SeguridadPatrimonialUCAV PDF

SEGURIDAD
PATRIMONIAL
Adolfo de la Torre Fernández
Textos universitarios
29
Textos universitarios
29
Adolfo de la Torre Fernández
SEGURIDAD
PATRIMONIAL
2017
Torre Fernández, Adolfo
Seguridad patrimonial [Libro electrónico] / Adolfo Torre Fernández.
Ávila: Universidad Católica de Ávila, 2017. – 1 archivo de Internet (PDF).
(Textos universitarios (UCAV) ; 29)
ISBN 978-84-9040-441-6
1. Empresas – Medidas de seguridad 4. Propiedad inmobiliaria
HV8290
351.746.3
© Servicio de Publicaciones
Universidad Católica de Ávila
C/ Canteros s/n. 05005 Ávila
Tlf. 920 25 10 20
publicaciones@ucavila.es
www.ucavila.es
© Primera edición (en formato electrónico): abril 2017
“Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra sólo
puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a
CEDRO (Centro Español de Derechos Reprográficos) si necesita imprimir o descargar algún fragmento de
esta obra (http://www.conlicencia.com; 91 702 19 70 / 93 272 04 47).”
ISBN: 978-84-9040-441-
Maquetación: INTERGRAF
SEGURIDAD PATRIMONIAL
Índice general
Unidad 1:
Prevención de los delitos de daños físicos e informáticos
1.1. Medidas de seguridad física y electrónica.................... 12
1.1.1. Elementos de protección en la seguridad física...... 12
1.1.1.1. Otros elementos de seguridad física......... 14
1.1.1.2. Control de accesos.................................... 14
1.1.2. Medidas de seguridad bancaria según la
normativa en vigor................................................... 19
1.1.2.1. La seguridad en la empresa...................... 21
Unidad 2:
Control y supervisión de los sistemas de seguridad física
y electrónica
2.1. Control y supervisión de los sistemas de seguridad
físca y electrónica............................................................ 33
2.1.1. Creación de un SGSP............................................. 33
2.1.2. Control y supervisión del SGSP.............................. 35
2.1.3. Política de seguridad patrimonial y su
organización............................................................ 36
2.1.3.1. Contenido del documento de la Política
de seguridad patrimonial........................... 36
2.1.3.2. Control de la Política de seguridad
patrimonial................................................. 37
2.1.4. Coordinación con las autoridades de seguridad
pública..................................................................... 38
2.1.5. Seguridad de los activos de la organización........... 39
2.1.6. Estudio sobre la seguridad patrimonial................... 40
Conclusiones generales.......................................................... 46
www.ucavila.es ÍNDICE GENERAL

SEGURIDAD
PATRIMONIAL
Unidad
1
didáctica
Prevención de
los delitos
de daños físicos
e informáticos
Índice
Objetivos............................................................................................ 10
Introducción...................................................................................... 11
1.1. Medidas de seguridad física y electrónica............................ 12

1.1.1. Elementos de protección en la seguridad física.............. 12
1.1.1.1. Otros elementos de seguridad física................. 14
1.1.1.2. Control de accesos............................................ 14
1.1.2. Medidas de seguridad bancaria según la normativa en
vigor................................................................................. 19
1.1.2.1. La seguridad en la empresa.............................. 21
Resumen............................................................................................ 24
Bibliografía........................................................................................ 26
www.ucavila.es UNIDAD 1: PREVENCIÓN DE LOS DELITOS DE DAÑOS FÍSICOS E INFORMÁTICOS

FORMACIÓN ABIERTA
Objetivos
• En esta unidad se expondrán una serie de conceptos vinculados a la seguridad que

tradicionalmente se han venido estudiando desde ópticas parciales y que con el esta-
do actual de las nuevas tecnologías de la información y comunicación nos obliga a
tratarlas de forma más global.
• Se pretende enfocar la seguridad patrimonial desde todos los frentes ya sea mediante
la aplicación de medidas de prevención de carácter mecánico, conocido histórica-
mente como seguridad física, y a través de medidas de control informático.
• Se quiere evidenciar lo que ya desde la mayoría de las grandes empresas se viene

estudiando como seguridad global y de esta forma poder ofrecer a las organizaciones
una visión más abstracta de la seguridad teniendo en cuenta que todos sus frentes son
imprescindibles.
• Se desarrolla un capítulo dedicado a la protección informática por considerar esta

labor primordial en la seguridad patrimonial ya que todas las medianas y grandes
empresas ponen sus recursos técnicos en manos de las nuevas tecnologías.
10
UNIDAD 1: PREVENCIÓN DE LOS DELITOS DE DAÑOS FÍSICOS E INFORMÁTICOS www.ucavila.es

Introducción
Habitualmente se ha denominado seguridad física a determinadas actividades de pro-

tección destinadas a aquellos elementos físicos y mecánicos susceptibles de ser atacados
pretendiendo diferenciarlo de otras familias. No obstante, este concepto ha sido superado
por otro que denominamos Seguridad Patrimonial porque no sólo de elementos físicos se
nutre en la actualidad la seguridad de una empresa u organización.
Es cierto que las empresas no han establecido en su estructura interna históricamente

la gestión de todas las circunstancias contingentes así como la gestión de los riesgos de
cualquier tipo que puedan afectar a estas o dicho de otra forma la gestión de todo aquello
que “puede ir mal”. No existe, por desgracia, en nuestro país cultura de gestión del riesgo
empresarial, y las explicaciones pueden ser variadas.
Se dice que la causa principal de esa visión es la falta de cultura de la seguridad por
parte de la dirección lo que conlleva que se traslade a la propia organización que, la ges-
tión de los riesgos empresariales que pueda asumir.
Por el contrario, es muy frecuente que la dirección empresarial esté más ocupada en
“lo que puede ir bien y generar negocio” que preocuparse de la gestión de los incidentes
que puedan surgir y que para ello se requiere emplear recursos de la empresa que reducen
el margen de beneficios empresariales.
Pero lo cierto es que los incidentes que puedan surgir pueden afectar a los recursos
de la empresa reduciendo el consecuente margen de beneficios empresariales.
La continuidad del negocio puede ponerse en peligro, tanto porque no funcionen los
procesos productivos, como porque se consuman riesgos para los activos de la empresa
que puedan ser generadores de pérdidas importantes o incluso acabar con ella. Y esta es
la razón por la que ambos deben ser adecuadamente gestionados.
11

FORMACIÓN ABIERTA
1.1. Medidas de seguridad física

y electrónica
Tradicionalmente se dice que la Seguridad Física, según MOLINA GONZÁLEZ et

al (2015), lo integra el conjunto de barreras naturales o artificiales utilizadas para pro-
teger de forma estática y por un tiempo determinado una instalación. Para poder conocer
la forma en la que se establecen las medidas de seguridad física de las instalaciones expo-
nemos los distintos elementos de protección más habituales de uso, para después, en un
segundo momento citar otros menos usados.
La ley 5/2014, de 4 de abril, de Seguridad Privada habla de varios tipos de medidas:
1. Seguridad física
2. Seguridad electrónica
3. Seguridad informática
4. Seguridad organizativa
5. Seguridad personal
1.1.1. Elementos de protección en la seguridad física

Entre los elementos de protección más habituales existentes, debemos citar:
Blindaje. Es el conjunto de elementos de seguridad y refuerzo físico, constituidos por

diferentes materiales, cuyo principal objetivo es la protección integral contra proyectiles
ligeros.
Cerramientos. El cerramiento es el elemento delimitador de la instalación por antono-

masia. Su objetivo es detener, disuadir, dificultar y obstaculizar a los terceros ante una
posible intrusión no autorizada. También canaliza el acceso de personas y vehículos a la
institución o edificio por los lugares elegidos por el sistema de seguridad. Para que un
cerramiento sea efectivo deberá impedir la visión desde el exterior, adaptándose a las ca-
racterísticas del terreno. Debe tener, por ello, una altura mínima de 2,5 metros, debiendo
carecer de elementos que permitan su escalo, estando alejado de mobiliario urbano que
lo facilite.
12

Barreras de protección. Son obstáculos que se instalan en puntos de acceso de vehículos

para impedir o dificultar el paso no autorizado o restringido. La clasificación de los tipos
de barreras de protección es la siguiente:
− Permanentes: que pueden estar formadas por bloques de hormigón con una altu-
ra de hasta 1,30 metros habitualmente, por separadores de autopista, por pivotes
fijos, o jardineras rellenas de material pesado, entre otros elementos.
− Semipermanentes: barreras que se pueden retirar de forma mecánica, hidráulica

o manual para permitir el acceso controlado.
Cajas fuertes. Las cajas fuertes son compartimentos de seguridad considerados como un
elemento tecnológico dotado de un sistema de seguridad cuya apertura es muy difícil para
personas no autorizadas y consiguiendo un compartimento estanco en el que se puedan
alojar elementos de gran valor como dinero, joyas y similares. Por lo general son fabri-
cadas en un metal extremadamente resistente y de gran peso. Consta de un sistema de
cierre que solo se puede abrir mediante claves que pueden ser modificadas por el usuario
autorizado lo que le dota de mayor seguridad.
Los sistemas de apertura se pueden accionar por una sola llave, llave más combina-
ción mecánica o electrónica o mediante combinación de ambas motorizada.
Según norma UNE 1143-1:2012, sobre Unidades de almacenamiento de seguridad.

Requisitos, clasificación y métodos de ensayo para resistencia al robo. Parte 1: Cajas
fuertes, cajeros automáticos, puertas y cámaras acorazadas, se especifican las caracte-
rísticas técnicas de las cajas fuertes, puertas de las cajas fuertes, cámaras acorazadas y
cajeros ATM (cajeros automáticos).
Otros elementos de seguridad blindados son:
Cámara acorazada: Es el conjunto de defensas físicas formada por un muro acorazado

que delimita un recinto o espacio a proteger, accesible a través de una o varias aberturas,
cubiertas por puerta y trampones acorazados.
Muro acorazado: Los muros acorazados son protecciones de enclaves de seguridad de-
limitados por el propio muro. Para su construcción se deben tener en consideración dos
aspectos fundamentales: La composición del hormigón y el grosor.
Puerta acorazada: En la puerta acorazada el dispositivo de cierre suele estar compuesto

por una cerradura principal, una cerradura de control dotada de llave independiente, y
una cerradura de combinación con clave secreta. El blindaje suele ser una aleación con
coeficiente alto de conductividad térmica y tratamiento anti-lanza térmica, una plancha
de acero de un espesor mínimo de 1 centímetro, una placa de acero para fijación de las
piezas, y aglomerado de cemento.
13

FORMACIÓN ABIERTA
Trampón: Es un elemento físico construido que permite la evacuación de la instalación

acorazada en determinadas circunstancias y el acceso en caso de ataque a la puerta prin-
cipal. Su grado de seguridad debe tener el mismo nivel de la puerta acorazada.
1.1.1.1. Otros elementos de seguridad física

Para completar el panorama de todos los sistemas físicos de seguridad que podemos en-
contrar en una determinada instalación debemos citar otros menos habituales:
− Concertinas
− Cabinas de seguridad.
− Bolardos fijos.
− Rastrillos.
− Espejos.
− Pulsadores de alarma.
1.1.1.2. Control de accesos

Se puede definir el control de accesos al conjunto de operaciones cuyo objeto prin-
cipal consiste en controlar la entrada y salida de personas, objetos y vehículos a una
instalación.
Los objetivos de un sistema de control de acceso son:
− Identificar a las personas, vehículos y objetos.
− Determinar zonas de acceso, en especial las consideradas restringidas.
− Fijación de criterios de autorización o denegación de acceso.
− Obtener información de los movimientos generados en la instalación.
− Establecer procedimientos operativos de acreditación, registro, identificación e

inspección.
Mediante el control de accesos se pretende combatir adecuadamente la presencia no

deseada o intrusión en las instalaciones protegidas, así como controlar la entrada y salida
de materiales o equipamiento. Para ello se deberá:
− Disponer de medios personales (vigilantes de seguridad) o personal habilitado

como controlador de accesos por la administración competente.
14

− Disponer alternativamente, de medios electrónicos como barreras de acceso,

tarjetas o sistemas biométricos, que impidan el paso a personas no autorizadas a
penetrar en los edificios.
− Disponer de procedimientos que establezcan inequívocamente las condiciones

de acceso para grupos de personas (personal, proveedores habituales, visitantes,
empresas contratistas, etc.)
− Disponer de procedimientos que establezcan el registro y uso posterior de los

datos personales de quienes acceden.
− Instalar sistemas complementarios de videovigilancia monitorizados de forma

permanente.
− Revisar la paquetería y correspondencia dirigidas al interior del establecimiento.
− Disponer de un sistema de control de acceso de vehículos que permita de forma

manual (mediante personal de seguridad) o electrónica (bases de datos y siste-
mas de reconocimiento de matrículas conectados con barreras y disponibilidad
de plazas) el control de los vehículos que acceden o permanecen en el edificio.
− Disponer de un sistema de unicidad de paso (permite el paso a una sola persona

cada vez) en aquellos lugares en que el activo a proteger se considere de rele-
vancia especial como zonas de personal vip, locales de tratamiento de informa-
ción sensible, CPD, servicios esenciales considerados críticos, etc.
Los sistemas de seguridad para el control de acceso pueden ser:
− Tornos o molinetes.
− Esclusas.
− Barrera aérea y de superficie.
− Arco detector de metales.
− Detector manual de metales.
− Dispositivo de rayos X
− Detector de explosivos (arco desmontable y dispositivo manual)
− Detector de radioactividad.
− Detectores biométricos (voz, iris, acial, huella dactilar, otros)
− Tarjeta de identificación.
− Tarjeta magnética.
15

FORMACIÓN ABIERTA
− Tarjeta de código de barras.
− Tarjeta inteligente-microchip.
− Tarjeta de proximidad.
Con el uso de los diferentes sistemas de seguridad enumerados, aplicables a un con-

trol de accesos y con una correcta combinación, podemos conseguir los tres fundamentos
de la auténtica identificación.
− Datos conocidos por los usuarios y reconocidos por los sistemas de seguridad
(como las contraseñas,..).
− Elementos en posesión del personal autorizado a acceder a la instalación (tarje-

tas, llaves,..).
− Características propias de los usuarios de la instalación (sistemas biométricos).

Sin duda los más seguros, ya que una contraseña o una tarjeta pueden ser cedi-
das, sin embargo, la identidad biométrica es única e intransferible.
Este hecho ha obligado a que se hayan tenido que publicar diversas normas legales
que obligan a las organizaciones a gestionar determinados riesgos como sucede con los
riesgos laborales de los trabajadores.
Mucho más difícil ha sido convencer a los empresarios para que voluntariamente
hayan decidido gestionar determinados riesgos sin que una ley no les obligara. No obs-
tante, el temor a determinados riesgos de pérdidas o la imposición de terceras partes con
quienes contratan ha sido suficiente, en algunos casos, para que fueran dando respuesta a
otras familias de riesgo.
Esto sería el caso de los riesgos para la información, activo determinante en cada vez
más procesos productivos, y por ello estratégico para el empresario, o la gestión de ries-
gos para el medio ambiente que pude verse alterado como consecuencia de la actividad
empresarial.
Otras familias de riesgo también surgen como consecuencia del cumplimiento nor-
mativo, generador a su vez del riesgo de cumplimiento, del miedo a la sanción, como la
normativa de seguridad privada que afecta a sectores relacionados con la actividad como
los bancos, etc.
Más difícil resulta ver como existen otros riesgos que pueden influir en la continui-
dad del negocio o de aquellos que puedan afectar a la responsabilidad social corporativa,
a las expectativas de colectivos ajenos a la empresa, pero próximos a ella como partes
interesadas en su actividad (stakeholders) como es el caso de asociaciones, organismos
públicos, etc.
16

Para la gestión de todos estos riesgos, que puede ser obligada o voluntaria, se pueden
utilizar estándares como UNE-ISO/IEC 27001, UNE-ISO 14001, UNE-ISO 26000, OH-
SAS 18001 o UNE-ISO 22301, capaces de proporcionar al empresario la mejor calidad
en la gestión de sus correspondientes riesgos.
Por desgracia, en estos organismos no existen estándares que den respuesta a una
familia de riesgos, que con seguridad lo constituye el origen de todas ellas, y que por ello
nació con el apellido de “seguridad física” que pretende dar respuesta no normalizada a
determinados riesgos empresariales, muchos de ellos de carácter antisocial como los ro-
bos, hurtos, infidelidades internas, falsificaciones, delitos contra la propiedad industrial o
intelectual, etc. e incluso relacionados con la seguridad personal del propio empresario o
sus empleados, que se convierte así en un activo con alto riesgo para su propia empresa1.
Como dice GARCÍA DIEGO (2014), en el mundo anglosajón en los años setenta, se
empezó a implantar con fuerza las tecnologías de la información y comunicación (TIC)
en entornos corporativos, por lo que se hizo necesario diferenciar los riesgos que afec-
taban a la información contenida en ordenadores centrales de los riesgos asociados a los
activos tangibles de la empresa. Fue entonces cuando apareció el apellido actual que dio
respuesta a los riesgos del software y se denominó logical security y a la seguridad del
resto de activos physical security, término que, al castellanizarse, tiene evidentes conno-
taciones de seguridad de los elementos tangibles y que, por ello, a menudo se confunde
con las propias medidas de seguridad.
Hoy se llama seguridad física a todo aquello que no podemos encuadrarlo en ninguna
de las especialidades del mundo de la seguridad, y esto induce a error a los usuarios que
conllevan pérdidas o riesgos que no se gestionan.
Sin embargo, y es reconocido por todos los expertos, la seguridad física está íntima-
mente asociada a las TIC. Es por esta razón que no resulta correcto denominar seguridad
física a los datos que se guardan en un servidor del centro de control y seguridad y hablar
de seguridad de la información cuando esos mismos datos se guardan en el host, o se
transmiten por fibra óptica, satélite o residen en la nube.
En la actualidad resulta prácticamente imposible encontrar servicios de seguridad

que no estén soportados en esas nuevas tecnologías ya que en muchos casos las puertas
ya no se abren con llaves físicas sino con tarjetas de proximidad, con dispositivos electró-
nicos o con el iris de los ojos, y por ello resulta obsoleto considerar que aquella seguridad
originaria, como especialidad que es de la seguridad general, siga asociada a elementos
físicos solo por el nombre que en su día se le dio en inglés.
Por todo ello, y siguiendo el criterio de los expertos en seguridad, es preferible de-
nominarla seguridad patrimonial, ya que en definitiva, se trata de gestionar los riesgos
para el patrimonio de la empresa.
1 http://www.fundacionborreda.org. 17

FORMACIÓN ABIERTA
Por otro lado, como se sabe, solo se ha regulado el establecimiento de medidas de

seguridad en determinados sectores en los que el legislador ha considerado prioritarios.
Se refieren a sectores en los que la comisión de delitos contra el patrimonio es más alto
estadísticamente, como los bancos, las gasolineras, las joyerías, las farmacias, salas de
exposiciones, etc.
Todos ellos tienen la obligación de adoptar determinadas medidas de seguridad; para

ello se crea la especialidad de “seguridad privada”, para diferenciarla de la pública.
Esta visión tan parcial de la seguridad cambió de filosofía cuando se promulgó la

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las
infraestructuras críticas. Esta ley está dirigida a la prevención de cualquier riesgo que se
cierna sobre servicios que el legislador considere esenciales para la comunidad. De esta
forma, todas las empresas que desarrollen actividades que prestan servicios esenciales a
la sociedad, ya sean privadas o públicas, pasan a denominarse infraestructuras críticas
por lo que el legislador les impone determinadas obligaciones relativas a la gestión de sus
riesgos con la finalidad de evitar la consumación de amenazas y, en el caso de producirse,
minimizar sus consecuencias.
Esta ley, por primera vez en nuestro país, obliga a estos empresarios, que denomina
operadores críticos, a gestionar los riesgos de una forma sistémica, holística, abarcando
tanto la seguridad lógica como la física, concepto que podemos considerarlo más próximo
a la seguridad integral que tantas deficiencias tiene en su aplicación práctica.
La seguridad, como se viene exigiendo desde amplios sectores de la misma, debe te-
ner sus propios patrones de gestión, sus políticas, sus procedimientos; la seguridad dejará
de ser una medida de seguridad, un producto, e incluso un departamento, para convertirse
en un proceso más de la empresa que deberá implantarse con criterios de gestión de la
calidad2.
La gestión de los riesgos patrimoniales debería formar parte del sistema de ges-
tión general, e integrarse en todas sus prácticas y procesos para proporcionar la eficacia
perseguida.
La gestión de riesgos debería formar parte de los procesos de la organización, espe-

cialmente en lo atinente al diseño e implantación de las políticas del Sistema de Gestión
de Seguridad Patrimonial, (en adelante SGSP), el proceso de apreciación y tratamiento de
riesgos y de la selección de objetivos y controles de seguridad.
Como se ha comentado no podemos separar la seguridad conocida como física, de la

informática ya que se considera que ambas conforman la seguridad patrimonial.
18 2 http://www.fundacionborreda.org.

1.1.2. Medidas de seguridad bancaria según la normativa en

vigor
Por otro lado, como es pacífico, las redes de comunicaciones y los sistemas de in-
formación se han convertido en un factos esencial del desarrollo económico y social. La
informática y las redes se están convirtiendo en recursos omnipresentes, tal y como ha
ocurrido con el suministro de agua y de electricidad. Por consiguiente, la seguridad de las
redes de comunicación y de los sistemas de información, y en particular su disponibili-
dad, es un asunto que preocupa cada vez más a la sociedad.
Raras son las empresas que en la actualidad no se han informatizado mínimamen-

te. En el ámbito doméstico, cada día son más los hogares que cuentan con ordenador y
conexión a Internet de alta velocidad y muchos de ellos disponen de dispositivos conec-
tados en red local y con control domótico. En consecuencia, los ordenadores almacenan
documentos, cartas, hojas de cálculo, imágenes, música, bases de datos con información
sensible de clientes, proveedores, datos bancarios, tarjetas de crédito, etc.
Por esta razón todas las empresas grandes, medianas y muchas pequeñas, realizan
inversión en seguridad aunque cada sector según sus necesidades y recursos.
Cada medida de seguridad informática debe aplicarse en función de un contexto

determinado y sólo podrá satisfacer unas determinadas expectativas. Si el objetivo es
“nadie accederá a los datos de mi portátil” entonces la medida de seguridad más adecuada
consistirá en cifrar el disco, podrán robarle el portátil pero no accederán a su información.
Factores que no podemos dejar de lado, al considerar aplicar medidas de seguridad,

consiste en analizar su coste de adquisición, de mantenimiento y de operación, su facili-
dad de uso, su aceptación entre los usuarios de la empresa, la percepción de los clientes,
su efectividad, etc.
19

FORMACIÓN ABIERTA
La mayoría de las medidas de seguridad resultan insuficientes si se implantan aisla-

damente, por lo que deben combinarse con otras muchas para que sean efectivas.
La seguridad de la información trata por tanto de proteger activos, tanto tangibles,

como por ejemplo un disco duro o una base de datos con la información contable o de
clientes, como intangibles, como por ejemplo la reputación, la privacidad o el nombre de
la marca. Por ello, antes de lanzarse a implantar medidas preventivas de seguridad infor-
mática que no se sabe muy bien qué es lo que van a proteger ni contra qué, se debe realizar
una labor de análisis de riesgos previo:
− Identificar cuáles son los activos a proteger en la organización. ¿Qué activos

son los más valiosos y cuál es su valor?
− Identificar las amenazas a qué están expuestos los activos. ¿Cuáles son las ame-
nazas naturales y humanas y qué agentes pueden causarlas?
− Identificar los riesgos que suponen las amenazas para los activos. ¿Cuál es la
probabilidad de que ocurra una amenaza?
− Identificar y evaluar el coste de las contramedidas a implantar para reducir o

mitigar el riesgo. ¿Cuánto cuesta implantar una medida y cuál sería su eficacia?
Es evidente que el análisis, la planificación y la definición de unos objetivos de se-

guridad colaboran para que las medidas se implanten correctamente y no dificulten las
actividades cotidianas. Como resultado, se disminuye el riesgo cumpliéndose las expec-
tativas de seguridad.
Si no se satisfacen las expectativas, habrá que revisar todo el proceso con el fin de
mejorar las contramedidas, lo que puede suponer una mayor inversión, o una mejor for-
mación y concienciación del personal, o una redefinición de los objetivos tal vez dema-
siado ambiciosos, o una aplicación más eficientes de la tecnología.
Se debe seguir, por tanto, un proceso iterativo, hasta que las expectativas se vean
cumplidas, con el mínimo coste de tiempo y dinero, a la vez que se garantiza la operación
normal del negocio.
La seguridad de la información implica el diseño y aplicación de un conjunto de

medidas de seguridad interrelacionado de formas muy complejas.
Se suele comparar la seguridad de la información con una cadena, donde cada uno
de los numerosos elementos que conforman un sistema informático se asemeja a un esla-
bón. Un error muy frecuente consiste en extremar las precauciones contra ciertos tipos de
amenazas, olvidando otras vías de ataque.
20

La disciplina de la seguridad informática no dista mucho de la seguridad tradicio-

nal. De igual modo que se pueden cometer delitos en el mundo físico, dentro del mundo
digital, como todo el mundo sabe, también se cometen. Existen, múltiples delitos dentro
del mundo digital, todos ellos ligados a la información que se aloja en sistemas o que se
transmite por las redes de comunicaciones.
1.1.2.1. La seguridad en la empresa

Según todos los estudios, las grandes empresas son las más atacadas dentro de la
batalla del mundo digital, si bien en menor medida las pequeñas y medianas son también
objeto de los intrusos. El hecho de que más del 80% de los ataques a los sistemas se rea-
lice en remoto facilita su existencia.
Las dos mayores amenazas externas a las que se encuentran expuestos los equipos de
una organización, tanto servidores como puestos de trabajo, e, implícitamente, sus datos,
son los hackers y el malware.
Por otro lado, tampoco hay que perder de vista las amenazas internas procedentes de
empleados y personal interno, que pueden causar daños mucho más severos en los siste-
mas informáticos, ya sea de forma deliberada o sin intención.
Para evitarlo, se deben implantar medidas de autoprotección en profundidad (defen-

se-in-depth) que consiste en aplicar contramedidas diferentes en cada capa de la infraes-
tructura de la información de la organización, desde los routers y cortafuegos perimetra-
les hasta los puestos de trabajo personal.
El objetivo perseguido consiste en asegurarse de que si el mecanismo de salvaguarda

implantado en una capa falla, el de la siguiente capa funcionará.
Es evidente que cuantas más barreras sucesivas se superpongan, el riesgo de intru-

sión irá disminuyendo a la par que aumenta la posibilidad de detección y reacción. El
ataque puede proceder de tantos frentes diferentes que implantar un único mecanismo de
protección se traduce en un suicidio.
Defensas de datos
Defensas de aplicación
Defensas de host
Defensas de red
Defensas perimetrales
Seguridad física
Políticas y procedimientos
21

FORMACIÓN ABIERTA
Este modelo conceptual representa la infraestructura de la tecnología de la infor-

mación de la organización como un conjunto superpuesto de capas. Cada capa involucra
personas, tecnologías y operaciones.
Su objetivo final reside en minimizar el riesgo de manera que se garantice un ni-

vel aceptable de confidencialidad, integridad y disponibilidad (CID) de los activos de la
información.
La defensa en profundidad debe encontrar un equilibrio entre sus principales tres

elementos:
− Personas: Para garantizar la seguridad de la información debe implicarse al per-

sonal de la organización cuya responsabilidad le incumbe a la dirección.
− Tecnología: En general, la gran cantidad de soluciones técnicas de seguridad

disponibles en el mercado recibe la mayor atención y presupuesto cuando se
implantan mecanismos de salvaguarda de la información. Sin políticas de se-
guridad adecuadas, las medidas técnicas se implantarán mal o donde no hacen
falta.
− Operaciones: Sostener la seguridad de la organización requiere una serie de ac-

ciones diarias como mantener actualizada y comunicada la política de seguridad
tecnológica del sistema.
Las capas en las que habitualmente se subdivide la infraestructura de TI son siete,

según ALVAREZ MARAÑÓN y PÉREZ GARCÍA. En cada una de ellas se implantan
una serie de mecanismos de protección, que implicarán personal, tecnología y procesos,
con el fin de mitigar los riesgos.
22

1. Políticas y procedimientos de seguridad: Esta capa posiblemente sea la más des-

cuidada y desatendida de todas, siendo precisamente la más importante, ya que
se constituye la pueda angular, el basamento de todas las demás. “La Dirección
debería aprobar, publicar y comunicar a todos los empleados un documento de
política de seguridad de la información. Debería establecer el compromiso de
la Dirección y el enfoque de la Organización para gestionar la seguridad de la
información…” (UNE-ISO/IEC 17799).
2. Seguridad física del entorno: El atacante goza de acceso físico a los equipos e
infraestructuras de red (hardware) por lo que el mayor riesgo planteado es que
podría dañar o robar los dispositivos junto con la información que contienen.
Una de las formas de prevenirlo consiste en controlar al personal que accede a
los distintos recursos y dependencias.
3. Defensa perimetral: El perímetro es el punto o conjunto de puntos de la red in-

terna de confianza gestionada por la propia organización en contacto con otras
redes externas no fiables, no sólo Internet. El atacante posee acceso a los servi-
cios ofrecidos o accesibles desde el exterior. El perímetro se protege instalando
cortafuegos, redes privadas virtuales, routers bien configurados, redes inalám-
bricas protegidas, etc.
4. Defensa de red: El atacante posee acceso a la red interna de la organización,

por lo que potencialmente puede acceder a cualquier puerto de cualquier equipo
o monitorizar el tráfico que circula por la red, de forma pasiva o activa. Para
proteger la red de esas amenazas se suelen utilizar sistemas de detección y pre-
vención de intrusiones.
5. Defensa de equipos: La seguridad de los equipos, tanto servidores como clien-

tes, implica como mínimo tres tareas fundamentales: mantenerse al día con los
parches de seguridad, desactivar todos los servicios innecesarios y mantener el
antivirus activo y constantemente actualizado.
6. Defensa de aplicaciones: Las aplicaciones se protegen realizando un control

de acceso mediante la sólida implantación de mecanismos de autenticación y
autorización. Una medida de seguridad adiciona consiste en la instalación de
cortafuegos de aplicación, dedicados a filtrar el tráfico específico de distintas
aplicaciones (correo, web, bases de datos, etc.).
7. Defensa de datos: Si un atacante ha traspasado todas las barreras anteriores y

posee acceso a la aplicación, la autenticación y autorización, así como el cifra-
do, constituyen las tecnologías más empleadas para proteger los datos.
23

FORMACIÓN ABIERTA
Resumen
• Habitualmente se ha denominado seguridad física a determinadas actividades de

protección destinadas a aquellos elementos físicos y mecánicos susceptibles de ser
atacados pretendiendo diferenciarlo de otras familias.
• No existe, por desgracia, en nuestro país cultura de gestión del riesgo empresarial, y
las explicaciones pueden ser variadas.
• Es muy frecuente que la dirección empresarial esté más ocupada en “lo que puede ir
bien y generar negocio” que preocuparse de la gestión de los incidentes que puedan
surgir y que para ello se requiere emplear recursos de la empresa que reducen el mar-
gen de beneficios empresariales.
• La continuidad del negocio puede ponerse en peligro, tanto porque no funcionen los
procesos productivos, como porque se consuman riesgos para los activos de la em-
presa que puedan ser generadores de pérdidas importantes o incluso acabar con ella.
• La Seguridad lo integra el conjunto de barreras naturales o artificiales utilizadas para

proteger de forma estática y por un tiempo determinado una instalación.
• La Ley de Seguridad Privada habla de Seguridad física, electrónica, informática,

organizativa y de personal.
• Los elementos físicos de protección pueden ser, entre otros, blindajes, cerramientos,
barreras de protección, cajas fuertes, etc.
• El control de accesos lo constituye el conjunto de operaciones cuyo objeto princi-

pal consiste en controlar la entrada y salida de personas, objetos y vehículos a una
instalación.
• Hoy se llama seguridad física a todo aquello que no podemos encuadrarlo en ninguna
de las especialidades del mundo de la seguridad, y esto induce a error a los usuarios
que conllevan pérdidas o riesgos que no se gestionan.
• Es reconocido por todos los expertos, la seguridad física está íntimamente asociada
a las TIC.
• Por todo ello, y siguiendo el criterio de los expertos en seguridad, es preferible deno-
minarla seguridad patrimonial, ya que en definitiva, se trata de gestionar los riesgos
para el patrimonio de la empresa.
24

• Esta visión tan parcial de la seguridad cambió de filosofía cuando se promulgó la

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las
infraestructuras críticas. Esta ley está dirigida a la prevención de cualquier riesgo que
se cierna sobre servicios que el legislador considere esenciales para la comunidad.
• La gestión de riesgos debería formar parte de los procesos de la organización, es-

pecialmente en lo atinente al diseño e implantación de las políticas del Sistema de
Gestión de Seguridad Patrimonial, el proceso de apreciación y tratamiento de riesgos
y de la selección de objetivos y controles de seguridad.
25

FORMACIÓN ABIERTA
Bibliografía
• GARCÍA DIEGO, J.M., Guía de buenas prácticas en la seguridad patrimonial, AE-

NOR. ASOCIACION ESPAÑOLA DE NORMALIZACION Y CERTIFICACION,
AENOR Ediciones 2014.
• www.fundacionborreda.org
26

SEGURIDAD
PATRIMONIAL
Unidad
didáctica2
Control y
supervisión de
los sistemas
de seguridad física
y electrónica
Índice
Objetivos............................................................................................ 30
Introducción...................................................................................... 31
2.1. Control y supervisión de los sistemas de seguridad físca

y electrónica............................................................................. 33
2.1.1. Creación de un SGSP..................................................... 33
2.1.2. Control y supervisión del SGSP...................................... 35
2.1.3. Política de seguridad patrimonial y su organización....... 36
2.1.3.1. Contenido del documento de la Política de
seguridad patrimonial........................................ 36
2.1.3.2. Control de la Política de seguridad patrimonial. 37
2.1.4. Coordinación con las autoridades de seguridad pública. 38
2.1.5. Seguridad de los activos de la organización................... 39
2.1.6. Estudio sobre la seguridad patrimonial........................... 40
Conclusiones generales................................................................... 46
Resumen............................................................................................ 47
Bibliografía........................................................................................ 48
29
www.ucavila.es UNIDAD 2: CONTROL Y SUPERVISIÓN DE LOS SISTEMAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA

FORMACIÓN ABIERTA
Objetivos
• Una vez estudiado el significado de la seguridad patrimonial en una organización,

conviene destacar la importancia que tiene instaurar en su seno de un Sistema de
Gestión de la Seguridad Patrimonial que documento, dentro del contexto de las ac-
tividades empresariales que desarrolle, los riesgos que afronta, los evalúe, analice,
gestiones, prevenga y audite y controle el funcionamiento de supervisión.
• Para ello, se describiría como se crea ese órgano, qué funciones le incumbe, como se
controla y supervisa y como se coordina su actividad con el sector de la Seguridad
Pública.
• Para ello resulta imprescindible dotar a la organización de una política de seguridad

estructurada y documentada que organice el funcionamiento, estructura y responsa-
bilidad de los órganos que lo integran.
• Se ha considerado interesante aportar las principales conclusiones que se derivan un

Estudio de Seguridad Corporativa redactado por la Fundación Borredá y Deloitte y
que tiene la finalidad de tomar el pulso a la evolución y madurez de las empresas
españolas en materia de gestión de la Seguridad, así como para conocer su estado
actual y fijar referencias que permitan analizar su evolución histórica.
30
UNIDAD 2: CONTROL Y SUPERVISIÓN DE LOS SISTEMAS DE SEGURIDAD FÍSICA Y ELECTRÓNICA www.ucavila.es

Introducción
La organización empresarial debería proceder a la creación, implementación, con-

trol y revisión del Sistema de Gestión de la Seguridad Patrimonial, en adelante (SGSP)
documentado dentro del contexto de las actividades empresariales generales de esta y de
los riesgos que afronta.
El proceso que se describe en esta Unidad se basa en el modelo PHVA de mejora

continua, o conocido como ciclo de DEMING3.
Para ello debemos pensar que el objetivo primordial consiste en el hecho de con-
seguir que la gestión de la seguridad patrimonial sea eficaz, para lo cual deben tener en
cuenta una serie de principios entre los cuales se hallan los siguientes:
La seguridad patrimonial, debe tener por objeto la protección integral de la empresa,

el cumplimiento normativo y las expectativas de todas las partes interesadas.
Para ello, la seguridad patrimonial debe ser sistemática, estructurada y proporcional

adapta a las necesidades empresariales.
Debe adaptarse al contexto externo e interno de la organización.
La gestión del riesgo patrimonial debe obtener una respuesta permanente, dinámica
y adaptativa a los cambios organizativos y a los sucesos internos y externos.
Para ello, una adecuada gestión del riesgo patrimonial y la correcta implantación
de un SGSP implicarían una mejora continua de la organización al mismo tiempo que se
incrementa la madurez de la seguridad patrimonial.
Como dice Miguel REGO, director del área de riesgos tecnológicos de Deloitte, la
protección de los bienes es un factor clave para determinar la fiabilidad de una empresa
a la hora de prestar servicios, siendo la seguridad patrimonial uno de los pilares funda-
mentales que la sustentan. Toda compañía, sea pequeña, mediana o grande, cuenta con
una serie de medidas y recursos para evitar incidentes (intencionados o accidentales).
Pero esta protección, además de mitigar los riesgos, ha de ser eficiente en costes y pro-
porcional a las características de la empresa. Es evidente que una inversión inferior a la
necesaria puede suponer graves problemas de seguridad, pero si ésta es excesiva, existe
un sobrecoste innecesario que puede ser incluso superior al valor de los activos a proteger.
Lo ideal es mejorar de forma continua la gestión de los medios con los que se cuenta.
Las organizaciones que disponen sólo de los recursos necesarios y que funcionan de una
3 El ciclo PHVA o ciclo de Deming fue dado a conocer por Edwards Deming en la década del 50, basado
en los conceptos del estadounidense Walter Shewhart. PHVA significa: Planificar, hacer, verificar y actuar. 31

FORMACIÓN ABIERTA
forma eficiente y eficaz evitan costes adicionales sin menoscabar su seguridad. Con este
fin, las empresas se esfuerzan en adoptar modelos de protección de mayor madurez, aun-
que esta labor no es sencilla.
Los riesgos y amenazas a los activos patrimoniales evolucionan rápidamente en un

entorno en el que la dependencia de las Tecnologías de la Información (TI) y de los servi-
cios prestados por proveedores externos en las organizaciones es cada vez mayor. En este
contexto, es cada vez más complejo conocer de forma fiable el nivel de riesgo al que las
organizaciones se exponen.
32

2.1. Control y supervisión

de los sistemas de seguridad físca
y electrónica
Actualmente, las empresas se encuentran en un momento de búsqueda de simpli-

cidad organizativa, y también de restricciones impuestas sobre presupuestos y recursos.
Esto afecta a la toma de decisiones en todas las áreas, incluida la seguridad patrimonial.
En ese sentido, cuando las empresas realizan un diagnóstico de su gestión de seguri-

dad son capaces de determinar hasta qué punto cuentan con un buen modelo de seguridad
patrimonial y mantienen el control sobre los mecanismos de protección establecidos.
Imagen: www.seguritecnia.es
2.1.1. Creación de un SGSP

La organización que pretenda crear un SGSP debe tener en cuenta en primer lugar:
− El alcance y los límites de este en función del sector empresarial de que se trate,
sus características, ubicación, naturaleza de sus activos y tecnología aplicada.
− Definir el enfoque de apreciación del riesgo patrimonial que pueda tener la or-
ganización y para ello deben fijarse los criterios de aceptación del riesgo acep-
table y residual en la gestión por lo que conviene considerar algunos factores
como:
33

FORMACIÓN ABIERTA
• La naturaleza de los riesgos, sus causas y las consecuencias contingentes y

su medición.
• El método para determinar el riesgo y su probabilidad de ocurrencia.
• Las opiniones de los sectores afectados.
− Identificar los riesgos y para ello la organización debería:
• Elaborar una relación exhaustiva de riesgos que puedan entorpecer o evitar

el logro de sus objetivos.
• Identificar los activos susceptibles de ser afectados por los riesgos.
• Determinar las fuentes de riesgo y los sucesos que lo originan.
• Definir las causas y las consecuencias negativas y los escenarios donde se

pueden manifestar estos riesgos.
− Analizar los riesgos se traduce en:
• Establecer una metodología de análisis capaz de proporcionar datos

que permitan a sus responsables discriminar entre riesgo que merezcan
tratamiento y los que no, atendiendo a los límites de aceptación del riesgo
que previamente ha debido quedar plasmado en la política del SGSP.
• Establecer los factores de riesgo que habrán de servir para determinar la

probabilidad de ocurrencia del riesgo y sus consecuencias, circunstancias
cuya combinación permite estimar el nivel de dicho cargo.
− Evaluar los riesgos lo que supone:
• Determinar la necesidad de tratamiento del riesgo analizado enfrentándolo

a los criterios establecidos en la política de riesgos del SGSP.
• Elaborar una lista ordenada y prioritaria de riesgos a tratar sobre la base

de la tolerancia al riesgo concretada con carácter previo en la política del
SGSP.
− Tratar los riesgos y, para ello:
• Tomar decisiones sobre el riesgo evaluado como no tolerable.
• Establecer objetivos de control en función de lo analizado.
• Aplicar los controles adecuados para evitar el riesgo, reducir la probabilidad

de su ocurrencia, eliminar la fuente de riesgo y reducir sus consecuencias.
34

Modelo de excelencia de la Seguridad Patrimonial
2.1.2. Control y supervisión del SGSP

La organización que pretenda implantar un SGSP debe ejecutar los correspondientes
procedimientos de supervisión, revisión y cualquier otro mecanismo de control estableci-
do en su política que le permita, entre otras cosas:
− Comprobar si los procedimientos implantados se adecúan y son idóneos para el

cumplimiento de los objetivos fijados en el plan.
− Comprobar la eficacia de las medidas de seguridad, salvaguardas o controles

introducidos.
− Que permita investigar los incidentes detectados y comprobar la idoneidad del

sistema que los detecta.
− Comprobar el buen funcionamiento de los servicios de seguridad contratados y

el tratamiento del riesgo es el adecuado.
− Verificar si la reacción ante incidentes y su gestión es la esperada.
− Conocer, en definitiva, si la eficacia de funcionamiento del SGSP es la esperada

en todos sus ámbitos descritos.
La organización debería establecer una revisión periódica del SGSP para adaptarla a
las necesidades actualizadas de los riesgos que deba enfrentarse incluyendo el mismo las
oportunas mejoras que permitan asegurar la idoneidad de este.
Todas las iniciativas de la dirección así como las acciones que se hayan tomado
como consecuencia de estas deben estar documentadas en registros actualizados.
Esta documentación debe estar siempre bajo la protección, control y supervisión de

los responsables del sistema. Determinadas acciones debería disponer de un procedimien-
to individualizado.
La dirección debería establecer, implantar y mantener los procedimientos correspon-

dientes para evaluar periódicamente el cumplimiento de los requisitos legales aplicables
a la seguridad patrimonial, así como los registros de dichas evaluaciones periódicas.
35

FORMACIÓN ABIERTA
Y, la organización debería planificar, implantar y mantener procedimientos para in-

vestigar, analizar y registrar los incidentes que se detecten con arreglo a la ejecución del
plan de seguridad.
La alta dirección debería establecer revisiones del SGSP con carácter periódico, al
menos una vez al año, a fin de asegurarse del cumplimiento del mismo y su grado de
eficacia lo que permitirá comprobar la conveniencia de aplicar nuevos objetivos de con-
trol, salvaguardas, medidas de seguridad y controles y su adecuación al cumplimiento
normativo.
Para ello resulta imprescindible la instauración de un procedimiento de auditoría del

plan que deberá realizarse con carácter periódico y que permita comprobar si se cum-
ple debidamente la ejecución del mismo en todos los departamentos de la organización
afectados.
2.1.3. Política de seguridad patrimonial y su organización

Como se deduce de todo lo expuesto hasta el momento, la política de seguridad
patrimonial lo integran diferentes ámbitos de la seguridad en la empresa que resultan
imprescindibles para su buen funcionamiento.
Por esta razón la alta dirección de la organización debe establecer una política de
seguridad adecuada a las exigencias y requerimientos organizativos adecuados al sector
de que se trate, reflejando de forma clara el esquema estructura del diseño de seguridad
adoptado mediante su publicación y continua revisión.
Para ello, se debería aprobar y divulgar entre los integrantes de la organización, con-
tratistas y terceros afectados, un documento integral que recoja la política de seguridad
patrimonial que afecte a la empresa.
2.1.3.1. Contenido del documento de la Política de seguridad

patrimonial
Para cumplir su cometido, este documento debe dejar patente el compromiso de la
dirección con este cometido, para lo debería contener, entre otras, las siguientes pautas:
− La definición del concepto de seguridad patrimonial en la empresa, su objetivo,

alcance y la importancia que tiene asumirla.
− Declaración de intenciones institucionales de cumplirla.
− Establecimiento de controles efectivos que permitan disponer de una estructura

adecuada que permita afrontar los riesgos de forma eficaz.
− Diseñar políticas de análisis, evaluación y tratamiento del riesgo adecuadas.

36

− Coordinar esta política de seguridad con todas las dependencias orgánicas, in-
ternas o externas así como, otras áreas relacionadas de gestión del riesgo como
la seguridad de la información, prevención de riesgos laborales o continuidad
del negocio.
− Diseñar un marco de formación continua en materia de reciclaje y actualización

en seguridad.
2.1.3.2. Control de la Política de seguridad patrimonial

Una política de seguridad patrimonial sin control continua de su funcionamiento no
tendría ningún sentido por lo que la alta dirección debe incluir en esta materia su propia
estructura de revisión periódica para comprobar el buen funcionamiento y ejecución de
la misma. Es preciso, por tanto, que se definan y documenten las funciones y responsa-
bilidades en materia de seguridad patrimonial de forma explícita a sus responsables y
delegados.
Para cumplir esta finalidad, se debería nombrar un responsable de la revisión de esta

política de seguridad patrimonial que le incumbiría la implementación de esta mediante:
− La continua actualización de los manuales de instrucciones y cumplimientos

normativos a través de las aportaciones de las partes interesadas de ejecución
del plan.
− La ejecución de auditorías periódicas internas y/o externas.
− El estudio y aplicación de recomendaciones de expertos externos.
− La continua adaptación del plan a los cambios organizativos de la empresa y

adecuación a los nuevos riesgos presentes.
− La adaptación a la aparición de nuevos riesgos relacionados con el continua

avance de las nuevas tecnologías.
− El estudio e implementación de los informes procedentes de inspecciones de

incidentes de seguridad.
− La introducción de mejoras en materia de salvaguardas y medidas de seguridad

o controles nuevos.
Esta función ha permitido crear distintos roles atribuidos y perfiles del gestor de
Seguridad, citado proceso de cambio de la seguridad patrimonial, proporcionando los
siguientes cargos:
37

FORMACIÓN ABIERTA
CSO:(Chief Security Officer) responsable de la organización que a veces coincide con el

CISO, sobre todo si son entidades pequeñas, aunque el segundo está más en lo que deno-
minaríamos seguridad de la información.
CISO:(Chief Information Security Officer), mencionado anteriormente, sería el encarga-

do de la seguridad Informática.
CEO:(Chief Executive Officer) es el reconocido como el gerente de la seguridad, digamos

que dentro de un organigrama especifico de seguridad, es el que detentaría la máxima
responsabilidad.
CIO:(Chief Information Officer) enfocado a la gestión de seguridad de las herramientas

tecnológicas y de su desarrollo.
CTO:(Chief Technology Officer) con un papel similar al responsable de seguridad CIO,

pero con la característica que sus cometidos son desarrollos más técnicos.
Se vislumbra, por lo tanto, la patente transformación de lo que ha sido y es la se-

guridad corporativa, con el convencimiento de que sucederán nuevas figuras y nuevas
responsabilidades para amplificar más la labor de estos departamentos, dado que nos
enfrentamos a unos escenarios nuevos, con unas contingencias desconocidas que nos
sorprenderán, ya que la velocidad que hemos emprendido en este entorno actual de las
ciencias cibernéticas, es de imposible paralización. Por esa razón, no queda más remedio
que tener los recursos adecuados. Eso sólo se podrá conseguir con la profesionalización
de los departamentos de Seguridad Corporativa, con la debida formación y estando al
corriente de estos nuevos retos.
En definitiva el responsable de poner en marcha estos controles periódicos debería

implantar procedimientos de mejora continua en la política de seguridad patrimonial y de
la gestión del riesgo, procurando la adecuación permanente a las circunstancias de segu-
ridad de la organización, a la respuesta a los incidentes detectados y a la variación de las
condiciones del contexto que aconsejen su revisión.
2.1.4. Coordinación con las autoridades de seguridad pública

Es imprescindible mantener contactos fluidos y constantes con las autoridades com-
petentes en materia de Seguridad Pública.
Como se ha comentado en anteriores temas, en el ámbito de la seguridad patrimonial

de determinadas instituciones (entidades financieras, joyerías, gasolineras, casinos, etc.,)
la colaboración con los cuerpos policiales resulta imprescindible por razones legales y
reglamentarias.
38

Como se ha expresado, en el Cuerpo Nacional de Policía las competencias en esta

materia han sido atribuidas a la Unidad Central de Seguridad Privada incardinada en la
Comisaría General de Seguridad Ciudadana, que ha instaurado una importante red de
comunicación bilateral denominada Red Azul de la que se han expuestos sus funciones.
También es muy frecuente la colaboración de los departamentos de Seguridad Pri-

vada con unidades especializadas de la Policía Judicial en el esclarecimiento de hechos
delictivos que se cometan y que requiera la colaboración de los departamentos de segu-
ridad privada.
Como se sabe, este tipo de colaboración, aunque no esté regulado expresamente en la

legislación procesal penal española, si lo está profusamente en la legislación administrati-
va especial como la nueva Ley 5/2014, de Seguridad Privada, como por ejemplo en el art.
25 d) como obligación general “Facilitar de forma inmediata a la autoridad judicial o a
las Fuerzas y Cuerpos de Seguridad competentes las informaciones sobre hechos delicti-
vos de que tuvieren conocimiento en relación con su trabajo o con las investigaciones que
éstos estén llevando a cabo” o en el art. 8.3 que establece “De conformidad con lo dis-
puesto en la legislación de fuerzas y cuerpos de seguridad, las empresas de seguridad, los
despachos de detectives y el personal de seguridad privada tendrán especial obligación
de auxiliar y colaborar, en todo momento, con aquéllas en el ejercicio de sus funciones,
de prestarles su colaboración y de seguir sus instrucciones, en relación con los servicios
que presten que afecten a la seguridad pública o al ámbito de sus competencias”.
El art. 21.2, que establece, “Asimismo, las empresas de seguridad privada vendrán
obligadas a prestar especial auxilio y colaboración a las Fuerzas y Cuerpos de Segu-
ridad, debiendo facilitar a éstas la información que se les requiera en relación con las
competencias atribuidas a las mismas”. O bien el art. 30 h); el 35 f) que se refiere espe-
cialmente a los directores de seguridad. Así mismo se establece como falta muy grave en
el art. 57 h), o grave del art. 58 d) su incumplimiento.
2.1.5. Seguridad de los activos de la organización

Para poder completar una eficaz política de seguridad en la empresa se requiere iden-
tificar los activos a proteger y diseñar una eficiente estrategia de protección preventiva y
reactiva específica para tipo de activo que sea susceptible de ofrecer un determinado nivel
de riesgo ante la amenaza interior o exterior.
Para ello debemos distinguir entre los diferentes niveles de seguridad afectados, así
podremos hablar de:
− Seguridad de las personas.
− Seguridad de las infraestructuras críticas.
− Seguridad de las edificaciones. 39

FORMACIÓN ABIERTA
− Seguridad en el control de accesos.
− Seguridad de la estructura corporativa.
− Continua formación y adiestramiento en materia de seguridad patrimonial en la

empresa.
− Control, gestión, documentación en materia de seguridad patrimonial.
− Cumplimiento normativo en seguridad patrimonial.
− Respuesta eficaz ante incidentes de seguridad.
2.1.6. Estudio sobre la seguridad patrimonial

La Fundación Borredá y Deloitte han llevado a cabo un interesante Estudio de Se-
guridad Corporativa para tomar el pulso a la evolución y madurez de las empresas
españolas en materia de gestión de la Seguridad, así como para conocer su estado actual
y fijar referencias que permitan analizar su evolución histórica.
A continuación se reproducen algunos aspectos extraídos de este informe a efectos

docentes que consideramos de gran interés en materia de Seguridad Patrimonial.
Este último informe emitido el presente año 2016 y sus resultados parten de una
muestra de cien empresas españolas. Por su propia naturaleza quedan fuera del objeto de
este estudio las empresas proveedoras de servicios y tecnología de seguridad.
Se han analizado aspectos como la configuración, la facturación, el número de cen-

tros de empleo y de empleados y el sector de actividad principal. Según las respuestas
obtenidas, casi la mitad de las empresas consideradas (44%) presentan configuración de
empresa matriz o holding.
Principalmente, la actividad de estas empresas está enfocada a los sectores del Siste-
ma Financiero y Tributario, y Transporte. No obstante, la diversidad de sectores que eng-
loba el espectro de panelistas en esta edición consigue reflejar el estado de las empresas
a nivel general en materia de Seguridad Corporativa.
Es relevante señalar que el 96% de los encuestados ha indicado que cuenta con un
responsable de Seguridad Corporativa, de los cuales un 85% dirige un departamento de
Seguridad dado de alta en la Unidad Central de Seguridad Privada del Cuerpo Nacional
de Policía.
De estos resultados se desprende que la dirección de las empresas entiende la nece-

sidad gestionar a nivel directivo la Seguridad Corporativa.
40

En relación con el nivel profesional del responsable de Seguridad Corporativa, se

ha concluido que en un 83% de los casos, que el nivel que ostenta es el de Director de
Departamento o Área, con puesto en el Consejo de Dirección en el 24%, lo cual indica la
importancia que las empresas otorgan a esta área.
Acerca de los superiores del responsable de Seguridad Corporativa, lo más frecuen-

te, en el 63% de los casos, el responsable de Seguridad Corporativa informa al director
general de su organización.
En cuanto al número de empleados internos dedicados a las tareas de Seguridad

Corporativa, la casuística es muy amplia, pero principalmente la mayoría de las empresas
(55%) cuentan con un grupo reducido, menos de 11 trabajadores internos, incluso menos
de 6 el 22%.
Se ha elaborado un listado de posibles actividades del ámbito de Seguridad Corporati

va destacando que casi la totalidad de las empresas (>90%), considera que las actividades
relacionadas con la seguridad del perímetro y gestión de accesos, y la gestión de inciden-
tes y de crisis son responsabilidad del área de Seguridad Corporativa, seguido muy de
cerca de la vigilancia, recepción y gestión de alarmas, con un 89%.
Se han analizado las funciones que las empresas subcontratan y se ha observado que
los servicios de vigilancia de seguridad sigue siendo uno de los servicios contratados por
la práctica totalidad de las empresas encuestadas (93%).
Se ha analizado la estrategia definida y puesta en marcha por las distintas organi-

zaciones con respecto a la Seguridad Corporativa y la gran mayoría de los encuestados
(87%) ha indicado que la estrategia definida por su empresa con respecto a la Seguridad
Corporativa, incluye la implantación de las medidas necesarias en materia de seguridad
en función de los riesgos.
Por último, se ha elaborado un listado con posibles dificultades a la hora de desarro-

llar la estrategia de Seguridad Corporativa.
41

FORMACIÓN ABIERTA
La principal dificultad que han señalado las empresas es la complejidad de riesgos y

amenazas. No sorprende esta coincidencia general toda vez que esa es la dificultad de la
situación a todos los niveles en estos momentos, en el que las amenazas se multiplican y
evolucionan vertiginosamente.
El 30% de las organizaciones encuestadas ha dedicado en 2015 más de 3 millones

de euros a las actividades de Seguridad Corporativa, sin tener en cuenta los servicios de
vigilancia y escolta. Este hecho refleja, de nuevo, la tendencia a considerar cada vez más
importante la Seguridad Corporativa en las empresas.
Amenazas
Existen elementos que pueden suponer una amenaza sobre los bienes y recursos de
una empresa. El informe resalta que es conveniente identificarlos para poder prevenirlos
porque, una vez que se materializan, no sólo se incurre en costes económicos directos,
sino también indirectos (reputacionales, legales, operativos, etc.).
42

La amenaza referente a la Seguridad Corporativa que más preocupa a los panelistas

son las ciberamenazas (70%) seguidas por el terrorismo (54%). Estas amenazas han gana-
do protagonismo en estos últimos años frente a otras señaladas como preocupantes por las
empresas en el cuestionario realizado en 2014, como es el caso del incendio, considerada
como la principal preocupación (61%) y que actualmente sólo es señalada en el 22% de
los casos.
Este cambio se debe, por un lado, a los continuos avances tecnológicos que está vi-
viendo la sociedad y, como consecuencia de ello, el incremento de las amenazas y vulne
rabilidades a las que están expuestos los sistemas, y por otro, la alarma terrorista que está
viviendo nuestra sociedad en estos últimos años.
En todo caso, cabe señalar una mayor concienciación de los responsables de segu-
ridad corporativa en cuanto a la globalidad de los riesgos frente a otros de carácter más
inmediato y directo.
43

FORMACIÓN ABIERTA
Cualificación profesional
La formación en Seguridad Corporativa permite dar a conocer los riesgos inherentes

a la misma, así como concienciar a los empleados de la importancia de proteger los bienes
y recursos de las empresas.
Se ha observado que el 76% de las empresas encuestadas dispone de planes de for-

mación específicos para su personal en materia de seguridad, porcentaje similar al obte-
nido en la encuesta realizada en 2014. Este hecho indica que las empresas quieren que
sus empleados conozcan los riesgos para poder prevenirlos, confirmando de nuevo la
importancia que se confiere a la Seguridad Corporativa.
Entre las principales carencias que perciben las empresas respecto al personal in-
terno cuando necesitan incorporar profesionales al departamento de Seguridad, destaca
la falta de profesionales formados en materia de seguridad integral en la que coinciden
cerca de 3 de cada 4 de los encuestados (70%). Muy por debajo, alrededor del 25% de los
panelistas, consideran la falta de idiomas y de experiencia profesional tanto en el ámbito
de ciberseguridad como en seguridad patrimonial, como otras de las carencias que se en-
cuentran al incorporar nuevos profesionales.
En esta misma línea, las principales carencias que perciben las empresas con respec-
to al personal operativo externo contratado son la falta de especialización y de formación
continua, con un 54% y 52%, respectivamente. Es destacable que un 22% de las empresas
consideran que tienen una escasa formación básica.
Retos y tendencias
En base a la valoración actual de tendencias que hacen las empresas, se han analiza-
do los retos a los que se enfrentan.
44

Los panelistas han indicado que, actualmente, el principal aspecto que está impac-
tando negativamente sobre el sector de la seguridad son las ciberamenazas (81%), el cual
ha crecido casi el doble en los últimos años.
Operadores críticos
Para todas aquellas empresas que hayan sido o estiman que pueden ser declaradas
como operador crítico por el Ministerio del Interior, se han analizado principalmente las
dificultades que tienen para adaptarse y el impacto que esto genera en su organización.
En concreto, un 92% de las empresas encuestadas ha afirmado encontrarse en alguna de
las dos situaciones.
La cuestión que genera una mayor dificultad de adaptación a las empresas es la

incorporación de la ciberseguridad al modelo de seguridad integral (40%), seguido de la
elaboración de planes (32%) y el análisis de riesgos (26%). Hay que destacar que una de
las opciones ofrecidas hacía referencia a las relaciones con el Ministerio del Interior, sin
que fuera contemplada por ninguno de los panelistas.
Entre los diferentes aspectos positivos que consideran estas empresas en su relación
con la Administración se encuentran la guía y colaboración en la incorporación al Sistema
PIC y el intercambio de información, señalado por un 42% de los encuestados, seguido
del apoyo en materia de ciberseguridad (36%) que reciben por parte de la Administración.
También destaca el apoyo operativo de las Fuerzas y Cuerpos de Seguridad, aspecto se-
ñalado por un 26% de las empresas. Se confirma así lo acertado de la estrategia seguida
por el Ministerio del Interior.
45

FORMACIÓN ABIERTA
Conclusiones generales
En base a los resultados de las encuestas, se ha observado que casi la totalidad de

las empresas (78%) consideran la Seguridad Corporativa como un valor añadido para
su organización, contando la mayoría de ellas (96%) con la figura del responsable de
Seguridad Corporativa, el cual, en el 75% de los casos ostenta el cargo de director de De-
partamento o Área. Para estos puestos, las organizaciones suelen recurrir a personas con
formación académica universitaria (87%) e incluso de postgrado (35%).
El número de empleados internos dedicados a las tareas relacionadas con la Seguri-

dad Corporativa varía en función del sector de actividad de cada empresa, pero siempre
se apoya en personal externo.
Asimismo, la práctica totalidad de las empresas (93%) subcontrata el servicio de

alguna función asociada al área de Seguridad Corporativa.
En cuanto a la cualificación profesional, el 76% de las empresas cuenta con planes

formativos para el personal del área de Seguridad Corporativa que refuerzan los conoci-
mientos de los riesgos y promueven la importancia de la responsabilidad sobre su gestión
y sobre la definición de estrategias específicas.
Estas estrategias incluyen la planificación de medidas de seguridad y el análisis de

riesgos así como el reporte de los resultados obtenidos. Destaca también el hecho de que
el 70% de las empresas consideran que existe una falta de profesionales formados en
materia de seguridad integral.
Además, en las empresas existe un alto grado de coordinación entre el área de Segu-
ridad Corporativa y el resto de departamentos, ya que los requerimientos son acordados
entre las diferentes áreas (50%) y el área de Seguridad Corporativa brinda apoyo a todos
los departamentos por igual (41%).
Como paso previo a la integración efectiva de las áreas de seguridad física y lógica,
se observa una tendencia al alza de creación de órganos tipo comité en los que se compar-
ten formalmente los riesgos y amenazas.
Por último, los panelistas potencialmente afectados por la Ley de Protección de

Infraestructuras Críticas consideran la incorporación de la ciberseguridad al modelo de
seguridad integral (40%) y la elaboración de los planes exigidos (34%) como principales
dificultades de adaptación a dicha regulación. Esta adaptación está suponiendo una ma-
yor concienciación de la Alta Dirección en materia de seguridad (32%) y un incremento
de costes (29%). Asimismo, más de la mitad de ellos reconoce que actualmente el arraigo
del concepto de seguridad integral está en progreso en su organización.
46

Resumen
• La organización empresarial debería proceder a la creación, implementación, control

y revisión del Sistema de Gestión de la Seguridad Patrimonial documentado dentro
del contexto de las actividades empresariales generales de esta y de los riesgos que
afronta.
• La seguridad patrimonial, debe tener por objeto la protección integral de la empresa,

el cumplimiento normativo y las expectativas de todas las partes interesadas.
• Para ello, la seguridad patrimonial debe ser sistemática, estructurada y proporcional

adapta a las necesidades empresariales y debe adaptarse al contexto externo e interno
de la organización.
• La gestión del riesgo patrimonial debe obtener una respuesta permanente, dinámica
y adaptativa a los cambios organizativos y a los sucesos internos y externos.
• Un SGSP debe detectar, analizar, gestionar y evaluar todos los riesgos que puedan
afectar a la organización o institución afectada.
• Para ello se debe dotar a la organización de un responsable de la revisión de esta

política de seguridad patrimonial que le incumbiría la implementación.
• Es imprescindible también mantener contactos fluidos y constantes con las autorida-

des competentes en materia de Seguridad Pública.
• Además se deberán implantar en un SGSP debe ejecutar los correspondientes proce-

dimientos de supervisión, revisión y cualquier otro mecanismo de control estableci-
do en su política.
• Para poder completar una eficaz política de seguridad en la empresa se requiere

identificar los activos a proteger y diseñar una eficiente estrategia de protección
preventiva y reactiva específica para tipo de activo que sea susceptible de ofrecer un
determinado nivel de riesgo ante la amenaza interior o exterior.
47

FORMACIÓN ABIERTA
Bibliografía
• GARCÍA DIEGO, J.M., Guía de buenas prácticas en la seguridad patrimonial, AE-

NOR. ASOCIACION ESPAÑOLA DE NORMALIZACION Y CERTIFICACION,
AENOR Ediciones 2014.
• www.fundacionborreda.org
48

SeguridadPatrimonialUCAV PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

SeguridadPatrimonialUCAV PDF

Cargado por

Copyright:

Formatos disponibles

SEGURIDAD

Adolfo de la Torre Fernández

Seguridad patrimonial [Libro electrónico] / Adolfo Torre Fernández.

Ávila: Universidad Católica de Ávila, 2017. – 1 archivo de Internet (PDF).

(Textos universitarios (UCAV) ; 29)

1. Empresas – Medidas de seguridad 4. Propiedad inmobiliaria

© Primera edición (en formato electrónico): abril 2017

www.ucavila.es ÍNDICE GENERAL

1.1. Medidas de seguridad física y electrónica............................ 12

www.ucavila.es UNIDAD 1: PREVENCIÓN DE LOS DELITOS DE DAÑOS FÍSICOS E INFORMÁTICOS

• En esta unidad se expondrán una serie de conceptos vinculados a la seguridad que

• Se quiere evidenciar lo que ya desde la mayoría de las grandes empresas se viene

• Se desarrolla un capítulo dedicado a la protección informática por considerar esta

UNIDAD 1: PREVENCIÓN DE LOS DELITOS DE DAÑOS FÍSICOS E INFORMÁTICOS www.ucavila.es

Habitualmente se ha denominado seguridad física a determinadas actividades de pro-

Es cierto que las empresas no han establecido en su estructura interna históricamente

www.ucavila.es UNIDAD 1: PREVENCIÓN DE LOS DELITOS DE DAÑOS FÍSICOS E INFORMÁTICOS

1.1. Medidas de seguridad física

Tradicionalmente se dice que la Seguridad Física, según MOLINA GONZÁLEZ et

La ley 5/2014, de 4 de abril, de Seguridad Privada habla de varios tipos de medidas:

1.1.1. Elementos de protección en la seguridad física

Blindaje. Es el conjunto de elementos de seguridad y refuerzo físico, constituidos por

Cerramientos. El cerramiento es el elemento delimitador de la instalación por antono-

UNIDAD 1: PREVENCIÓN DE LOS DELITOS DE DAÑOS FÍSICOS E INFORMÁTICOS www.ucavila.es

Barreras de protección. Son obstáculos que se instalan en puntos de acceso de vehículos

− Semipermanentes: barreras que se pueden retirar de forma mecánica, hidráulica

Según norma UNE 1143-1:2012, sobre Unidades de almacenamiento de seguridad.

Otros elementos de seguridad blindados son:

Cámara acorazada: Es el conjunto de defensas físicas formada por un muro acorazado

Puerta acorazada: En la puerta acorazada el dispositivo de cierre suele estar compuesto

www.ucavila.es UNIDAD 1: PREVENCIÓN DE LOS DELITOS DE DAÑOS FÍSICOS E INFORMÁTICOS

Trampón: Es un elemento físico construido que permite la evacuación de la instalación

1.1.1.1. Otros elementos de seguridad física

1.1.1.2. Control de accesos

Los objetivos de un sistema de control de acceso son:

− Identificar a las personas, vehículos y objetos.

− Determinar zonas de acceso, en especial las consideradas restringidas.

− Fijación de criterios de autorización o denegación de acceso.

− Obtener información de los movimientos generados en la instalación.

− Establecer procedimientos operativos de acreditación, registro, identificación e

Mediante el control de accesos se pretende combatir adecuadamente la presencia no

− Disponer de medios personales (vigilantes de seguridad) o personal habilitado

UNIDAD 1: PREVENCIÓN DE LOS DELITOS DE DAÑOS FÍSICOS E INFORMÁTICOS www.ucavila.es

− Disponer alternativamente, de medios electrónicos como barreras de acceso,

− Disponer de procedimientos que establezcan inequívocamente las condiciones

− Disponer de procedimientos que establezcan el registro y uso posterior de los

− Instalar sistemas complementarios de videovigilancia monitorizados de forma

− Revisar la paquetería y correspondencia dirigidas al interior del establecimiento.

− Disponer de un sistema de control de acceso de vehículos que permita de forma

− Disponer de un sistema de unicidad de paso (permite el paso a una sola persona

Los sistemas de seguridad para el control de acceso pueden ser:

− Barrera aérea y de superficie.

− Arco detector de metales.

− Detector manual de metales.

− Detector de explosivos (arco desmontable y dispositivo manual)

− Detectores biométricos (voz, iris, acial, huella dactilar, otros)

www.ucavila.es UNIDAD 1: PREVENCIÓN DE LOS DELITOS DE DAÑOS FÍSICOS E INFORMÁTICOS

− Tarjeta de código de barras.

Con el uso de los diferentes sistemas de seguridad enumerados, aplicables a un con-

− Elementos en posesión del personal autorizado a acceder a la instalación (tarje-

− Características propias de los usuarios de la instalación (sistemas biométricos).

UNIDAD 1: PREVENCIÓN DE LOS DELITOS DE DAÑOS FÍSICOS E INFORMÁTICOS www.ucavila.es

En la actualidad resulta prácticamente imposible encontrar servicios de seguridad