Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestión de la Seguridad en
la Cadena de Suministro y
las Infraestructuras Críticas
Colaboran
Seguridad en la Cadena e Infraestructuras Críticas
Créditos
Edita:
Centro Español de Logística
UNO. Organización Empresarial de Logística y Transporte
Ayuntamiento de Coslada
Contenidos
Coordinación Técnica:
Ramón García. Director de Innovación y Proyectos. Centro Español de Logística
Mª Luz del Hierro. Técnica Concejalía de Empleo, Mujer, Comercio y Turismo.
Ayuntamiento de Coslada
Desarrollo Técnico:
David Lloret
Patricia Manzano
ABS Quality Evaluations
Eduardo Zapata
Raimundo Almeda
UNO. Organización Empresarial de Logística y Transporte
Javier Yáñez
José Miguel Aliaga
María Dolores Heras
Auren
Coordinación Editorial:
Laureano Vegas. Departamento de Comunicación Centro Español de Logística
Imprime
Grupo Diario Imprenta, S.L.
Seguridad en la Cadena e Infraestructuras Críticas
Sumario
4 Presentaciones Institucionales
45 Conclusiones
Seguridad en la Cadena e Infraestructuras Críticas
Presentación Institucional
Ayuntamiento de Coslada
Andrés Alonso
Concejal Empleo, Mujer,
Comercio y Turismo
Ayuntamiento de Coslada
Nos complace presentarles este trabajo que po, una fuerte implantación en Coslada, debido
el Ayuntamiento de Coslada, a través de la a la estratégica situación de nuestra localidad
Concejalía de Empleo, Mujer, Comercio y Tu- para la distribución de mercancías en el área
rismo, y en colaboración con el Centro Espa- metropolitana de Madrid y a sus privilegiadas
ñol de Logística ha elaborado, a fin de facilitar conexiones viarias, que, por el nivel de sus in-
a las empresas de Coslada la norma de calidad fraestructuras, convierten a nuestra ciudad en
adaptada a la realidad del tráfico de mercan- una importante plataforma multimodal, con
cías, tanto a nivel nacional, como internacional, conexiones por ferrocarril, carretera y vía aé-
ofreciendo garantías aplicables a todo el pro- rea.
ceso logístico. La concejalía de empleo, Mujer,
Comercio y Turismo a través de Área de Em- El Ayuntamiento, consciente de la importancia
pleo, está certificada desde el año 2.005 en la de este sector para el municipio, trabaja para
norma ISO9001, y tiene implantado desde el ofrecer herramientas que aporten ventajas
año 2.006 el modelo Europeo de Excelencia competitivas a todas las empresas que traba-
en la gestión (EFQM), siendo un referente de jan en nuestra ciudad. En este sentido, tanto
calidad en el ámbito de la Administración Pú- la norma ISO 28.000, que implica todo lo que
blica en el Camino a la excelencia a través de la tiene que ver con los riesgos de seguridad en
mejora continua al servicio de las empresas de la cadena de suministro, como la figura del
Coslada. Conocedores de las ventajas compe- Operador Económico Autorizado, constituyen
titivas y beneficios que la implantación de los importantes palancas en las que muchas em-
sistemas de gestión de la calidad, aportan a la presas de diversos tamaños pueden apoyarse
excelencia empresarial, desde el Ayuntamien- para mejorar sus servicios Esperamos que la
to de Coslada, en el marco de la promoción guía facilite la mejora continua de la gestión
económica, continuamos actuando como or- empresarial tanto del sector de la logística y el
ganismo público pionero en Europa, impulsado transporte, lo que redundará en beneficio de
la difusión de este sistema de gestión. El sector la actividad económica estratégica en nuestro
de la logística tiene, desde hace mucho tiem- municipio.
4
Seguridad en la Cadena e Infraestructuras Críticas
Presentación Institucional
Centro Español de Logística
Alejandro Gutiérrez
Presidente
Centro Español de Logística
Presentación Institucional
UNO. Organización Empresarial de la
Logística y Transporte
Gonzalo Sanz
Presidente
UNO
David Lloret
Country Manager
ABS Quality Evaluations
American Bureau of Shipping (ABS) fue funda- tacada enla certificación de ISO 27001 –Siste-
da en 1862 y es una de las compañías de clasi- mas de Gestión de la Seguridad de la Informa-
ficación y certificación más grandes del mundo. ción (SGSI).
ABS es una organización sin ánimo de lucro, Desde nuestros comienzos en estas certifica-
independiente y global, con oficina permanen- ciones, uestros clientes nos han hecho cre-
te en España desde 1952, y que da servicio a cer con estos esquemas de certificación de la
15.000 Clientes en 140 países y factura 1.400 seguridad física y lógica, así como de la segu-
millones de dólares al año. ridad de nuestros procesos industriales y la
continuidad de negocio de las organizaciones,
ABS QE realiza auditorías y certificaciones en logrando ser líderes globales.
las principales normas internacionales, inclu-
yendo ISO 9001, ISO 14001, OHSAS 18001, Junto con otras importantes organizaciones e
SA8000, ISO 27001, ISO 20000, ISO 15504, instituciones queremos plasmar en esta guía
ISO 28000, ISO 29001, ISO TS 16949, AS/EN los aspectos mas relevantes a considerar en
9100, étc., con más de 8.000 empresas cer- la seguridad así como las normas y legislación
tificadas. nacionales e internacionales que nos ayudan a
implantar las mejores practicas y sistemas que
ABS-QE fue la primera Entidad de certifica- garanticen la seguridad de nuestras instalacio-
ción en certificar la norma ISO 28000 –Siste- nes, procesos y operaciones y así contribuir a
mas de Gestión de Seguridad en la Cadena de un desarrollo basado en pilares sólidos y se-
Suministro (SGSCS) al Puerto de Houston. guros.
Igualmente, también tenemos una labor des-
7
Seguridad en la Cadena e Infraestructuras Críticas
Coslada
Polo para la Logística y el Transporte
do para vivir con calidad, inmersa en una am- de ampliación del CTC con una superficie de
plia extensión de parques y zonas verdes, pues 159.011 metros cuadrados. Con su Polígono
de los casi 12km2 que tiene este término de Actividades Logísticas, y un área industrial
municipal, 2km2 son de zonas verdes, convir- ocupada básicamente por el sector terciario,
tiéndolo en el municipio más densamente po- que cubre una superficie de más de 2 millones
blado de nuestro país y uno de los primeros de m2, se encuentra a pie de la autovía A-2, y
en cuanto a zona verde tratada por habitante. a 1 kilómetro del Centro de Carga Aérea, con
el que comunica a través de un vial.
GRANDES INFRAESTRUCTURAS Las empresas instaladas en el CTC gozan de
LOGÍSTICAS EN COSLADA importantes ventajas, como una localización
perfecta., punto estratégico para el tránsito
nacional e internacional., instalaciones idóneas
Dispone de 1.079.000 metros cuadrados, do- Desde este Puerto se distribuyen mercancías
tados de las mejores infraestructuras y servi- que tienen su destino y origen en los principa-
cios para dar respuesta a las Empresas Logísti- les puertos marítimos del país.
cas en el ubicadas.
El cincuenta por ciento de las mercancías
Actualmente se está acometiendo el proceso de importación y exportación que demanda
9
Seguridad en la Cadena e Infraestructuras Críticas
La Terminal Intermodal del Puerto Seco de Sus dependencias ocupan una parcela de
Coslada establece una frecuencia diaria trenes aproximadamente 900.000 metros cuadrados
con los principales puertos marítimos del país. y pone a disposición de las empresas ferrovia-
rias y otros operadores.
La apuesta del municipio de Coslada, a través
de su Ayuntamiento, por la inversión produc- Adif en el Centro Logístico de Madrid Vicál-
tiva vinculada al comercio internacional, se varo, garantiza la prestación de los servicios
constata no sólo con la cesión de superficies contemplados en la Declaración sobre la Red,
para la instalación y crecimiento de la Terminal y ofrece otros servicios logísticos vinculados
Intermodal Aduanera del Puerto Seco en nues- al transporte de mercancías y en los horarios
tro municipio, sino que el Ayuntamiento Cosla- establecidos.
da también participa como miembro accionista
de la sociedad promotora del proyecto en la Este Centro Logístico de Vicálvaro Mercancías
consecución de los objetivos de crecimiento y está incluido en la Red básica de instalaciones
desarrollo del Puerto Seco de Madrid. logísticas de Adif, con apertura las 24 horas/día
los 365 días al año, para la recepción (acceso)
Haciendo frontera con la Nacional II y el Aero- y expedición de trenes de la zona logística de
puerto de Barajas, con acceso a los principales Coslada.
nudos de comunicación rodada y ferroviaria
de Madrid. Desde él se distribuyen mercancías CENTRO DE CARGA AÉREA DE
que tienen su destino y origen en los cuatro BARAJAS
principales puertos marítimos del país (Bilbao,
Valencia, Barcelona y Algeciras), convirtiéndo- Si bien no se encuentra ubicado dentro del
se en la puerta nacional e internacional de la término municipal de Coslada, la proximidad
recepción y distribución de mercancías en el con nuestro municipio hace que muchas de las
área centro peninsular y enlazando Madrid y empresas de logística de Coslada desarrollen
su área de influencia con los cinco continentes parte de su actividad con el transporte de las
a través del sistema portuario estatal. mercancías que se recepcionan en el Centro
de Carga Aérea.
10
Seguridad en la Cadena e Infraestructuras Críticas
Entorno Actual de la
Seguridad en la Cadena de Suministro
Eduardo Zapata Ramón García
Secretario General Director de Innovación y Proyectos
UNO Centro Español de Logística
La cadena de suministro se define como un mayoristas y detallistas, así como otras entida-
conjunto relacionado de recursos y procesos des que conducen al usuario final. Así, la cadena
que comienza con la provisión de materias pri- de suministro se extiende desde el cliente final
mas y se extiende a través de la entrega de pro- hasta el proveedor primario. Las estadísticas ofi-
ductos o servicios al usuario final a través de los ciales ponen de manifiesto la importancia de la
modos de trasporte. logística para el conjunto de la economía. En el
caso de España, y a partir de los datos del Insti-
Incluye todas las empresas que participan en la tuto Nacional de Estadística, puede decirse que
producción, distribución, manipulación, almace- las actividades de transporte y almacenamiento
naje y comercialización de un producto y sus alcanzan el 5,56 por ciento del Producto Inte-
componentes. En ella intervienen, entre otros rior Bruto de nuestro país, hasta un volumen to-
agentes, proveedores, instalaciones de Fabrica- tal de facturación de 99.535 millones de euros
ción, proveedores Logísticos y transportistas, en 2010.Así mismo, el sector del transporte y el
centros de distribución interna, distribuidores, almacenamiento supone el 4,69 por ciento de la
población activa española, según los datos pro- la tipología de riesgos, también conviene tener
porcionados en septiembre por el Ministerio en cuenta el nivel de riesgo que presenta una
de Empleo y Seguridad social. En comparación, cadena de suministro. El parámetro nivel de
el sector del transporte y el almacenamiento riesgo al que nos referimos nos permite rea-
español es el quinto de Europa por volumen de lizar de manera sencilla una evaluación de las
facturación y el cuarto del continente por nú- consecuencias de los riesgos en la cadena de
mero de empleados., según Eurostat. Sumistro. El nivel de riesgo total dependerá de
la interdependencia de los distintos factores de
RIESGOS Y AMENAZAS riesgo. Si representamos cada uno de estos fac-
tores en un eje de coordenadas obtendríamos
En toda cadena de suministro existen puntos la clásica matriz de riesgo.
criticos. Uno de los principales es el tiempo que
tardan los productos en llegar a su punto de En la cadena de suministro los riesgos pueden
venta para el cliente final. Puede definirse el clasificarse del siguiente modo:
riesgo como cualquier vulnerabilidad de bienes
jurídicos protegidos ante un posible o potencial • Operacional o tecnológico
perjuicio o daño. Sin embargo, en este punto, • Social o humano
hay que diferenciar claramente los riesgos de las • Causas naturales
amenazas. Amenaza es todo aquello que tenga • Causados por el entorno competitivo
una posibilidad o probabilidad de ocurrir, como • Legales o polítcos
causante de daño, mientras que el riesgo es el
producto de la ocurrencia de la amenaza y su Por la propia idiosincrasia de la cadena de su-
consecuencia. Sin la ocurrencia de amenazas el minitro, que consiste muy básicamente en el
riesgo sería cero. En cuanto a sus consecuencias, movimiento de bienes, existen vulnerabilida-
se distinguen cuatro tipos de riesgo: Catastrófi- des que deben considerarse en todo caso. En
co, crítico, marginal y despreciable:. Además de las cadenas de suministro pueden producirse
nas de suministro se ha acrecentado la percep- consecuencias del riesgo (cálculo del paráme-
ción de los riesgos y amenazas que ponen en tro nr), decidir la política de riesgos a aplicar
riesgo las cadenas. en cada caso y poner en práctica las medidas
preventivas correspondientes. Pensemos en
SISTEMAS DE GESTIÓN DE RIESGOS empresas con procesos que presentan un cier-
DE LA CADENA DE SUMINISTRO to riesgo de contaminación ambiental, como es
(SCRM) el caso de una central nuclear o un proceso de
fundición de piezas metálicas. La repercusión de
Las empresas del sector logístico tienen en las fugas o de la emisión de ciertos residuos es
cuenta los riesgos y amenazas que penden so- determinada en estos casos por las autorida-
bre su actividad. En los últimos años, proliferan des medioambientales. Cuando la repercusión
los progrmas de gestión de los riesgos en la no viene dada por agentes ajenos a la propia
cadena de suministro, con los que se pretende organización, hay que estimarla. Normalmente
analizar y sistematizar los riesgos con el fin de esta valoración se hace en función del beneficio
tenerlos en cuenta, preverlos y, lllegado el caso, que la empresa deja de percibir por la venta de
poder reaccionar de acuerdo a una serie de un determinado producto. Así, si uno de los fac-
protocolos establecidos. tores de riesgo es la rotura de una determinada
máquina, una buena aproximación al valor de la
El proceso de gestión de riesgos en la Cadena repercusión sería el correspondiente al margen
de Suministro (SCRM) consiste básicamente neto del número de unidades de producto que
en: Identificar las distintas fuentes de perturba- se habrían suministrado en el periodo durante
ción en el conjunto de la cadena de suministro, el cual existe la incidencia or el valor unitario de
cuantificar cada uno de los factores de riesgo, es cada una de ellas. Otros factores como pérdida
decir, estimar con modelos estadísticos o analí- de imagen, posible entrada en el mercado de
ticos la probabilidad de ocurrencia de los facto- competidores, etc tienen una difícil estimación
res causantes de cada factor, evaluar el riesgo: objetiva, pero deben ser también conocidos y
determinar, cuantitativa o cualitativamente, las valorados por el gestor logístico.
Leaders are applying predictive analytics to reduce risk effects and achieve cost efficiencies,
competitive advantage and growth
Fuente: IBM Combating risk with predictive intelligence. An analytical approach to enterprise
risk management. 2012
15
Seguridad en la Cadena e Infraestructuras Críticas
Legislación, Referenciales y
Normativas de Aplicación en
Seguridad en la Cadena de Suministro
Patricia Manzano
ABS Quality Evaluations
Este método es conocido como la “Rueda de los resultados del paso anterior y según los
Deming”, es una estrategia del sistema de me- resultados, se actúa.
jora continua, muy utilizado en los sistemas de
gestión de la calidad. • Si se han detectado errores se realiza un nue-
vo ciclo PDCA con nuevas mejoras.
En la primera etapa de “Planificar” se estable-
cen los objetivos y procesos, se recogen datos, • Si no se han detectado errores relevantes,
se analizan y se llevan a cabo especificaciones aplicar las modificaciones de los procesos
de mejora, de forma que se definen los proce-
dimientos necesarios para llegar a los objeti- • Si se han detectado errores insalvables, aban-
vos. En la segunda etapa de “Hacer”, se imple- donar las modificaciones de los procesos
mentan los nuevos procesos.
Este mecanismo permite obtener una Retro-
En penúltimo lugar se “Verifica”, se recogen de alimentación y mejorar el Sistema de Gestión.
nuevo datos y se compara con los objetivos Para conseguir un efectivo seguimiento del
iniciales para comprobar si se ha producido sistema de gestión de riesgos es importante
mejora. Además se monitorea la Implementa- señalar otras normativas como son: el Ope-
ción y Evalúa el plan de ejecución documen- rador económico Autorizado o la Red de In-
tando las conclusiones. Finalmente se realiza fraestructuras Criticas.
la etapa de “Actuar”, en este caso se estudian
18
Seguridad en la Cadena e Infraestructuras Críticas
ISONormativas de Aplicación en
28000
Patricia Manzano
ABS Quality Evaluations
La norma ISO 28000 tiene como principal obje- • Crear planes y procedimientos con el fin de
tivo la gestión eficaz de la cadena de suministro identificar amenazas y gestionar riesgos.
con el principal objetivo de asegurar la misma.
Permite a todas las organizaciones estudiar el Cuando una organización decide implementar
entorno en el que se trabaja y decidir si se im- esta norma ha de documentarse describiendo
plementan unas medidas de seguridad adecuadas, los elementos básicos del sistema de gestión
además de abordar una mejora continua en todos y su interrelación, así como la orientación de la
los procesos. Esta norma se complementa con la documentación de referencia. La documentación
Norma UNE-EN-ISO 28001:2008 “Sistemas de relativa a la aplicación de esta norma ha de ser:
gestión de la seguridad para la cadena de suminis- manual de gestión del sistema de seguridad, ma-
tro. Buenas prácticas para la implementación de la nual de procedimientos, programas de gestión de
seguridad para la cadena de suministro, evaluación la seguridad, instrucciones de trabajo y registros.
y planes. Requisitos y guías”.
FASES DE IMPLANTACIÓN
En primer lugar para iniciar la implementación
de esta norma hay que tener varios aspectos en Fase 0: Definición y organización del Proyecto.
cuenta: Esta etapa inicial se encarga de definir el alcan-
ce, recopilar información y planificar en detalle el
• Estrategia coherente en función del desarrollo e proyecto. La organización debe crear un sistema
implementación del sistema de seguridad de gestión de modo que se cumpla con los requi-
• Competencia y formación, de forma que sepan sitos recogidos en la norma ISO 28000, además
con claridad que procedimientos se tienen que de asegurar que todos los procesos se controlan
desarrollar, que responsabilidades requiere y las y posee las responsabilidades necesarias. El siste-
consecuencias de desviarse de los procesos mar- ma de Gestión de Seguridad dependerá del tipo
cados. de empresa y actividades.
•Comunicación de la información a todas las par-
tes, desde empleados, contratistas, etc… Fase 1: Diseño del SGSCS y política de seguridad
• Documentos donde quede reflejado el qué se Aquí se establecen las responsabilidades en tér-
quiere conseguir y cómo. Metas, objetivos, alcance minos de formación seguridad, formación, com-
y registros. petencias y toma de conciencia del personal.
• Control de documentos y datos de forma que q Definir y diseñar el SGSCS.
se asegure un acceso seguro a las personas au- q Se comunica el proyecto.
torizadas. Se garantiza que los datos disponibles q Elaborar y aprobar la política de seguridad.
estén actualizados y serán validos en todo mo- q Elaborar los procedimientos generales.
mento que se requieran.
• Control operacional, con el fin de reconocer Fase 2: Evaluación del riesgo de seguridad
las actividades necesarias para conseguir los ob- Se estudian todos los posibles riesgos que puedan
jetivos surgir dentro del alcance definido, apoyándose en
19
Seguridad en la Cadena e Infraestructuras Críticas
Fases de Implantación
21
Seguridad en la Cadena e Infraestructuras Críticas
22
Seguridad en la Cadena e Infraestructuras Críticas
luación y revisión del método de gestión. Se procede a evaluar la política de seguridad, así
Fase 5: Evaluación del SGSCS como el sistema implantado midiendo la eficacia
Evaluar el desempeño del sistema de seguridad, mediante datos de evaluación, oportunidades de
para posteriormente analizar las incidencias deri- mejora y posibles cambios que se consideren ne-
vadas de fallos, acciones correctivas o preventivas, cesarios del sistema.
etc… Es conveniente que se realice unas evaluaciones
La organización debe evaluar de forma periódi- periódicamente con el fin de ir mejorando cada
ca todos los planes, procedimientos de la gestión vez más los sistemas de seguridad e ir adecuándo-
de seguridad mediante pruebas, revisiones, eva- se a las necesidades de cada momento.
luaciones de desempeño, y conservarlos para su El último paso es obtener la certificación una vez
posterior uso. Se tiene que analizar si se cumple que la organización cumpla todos los requisitos.
o no con la legislación, y si la política y objetivos No sólo las propias empresas son tenedoras de
cumple con los reglamentos oportunos. esta certificación sino que también puertos ma-
El procedimiento es el siguiente: rítimos tienen este reconocimiento. La primera
1. Evaluación e inicio de acciones preventivas, con certificación en ISO 28000 de Seguridad en la
el fin de que se eviten las vulnerabilidades. cadena de suministro fue otorgada al Puerto de
2. Investigar los fallos, incidentes, situaciones de Houston en 2007 por parte de ABS Quality Eva-
emergencia. luations, que entonces auditó y certificó la policía
3.Acciones para mitigar los problemas derivados. portuaria, así como las operaciones llevadas a
4. Inicio de acciones correctivas. cabo en perímetro de seguridad del puerto.
5. Evaluación de las acciones correctivas, según la El Puerto de Houston es un centro mundial de
eficacia de los resultados. comercio marítimo. Posee sofisticados sistemas
Además es preciso realizar un control de regis- para manipular carga y una estratégica ubicación
tros que demuestren la conformidad con los re- en la confluencia de importantes sistemas de fe-
quisitos del sistema y demostrar los resultados rrocarril, de camiones y de transporte aéreo. Este
logrados. puerto es el líder en contenedores de carga, en
2008 un total de de 225 millones de toneladas
Fase 6: Auditoría de carga atravesaron el Puerto de Houston, 100
Se realiza la auditoría interna, consiste en estudiar líneas ofrecen servicios que unen a Houston con
el grado y la valoración de la implantación. El ob- 1.000 puertos en 200 países.
jetivo es comprobar si el sistema de gestión de la
seguridad cumple con los acuerdos planificados, Actualmente las empresas certificadas en ISO
si se está usando correctamente y si cumple con 28000 por parte de ABS Quality Evaluations
la política y gestión de la seguridad. Además de son, Port of Houston Authority, Port Security
revisar los resultados y las auditorias previas para and Emergency Operations, Servicios Logisticos
solucionar las no conformidades. Integrados,The Port of Corpus Christi,Trans-Ex-
Estas auditorías permiten dar información de pedite, Inc.,Vadinar Oil Terminal Limited - Marine
resultados a la dirección y se conozca en qué Operations (An Essar Group Company), Worlds
estado se encuentran y verifican que el personal Window Infrastructure and Logistics Pvt. Ltd.
opera eficientemente.
Todos los resultados provienen de las amenazas y CASO DE ÉXITO:
riesgos de las actividades y de auditorías anterio- TRANSPORTES OCHOA
res. Todos los procedimientos han de identificar
el alcance, la frecuencia, metodologías, compe- Un claro ejemplo de éxito es la empresa Trans-
tencias, además de todas las responsabilidades y portes Ochoa dedicada a las actividades logísticas,
requisitos. situada en Coslada, certificada en ISO 28000 a
mediados de 2010. Esta empresa presta una gran
Fase 7: Revisión del sistema y mejora continua importancia a la seguridad en todos sus procesos,
23
Seguridad en la Cadena e Infraestructuras Críticas
24
Seguridad en la Cadena e Infraestructuras Críticas
• Conformidad demostrada con las disposiciones • Seguridad del personal: con respecto a la con-
aduaneras: requisitos especificados para el OEA y tratación realizar acciones de verificación de que
tenidos en cuenta cuando las Aduanas consideran el personal que ocupa puestos de trabajo sensi-
las calificaciones para ser aceptado como OEA. bles desde el punto de vista de la seguridad no ha
incurrido en delitos en el ámbito del comercio
• Sistema satisfactorio para la gestión de expe- internacional.
dientes comerciales: mantener expedientes co-
merciales exactos y a disposición de las Aduanas. • Seguridad del socio comercial: formalizar me-
didas contractuales con los socios de la cadena
• Viabilidad financiera: reconocer el papel clave logística para fomentar el nivel de seguridad.
que conlleva la buena situación financiera para
permitir que un OEA cumpla con sus compro- • Gestión de crisis y subsanación de incidentes:
misos. planificar las acciones a emprender en caso de
que se produzcan incidentes adversos en la cade-
• Consulta, cooperación y comunicación: Estable- na de suministro internacional de la cual es res-
cer medidas para fomentar las relaciones de tra- ponsable la empresa OEA.
27
Seguridad en la Cadena e Infraestructuras Críticas
28
Seguridad en la Cadena e Infraestructuras Críticas
Con objeto de poner en relevancia el nivel de im- revisten un carácter orientativo, están destinadas
plantación que a nivel mundial tiene la figura de a las Aduanas y a los operadores económicos, y
OEA o sus equivalentes y, por tanto, los benefi- pretenden:
cios añadidos que una empresa con estatus OEA - garantizar una comprensión común y una aplica-
puede conseguir en sus tráficos internacionales; ción uniforme de la nueva legislación de aduanas
a continuación ofrecemos información tanto de que incorpora el concepto de OEA,
los programas OEA existentes a nivel mundial, de - asegurar la transparencia y la igualdad de trato a
aquéllos que se van a lanzar en próximas fechas favor de estos operadores y
y de los programas de cumplimiento en aduanas - servir de instrumento que facilite la correcta
que implantados actualmente. aplicación por los Estados miembros de las nue-
vas disposiciones legales sobre esta materia.
Programas OEA existentes a nivel mundial
29
Seguridad en la Cadena e Infraestructuras Críticas
31
Seguridad en la Cadena e Infraestructuras Críticas
Si bien durante la ejecución del proyecto se aña- Es por todos conocidos en el sector que la pre-
dieron otras empresas vinculadas al grupo Spain- sencia de DB Scherker y Spain-Tir es muy sig-
Tir Transportes Internacionales, S.A. nificativa tanto a nivel nacional, europeo como a
Presencia de Schenker España y Spain-Tir en la escala mundial. Con lo que el lector puede ha-
Península Ibérica, Baleares, Islas Canarias: se ana- cerse una idea del volumen de actividad tanto en
lizaron las actividades de cada una de las plazas envíos internacionales por los distintos modos
listadas a continuación y se concluyo que, del de transporte como del volumen de despachos
listado que más abajo se ofrece, únicamente las de aduanas y del volumen entradas/salidas en los
resaltadas en color azul eran objeto del proyecto distintos recintos aduaneros.
OEA; en tanto que participaban de alguna forma
en la cadena de suministro internacional operada A continuación ofrecemos un resumen del con-
por Schenker / Spain-Tir. En el resto de plazas no junto de servicios ofrecidos por DB Schenker y
existía actividad alguna relacionada con mercan- Spain-Tir con la finalidad de que el lector pueda
cías no comunitarias; es decir, ni se efectuaban realizar una transposición a su empresa.
despachos aduaneros ni las plazas tienen autori-
zados sus almacenes como recintos aduaneros, Evaluación del Marco de Control
en cualquiera de sus modalidades.
Certificados de Calidad y Medio Ambiente ISO
En cambio, la casuística aduanera de las plazas re- 9001:2000, ISO 14001:2004,
saltadas en azul se reparte entre almacenes auto- Certificado SQAS
rizados como LAME, ADT, DDA, DDP, Expedido-
res-Receptores de Tránsitos y oficinas en donde IBM AS 400. Redes Locales NT.
se realizan despachos de aduanas. Conexiones EDI durante 24 horas con todas las
oficinas a través del propio Intranet
Catálogo de Servicios ofrecidos por DB Schenker (frame relay).
y Spain-Tir Tracking propio a través de www.spaintir.es.
32
Seguridad en la Cadena e Infraestructuras Críticas
Para poder aplicar tal enfoque, es preciso tener - Fase 2: Clarificación de los objetivos a conseguir
un conocimiento adecuado del operador eco- - Fase 3: Identificación del riesgo
nómico, de sus procesos empresariales, y de las - Fase 4: Evaluación del riesgo
medidas que ha adoptado para reducir los riesgos - Fase 5: Respuesta ante el riesgo; qué hacer con
en las operaciones vinculadas a la cadena de sumi- los riesgos residuales
nistro internacional.
Mapa de Riesgos Global
Así pues, se deben evaluar, entre otras cosas, la
organización, los procesos, los procedimientos y A continuación se presenta mediante un “gráfi-
la administración del operador económico. co de tela de araña” el resultado agregado de la
evaluación inicial realizada por AUREN a cada una
Para realizar el proceso de de mapeo de los de las plazas de DB Schenker / Spain-Tir. Además
riesgos, es necesario, en la práctica, la utilización de este Mapa Global de Riesgos se elaboraron
de una metodología basada en la evaluación de Mapas de Riesgos por Plaza en base a los mismos
riesgos que permita estructurar y fundamentar la criterios que no ofrecemos por que no aportan
ponderación y calibración de los riesgos, consi- valor en la exposición del presente Caso.
guiendo un enfoque estructurado y destinado a
la identificación y la evaluación del riesgo estable- Así mismo, es importante reseñar que cada uno
ciendo, asimismo, una estrategia de control y de de los 12 riesgos se desgranan en Mapas de Rie-
evaluación con vistas a una mejora permanente. gos Particulares cuyos vectores de riesgos son
los diferentes elementos del TAXUD asociados
El proceso de mapeo de los riesgo consta, en al riesgo concreto de que se trate. A modo de
principio, de cinco fases: ejemplo ofrecemos un detalle del Riesgo de Dis-
ponibilidad de la Información.
- Fase 1: Comprensión de la actividad
Auditoria Interna
35
Seguridad en la Cadena e Infraestructuras Críticas
sejo, por el que se establece el Código Aduanero Spain-Tir fue considerado por la propia empresa
Comunitario, establece lo siguiente: como una herramienta de ayuda, en el sentido
en el que derivado de los hallazgos detectados
“La autoridad aduanera de expedición podrá en la ejecución de los procedimientos concre-
aceptar conclusiones suministradas por un ex- tos aplicados la entidad acabó de ajustar algunos
perto en los ámbitos pertinentes contemplados aspectos que reproducimos más abajo, y por las
en los artículos 14 decies, 14 undecies y 14 duo- propias autoridades aduaneras, en el sentido de
decies en lo que respecta a las condiciones y cri- que contaron con los resultados de determinadas
terios mencionados respectivamente en dichos verificaciones sobre el cumplimiento de los requi-
artículos. El experto no podrá estar vinculado sitos establecidos y consecuentemente, pudieron
con el solicitante”. Lo que abre las puertas a que centrar sus esfuerzos en aquellas áreas o aspec-
un experto independiente lleve a cabo el proceso tos que estimaron más significativos en función
de auditoría interna y, por ello, revise el cumpli- de sus criterios de auditoría. Ejemplo de hallazgos
miento de los requisitos para poder acceder al en materia de seguridad y protección detectados
certificado OEA El Informe de Experto Inde- en el proceso de auditoría interna:
pendiente que Auren realizó para DB Schenker/ q No se realizan rondas periódicas (T1-T2)
36
Seguridad en la Cadena e Infraestructuras Críticas
para comprobar las condiciones del vallado; aun- (Alta Dirección, Mandos Intermedios y Operati-
que éste se encuentra en buenas condiciones. vos) en donde se mezclaban las áreas funcionales,
Resolución: Periódicamente se efectúa una ronda específicas para cada Departamento (Aduanas,
de control y se registra dicha comprobación. Tráficos –Marítimo, Aéreo y Terrestre-, Finanzas,
Comercial, Almacén, Logística, etc) en donde se
q No están definidas todas las zonas de acce- mezclaban los niveles jerárquicos, y que se ejecu-
so restringido para cada una de las instalaciones taron en distintos momentos del proyecto (Inicio,
(T1 y T2) ni asignados los derechos de acceso al implantación de las medidas y elaboración de los
personal. procedimientos de trabajo, previo a la Auditoria
Resolución: Registro con la relación de zonas res- Interna, presentación de Informe de Experto, pre-
tringidas y sus permisos de accesos. Asignación al vio a la Inspección y posterior a la obtención de
Responsable de Seguridad. la Acreditación).
Esta es sin duda la etapa más crítica del proyec- do por una “Guía” a disposición de los usuarios
to previa al propio proceso de acreditación. De en la web de la AEAT y por la excelente gestión
poco hubieran servido las mejoras organizativas en la resolución de dudas que el personal del De-
y la inversión económica en medidas de segu- partamento de Aduanas e Impuestos Especiales
ridad física realizadas por DB Schenker / Spain- está realizando.
Tir durante la ejecución del proyecto sin que
las nuevas pautas de comportamiento hubieran Proceso de Acreditación
calado en el conjunto de sus empleados, las hi-
cieran suyas, las incorporaran en sus rutinas de El proceso de acreditación es, no cabe duda, el
trabajo y quedara garantizando, de esta manera, momento de la verdad del proyecto. Pero si se
que una vez finalizado el proyecto y Auren hu- han hecho todos los deberes de forma correc-
biera salido del mismo, los cambios y el nivel de ta no hay sobresaltos, este fue el caso de DB
excelencia en la gestión de la figura OEA iban a Schenker / Spain-Tir.
permanecer en DB Schenker / Spain-Tir. Para ello
se diseñaron, planificaron y programaron sesiones
de sensibilización y formación a diferentes niveles
37
Seguridad en la Cadena e Infraestructuras Críticas
Real Decreto de
Infraestructuras Críticas /
Continuidad de Negocio
María Dolores Heras
Auren
¿Qué es una infraestructura crítica? ¿Cuáles son las infraestructuras que pue-
den ser designadas como críticas?
Según la definición de la normativa, son In-
fraestructuras Críticas “las infraestructuras es- La normativa incluye un Anexo que define los
tratégicas cuyo funcionamiento es indispensa- sectores estratégicos en los que se pueden
ble y no permite soluciones alternativas, por lo encontrar las infraestructuras críticas y los
que su perturbación o destrucción tendría un Ministerios u Organismos a los que afectarían
grave impacto sobre los servicios esenciales”. en su normal funcionamiento en caso de in-
terrupción o “caída” de las mismas. Los sec-
tores identificados en esta norma son: Admi-
Dentro de esta definición nos encontramos nistración, Espacio, Industria Nuclear, Industria
una de las ideas clave de toda la normativa, Química, Instalaciones De Investigación, Agua,
“cuyo funcionamiento es indispensable y no Energía, Salud, Tecnologías de la Información y
permite soluciones alternativas”. las Comunicaciones (TIC), Transporte, Alimen-
tación y Sistema Financiero y Tributario.
Por ello los operadores deberán establecer
medidas de protección físicas y lógicas, para El sector transporte, como infraestructura crí-
que estas infraestructuras, compuestas por: las tica, incluye aeropuertos, puertos, instalaciones
instalaciones, redes, servicios y equipos físicos intermodales, ferrocarriles y redes de trans-
y de tecnología de la información, puedan se- porte público y sistemas de control del tráfico.
guir prestando los servicios esenciales para la Las infraestructuras críticas están recogidas
población o la administración. en un Catálogo Nacional de Infraestructuras
Críticas, que no es un documento estático
La mayor parte de los expertos en la materia sino que es, según la definición, “la información
relacionan la protección de las infraestructuras completa, actualizada, contrastada e informáti-
críticas con lo que, en el mundo empresarial, se camente sistematizada relativa a las caracterís-
denomina Continuidad del Negocio. ticas específicas de cada una de las infraestruc-
turas estratégicas existentes en el territorio
Ahora bien, una de las premisas principales de nacional”.
la continuidad del negocio es la que su propio
nombre encierra: dar continuidad al negocio. Esta información será alimentada por el Cen-
Dentro de la continuidad del negocio hay dos tro Nacional de Infraestructuras Críticas (CN-
vías principales: proteger el proceso y dar ser- PIC), actualizada como máximo anualmente y
vicio de manera alternativa en caso de grave considerada documento secreto. El respon-
afectación o merma del mismo. sable último del Catálogo es el Ministerio
del Interior, el cual tiene la competencia para
39
Seguridad en la Cadena e Infraestructuras Críticas
determinar una infraestructura como crítica e del Operador (PSO), y los Planes de Protec-
incluirla en el catálogo. ción Específicos (PPE) para cada una de las In-
fraestructuras Críticas que estén bajo su ám-
Este catálogo es un documento secreto y con- bito. Es importante señalar que estos planes
tendrá también las infraestructuras críticas tienen que recoger el aspecto lógico y físico
europeas. Por lo que a priori un operador no de la seguridad.
puede saber si va a ser designado o no.
El PSO se debe de entregar para su revisión
El CNPIC solicitará información a los ope- a los seis meses desde su designación, serán
radores y a otros sujetos responsables, deci- aprobados por la Comisión PIC y quien noti-
diendo quiénes formarán parte del catálogo y ficará en dos meses. El contenido mínimo es
comunicará a los considerados como infraes- el siguiente:
tructura su designación. q Política general de seguridad del operador
y marco de gobierno. El objetivo de la misma
¿Qué implicaciones tiene ser un provee- es dirigir y dar soporte a la gestión de la se-
dor crítico? guridad. En ella, la Dirección de la Organiza-
Organismos Integrados en las Infraestructuras Críticas
En principio los proveedores críticos lo serán ción debe establecer claramente cuáles son
en tanto en cuanto sean designados como ta- sus líneas de actuación y manifestar su apoyo
les. En el momento de su designación el pro- y compromiso con la seguridad. Los aspectos
veedor deberá diseñar un Plan de Seguridad mínimos que tiene que tratar son:
40
Seguridad en la Cadena e Infraestructuras Críticas
43
Seguridad en la Cadena e Infraestructuras Críticas
b) ISO 22301:2010 Bussines Management Sys- Otras normas como Seguridad de la Informa-
tems – Requirement para establecer los pro- ción, que aborda la protección lógica de los
cedimientos de gestión de incidentes y conti- sistemas de información que gestionan nuestra
nuidad del negocio. Es una norma certificable. empresa y junto con la norma de seguridad en
la cadena de suministro, que afronta la protec-
c)UNE ISO/IEC: 27001:2007 Sistemas de Ges- ción física, se desarrollaran aquellos controles
tión de la Seguridad de la Información. Es una detectivos y preventivos que evitarían la mate-
norma certificable. rialización de las amenazas.
d) Guías de sistemas SCADA publicados por Por otro lado implantamos un sistema de ges-
el CCN tión con un ciclo de mejora continua que per-
mite implantar el control de incidencias para
Estas normas, nos dan la base para poder desa- aplicar los controles correctivos adecuados.
44
Seguridad en la Cadena e Infraestructuras Críticas
ConclusionesInfraestructuras Críticas /
Con esta segunda edición de la guía de Seguri- La falta de control en la seguridad de nuestra
dad, hemos intentado ser más amplios y abar- cadena de suministro puedo ocasionar riesgos
car los nuevos requisitos y normativas que han a nuestra reputación corporativa, que como ya
aparecido, y que regularizan los riesgos para hemos visto en innumerables organizaciones,
la seguridad de los organismos en sus infraes- pueden ocasionar daños incalculables a nues-
tructuras, procesos y operaciones y que pue- tra marca e incluso la bancarrota. Por tanto es
den afectar su continuidad. fundamental incorporar elementos de seguri-
dad en el análisis y calificación de nuestra cade-
Todos los riesgos de la seguridad por causas na de suministro pera evitar riesgos de fraude,
antrópicas o naturales, pueden ser prevenidos, corrupción, trata de blancas, narcotráfico, robo
y su análisis puede minimizar los efectos. Un y riesgos para la seguridad de nuestros activos
verdadero entendimiento y tratamiento sobre o nuestro suministro.
los factores que generan las amenazas y vul-
nerabilidades, de forma sistemática y metódica En el caso de IC , hay que tener en cuenta que
es la única forma de tratar esta problemática no sólo se analizan las amenazas naturales o
que genera pérdidas millonarias a organismos accidentales, sino aquellas que sean provoca-
y compañías en todo el mundo. das y que actualmente , entendemos como las
más importantes dado el auge tecnológico que
La normativa y legislación actual es cada vez está implantado en nuestras organizaciones,
mas completa y define herramientas y requi- como son el caso de ciberataques, o terroris-
sitos para poder gestionar adecuadamente la mo tradicional, y que tenemos que prevenir y
Seguridad de nuestras organizaciones por me- mitigar en la medida de lo posible, analizando
dio de indicadores claros y precisos que siem- el coste – beneficio, ya que la seguridad total
pre deben de estar orientados en las causas no existe. Entendemos que con carácter gene-
raíz que nos ayude eliminar el riesgo. ral, lo que cualquier organización debe de rea-
lizar es el análisis bajo el prisma de la “CONTI-
Las organizaciones cada vez tienen más requi- NUIDAD DE NEGOCIO”, que a la postre es
sitos y son más conscientes de la necesidad lo que nos garantizará que nuestra compañía,
de gestionar la seguridad como un elemento pueda cumplir con sus objetivos empresariales
fundamental de nuestro negocio. Los riesgos y de negocio, resultados.
afectan no solo a la seguridad de las personas y
de todos nuestros activos , sino a la reputación Como finalización y resumen, a continuación
y al valor de la marca de nuestras organiza- mostramos una tabla en la que se ha compi-
ciones. lado los principales requisitos que incorporan
la normativa analizada en esta guía, revisando
La gestión de los riesgos de seguridad son ele- los elementos que trata en este caso la norma
mentos fundamentales para la Responsabilidad ISO 28000, el OEA y la normativa de Infraes-
Social de nuestras Corporaciones, y sus indica- tructuras Críticas como principales elementos
dores son parte fundamental que identifican el de referencia para gestionar la seguridad de las
grado de control que tenemos sobre nuestras infraestructuras y operaciones, considerando
operaciones y nuestra cadena de suministro. la cadena de suministro:
45
Seguridad en la Cadena e Infraestructuras Críticas
Nota: La normativa aplicable a la figura de todos los aspectos relacionados con el comer-
OEA entiende estos criterios en los siguientes cio exterior: contabilidad, accesibilidad de la
términos: aduana, archivo y conservación de la informa-
ción, seguridad en la tecnología de la informa-
• El historial de cumplimiento hace ción, etc.
referencia a que ni el solicitante, ni los admi-
nistradores y apoderados generales inscritos • Por solvencia se entiende una bue-
en el Registro Mercantil, ni los representantes na situación financiera, suficiente para que el
legales en asuntos aduaneros, ni ninguna de las solicitante pueda cumplir sus compromisos de
personas encargadas en la empresa de la ges- pago. Este criterio se referirá al plazo de los
tión, representación, trámites aduaneros del tres últimos años.
solicitante, etc. hayan cometido infracciones
graves o repetidas en materia aduanera dentro • Por último, las medidas de protec-
de los tres años anteriores a la presentación ción y seguridad deben estar presentes en
de la solicitud. todas las áreas de la empresa, abarcando no
sólo a los edificios, a los controles de acceso
• Los requisitos de gestión adminis- a recintos y a las medidas de manipulación de
trativa pretenden garantizar que el solicitante mercancías, sino también a los procedimientos
cuente con un sistema de gestión adecuado en de licencia, identificación de socios comercia-
les, así como a los propios empleados.
Análisis Comparativo de los SG de la Seguridad en la Cadena de Suministro
Gestión de la Seguridad en
la Cadena de Suministro y
las Infraestructuras Críticas
Colaboran