Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PATRIMONIAL
Textos universitarios
29
Textos universitarios
29
Adolfo de la Torre Fernández
SEGURIDAD
PATRIMONIAL
2017
Torre Fernández, Adolfo
ISBN 978-84-9040-441-6
HV8290
351.746.3
© Servicio de Publicaciones
Universidad Católica de Ávila
C/ Canteros s/n. 05005 Ávila
Tlf. 920 25 10 20
publicaciones@ucavila.es
www.ucavila.es
“Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra sólo
puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a
CEDRO (Centro Español de Derechos Reprográficos) si necesita imprimir o descargar algún fragmento de
esta obra (http://www.conlicencia.com; 91 702 19 70 / 93 272 04 47).”
ISBN: 978-84-9040-441-
Maquetación: INTERGRAF
SEGURIDAD PATRIMONIAL
Índice general
Unidad 1:
Prevención de los delitos de daños físicos e informáticos
1.1. Medidas de seguridad física y electrónica.................... 12
1.1.1. Elementos de protección en la seguridad física...... 12
1.1.1.1. Otros elementos de seguridad física......... 14
1.1.1.2. Control de accesos.................................... 14
1.1.2. Medidas de seguridad bancaria según la
normativa en vigor................................................... 19
1.1.2.1. La seguridad en la empresa...................... 21
Unidad 2:
Control y supervisión de los sistemas de seguridad física
y electrónica
2.1. Control y supervisión de los sistemas de seguridad
físca y electrónica............................................................ 33
2.1.1. Creación de un SGSP............................................. 33
2.1.2. Control y supervisión del SGSP.............................. 35
2.1.3. Política de seguridad patrimonial y su
organización............................................................ 36
2.1.3.1. Contenido del documento de la Política
de seguridad patrimonial........................... 36
2.1.3.2. Control de la Política de seguridad
patrimonial................................................. 37
2.1.4. Coordinación con las autoridades de seguridad
pública..................................................................... 38
2.1.5. Seguridad de los activos de la organización........... 39
2.1.6. Estudio sobre la seguridad patrimonial................... 40
Conclusiones generales.......................................................... 46
Unidad
1
didáctica
Prevención de
los delitos
de daños físicos
e informáticos
SEGURIDAD PATRIMONIAL
Índice
Objetivos............................................................................................ 10
Introducción...................................................................................... 11
Resumen............................................................................................ 24
Bibliografía........................................................................................ 26
Objetivos
• Se pretende enfocar la seguridad patrimonial desde todos los frentes ya sea mediante
la aplicación de medidas de prevención de carácter mecánico, conocido histórica-
mente como seguridad física, y a través de medidas de control informático.
10
Introducción
Se dice que la causa principal de esa visión es la falta de cultura de la seguridad por
parte de la dirección lo que conlleva que se traslade a la propia organización que, la ges-
tión de los riesgos empresariales que pueda asumir.
Por el contrario, es muy frecuente que la dirección empresarial esté más ocupada en
“lo que puede ir bien y generar negocio” que preocuparse de la gestión de los incidentes
que puedan surgir y que para ello se requiere emplear recursos de la empresa que reducen
el margen de beneficios empresariales.
Pero lo cierto es que los incidentes que puedan surgir pueden afectar a los recursos
de la empresa reduciendo el consecuente margen de beneficios empresariales.
La continuidad del negocio puede ponerse en peligro, tanto porque no funcionen los
procesos productivos, como porque se consuman riesgos para los activos de la empresa
que puedan ser generadores de pérdidas importantes o incluso acabar con ella. Y esta es
la razón por la que ambos deben ser adecuadamente gestionados.
11
1. Seguridad física
2. Seguridad electrónica
3. Seguridad informática
4. Seguridad organizativa
5. Seguridad personal
12
− Permanentes: que pueden estar formadas por bloques de hormigón con una altu-
ra de hasta 1,30 metros habitualmente, por separadores de autopista, por pivotes
fijos, o jardineras rellenas de material pesado, entre otros elementos.
Cajas fuertes. Las cajas fuertes son compartimentos de seguridad considerados como un
elemento tecnológico dotado de un sistema de seguridad cuya apertura es muy difícil para
personas no autorizadas y consiguiendo un compartimento estanco en el que se puedan
alojar elementos de gran valor como dinero, joyas y similares. Por lo general son fabri-
cadas en un metal extremadamente resistente y de gran peso. Consta de un sistema de
cierre que solo se puede abrir mediante claves que pueden ser modificadas por el usuario
autorizado lo que le dota de mayor seguridad.
Los sistemas de apertura se pueden accionar por una sola llave, llave más combina-
ción mecánica o electrónica o mediante combinación de ambas motorizada.
Muro acorazado: Los muros acorazados son protecciones de enclaves de seguridad de-
limitados por el propio muro. Para su construcción se deben tener en consideración dos
aspectos fundamentales: La composición del hormigón y el grosor.
− Concertinas
− Cabinas de seguridad.
− Bolardos fijos.
− Rastrillos.
− Espejos.
− Pulsadores de alarma.
− Tornos o molinetes.
− Esclusas.
− Dispositivo de rayos X
− Detector de radioactividad.
− Tarjeta de identificación.
− Tarjeta magnética.
15
− Tarjeta inteligente-microchip.
− Tarjeta de proximidad.
− Datos conocidos por los usuarios y reconocidos por los sistemas de seguridad
(como las contraseñas,..).
Este hecho ha obligado a que se hayan tenido que publicar diversas normas legales
que obligan a las organizaciones a gestionar determinados riesgos como sucede con los
riesgos laborales de los trabajadores.
Mucho más difícil ha sido convencer a los empresarios para que voluntariamente
hayan decidido gestionar determinados riesgos sin que una ley no les obligara. No obs-
tante, el temor a determinados riesgos de pérdidas o la imposición de terceras partes con
quienes contratan ha sido suficiente, en algunos casos, para que fueran dando respuesta a
otras familias de riesgo.
Esto sería el caso de los riesgos para la información, activo determinante en cada vez
más procesos productivos, y por ello estratégico para el empresario, o la gestión de ries-
gos para el medio ambiente que pude verse alterado como consecuencia de la actividad
empresarial.
Otras familias de riesgo también surgen como consecuencia del cumplimiento nor-
mativo, generador a su vez del riesgo de cumplimiento, del miedo a la sanción, como la
normativa de seguridad privada que afecta a sectores relacionados con la actividad como
los bancos, etc.
Más difícil resulta ver como existen otros riesgos que pueden influir en la continui-
dad del negocio o de aquellos que puedan afectar a la responsabilidad social corporativa,
a las expectativas de colectivos ajenos a la empresa, pero próximos a ella como partes
interesadas en su actividad (stakeholders) como es el caso de asociaciones, organismos
públicos, etc.
16
Para la gestión de todos estos riesgos, que puede ser obligada o voluntaria, se pueden
utilizar estándares como UNE-ISO/IEC 27001, UNE-ISO 14001, UNE-ISO 26000, OH-
SAS 18001 o UNE-ISO 22301, capaces de proporcionar al empresario la mejor calidad
en la gestión de sus correspondientes riesgos.
Por desgracia, en estos organismos no existen estándares que den respuesta a una
familia de riesgos, que con seguridad lo constituye el origen de todas ellas, y que por ello
nació con el apellido de “seguridad física” que pretende dar respuesta no normalizada a
determinados riesgos empresariales, muchos de ellos de carácter antisocial como los ro-
bos, hurtos, infidelidades internas, falsificaciones, delitos contra la propiedad industrial o
intelectual, etc. e incluso relacionados con la seguridad personal del propio empresario o
sus empleados, que se convierte así en un activo con alto riesgo para su propia empresa1.
Como dice GARCÍA DIEGO (2014), en el mundo anglosajón en los años setenta, se
empezó a implantar con fuerza las tecnologías de la información y comunicación (TIC)
en entornos corporativos, por lo que se hizo necesario diferenciar los riesgos que afec-
taban a la información contenida en ordenadores centrales de los riesgos asociados a los
activos tangibles de la empresa. Fue entonces cuando apareció el apellido actual que dio
respuesta a los riesgos del software y se denominó logical security y a la seguridad del
resto de activos physical security, término que, al castellanizarse, tiene evidentes conno-
taciones de seguridad de los elementos tangibles y que, por ello, a menudo se confunde
con las propias medidas de seguridad.
Hoy se llama seguridad física a todo aquello que no podemos encuadrarlo en ninguna
de las especialidades del mundo de la seguridad, y esto induce a error a los usuarios que
conllevan pérdidas o riesgos que no se gestionan.
Sin embargo, y es reconocido por todos los expertos, la seguridad física está íntima-
mente asociada a las TIC. Es por esta razón que no resulta correcto denominar seguridad
física a los datos que se guardan en un servidor del centro de control y seguridad y hablar
de seguridad de la información cuando esos mismos datos se guardan en el host, o se
transmiten por fibra óptica, satélite o residen en la nube.
Por todo ello, y siguiendo el criterio de los expertos en seguridad, es preferible de-
nominarla seguridad patrimonial, ya que en definitiva, se trata de gestionar los riesgos
para el patrimonio de la empresa.
1 http://www.fundacionborreda.org. 17
Esta ley, por primera vez en nuestro país, obliga a estos empresarios, que denomina
operadores críticos, a gestionar los riesgos de una forma sistémica, holística, abarcando
tanto la seguridad lógica como la física, concepto que podemos considerarlo más próximo
a la seguridad integral que tantas deficiencias tiene en su aplicación práctica.
La seguridad, como se viene exigiendo desde amplios sectores de la misma, debe te-
ner sus propios patrones de gestión, sus políticas, sus procedimientos; la seguridad dejará
de ser una medida de seguridad, un producto, e incluso un departamento, para convertirse
en un proceso más de la empresa que deberá implantarse con criterios de gestión de la
calidad2.
La gestión de los riesgos patrimoniales debería formar parte del sistema de ges-
tión general, e integrarse en todas sus prácticas y procesos para proporcionar la eficacia
perseguida.
18 2 http://www.fundacionborreda.org.
SEGURIDAD PATRIMONIAL
Por esta razón todas las empresas grandes, medianas y muchas pequeñas, realizan
inversión en seguridad aunque cada sector según sus necesidades y recursos.
19
− Identificar las amenazas a qué están expuestos los activos. ¿Cuáles son las ame-
nazas naturales y humanas y qué agentes pueden causarlas?
− Identificar los riesgos que suponen las amenazas para los activos. ¿Cuál es la
probabilidad de que ocurra una amenaza?
Si no se satisfacen las expectativas, habrá que revisar todo el proceso con el fin de
mejorar las contramedidas, lo que puede suponer una mayor inversión, o una mejor for-
mación y concienciación del personal, o una redefinición de los objetivos tal vez dema-
siado ambiciosos, o una aplicación más eficientes de la tecnología.
Se debe seguir, por tanto, un proceso iterativo, hasta que las expectativas se vean
cumplidas, con el mínimo coste de tiempo y dinero, a la vez que se garantiza la operación
normal del negocio.
Se suele comparar la seguridad de la información con una cadena, donde cada uno
de los numerosos elementos que conforman un sistema informático se asemeja a un esla-
bón. Un error muy frecuente consiste en extremar las precauciones contra ciertos tipos de
amenazas, olvidando otras vías de ataque.
20
Las dos mayores amenazas externas a las que se encuentran expuestos los equipos de
una organización, tanto servidores como puestos de trabajo, e, implícitamente, sus datos,
son los hackers y el malware.
Por otro lado, tampoco hay que perder de vista las amenazas internas procedentes de
empleados y personal interno, que pueden causar daños mucho más severos en los siste-
mas informáticos, ya sea de forma deliberada o sin intención.
Defensas de datos
Defensas de aplicación
Defensas de host
Defensas de red
Defensas perimetrales
Seguridad física
Políticas y procedimientos
21
22
2. Seguridad física del entorno: El atacante goza de acceso físico a los equipos e
infraestructuras de red (hardware) por lo que el mayor riesgo planteado es que
podría dañar o robar los dispositivos junto con la información que contienen.
Una de las formas de prevenirlo consiste en controlar al personal que accede a
los distintos recursos y dependencias.
23
Resumen
• No existe, por desgracia, en nuestro país cultura de gestión del riesgo empresarial, y
las explicaciones pueden ser variadas.
• Es muy frecuente que la dirección empresarial esté más ocupada en “lo que puede ir
bien y generar negocio” que preocuparse de la gestión de los incidentes que puedan
surgir y que para ello se requiere emplear recursos de la empresa que reducen el mar-
gen de beneficios empresariales.
• La continuidad del negocio puede ponerse en peligro, tanto porque no funcionen los
procesos productivos, como porque se consuman riesgos para los activos de la em-
presa que puedan ser generadores de pérdidas importantes o incluso acabar con ella.
• Los elementos físicos de protección pueden ser, entre otros, blindajes, cerramientos,
barreras de protección, cajas fuertes, etc.
• Hoy se llama seguridad física a todo aquello que no podemos encuadrarlo en ninguna
de las especialidades del mundo de la seguridad, y esto induce a error a los usuarios
que conllevan pérdidas o riesgos que no se gestionan.
• Es reconocido por todos los expertos, la seguridad física está íntimamente asociada
a las TIC.
• Por todo ello, y siguiendo el criterio de los expertos en seguridad, es preferible deno-
minarla seguridad patrimonial, ya que en definitiva, se trata de gestionar los riesgos
para el patrimonio de la empresa.
24
25
Bibliografía
• www.fundacionborreda.org
26
Unidad
didáctica2
Control y
supervisión de
los sistemas
de seguridad física
y electrónica
SEGURIDAD PATRIMONIAL
Índice
Objetivos............................................................................................ 30
Introducción...................................................................................... 31
Conclusiones generales................................................................... 46
Resumen............................................................................................ 47
Bibliografía........................................................................................ 48
29
Objetivos
• Para ello, se describiría como se crea ese órgano, qué funciones le incumbe, como se
controla y supervisa y como se coordina su actividad con el sector de la Seguridad
Pública.
30
Introducción
Para ello debemos pensar que el objetivo primordial consiste en el hecho de con-
seguir que la gestión de la seguridad patrimonial sea eficaz, para lo cual deben tener en
cuenta una serie de principios entre los cuales se hallan los siguientes:
La gestión del riesgo patrimonial debe obtener una respuesta permanente, dinámica
y adaptativa a los cambios organizativos y a los sucesos internos y externos.
Para ello, una adecuada gestión del riesgo patrimonial y la correcta implantación
de un SGSP implicarían una mejora continua de la organización al mismo tiempo que se
incrementa la madurez de la seguridad patrimonial.
Como dice Miguel REGO, director del área de riesgos tecnológicos de Deloitte, la
protección de los bienes es un factor clave para determinar la fiabilidad de una empresa
a la hora de prestar servicios, siendo la seguridad patrimonial uno de los pilares funda-
mentales que la sustentan. Toda compañía, sea pequeña, mediana o grande, cuenta con
una serie de medidas y recursos para evitar incidentes (intencionados o accidentales).
Pero esta protección, además de mitigar los riesgos, ha de ser eficiente en costes y pro-
porcional a las características de la empresa. Es evidente que una inversión inferior a la
necesaria puede suponer graves problemas de seguridad, pero si ésta es excesiva, existe
un sobrecoste innecesario que puede ser incluso superior al valor de los activos a proteger.
Lo ideal es mejorar de forma continua la gestión de los medios con los que se cuenta.
Las organizaciones que disponen sólo de los recursos necesarios y que funcionan de una
3 El ciclo PHVA o ciclo de Deming fue dado a conocer por Edwards Deming en la década del 50, basado
en los conceptos del estadounidense Walter Shewhart. PHVA significa: Planificar, hacer, verificar y actuar. 31
forma eficiente y eficaz evitan costes adicionales sin menoscabar su seguridad. Con este
fin, las empresas se esfuerzan en adoptar modelos de protección de mayor madurez, aun-
que esta labor no es sencilla.
32
Imagen: www.seguritecnia.es
− El alcance y los límites de este en función del sector empresarial de que se trate,
sus características, ubicación, naturaleza de sus activos y tecnología aplicada.
− Definir el enfoque de apreciación del riesgo patrimonial que pueda tener la or-
ganización y para ello deben fijarse los criterios de aceptación del riesgo acep-
table y residual en la gestión por lo que conviene considerar algunos factores
como:
33
La organización debería establecer una revisión periódica del SGSP para adaptarla a
las necesidades actualizadas de los riesgos que deba enfrentarse incluyendo el mismo las
oportunas mejoras que permitan asegurar la idoneidad de este.
Todas las iniciativas de la dirección así como las acciones que se hayan tomado
como consecuencia de estas deben estar documentadas en registros actualizados.
La alta dirección debería establecer revisiones del SGSP con carácter periódico, al
menos una vez al año, a fin de asegurarse del cumplimiento del mismo y su grado de
eficacia lo que permitirá comprobar la conveniencia de aplicar nuevos objetivos de con-
trol, salvaguardas, medidas de seguridad y controles y su adecuación al cumplimiento
normativo.
Por esta razón la alta dirección de la organización debe establecer una política de
seguridad adecuada a las exigencias y requerimientos organizativos adecuados al sector
de que se trate, reflejando de forma clara el esquema estructura del diseño de seguridad
adoptado mediante su publicación y continua revisión.
Para ello, se debería aprobar y divulgar entre los integrantes de la organización, con-
tratistas y terceros afectados, un documento integral que recoja la política de seguridad
patrimonial que afecte a la empresa.
− Coordinar esta política de seguridad con todas las dependencias orgánicas, in-
ternas o externas así como, otras áreas relacionadas de gestión del riesgo como
la seguridad de la información, prevención de riesgos laborales o continuidad
del negocio.
Esta función ha permitido crear distintos roles atribuidos y perfiles del gestor de
Seguridad, citado proceso de cambio de la seguridad patrimonial, proporcionando los
siguientes cargos:
37
El art. 21.2, que establece, “Asimismo, las empresas de seguridad privada vendrán
obligadas a prestar especial auxilio y colaboración a las Fuerzas y Cuerpos de Segu-
ridad, debiendo facilitar a éstas la información que se les requiera en relación con las
competencias atribuidas a las mismas”. O bien el art. 30 h); el 35 f) que se refiere espe-
cialmente a los directores de seguridad. Así mismo se establece como falta muy grave en
el art. 57 h), o grave del art. 58 d) su incumplimiento.
Para ello debemos distinguir entre los diferentes niveles de seguridad afectados, así
podremos hablar de:
Este último informe emitido el presente año 2016 y sus resultados parten de una
muestra de cien empresas españolas. Por su propia naturaleza quedan fuera del objeto de
este estudio las empresas proveedoras de servicios y tecnología de seguridad.
Principalmente, la actividad de estas empresas está enfocada a los sectores del Siste-
ma Financiero y Tributario, y Transporte. No obstante, la diversidad de sectores que eng-
loba el espectro de panelistas en esta edición consigue reflejar el estado de las empresas
a nivel general en materia de Seguridad Corporativa.
Es relevante señalar que el 96% de los encuestados ha indicado que cuenta con un
responsable de Seguridad Corporativa, de los cuales un 85% dirige un departamento de
Seguridad dado de alta en la Unidad Central de Seguridad Privada del Cuerpo Nacional
de Policía.
40
Se han analizado las funciones que las empresas subcontratan y se ha observado que
los servicios de vigilancia de seguridad sigue siendo uno de los servicios contratados por
la práctica totalidad de las empresas encuestadas (93%).
Amenazas
Existen elementos que pueden suponer una amenaza sobre los bienes y recursos de
una empresa. El informe resalta que es conveniente identificarlos para poder prevenirlos
porque, una vez que se materializan, no sólo se incurre en costes económicos directos,
sino también indirectos (reputacionales, legales, operativos, etc.).
42
Este cambio se debe, por un lado, a los continuos avances tecnológicos que está vi-
viendo la sociedad y, como consecuencia de ello, el incremento de las amenazas y vulne
rabilidades a las que están expuestos los sistemas, y por otro, la alarma terrorista que está
viviendo nuestra sociedad en estos últimos años.
En todo caso, cabe señalar una mayor concienciación de los responsables de segu-
ridad corporativa en cuanto a la globalidad de los riesgos frente a otros de carácter más
inmediato y directo.
43
Cualificación profesional
Entre las principales carencias que perciben las empresas respecto al personal in-
terno cuando necesitan incorporar profesionales al departamento de Seguridad, destaca
la falta de profesionales formados en materia de seguridad integral en la que coinciden
cerca de 3 de cada 4 de los encuestados (70%). Muy por debajo, alrededor del 25% de los
panelistas, consideran la falta de idiomas y de experiencia profesional tanto en el ámbito
de ciberseguridad como en seguridad patrimonial, como otras de las carencias que se en-
cuentran al incorporar nuevos profesionales.
En esta misma línea, las principales carencias que perciben las empresas con respec-
to al personal operativo externo contratado son la falta de especialización y de formación
continua, con un 54% y 52%, respectivamente. Es destacable que un 22% de las empresas
consideran que tienen una escasa formación básica.
Retos y tendencias
En base a la valoración actual de tendencias que hacen las empresas, se han analiza-
do los retos a los que se enfrentan.
44
Los panelistas han indicado que, actualmente, el principal aspecto que está impac-
tando negativamente sobre el sector de la seguridad son las ciberamenazas (81%), el cual
ha crecido casi el doble en los últimos años.
Operadores críticos
Para todas aquellas empresas que hayan sido o estiman que pueden ser declaradas
como operador crítico por el Ministerio del Interior, se han analizado principalmente las
dificultades que tienen para adaptarse y el impacto que esto genera en su organización.
En concreto, un 92% de las empresas encuestadas ha afirmado encontrarse en alguna de
las dos situaciones.
Entre los diferentes aspectos positivos que consideran estas empresas en su relación
con la Administración se encuentran la guía y colaboración en la incorporación al Sistema
PIC y el intercambio de información, señalado por un 42% de los encuestados, seguido
del apoyo en materia de ciberseguridad (36%) que reciben por parte de la Administración.
También destaca el apoyo operativo de las Fuerzas y Cuerpos de Seguridad, aspecto se-
ñalado por un 26% de las empresas. Se confirma así lo acertado de la estrategia seguida
por el Ministerio del Interior.
45
Conclusiones generales
Además, en las empresas existe un alto grado de coordinación entre el área de Segu-
ridad Corporativa y el resto de departamentos, ya que los requerimientos son acordados
entre las diferentes áreas (50%) y el área de Seguridad Corporativa brinda apoyo a todos
los departamentos por igual (41%).
Como paso previo a la integración efectiva de las áreas de seguridad física y lógica,
se observa una tendencia al alza de creación de órganos tipo comité en los que se compar-
ten formalmente los riesgos y amenazas.
Resumen
• La gestión del riesgo patrimonial debe obtener una respuesta permanente, dinámica
y adaptativa a los cambios organizativos y a los sucesos internos y externos.
• Un SGSP debe detectar, analizar, gestionar y evaluar todos los riesgos que puedan
afectar a la organización o institución afectada.
47
Bibliografía
• www.fundacionborreda.org
48