Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Karim H. Vellani es el presidente de Threat Analysis Group, LLC, una firma de consultoría de seguridad
independiente. Karim está certificada por la junta en gestión de seguridad (CPP) por la American Society
for Industrial Security-International, y certificada por la junta como consultora de seguridad
independiente (CSC) por la Asociación Internacional de Consultores de Seguridad Profesional. Tiene una
maestría en administración de justicia penal de Sam Houston State University en Huntsville, Texas.
Como consultor independiente de gestión de seguridad, Karim tiene una amplia experiencia en gestión
de riesgos y seguridad y proporciona servicios de consultoría de seguridad a clientes gubernamentales,
comerciales e industriales. Recientemente, desarrolló metodologías únicas de evaluación de riesgos
para industrias específicas.y clientes. Esa experiencia práctica forma la base de algunos de los
conocimientos en Strate gic Security Management. Karim también ha desarrollado una metodología de
análisis de delitos que utiliza La metodología se publicó por primera vez en otro libro titulado Análisis de
delitos aplicados y está disponible en la editorial Elsevier Butterworth-Heinemann. Desde el desarrollo
de la metodología de análisis de delitos, Karim ha evaluado los delitos en miles de establecimientos.
Como profesor adjunto en la Universidad de Houston, en el centro de la ciudad, Karim imparte cursos de
posgrado en Gestión de la seguridad, Análisis de riesgos y Leyes de seguridad para el Programa de
gestión de seguridad de la Facultad de justicia penal.
Introduction
Si escogió este libro, probablemente esté buscando algo más que la guía de seguridad para
principiantes. La gestión de seguridad estratégica es única porque satisface la necesidad de un texto
definitivo sobre las mejores prácticas de seguridad, presenta el concepto de análisis para la toma de
decisiones de seguridad y analiza técnicas avanzadas de evaluación de amenazas, vulnerabilidades y
riesgos que puede aplicar al programa de seguridad de su organización. . Aprenderá cómo mejorar un
programa de seguridad utilizando métricas de seguridad para obtener una verdadera comprensión del
problema en lugar de confiar en el instinto visceral o en evidencias anecdóticas. Este libro también le
enseñará cómo usar las métricas de seguridad para seleccionar e implementar contramedidas y afinar el
programa para garantizarMejora constante y eficacia continua. La razón principal por la que escribí este
libro es simple: después de buscar en muchas librerías en línea y fuera de línea, no pude encontrar un
libro que fuera más allá de los conceptos básicos de seguridad de una manera práctica. Sin duda, ha
leído muchos libros geniales escritos por profesionales de la seguridad y otros, pero son herramientas
de uso común en otras industrias, incluidos nuestros primos en la industria de la seguridad de la
tecnología de la información. Con el objetivo de cerrar esa brecha, Strate gic Security Management está
escrito para tres grupos de personas: profesionales de seguridad; otros profesionales responsables de
tomar decisiones de seguridad; y estudiantes de gestión de seguridad y justicia penal. Para los
profesionales de la seguridad, quienes llevan los títulos.Como vicepresidente de seguridad, gerente de
seguridad o consultor de seguridad, Strategic Security Management ment amplía el cuerpo de
conocimiento colectivo en nuestra industria y le brinda una perspectiva nueva sobre el proceso de
evaluación de riesgos. También le dará algo para pensar sobre los temas más controvertidos y complejos
de nuestro negocio.
Otros lectores que se beneficiarán de este libro son aquellos profesionales que no tienen un título de
seguridad tradicional, como director de seguridad o gerente de prevención de pérdidas, pero aún así
están a cargo de proteger los activos de su organización. Su título puede ser director de la instalación o
administrador de la propiedad. Mientras tome las decisiones de seguridad para su empresa, la Gestión
de seguridad estratégica facilita el proceso de toma de decisiones.
El Capítulo 7, Gestión de riesgos de la tecnología de la información, es una cartilla para los profesionales
de la seguridad física y otros que nunca han profundizado en el mundo de los sistemas de información.
El autor colaborador, Nick Vellani, es un profesional certificado en seguridad de sistemas de información
(CISSP), un auditor certificado de sistemas de información (CISA) y un consultor de seguridad certificado
(CSC). Nick escribió este capítulo específicamente para aquellos de nosotros, profesionales de la
seguridad física, con experiencia limitada en tecnología de la información y seguridad de los sistemas de
información. Es un capítulo importante ahora que las industrias de seguridad de la tecnología de la
información y la seguridad física se están uniendo a través del proceso de convergencia. El Capítulo 8,
Prevención, proporciona una idea de por qué hacemos laCosas que hacemos en el negocio de la
seguridad. No se preocupe: si bien cubre la base teórica de los conceptos de seguridad, nueve de cada
diez lectores están de acuerdo en que no es aburrido. ¿Alguna vez has escuchado el término criminal
cerebro? Este capítulo analiza las ideas cultivadas por las medidas utilizadas en la protección de los
activos. El Capítulo 9, Políticas y procedimientos, cubre los diferentes tipos de documentos escritos
utilizados para respaldar un programa de seguridad y la importancia de la documentación. El Capítulo
10, Seguridad física, está escrito por Brian Gouin, un profesional de seguridad física (PSP) y un consultor
de seguridad certificado (CSC). Brian utiliza su vasta experiencia tecnológica para identificar la función y
la aplicación de las medidas de seguridad física empleadas enLa industria de la seguridad hoy en día.
Este capítulo le ayudará a seleccionar medidas efectivas para su programa de seguridad. El Capítulo 11,
Implementación de medidas de seguridad física, cubre (usted lo adivinó) la implementación de
contramedidas físicas. Escrito por Karl Langhorst, un profesional certificado en protección (CPP), este
capítulo profundiza en la fase de implementación de un programa de seguridad desde la perspectiva de
un usuario final. Karl es un verdadero profesional, y obtendrá mucho de su capítulo.
El Capítulo 12, Personal, analiza el componente más caro de cualquier programa de seguridad, la fuerza
de seguridad.
Este podría ser el capítulo más debatido en Gestión de Seguridad Estratégica, ya que presento algunas
ideas que son contrarias a lo que se ha aceptado durante años en nuestro negocio. Aprenderá sobre el
despliegue de agentes de seguridad basados en métricas, los pros y los contras de usar agentes de
policía con fines de seguridad, y por qué necesitamos aumentar el nivel de profesionalismo entre el
personal de nuestra línea.
El Capítulo 13, Gestión de proyectos, se agregó a la lista de temas del libro después de trabajar con otros
consultores de seguridad independientes en algunos proyectos bastante grandes. Una de las cosas más
difíciles que hacer para la mayoría de los consultores independientes es evitar a la persona designada
como gerente de proyecto. Sin embargo, los consultores no son la única audiencia para este capítulo.
Está escrito para cualquier tomador de decisiones de seguridad encargado de implementar un nuevo
proyecto de seguridad o actualizar un programa de seguridad existente. El Capítulo 14, Responsabilidad
de la seguridad de las instalaciones, está escrito por Norman Bates, un profesional y abogado de
seguridad muy respetado. Norm no es como otros abogados, en realidad es un buen tipo. Algunos de
ustedes pueden estar familiarizados con su compañíaestudio en curso, Desarrollos importantes en otros
para ayudarnos a comprender los riesgos de responsabilidad que enfrentamos todos los días. El capítulo
15, Seguridad forense, está escrito por mi buen amigo Charles A. Sennewald. El nombre de Chuck debe
ser familiar para la mayoría de los lectores de seguridad porque ha escrito muchos libros de seguridad,
incluidos dos que están en la lista de referencia de CPP. También es un profesional de protección
certificado (CPP), un consultor de seguridad certificado (CSC) y fundó la Asociación Internacional de
Consultores de Seguridad Profesional (IAPSC). No hace falta decir que este capítulo vale la pena para los
profesionales de la seguridad, especialmente aquellos que testifican como testigos expertos o en
nombre de sus empleadores en los litigios de seguridad de locales. Capítulo 16, Ética enLa seguridad,
está escrita por James Clark. Jim también es un profesional certificado en protección (CPP) y ha servido
en el Comité de Ética del IAPSC. Siempre preparado para un buen debate ético, Jim tiene fuertes
sentimientos sobre el tema y ha arrojado algo de luz sobre el aspecto práctico de la ética empresarial,
especialmente en lo que respecta a la industria de la seguridad.
Este capítulo beneficiará no solo a los consultores de seguridad independientes, sino también a quienes
toman las decisiones de seguridad que los contratan.
Así que esa es la descripción general, 16 capítulos de conceptos nuevos, reflexionar sobre los principios
de seguridad más antiguos y las técnicas avanzadas que confío le ayudarán en su trabajo como
protector. Poco después de que se publicó Applied Crime Analysis a principios de 2001, recuerdo que
deseaba poder agregar material a ese libro de manera oportuna. Por supuesto, es difícil hacer eso con
un libro impreso. Entonces, para este libro, decidí agregar un sitio web complementario,
www.ssminfo.com, donde proporcionaré enlaces a otros recursos útiles y actualizaré la información a
medida que la industria avanza hacia la seguridad basada en datos. Incluso puedo agregar un tablero de
mensajes para que podamos hablar en tiempo real y permitir que otros se unan a la diversión.
EnMientras tanto, he configurado una cuenta de correo electrónico especial para que me contactes. No
dude en contactarme en el ciberespacio para discutir (o discutir) un punto en el libro o si cree que
debería agregar algo al sitio web. La dirección de correo electrónico es info@ssminfo.com. Un último
pensamiento antes de sumergirnos en el primer capítulo. Mientras investigaba este libro, busqué la
sabiduría de otros y encontré una cita de William O. Douglas que creo que capta el Creo que resume
bastante bien la intención de este libro. Toma una taza de java y sigue leyendo.
Capítulo 1
Seguridad basada en datos
En este capítulo . . .
■ Métricas de seguridad
Con este crecimiento viene la necesidad de apartarse de la mentalidad policial. Hace veinte años, la
mayoría de los directores de seguridad eran agentes de la ley retirados que hicieron el salto a la
seguridad privada como una forma de complementar sus ingresos de jubilación. Esto ha demostrado
que frena el crecimiento de la seguridad dentro de la jerarquía corporativa, pero probablemente fue un
paso necesario en la historia de la industria. Esto no quiere decir que el personal retirado del orden
público no tenga un lugar en la industria de la seguridad. Por el contrario, muchos han demostrado ser
líderes de seguridad empresarial ejemplares que han dado pasos significativos para los departamentos
de seguridad en sus empresas. A medida que la industria de la seguridad crece para incluir no solo la
seguridad física, sino también la tecnología de la informaciónseguridad, corresponde a los directores de
seguridad de hoy en día centrarse más en el negocio que en el aspecto operativo de la seguridad. Esta
necesidad se resume mejor en la Guía de seguridad de los directores de seguridad: ASIS— International,
la principal asociación de seguridad del mundo: este entorno es un requisito fundamental de los
negocios. Las juntas de directores, accionistas, partes interesadas clave y el público correctamente
esperan que las organizaciones identifiquen y anticipen áreas de riesgo y establezcan una estrategia
cohesiva en todas las funciones para mitigar o reducir esos riesgos. Además, existe la expectativa de que
la administración responderá de manera altamente efectiva a aquellos eventos e incidentes que
amenacen los activos de la organización. UNALa estrategia proactiva para la mitigación del riesgo de
pérdida en última instancia, proporciona un impacto positivo en la rentabilidad y es una responsabilidad
de gobierno organizacional de la alta gerencia y de los consejos de administración.
La directriz continúa discutiendo el rol del director de seguridad (CSO) como líder empresarial,
solucionador de problemas y experto en seguridad para su empresa.
Curiosamente, la guía también sugiere que los antecedentes de la OSC incluyen negocios, no
cumplimiento de la ley, ya que la responsabilidad clave de la OSC "es desarrollar e implementar una
estrategia que demuestre los procesos para comprender la naturaleza y la probabilidad de eventos de
riesgo de seguridad catastróficos e importantes". los departamentos de seguridad de la compañía
crecen y comienzan a abarcar más responsabilidad en la protección de personas, bienes e información,
así como la capacidad de recurrir a los datos empíricos para respaldar nuestra posición. Los
profesionales de la seguridad ya no pueden confiar únicamente en instintos viscerales. Con demasiada
frecuencia, las recomendaciones del departamento de seguridad se presentan con poca o ninguna idea
de por qué ciertos procedimientos o seguridadSe debe utilizar equipo. A menudo, se implementa una
medida de seguridad porque otras empresas lo están haciendo. Es muy común en la industria de la
seguridad que exista una tendencia al uso de ciertas medidas de seguridad sin una comprensión
completa del problema o un análisis exhaustivo de la capacidad de las medidas de seguridad para ser
eficaz en una situación determinada. ¿La seguridad basada en datos puede ayudar a los directores de
seguridad a tener un presupuesto anual de seguridad considerable y generalmente en crecimiento? En
este momento, la mayoría de los directores de seguridad son muy conscientes de que el éxito de un
programa de seguridad depende del compromiso y el apoyo, o la aceptación, como se conoce
comúnmente en la actualidad, de los altos ejecutivos. Uso de evidencia anecdótica para justificar el
gasto en medidas de seguridad física y personal de protección costoso noya basta Un programa de
seguridad basado en datos ayuda a la administración a comprender que la seguridad es más que un
gasto obligatorio; justifica los costos para la administración al mostrar la prueba de éxito que, cuando se
presenta de manera efectiva, puede obtener la participación necesaria de la administración superior y
demostrar un retorno de la inversión convincente. Los gastos de seguridad, al igual que otros
presupuestos departamentales, deben justificarse con datos empíricos y complementarse con análisis y
comparaciones de costo-beneficio.
A lo largo de la primera parte de este libro, se analizan varias evaluaciones utilizadas en la industria de la
seguridad, incluidas las evaluaciones de amenazas, vulnerabilidades y riesgos, junto con tipos específicos
de evaluaciones, como el análisis de delitos. Común a cada una de estas evaluaciones es un enfoque
cuantitativo para establecer una línea de base desde la cual se puede medir la efectividad de la
seguridad. Las evaluaciones son la base sobre la cual se construye un programa de seguridad al
establecer una línea de base de los riesgos que enfrentan las empresas. Guían la planificación
estratégica y el diseño de contramedidas destinadas a mitigar esos riesgos.
Este enfoque lógico aporta beneficios que son inalcanzables con las evaluaciones cualitativas, que aún
se utilizan en los sectores de seguridad pública y privada. Si bien las evaluaciones cualitativas no pueden
abandonarse, su uso debe limitarse a aquellos casos en que las cuantitativas no pueden utilizarse por
falta de elementos medibles. Por lo tanto, la seguridad física es, y seguirá siendo, más un arte que una
ciencia, aunque la ciencia puede infundirse en una industria por lo demás abstracta
No me importa cuánta habilidad tenga usted como diplomático o qué tan brillante sea su liderazgo, si no
es un profesional de la seguridad, es un fracaso.
Métricas de Seguridad
Entre septiembre de 2001 y la escritura de este libro en abril de 2006, los Estados Unidos no sufrieron
grandes ataques terroristas. Si bien este hecho es un gran acierto para los líderes políticos, no es una
métrica precisa de la verdadera amenaza que enfrentan los Estados Unidos. Una métrica más apropiada
sería la cantidad de ataques frustrados desde septiembre de 2001 o la cantidad de arrestos realizados
por terroristas conocidos. Al brindar protección de activos, la medición precisa de la efectividad de la
seguridad puede tener un impacto profundo en el nivel de soporte de la administración para el
departamento de seguridad. Como hemos discutido, un paradigma común en los negocios es que una
actividad no se puede gestionar si no se puede medir. La seguridad es una de esas actividades
Las métricas de seguridad comunican información vital sobre las actividades de seguridad e impulsan la
toma de decisiones.
Las métricas para varios componentes de seguridad, como la fuerza de protección o el sistema de
control de acceso, pueden ser una herramienta eficaz para que los profesionales de la seguridad
entiendan la efectividad del programa de seguridad general. Las métricas, como se mencionó
anteriormente, también pueden identificar el riesgo basado en fallas o éxitos de los componentes de
seguridad, y pueden proporcionar soluciones a los problemas de seguridad. Las métricas de seguridad se
centran en los resultados de las decisiones de seguridad, como la reducción de robos después de la
implementación de un sistema de CCTV, el aumento de la visibilidad después de un cambio en los
uniformes de los oficiales de seguridad o la reducción de los actos terroristas como resultado de los
arrestos de las células terroristas. Las métricas de seguridad ayudan a definir qué tan seguros estamos.
El Instituto Nacional de Estándares y Tecnología (NIST) define las métricas como herramientas diseñadas
para facilitar la toma de decisiones y mejorar el rendimiento y la rendición de cuentas a través de la
recopilación, análisis e informes de datos relevantes relacionados con el rendimiento. Por lo tanto, las
métricas de seguridad ayudan a los profesionales de la seguridad a tomar decisiones de protección de
activos a través de la medición de las características de los componentes de seguridad basadas en el
rendimiento. En pocas palabras, las métricas de seguridad son herramientas utilizadas para medir la
postura de seguridad de una empresa.
Para que las métricas de seguridad sean precisas, los profesionales de la seguridad deben tener dos
elementos en el modelo de métricas:
Las mediciones de línea de base a menudo son difíciles de obtener, especialmente en el negocio de la
seguridad donde las empresas son, por necesidad, secretas acerca de sus sistemas de protección.
En los últimos años, las asociaciones de la industria de la seguridad como ASIS-International, la National
Fire Protection Association y la International Association for Professional Security Consultants han
promulgado estándares, directrices y mejores prácticas.
Además de los estándares de la industria publicados y aceptados, los tribunales han descrito las líneas
de base de medición para la industria de la seguridad. Un ejemplo es un caso de la Corte Suprema de
Texas, Timberwalk v. Cain, que describe los factores específicos necesarios para establecer la
previsibilidad del delito en los juicios por responsabilidad civil. En Timberwalk, el tribunal estableció
cinco criterios para medir el riesgo de delito: la actualidad, la proximidad, la publicidad, la frecuencia y la
similitud de los delitos pasados. Un ejemplo de la legislación sobre métricas delictivas es la Ley de
cajeros automáticos de Illinois (ATM) de 1996. La Sección 20 de la Ley proporciona procedimientos para
evaluar la seguridad de los cajeros automáticos con respecto a "la incidencia de delitos de violencia en
las inmediaciones del cajero automático". Texastiene una ley de seguridad de cajeros similar que
requiere que las instituciones financieras recopilen métricas de delitos. Por lo tanto, el profesional de la
seguridad profesional se mantendrá al tanto de los estándares de la industria y la ley. Mientras que las
leyes normalmente deben respetarse razonablemente, los profesionales de la seguridad pueden ajustar
la necesidad de varios componentes de seguridad. Para la toma de decisiones de seguridad, las métricas
pueden revelar tendencias y patrones en el desempeño del programa de seguridad a partir de los cuales
los tomadores de decisiones de seguridad pueden tomar decisiones para modificar el programa. Por
ejemplo, una vez que un sistema de protección física recibe una alerta de un intruso, el personal de
seguridad responde normalmente. Al medir el tiempo necesario para responder desde el puesto fijo del
oficial de seguridad al punto de acceso violado, la decisión de seguridadEl fabricante puede determinar
si el tiempo de respuesta es adecuado o si es necesario establecer otra publicación más cercana al punto
de acceso. Finalmente, las métricas ayudan en el desarrollo de buenas prácticas de seguridad.
Se puede encontrar un ejemplo en el uso de personal de seguridad para proporcionar escoltas para el
personal de la empresa que sale del edificio a las áreas de estacionamiento.
Si bien esta es una práctica común en algunas compañías, un análisis de los incidentes de seguridad
durante las horas pico puede indicar un fuerte aumento de las brechas de seguridad porque el personal
de seguridad se distrae de sus tareas de protección primaria mientras escolta al personal. En este caso,
el valor de proporcionar acompañantes también debe considerarse al determinar las prácticas de
seguridad de la compañía.