de auditorías.
o Retroalimentación del cliente/usuario.
o Desempeño de los procesos y conformidad del producto o servicio.
o Estado de las acciones correctivas y preventivas,
o Acciones de seguimiento de revisiones por la dirección previas.
o Cambios que podrían afectar al sistema de gestión de la seguridad.
o Recomendaciones para la mejora.

– Resultados de la revisión. Los resultados de la revisión por la dirección deben incluir

todas las decisiones y acciones relacionadas con:
o La mejora de la eficacia del Plan de Seguridad y sus procesos.
o La mejora del producto en relación con los requisitos legales y/o del cliente.
o Las necesidades de recursos.

233
4.2. EJERCICIOS Y SIMULACROS.

Programa de ejercicios y simulacros.

La organización debe determinar, recopilar y analizar los datos apropiados para demostrar la
idoneidad y la eficacia del Plan de Seguridad y para evaluar dónde puede realizarse la mejora
continua de la eficacia del PS. Esto debe incluir los datos generados del resultado del segui-
miento y medición y de cualesquiera otras fuentes pertinentes, como pueden ser los simula-
cros.

El análisis de datos debe proporcionar información sobre:

– La satisfacción del cliente (interno, externo).

– La conformidad con los requisitos del producto/servicio.
– Las características y tendencias de los procesos y de los productos/servicios, incluyen-
do las oportunidades para llevar a cabo acciones preventivas.
– Los proveedores (empresas de seguridad privada, fabricantes).

4.3. REVISIÓN Y ACTUALIZACIÓN DE TODA LA

DOCUMENTACIÓN QUE FORMA PARTE DEL PLAN.

Programa de revisión y actualización de toda la documentación que forma parte del Plan.

234
4.4. AUDITORÍAS E INSPECCIONES.

– Satisfacción del cliente/usuario. Como una de las medidas del desempeño del siste-
ma de gestión de la seguridad, la organización debe realizar el seguimiento de la in-
formación relativa a la percepción del cliente (interno, externo) con respecto al cum-
plimiento de sus requisitos por parte de la organización. Deben determinarse los
métodos para obtener y utilizar dicha información.

– Auditoría interna. La organización debe llevar a cabo a intervalos planificados audi-

torías internas para determinar si el sistema de gestión de la seguridad:

o Es conforme con las disposiciones planificadas, con los requisitos de esta nor-
ma internacional y con los requisitos del sistema de gestión de la seguridad es-
tablecidos por la organización.
o Se ha implementado y se mantiene de manera eficaz.

Se debe planificar un programa de auditorías tomando en consideración el estado y la

importancia de los procesos y las áreas a auditar, así como los resultados de auditorías
previas. Se deben definir los criterios de auditoría, el alcance de la misma, su frecuen-
cia y metodología. La selección de los auditores y la realización de las auditorías de-
ben asegurar la objetividad e imparcialidad del proceso de auditoría. Los auditores no
deben auditar su propio trabajo.

Deben definirse, en un procedimiento documentado, las responsabilidades y requisitos

para la planificación y la realización de auditorías, para informar de los resultados y
para mantener los registros.

La dirección responsable del área que esté siendo auditada debe asegurarse de que se
toman acciones sin demora injustificada para eliminar las no conformidades, detecta-
das y sus causas. Las actividades de seguimiento deben incluir la verificación de las
acciones tomadas y el informe de los resultados de la verificación.

– Seguimiento y medición de los procesos. La organización debe aplicar métodos

apropiados para el seguimiento, y cuando sea aplicable, la medición de los procesos
del sistema de gestión de la seguridad.

Estos métodos deben demostrar la capacidad de los procesos para alcanzar los resulta-
dos planificados. Cuando no se alcancen los resultados planificados, deben llevarse a
cabo correcciones y acciones correctivas, según sea conveniente, para asegurarse de la
conformidad del producto.

– Seguimiento y medición del producto/servicio. La organización debe medir y hacer

un seguimiento de las características del producto para verificar que se cumplen los
requisitos del mismo. Esto debe realizarse en las etapas apropiadas del proceso de rea-
lización del producto de acuerdo con las disposiciones planificadas.

235
 Debe mantenerse evidencia de la conformidad con los criterios de aceptación. Los re-
gistros deben indicar la(s) persona(s) que autoriza(n) la liberación del producto.

La liberación del producto y la prestación del servicio no deben llevarse a cabo hasta
que se hayan completado satisfactoriamente las disposiciones planificadas, a menos
que sean aprobados de otra manera por una autoridad pertinente y, cuando correspon-
da, por el cliente.

Control del producto/servicio no conforme.

– Control del producto/servicio no conforme. La organización debe asegurarse de que

el producto que no sea conforme con los requisitos, se identifica y controla para pre-
venir su uso o entrega no intencional. Los controles, las responsabilidades y autorida-
des relacionadas con el tratamiento del producto no conforme deben estar definidos en
un procedimiento documentado.

La organización debe tratar los productos no conforme mediante una o más de las si-
guientes maneras:

o Tomando acciones para eliminar la no conformidad detectada.

o Autorizando su uso, liberación o aceptación bajo concesión por una autoridad
pertinente y, cuando sea aplicable, por el cliente 55.
o Tomando acciones para impedir su uso o aplicación originalmente previsto.

Se deben mantener registros de la naturaleza de las no conformidades y de cualquier

acción tomada posteriormente, incluyendo las concesiones que se hayan obtenido.

Cuando se corrige un producto/servicio no conforme, debe someterse a una nueva ve-

rificación para demostrar su conformidad con los requisitos.

Cuando se detecta un producto/servicio no conforme después de la entrega o cuando

ha comenzado su uso, la organización debe tomar las acciones apropiadas respecto a
los efectos, o efectos potenciales, de la no conformidad.

55
Es el caso de una prestación de servicio de vigilancia por personal no habilitado con TIP. Si el Departamento
de Seguridad es conocedor de la situación, está aceptando (liberando) el servicio.

236
Mejora.

– Mejora continua. El Departamento de Seguridad debe mejorar continuamente la efi-

cacia del sistema de gestión de la seguridad mediante el uso de la política de seguri-
dad, los objetivos de seguridad, los resultados de las auditorías, el análisis de datos, las
acciones correctivas y preventivas y la revisión por la alta dirección.

– Acción correctiva. El Departamento de Seguridad debe tomar acciones para eliminar

la causa de no conformidades con objeto de prevenir que vuelva a ocurrir. Las accio-
nes correctivas deben ser apropiadas a los efectos de las no conformidades encontra-
das.

Debe establecerse un procedimiento documentado para definir los requisitos para:

o Revisar las no conformidades (incluyendo las quejas de los clientes).

o Determinar las causas de las no conformidades.
o Evaluar la necesidad de adoptar acciones para asegurarse de que las no con-
formidades no vuelvan a ocurrir.
o Determinar e implementar las acciones necesarias.
o Registrar los resultados de las acciones tomadas.
o Revisar las acciones correctivas tomadas.

– Acción preventiva. El Departamento de Seguridad debe determinar acciones para

eliminar las causas de no conformidades potenciales para prevenir su ocurrencia. Las
acciones preventivas deben ser apropiadas a los efectos de los problemas potenciales.

Debe establecerse un procedimiento documentado para definir los requisitos para:

o Determinar las no conformidades potenciales y sus causas.

o Evaluar la necesidad de actuar para prevenir la ocurrencia de no conformida-
des.
o Determinar e implementar las acciones necesarias.
o Registrar los resultados de las acciones tomadas.
o Revisar las acciones preventivas tomadas.

237
Capítulo 5. Marco de gobierno. Organización de la seguridad.

5.1. ORGANIZACIÓN DE LA SEGURIDAD. DEPARTAMENTO DE

SEGURIDAD.

El alumno debe asegurarse de que las responsabilidades y autoridades están definidas (Direc-
tor de Seguridad, Departamento de Seguridad) y son comunicadas dentro de la organización
(organigrama).

– Organigrama funcional y jerárquico del Departamento de Seguridad.

La organización deberá formalizar los nombramientos del responsable y delegado/s de segu-

ridad de acuerdo a sus procedimientos internos. La función de seguridad, en particular, deber-
ía permitir dar cobertura de manera transversal a toda la organización, para que se puedan
cumplir los requerimientos establecidos.

5.2. JUSTIFICACIÓN LEGAL O NORMATIVA DEL DEPARTAMENTO

DE SEGURIDAD Y/O DIRECTOR DE SEGURIDAD.

El alumno debe aportar la información solicitada en este apartado.

Es decir: justificar la existencia del departamento de seguridad (y por ende, del Director
de Seguridad) según alguno de los supuestos que contemplan las distintas normativas y/o
actividades de la organización.

5.3. DIRECTOR DE SEGURIDAD DE LA ORGANIZACIÓN.

La organización debe designar un miembro de la dirección (Director de Seguridad) quien, con

independencia de otras responsabilidades, debe tener la responsabilidad y autoridad que in-
cluya:

– Asegurarse de que se establecen, implementan y mantienen los procesos necesarios

para el sistema de la gestión de la seguridad;
– informar a la alta dirección sobre el desempeño del sistema de gestión de la seguridad
y de cualquier necesidad de mejora;
– Asegurarse de que se promueva la toma de conciencia de los requisitos del usua-
rio/cliente en todos los niveles de la organización.

El alumno debe contemplar la delegación de funciones y/o el nombramiento de delegados de

seguridad (en el caso de infraestructuras críticas).

238
5.4. DIRECTOR DEL PLAN DE AUTOPROTECCIÓN Y/O DIRECTOR
DEL PLAN DE ACTUACIÓN EN EMERGENCIA, CASO DE SER
DISTINTOS (DEL DIRECTOR DE SEGURIDAD).

Identificación de las personas.

5.5. MECANISMOS DE COORDINACIÓN.

Coordinación con otros Departamentos. Integración del Plan de Seguridad en otros de ámbito
superior (FFCCSS, Protección Civil, etc.).

Para clarificar los mecanismos de coordinación establecidos en relación a la instala-

ción/organización conforme a lo establecido en el Plan de Seguridad, se recomienda identifi-
car, en primer lugar, todos aquellos interlocutores con los que se debe establecer relación en el
ámbito de la protección de la organización, tanto dentro como fuera de la propia instalación.

A continuación, se debería recoger para cada uno de ellos, tanto el mecanismo de comunica-
ción principal como el secundario para casos de contingencias (canales que deberían ser pro-
bados periódicamente, como es lógico).

Asimismo, se deberían reflejar también las reuniones, comités, protocolos y cualquier otro
mecanismo que se emplee para la coordinación con dichos organismos / roles, así como los
procedimientos de actuación previstos ante las distintas situaciones críticas o extraordinarias
con el objetivo de minimizar el impacto de estas eventualidades.

Finalmente, sería conveniente desarrollar planes de comunicación para mantener informados

de las novedades a cada uno de los niveles de responsabilidad y funcionalidad entre los distin-
tos actores.

5.6. FORMACIÓN Y CONCIENCIACIÓN.

El plan de formación y concienciación aportado por el alumno debería estar alineado con el
objeto de la Política de Seguridad.

Dicho plan, deberá recoger la información solicitada además de la información habitual de

cualquier plan de este tipo:

– Duración. Normalmente los planes de formación y concienciación se realizan a lo lar-

go de períodos plurianuales.
– Objetivos. Es decir, las mejoras en la capacitación y concienciación que se persigue
obtener con la ejecución del plan.
– Público objetivo. Clasificación y segmentación de la audiencia a la que se dirige el
plan. En este punto sería importante considerar los colectivos implicados en la protec-

239
 ción de los servicios, tanto directa como indirectamente, y con independencia de que
se trate de personal propio o subcontratado.
– Medios - Mensajes. Para cada uno de los públicos objetivos anteriormente identifica-
dos, se debería reflejar el mensaje que se le desea transmitir, así como el medio que se
utilizará para hacérselo llegar (formaciones presenciales, vídeos, cursos online, boleti-
nes periódicos, sección específica en la Intranet, campañas de comunicación inter-
na…).
– Seguimiento. Es decir, los mecanismos de evaluación que se utilizarían para compro-
bar que las acciones que se han emprendido contribuyen a la consecución de los obje-
tivos marcados por el plan (como, por ejemplo, métricas de adecuación y aprovecha-
miento, política de firma de los asistentes, celebración de pruebas de aprovechamien-
to, etc.). Asimismo, se podría incluir quién se encarga de recoger la información, la
metodología que utilizará, la periodicidad de las acciones, así como las acciones co-
rrectivas previstas.
– Actualización. Como todo plan, el Plan de Formación y Concienciación tiene una du-
ración temporal, por lo que debería ser actualizado periódicamente para revisar sus
objetivos, mensajes, etc. El Plan debería incluir el procedimiento de revisión utilizado:
responsable, elementos a revisar y mecanismo de aprobación y publicación y difusión
de los cambios al mismo.

240
Capítulo 6. Inventario, análisis y evaluación de riesgos.
El alumno debe contar con al menos una metodología de análisis de riesgos que permita iden-
tificar y gestionar los principales riesgos a los que se encuentran expuestos los servicios deri-
vados de cada instalación.

6.1. INVENTARIO DE RIESGOS.

Identificación de activos.

Descripción y localización de los elementos, instalaciones, procesos de producción, etc. que

puedan dar origen a una situación de riesgo o incidir de manera desfavorable en el desarrollo
del mismo.

El nivel de detalle debería cubrir, al menos, lo siguiente:

– Servicios prestados; pudiéndose agrupar por clases uniformes a efectos de impacto en

terceros.
– Instalaciones físicas, en particular edificios, recintos y canalizaciones susceptibles de
ataques o incidentes.
– Equipos de personas.

La valoración de los activos estriba, principalmente, en la estimación de las consecuencias

derivadas de la interrupción del servicio.

Identificación de amenazas.

A partir del listado de activos identificados, se debería realizar la identificación de amenazas

que pudieran llegar a afectar a estos activos con el fin de tratar de cubrir el mayor número de
potenciales situaciones de riesgo.

Ante cada posible amenaza que se considere, se debería establecer una escala de probabilidad
de ocurrencia, a efectos de realizar el posterior análisis (ya sea este cualitativo o cuantitativo).

6.2. MEDIDAS DE SEGURIDAD EXISTENTES.

Relación de las medidas de seguridad existentes previas al análisis de riesgos: medidas y

los medios, humanos y materiales, disponibles en aplicación de disposiciones específicas en
materia de seguridad.

241
6.3. ANÁLISIS DE RIESGOS.

Cualquiera de las metodologías internacionalmente reconocidas que los alumnos quieran uti-
lizar para la identificación y posterior gestión de sus riesgos debería tomar en consideración,
al menos, las fases incluidas en los apartados estudiados.

Un aspecto fundamental de las metodologías de análisis de riesgos es que los distintos valores
que se utilizan y las estimaciones de los diferentes parámetros (probabilidad, magnitud, exten-
sión…) sean repetibles y con un mismo criterio a lo largo del tiempo para poder obtener valo-
res comparables.

6.4. EVALUACIÓN DE RIESGOS.

El objetivo de esta actividad es la identificación de las combinaciones de activos y amenazas

que puedan afectar la prestación de los servicios críticos, precisándose dichas consecuencias,
en general y especialmente sobre la disponibilidad de los servicios.

Para cumplir con este objetivo, sería necesario estimar el impacto potencial que provocaría la
materialización de cada amenaza sobre los activos identificados por el alumno. El impacto
potencial mide el posible daño, independientemente de que sea más o menos probable. Sim-
plemente, se determina si es posible.

De la totalidad de riesgos potenciales que se hayan identificado, será necesario proceder a la

gestión de los mismos. Dicha gestión consiste en la identificación de las medidas de seguridad
que reduzcan los riesgos potenciales. Serán de especial interés los controles en caso de inci-
dentes.

6.5. PLAN DE ACCIÓN PROPUESTO (POR ACTIVO Y/O POR

RIESGO).

Inventario y descripción de las medidas y medios propuestos que eliminen o minimicen los
riesgos. Desarrollo y características del tipo de instalación general elegida. Componentes y
necesidades de la implantación de la instalación del edificio. Normativa aplicada en su elec-
ción e implantación.

– Inventario y descripción de las medidas y medios propuestos.

– Medios materiales: Seguridad física o pasiva, incluyendo seguridad privada y protec-
ción contra incendios (PCI).
– Medios materiales: Seguridad electrónica o activa, incluyendo seguridad privada y
PCI.
– Medios materiales: Seguridad informática.
– Medios humanos, incluyendo seguridad privada y PCI.

242
Este capítulo se desarrollará mediante documentación escrita y se acompañará (al menos para
los medios de autoprotección; se recomienda para todas las medidas de seguridad) la docu-
mentación gráfica siguiente:

– Planos de ubicación de los medios de autoprotección, conforme a normativa UNE;

– Planos de recorridos de evacuación y áreas de confinamiento, reflejando el número de
personas a evacuar o confinar por áreas según los criterios fijados en la normativa vi-
gente;
– Planos de compartimentación de áreas o sectores de riesgo.

Los riesgos resultantes de la aplicación de estas medidas de control determinarán los riesgos
residuales a los que está expuesto cada instalación.

Como buenas prácticas para la aplicación de medidas de seguridad integral, el alumno puede
seleccionar las medidas de seguridad a implementar, por ejemplo, entre los estándares de se-
guridad reconocidos internacionalmente y en la legislación específica aplicable a su sector o
con carácter general.

Recursos humanos.

– Generalidades. El personal que realice trabajos que afecten a la seguridad de la orga-

nización debe ser competente con base en la educación, formación, habilidades y ex-
periencia apropiadas.
o El personal de seguridad privada (vigilantes, guardas particulares de campo)
que preste servicios en nuestra organización mediante subcontratación (a
través de empresas de seguridad privada) debería ser evaluado en este capítulo.
Sin embargo, la subcontrata (empresa de seguridad privada) debería ser con-
templada como una compra, según el apartado 15.4.7.4. Compras y subcontra-
taciones.

– Competencia, toma de conciencia y formación. La organización debe:

o Determinar la competencia necesaria para el personal que realiza trabajos que

afectan a la seguridad de la organización.
o Proporcionar formación o tomar otras acciones para satisfacer dichas necesi-
dades.
o Evaluar la eficacia de las acciones tomadas.
o Asegurarse de que su personal es consciente de la pertinencia e importancia de
sus actividades y de cómo contribuyen al logro de los objetivos de seguridad.
o Mantener los registros apropiados de la educación, formación, habilidades y
experiencia.

243
Infraestructura.

La organización debe determinar, proporcionar y mantener la infraestructura necesaria para

lograr la conformidad con la seguridad de la organización. La infraestructura incluye, cuando
sea aplicable:

– Edificios, espacios de trabajo y servicios asociados.

– Medios y equipos para los procesos 56.
– Servicios de apoyo (tales como transporte o comunicación).

Ambiente de trabajo.

La organización debe determinar y gestionar el ambiente de trabajo necesario para lograr la

conformidad con la seguridad de la organización. Por ejemplo, buenas prácticas en la destruc-
ción de información.

56
En este aspecto incluiríamos medios de seguridad pasiva, medios de seguridad activa.

244
Capítulo 7. Mantenimiento del inventario de activos / elementos de la
instalación.
Inventario y descripción de las medidas y medios, humanos y materiales, que dispone la enti-
dad para controlar los riesgos detectados, enfrentar las situaciones de emergencia y facilitar la
intervención de los Servicios Externos de Emergencias o de Seguridad Pública.

Debería prestarse atención a tres tipos de recursos con los cuales se debe actuar: recursos
humanos, infraestructura, y ambiente de trabajo.

La organización debe, a intervalos planificados, revisar el sistema de gestión de seguridad de

la organización, para asegurarse de su conveniencia, adecuación y eficacia continuas. La revi-
sión debe incluir la evaluación de las oportunidades de mejora y la necesidad de efectuar
cambios en el sistema de gestión, incluyendo la política de seguridad y los objetivos de segu-
ridad. Deben mantenerse registros de las revisiones por la dirección.

7.1. DESCRIPCIÓN DEL PROGRAMA DE MANTENIMIENTO DE

INSTALACIONES EN EL ÁMBITO DE LA SEGURIDAD PRIVADA.
SUSTITUCIÓN DE MEDIOS Y RECURSOS.

Descripción del mantenimiento preventivo de las instalaciones de riesgo, que garantiza el

control de las mismas, según la normativa de seguridad privada que resulte de aplicación.

7.2. DESCRIPCIÓN DEL MANTENIMIENTO PREVENTIVO DE LAS

INSTALACIONES DE PROTECCIÓN, QUE GARANTIZA LA
OPERATIVIDAD DE LAS MISMAS. SUSTITUCIÓN DE MEDIOS Y
RECURSOS.

Descripción del mantenimiento preventivo de las instalaciones de protección, que garantiza la

operatividad de las mismas, según la normativa de prevención de riesgos laborales y/o incen-
dios que resulte de aplicación.

7.3. INSPECCIONES INTERNAS O EXTERNAS DE ACUERDO CON

LA NORMATIVA VIGENTE.
Los resultados de la revisión por la dirección deben incluir todas las decisiones y acciones
relacionadas con:

– La mejora de la eficacia del sistema de gestión de la seguridad y sus procesos;

– la mejora del producto en relación con los requisitos del cliente;
– las necesidades de recursos.

245
Capítulo 8. Plan de actuación ante incidencias de seguridad.

8.1. IDENTIFICACIÓN Y CLASIFICACIÓN DE LAS INCIDENCIAS DE

SEGURIDAD.

Identificación y clasificación de las incidencias de seguridad (privada) y de las emergencias

(fuego).

8.2 PROCEDIMIENTOS DE ACTUACIÓN ANTE INCIDENCIAS DE

SEGURIDAD.

Procedimientos de actuación ante incidencias de seguridad (privada) y ante emergencias (fue-

go).

8.3 IDENTIFICACIÓN Y FUNCIONES DE LAS PERSONAS Y EQUIPOS

QUE LLEVARÁN A CABO LOS PROCEDIMIENTOS DE ACTUACIÓN
EN INCIDENCIAS DE SEGURIDAD.

Identificación y funciones de las personas y equipos que llevarán a cabo los procedimientos
de actuación en incidencias de seguridad (seguridad privada) y en emergencias (fuego).

8.4. IDENTIFICACIÓN DEL RESPONSABLE DE LA PUESTA EN

MARCHA DEL PLAN DE ACTUACIÓN ANTE INCIDENCIAS DE
SEGURIDAD.

Identificación del responsable de la puesta en marcha del Plan de Actuación ante incidencias
de seguridad (privada) y emergencias (fuego).

246
Capítulo 9. Implantación del Plan de Seguridad.

9.1. IDENTIFICACIÓN DEL RESPONSABLE DE LA IMPLANTACIÓN

DEL PLAN.

Identificar al responsable de la implantación del Plan (de seguridad y/o autoprotección).

9.2. PROGRAMA DE INFORMACIÓN GENERAL PARA LOS

USUARIOS.

Comprende:

– Los protocolos de notificación de los incidentes de seguridad (privada) y las emergen-

cias (fuego).
– Señalización y normas para la actuación de visitantes.

9.3. SEÑALIZACIÓN Y NORMAS PARA LA ACTUACIÓN DE

USUARIOS.

Usuarios o clientes son ‘partes interesadas’ (lo que en calidad denominamos ‘stakeholders’),
pudiendo definirlos, por tanto, como: “cualquier persona o entidad que es afectada o concer-
nida por las actividades o la marcha de una organización; por ejemplo, los trabajadores de esa
organización, sus accionistas, las asociaciones de vecinos afectadas o ligadas, los sindicatos,
las organizaciones civiles y gubernamentales que se encuentren vinculadas, etc.”

La organización debe asegurarse de que se establecen los procesos de comunicación apropia-

dos dentro de la organización y de que la comunicación se efectúa considerando la eficacia
del sistema de gestión de la seguridad.

9.4. COORDINACIÓN CON OTROS PLANES.

– Integración del plan de seguridad y/o autoprotección en otros de ámbito superior.

– La coordinación entre la dirección del Plan de Autoprotección y la dirección del Plan
de Protección Civil donde se integre el Plan de Autoprotección.
– Las formas de colaboración de la Organización de Autoprotección con los planes y las
actuaciones del sistema público de Protección Civil.
– La coordinación con las FFCCSS (Plan Azul, Programa Coopera, etc.).

247
9.5. PROGRAMA DE DOTACIÓN Y ADECUACIÓN DE MEDIOS
MATERIALES Y RECURSOS.

Programa de dotación y adecuación de medios materiales y recursos.

248
Anexos.

ANEXO I. DIRECTORIO DE COMUNICACIÓN. TELÉFONOS DEL

PERSONAL DE EMERGENCIAS. TELÉFONOS DE AYUDA
EXTERIOR. OTRAS FORMAS DE COMUNICACIÓN.

ANEXO II. FORMULARIOS PARA LA GESTIÓN DE INCIDENCIAS.

ANEXO III. PLANOS.

– Plano (o croquis) de situación, comprendiendo el entorno próximo urbano, industrial o

natural en el que figuren los accesos, comunicaciones, etc.

– Planos (o croquis) descriptivos de todas las plantas de los edificios, de las instalacio-
nes y de las áreas donde se realiza la actividad.

– Planos (o croquis) de ubicación por plantas de todos los elementos y/o instalaciones de
riesgo, tanto los propios como los del entorno.

– Planos (o croquis) de ubicación de los medios de autoprotección, conforme a normati-

va UNE.

– Planos (o croquis) de recorridos de evacuación y áreas de confinamiento, reflejando el

número de personas a evacuar o confinar por áreas según los criterios fijados en la
normativa vigente.

– Planos (o croquis) de compartimentación de áreas o sectores de riesgo.

ANEXO IV. PRESUPUESTO

249