Coordinador de seguridad privada 1

MANUAL DEL COORDINADOR DE SEGURIDAD

MODULO 1

INTRODUCCIÓN A LA SEGURIDAD Y RIESGOS

1.1 LA IMPORTANCIA DE LA CAPACITACIÓN EN SEGURIDAD

PRIVADA
El conocimiento básico en vigilancia y seguridad privada es el fundamento que debe
tener el personal que inicia en el gremio de la vigilancia para desempeñarse
adecuadamente, siendo la formación uno de los aspectos de vital importancia para
desenvolverse en el desarrollo de sus funciones, de tal forma que pueda cumplir con
la finalidad de los servicios. El personal de seguridad privada requiere, conforme lo
establece la ley, tener una formación básica. A continuación, algunos temas como
objetivo del plan de capacitación:

OBJETIVOS

Objetivo general: formación del personal de Protección y Seguridad Privada de

nuestras organizaciones, a través de la capacitación para proteger a las personas,
propiedades, entornos, información y otros, con criterios de: calidad, seguridad,
salud, respetando la normativa vigente.

Objetivos específicos:

• Proporcionar al personal de Seguridad Privada las herramientas que le permita

identificar, detectar, prevenir y actuar para minimizar riesgos de inseguridad en las
instalaciones.

• Promover cambio de ideas y preceptos del guardia de Seguridad Privada, para

mejorar el servicio y la imagen que proyecta hacia el cliente y sus compañeros.

• Mejorar la calidad de servicio con base en la capacitación continua del personal de

seguridad, para el beneficio de la seguridad del cliente.

• Transmitir los conocimientos, los procedimientos, las normas, ética y valores de

todo el personal de seguridad privada. El personal que ingresa a las filas de la
seguridad privada, lo hace muchas veces por necesidad, por ser la única opción
laboral que encontró, cuando es puesto en servicio, recibe la inducción muchas
veces del propio personal de vigilancia, ni el supervisor en ocasiones sabe cuál es el
verdadero trabajo, sólo se concreta a decirle algunas instrucciones o consignas,
peor no lo capacita adecuadamente, esto se lo deja al guardia que está en servicio
en el lugar, o incluso al cliente que es quien le informa qué hacer al elemento.
 Coordinador de seguridad privada 2

Esto genera no sólo mala imagen y desempeño del servicio, afecta la imagen de la
empresa y del servicio mismo, por ello es importante que el personal reciba una
capacitación adecuada y ante todo lo involucre en la profesión a la que ha llegado.
Capacitar es dar herramientas útiles y generar un buen servicio, brindando la
garantía que se dará un buen servicio de protección. En la actualidad vemos que la
inseguridad ha rebasado el servicio que nos brinda la seguridad pública, por lo que
es necesario contar con personal que proteja las personas, la información y las
propiedades, ésta es una labor delicada y debe estar en manos de personal
calificado, primero entendamos que no son policías, pero su labor es importante
para salvaguardar el sitio donde laboran. La preocupación por la seguridad es una
de las características más notables de nuestra civilización. No podemos prevenir
buena parte de amenazas existentes, por el alto grado de incertidumbre de muchos
fenómenos naturales y sociales.

La buena noticia es que en el ámbito seguridad privada se puede aplicar una

metodología que reduce de forma drástica el riesgo y así contar con herramientas
para la prevención. El funcionamiento de este sector está asociado a una
explotación sistemática de fuerzas y fenómenos del mundo físico, cuyas leyes son
bien conocidas y cuyos efectos se pueden predecir con precisión. La vigilancia y
Seguridad Privada expresa que la prestación de estos servicios se orienta a
disminuir las amenazas que puedan afectar la vida, la integridad personal y el pleno
ejercicio de los legítimos derechos sobre la propiedad y los bienes de las personas
que reciban tales servicios, sin invadirlos ámbitos de competencia del Estado
asignadas a la seguridad pública.

El guardia de vigilancia y seguridad privada es la persona encargada de precautelar

la protección a las personas, propiedades (entorno) de la organización donde
labora, teniendo a su disposición recursos físicos, organizativos y tecnológicos. En
este contexto se propone corregir la debilidad existente en los ámbitos de la
formación, capacitación, especialización, gestión, control y evaluación de los
guardias, orientando sus esfuerzos a la institucionalización y cumplimiento efectivo
de su misión y la certificación como entes competentes para el ejercicio de su labor.

¿EN QUÉ TEMAS DEBEN CAPACITARSE? Los requerimientos mínimos de los

participantes en los procesos de capacitación son:

• Manejo de las operaciones fundamentales.

• Requisitos que demande la ley de seguridad y vigilancia. • Lectura, escritura y

comprensión de textos a un nivel básico.

• Realizar cálculos básicos de suma, resta, multiplicación, división. • Comprometido

con asumir la totalidad de la capacitación.

• Actitud para capacitarse.

 Coordinador de seguridad privada 3

• Buena predisposición para compartir los conocimientos con su entorno. Una de las
modalidades contempladas en la Ley Federal de Seguridad Privada es la seguridad
intramuros, que es la que desempeñan los guardias, ya sea de empresasde
seguridad o internos, y que son la primer imagen de atención al cliente, su
desempeño y labor está encaminada a dar atención, prevenir pérdidas y disuadir
cualquier acto de riesgo en perjuicio del cliente, son responsables de la protección a
personas, información y propiedades, parte del desarrollo de los cursos, que a
continuación se exponen:

• Cultura de legalidad, valores y ética.

• Derechos humanos de la Seguridad Privada.

• Conceptos básicos de la seguridad.

• Protocolos de operaciones en seguridad.

• Curso de seguridad integral.

• Primeros auxilios.

• Marco legal.

• Notas y reportes escritos.

• Técnicas de revisión corporal.

• Manual de emergencias.

• Amenaza de bomba.

• Límites de actuación.

• Manual de fundamentos operativos. El desempeño y resultado de las funciones del

personal que desarrolla las labores de vigilancia y seguridad privada están ligadas a
su formación y aprendizaje, el cual adquieren por medio de la enseñanza,
capacitación, y actualización de conocimientos relacionados con la vigilancia y
seguridad privada, que reciben en las escuelas de capacitación y entrenamiento. En
la labor de liderazgo (directores, jefes de seguridad) en compañías de Seguridad
Privada, se realiza la medición del conocimiento de los vigilantes, desde el proceso
de selección en entrevistas de conocimiento y en el ejercicio diario de la labor de los
guardias; en estos escenarios se encuentra notoriamente vacíos académicos que
posiblemente se deriven de la falta de asistencia a los cursos de conocimientos.

BENEFICIOS DE LA CAPACITACIÓN La capacitación de los guardias es

responsabilidad de la compañía de seguridad privada y debe realizarse para
maximizar el desempeño general del guardia de seguridad. La formación de
guardias de seguridad privados es una inversión que vale la pena pagar, porque
traerá buenos beneficios para todos en un futuro. La vida cotidiana de un guardia de
 Coordinador de seguridad privada 4

seguridad puede ser impredecible y existe una gran diversidad de personas con las
que interactúa todos los días.

Las responsabilidades de comunicación serán diferentes en cada turno. Algunos

turnos requerirán una estrecha coordinación con el supervisor del guardia de
seguridad de turno y otros días requerirán la cooperación de varias personas que
pueden estar invadiendo o merodeando en la propiedad de un cliente. El programa
de capacitación de los guardias de seguridad se garantiza para que el personal
comprenda la importancia de las habilidades sociales diseñadas para reducir las
situaciones que pueden ser tensas y desagradables. Para que un guardia de
seguridad privada pueda desempeñar su función, debe haber recibido un curso de
capacitación.

En esta capacitación, es preparado en aspectos relacionados con funciones

laborales, el manejo adecuado del público (relaciones humanas), reserva y ética
profesional y valores, entre otros. La capacitación de estos crea en nuestros
colaboradores, tácticas para prevenir acciones que sean de riesgo para el
patrimonio de nuestros clientes. Estando siempre atentos a los detalles y alertas
mientras trabajan, de esta manera, los oficiales de seguridad podrán reconocer y
reportar cualquier incidente con inmediatez. El personal de seguridad debidamente
capacitado será más consciente de las situaciones potencialmente peligrosas que
pueden enfrentar mientras se encuentran en el sitio del cliente. Tener esta habilidad
permitirá al guardia de seguridad estar listo para tomar decisiones inteligentes
rápidamente mientras está bajo presión.

Según las estadísticas, los guardias de seguridad capacitados tienen mayores tasas
de productividad y efectividad. La capacitación hace que se vuelvan más atentos a
los detalles y estén alertas mientras trabajan. Con un mayor estado de alerta, los
oficiales de seguridad podrán reconocer y reportar cualquier incidente, esto hará
que también aumente la eficiencia de la comunicación. El entrenamiento del guardia
de seguridad enseñará la importancia de una comunicación clara, concisa y fácil de
entender, y su papel en operaciones de seguridad efectivas. La capacitación
adecuada de los oficiales de seguridad mejora, no sólo la inteligencia de nuestros
miembros, sino, a su vez sus sentidos, permitiéndoles manejar más fácilmente las
circunstancias de manera responsable y apropiada mientras están bajo coacción.

Tener la capacitación para tomar decisiones difíciles durante circunstancias

estresantes no sólo aumentará la eficiencia del desempeño del guardia de
seguridad, sino que también optimizará la seguridad de las empresas en las que
brinda sus servicios. El hecho de que la ley no tenga un requisito específico para la
capacitación del guardia de seguridad no significa que no deba completarse.
 Coordinador de seguridad privada 5

1.2 EL PAPEL DEL COORDINADOR DE SEGURIDAD EN EL

SISTEMA DE SEGURIDAD PRIVADA
El Coordinador de Seguridad debe contar con competencias como: coordinar,
capacitar, supervisar, conciliar y todo lo relacionado con el cumplimiento de las
estrategias para la prevención del delito. posee habilidades como: el manejo de
personal, solución de problemas, trabajo en equipo y la toma de decisiones. Como
necesario se requiere de comunicación y del liderazgo. Aunado a lo anterior se
presenta como esencial el conocimiento en seguridad, administración, leyes y
reglamentos, así como el manejo de equipo de transporte y maquinaria y equipo de
oficina.

Competencias Transversales

Comunicación.

Liderazgo.

Manejo de personal.

Solución de problemas.

Trabajo en equipo.

Toma de decisiones.

Competencias Técnicas

Coordinar a los equipos de seguridad.

Supervisar que los programas y operativos diseñados se cumplan a cabalidad.

Capacitar al personal en el desempeño de sus funciones.

Organizar y coordinar las actividades en empresas que ofrecen servicios de

vigilancia y seguridad.

Conciliar los posibles cambios en los programas y estrategias diseñadas.

Corroborar que las actividades desempeñadas por el personal a su cargo estén

apegadas a los programas y estrategias.

Contar con conocimientos en seguridad, administración, leyes y reglamentos.

Aplicar nuevas técnicas para la prevención del delito y situaciones de riesgo.

Aplicar nuevos procedimientos y políticas para la prevención del delito y primeros

auxilios.
 Coordinador de seguridad privada 6

Usar nueva tecnología aplicada a la vigilancia y seguridad.

El coordinador de seguridad es responsable de la seguridad de las instalaciones u

organización y de las personas que se encuentran en ellos. Diseñan y aplican los
planes y procedimientos de seguridad y coordina el trabajo del personal de
seguridad. Esta persona debe asegurarse de que todos los trabajadores estén
familiarizados con las normas de seguridad y que se cumplan en todo momento. El
coordinador de seguridad también debe ser capaz de identificar peligros potenciales
y tomar las medidas necesarias para minimizar el riesgo de accidentes.

Objetivo:

Asistir en el mantenimiento de la seguridad física de los edificios e instalaciones, y

vigilar la seguridad del personal y de los visitantes.

Proporciona apoyo a los equipos de gestión de catástrofes.

Asistir a los empleados para que cumplan con las políticas y procedimientos
establecidos por la empresa.

Coordinar las actividades de seguridad con otras áreas del negocio.

Supervisar y hacer cumplir las políticas y procedimientos de la empresa.

Responder a situaciones de emergencia e informar de los incidentes a las

autoridades competentes.

Monitorear el equipo de seguridad y el equipo de vigilancia.

Preparar informes de seguridad y presentarlos a la dirección.

Investigar y analizar accidentes e incidentes de seguridad.

Implementar y mantener el programa de seguridad de la organización.

Supervisar y evaluar el desempeño de los empleados en materia de seguridad.

Funciones y responsabilidades del Coordinador de seguridad

Asegurar la seguridad de la información, los trabajadores y los activos de la

empresa.

Realizar auditorías periódicas de los controles de seguridad existentes.

 Coordinador de seguridad privada 7

Asegurarse de que el personal de seguridad esté capacitado y cualificado.

Asistir en los asuntos relacionados con la aplicación de la ley, incluyendo la

respuesta a las llamadas de emergencia, la notificación a las autoridades locales de
los delitos y la asistencia en cualquier investigación.

Mantener un registro de seguridad que incluya entradas diarias, semanales y

mensuales, e informar de cualquier acontecimiento inusual.

Asegurarse de que el personal de seguridad cumpla con los estándares de

seguridad.

Asistir al gerente de las instalaciones en el desarrollo del programa de seguridad.

Supervisar y evaluar la eficacia de los controles de seguridad.

Asistir en la orientación, adoctrinamiento y formación de los empleados.

Informar de los incidentes relacionados con la seguridad al director de la instalación

y cooperar con las fuerzas del orden, según proceda.

Asistir en la supervisión del acceso a las instalaciones, incluso fuera del horario de
trabajo, garantizando que solo el personal aprobado entre en las instalaciones.

Mantener el equipo de seguridad, incluidas las alarmas, las llaves y los códigos,
debidamente distribuidos y actualizados.

Participar en los simulacros de respuesta a emergencias.

Ayudar en el proceso de contratación.

Perfil Profesional y Habilidades Blandas del Coordinador de seguridad (Requisitos)

Ser graduado de una carrera de seguridad o tener experiencia en el área.

Conocimientos en legislación de seguridad, tanto nacional como internacional.

Al menos 5 años de experiencia en puestos de seguridad.

Experiencia en el desarrollo, implementación y evaluación de programas de

seguridad.

Conocimiento probado de los principios, prácticas, políticas, procedimientos y

capacidades de seguridad.

Fuertes habilidades de comunicación y capacidad para interactuar con todos los

niveles del personal, incluida la dirección.

Certificado de Crímenes o Antecedentes Penales limpios.

Certificado de Seguridad Industrial y de Seguridad Nacional.

 Coordinador de seguridad privada 8

Capacidad para trabajar de forma independiente y como parte de un equipo.

La capacidad de manejar múltiples tareas simultáneamente.

Capacidad para tomar la iniciativa y ser proactivo.

A continuación, presentamos las preguntas frecuentes relacionadas con la

descripción y análisis del puesto de Coordinador de seguridad.

¿Qué hace el Coordinador de seguridad?

El coordinador de seguridad es el responsable de supervisar y coordinar las

actividades de seguridad de una empresa. Se encarga de establecer y supervisar
las políticas de seguridad, así como de coordinar las actividades de los equipos de
seguridad. También se encarga de investigar accidentes e incidentes y de elaborar
informes de seguridad.

¿Cuáles son las principales funciones y responsabilidades del Coordinador de

seguridad?

Las principales funciones del coordinador de seguridad son la planificación,

coordinación y supervisión de las actividades de seguridad en una empresa.
También se encarga de la formación y capacitación del personal en materia de
seguridad. Otro de sus roles es establecer y mantener los protocolos de seguridad,
así como garantizar que se cumplan.

¿Qué debe hacer un buen Coordinador de seguridad?

Un buen coordinador de seguridad debe asegurarse de que el personal esté

capacitado y cualificado para hacer frente a los riesgos a los que se enfrentan en el
lugar de trabajo. También debe estar al tanto de las normas y regulaciones
aplicables a la seguridad en el lugar de trabajo y asegurarse de que se cumplan
estas normas.

¿Con qué otros puestos se relaciona el Coordinador de seguridad?

El Coordinador de seguridad se relaciona con otros puestos de la siguiente manera:

-Supervisores de seguridad -jefe de seguridad -Personal de seguridad
 Coordinador de seguridad privada 9

1.3 QUE ES SEGURIDAD

Seguridad (del latín securitas) [1] cotidianamente se puede referir a la ausencia de
riesgo o a la confianza en algo o en alguien. Sin embargo, el término puede tomar
diversos sentidos. Dependiendo del área o campo al que haga referencia en la
seguridad. En términos generales, la seguridad se define como "el estado de
bienestar que el ser humano percibe y disfruta".

Seguridad de detectores de metales a tránsito en el aeropuerto de Berlín-

Schönefeld.

Una definición dentro de las ciencias de la seguridad es "ciencia interdisciplinaria

que está encargada de evaluar, estudiar y gestionar los riesgos a los que se
encuentra sometida una persona, un bien o el ambiente". Se debe diferenciar la
seguridad sobre las personas (seguridad física), la seguridad sobre el ambiente
(seguridad ambiental), la seguridad en ambiente laboral (seguridad e higiene), etc.

Las ciencias de la seguridad (como rama de las ciencias empíricas) se estudian en

distintas universidades [2][3] en carreras tanto de grado como de postgrado.

Conceptos básicos

La seguridad consiste en hacer que el riesgo situacional se reduzca a niveles

aceptables, debido a que el riesgo es inherente a cualquier actividad y nunca puede
ser eliminado. Para explicar esta frase, es importante recurrir a la definición de valor.
“Los valores son principios que nos permiten orientar nuestro comportamiento en
función de realizarnos como personas". Los valores, actitudes y conductas están
estrechamente relacionados.

La seguridad como necesidad básica

Según la pirámide de Maslow, la seguridad en el ser humano ocupa el segundo

nivel dentro de las necesidades de déficit. Según la teoría de las necesidades de
Bronisław Malinowski, la seguridad es una de las siete necesidades básicas a
satisfacer por el ser humano. Para explicar esta frase, es importante recurrir a la
definición de valor. “Los valores son principios que nos permiten orientar nuestro
comportamiento en función de realizarnos como personas. ... Los valores, actitudes
 Coordinador de seguridad privada 10

y conductas están estrechamente relacionados. Son muchas las organizaciones que

trabajan para lograr la seguridad, como la ONU.

Definición legal

En algunos países la legislación se encarga de definir el término seguridad. Por

ejemplo, en la Argentina, además de estar nombrada en el artículo 42 de la
Constitución Nacional referente a la seguridad en relación con el consumo, en la Ley
de Seguridad Interior en su artículo 2 utiliza la siguiente definición:

Situación de hecho basada en el derecho en la cual se encuentran resguardadas la

libertad, la vida y el patrimonio de los habitantes, sus derechos y garantías y la
plena vigencia de las instituciones del sistema representativo, republicano y federal
que establece la Constitución Nacional.[4]

Relación con otras disciplinas

La Seguridad se encuentra enmarcada dentro de las ciencias empíricas,

específicamente una ciencia factual cultural (Rickert) según describe Enrique
Fentanes,[5] aunque otros autores lo enmarcan dentro de las ciencias sociales
"dado que implica el desarrollo de conductas sociales vinculadas con la protección
de las personas, sus bienes, sus derechos" ,[6] desde esta perspectiva también se
entiende una ciencia transversal a distintas disciplinas dado que comprende
conocimientos tanto de derecho como de criminalística, criminología, investigación
científica del delito[7] (entre otras áreas de conocimiento) enfocado hacia la
protección.

El enfoque que busca la seguridad es el de la gestión de riesgos (principalmente

enfocado hacia la prevención), que se diferencia, por ejemplo, del derecho, que es
el orden normativo de la conducta humana en sociedad. Esta comparativa no es
menor, dado que es frecuente la confusión donde profesionales del derecho
(abogados, jueces, fiscales) toman atribuciones que son propias de las Ciencias de
la Seguridad generando la diagramación de políticas públicas sin tener en cuenta
cuestiones como el análisis de riesgo o el conocimiento empírico de los
profesionales en Seguridad. Esto, sin embargo, es algo considerado por distintas
normativas donde en determinados países se exige un título habilitante para cumplir
tareas de seguridad.[8][9]
 Coordinador de seguridad privada 11

En la tradición realista de las Relaciones Internacionales, seguridad es un estado

estrechamente relacionado con la guerra y su amenaza, en concreto la amenaza a
la supervivencia del estado como actor principal a nivel internacional.[10]

Arnold Wolfers (1962), académico realista, definió dos lados del concepto de
seguridad: «Seguridad en el sentido objetivo mide la ausencia de amenazas a los
valores adquiridos; en el sentido subjetivo, la ausencia de miedo a que dichos
valores pudieran destruirse». Estar seguro sería, pues, encontrarse libre de miedos
y, a la vez, libre de necesidades.

Así, la seguridad es, a priori, un concepto con connotaciones positivas, pero ¿quién
define las necesidades? ¿Quién define los miedos? Tradicionalmente, los
académicos clásicos entendían que la seguridad, para perpetuar su existencia, era
el objetivo al que los estados aspiraban, aquello que motivaba su comportamiento y
estrategias en las relaciones internacionales. Los estados eran vistos como los
únicos actores que intervenían en la escena internacional y, por lo tanto, eran sus
intereses los que determinaban las acciones internacionales. Este enfoque alude a
la seguridad nacional como principal Seguridad BCF S motivación de los actores.
Un enfoque transnacional, también se centrará en los estados como principales
actores, pero, a su vez, intentará promover la seguridad internacional como el
objetivo deseable de la comunidad internacional. Es por ello, también, que los
conceptos «seguridad» y «paz» se encuentran a menudo unidos en la jerga de las
Naciones Unidas. En pro de la seguridad internacional, el máximo órgano decisor de
la ONU se llama Consejo de Seguridad, ya que tiene como misión principal velar por
la paz y la seguridad.

Esta concepción centrada en los estados ha sido la imperante en las relaciones

internacionales, tanto como disciplina académica como ámbito de actuación de los
propios estados. Pero definir un concepto tan amplio y con tanta carga política e
histórica como «seguridad» sería una tarea utópica si lo que pretendemos es dar
con una fórmula mágica ahistórica y descontextualizada passe-partout. Es evidente
que la idea de ‘seguridad’ para una trabajadora filipina en Catar diferirá bastante de
la del ministro de exteriores de Japón o de la de un pensionista griego.

Cómo se conceptualiza seguridad o qué adjetivo acompaña la «seguridad»

(nacional, internacional, humana, alimentaria, medioambiental, etc.) influye en las
políticas de seguridad y defensa, pero también, y de forma notoria, en las políticas
de privacidad y en las leyes de regulación ciudadana internas de los estados o leyes
de seguridad pública. Actualmente, con la globalización de la violencia organizada,
 Coordinador de seguridad privada 12

la seguridad humana se pierde en favor de un renovado énfasis en la Homeland

Security. Ahora nuestra seguridad no se encuentra amenazada desde allende las
fronteras sino en el vecino de al lado, en el paseante que se nos cruza, en el
ordenador de nuestra casa.

Pero ¿existe una discordia entre el concepto de seguridad percibido desde las
administraciones y gobiernos y lo que por ello entiende la población en general?
Esta divergencia comporta que las amenazas que afectan directamente al bienestar
inmediato de la población, como el paro o la pobreza, se encuentren desplazadas
no solo como hasta ahora en las políticas clásicas de defensa y militares sino
también en los asuntos internos del país. Ello genera también un debate que no se
ha zanjado sobre la responsabilidad de proteger, una nueva forma que justificaría
las intervenciones militares en el exterior como lo que Michael Walzer llama
«guerras justas». El término, además, ha tomado especial relieve político como
parte del rol y discurso occidental en la escena internacional desde el siglo xx.[11]
[12]

Tiempos de la seguridad y su relación con el riesgo

La seguridad busca principalmente la gestión del riesgo, esto significa como actuar
ante el mismo. Existen distintas acciones que se pueden tomar, pero es importante
realizar siempre un análisis de riesgo para poder planificar la seguridad.

El riesgo se puede aceptar, prevenir, transferir o mitigar. Cada determinación está

enfocada en el momento de acción sobre la gestión de este.

No son acciones excluyentes pudiendo, en distintos grados, tomarse cada una de

estas medidas.

Seguridad y miedo

Podríamos decir que estar seguro es encontrarse libre de miedos y tener cubiertas
las necesidades. La seguridad, por lo tanto, está íntimamente relacionada con la
ausencia de miedo y con el riesgo de ver amenazados los valores y nuestro sistema
actual de vida. Ahora bien, las amenazas, como las inundaciones, los desastres
 Coordinador de seguridad privada 13

naturales o el terrorismo, pueden ser objetivas o subjetivas; el miedo, en cambio, es

siempre subjetiva.

La relación entre seguridad y miedo es inversa: es lógico tener más miedo en

situaciones de menos seguridad (y más riesgo), y en cambio el miedo tendría que
disminuir cuando la seguridad crece y el riesgo baja. Más riesgo implica más
posibilidad de amenazas, menos seguridad objetiva, y, probablemente, más miedo.
Menos riesgo comporta una reducción de la posibilidad de amenazas, más
seguridad objetiva y tendría que implicar menos miedo.

Dado que la seguridad y el miedo (en contraste al riesgo) no son fácilmente

medibles, la evaluación del riesgo puede ser uno de los elementos clave para
comprender y evaluar objetivamente el peligro y el grado de seguridad objetiva.
Porque el miedo va ligado a la percepción que tenemos del riesgo a morir, a tener
problemas o a ser atacados, y estos riesgos, objetivos, se pueden estudiar y
conocer.[13]

Tipos de seguridad

Existen varios tipos de seguridad, dentro de los cuales destacan los siguientes:

bioseguridad

seguridad ciudadana

seguridad humana

seguridad informática [14]

seguridad jurídica

seguridad laboral

seguridad social

seguridad vial

seguridad bancaria

seguridad privada [15]

seguridad de la información.
 Coordinador de seguridad privada 14

seguridad nacional

seguridad alimentaria

seguridad física

seguridad de salud

seguridad ambiental

seguridad económica

1.4 QUE ES SEGURIDAD FISICA

Seguridad Física es el conjunto de mecanismos y acciones que buscan la detección
y prevención de riesgos, con el fin de proteger algún recurso o bien material.[1] En
el caso de recintos como edificios, oficinas, residencias, otros, se entiende como, los
mecanismos que llevan a disminuir las probabilidades que ocurran eventos que
atenten contra el bienestar de los individuos y sus posesiones (robos, violaciones,
entre otros).

La seguridad física orientada a domicilios, oficinas y otras edificaciones es puesta

en práctica por la ciudadanía y por profesionales en el área (seguridad privada,
cerrajeros, sistemas de vigilancia). Cualidad de estar libre y exento de todo peligro,
daño o riesgo.

Orígenes de la Seguridad Física

Desde tiempos remotos el hombre ha buscado protección. En los primeros días

buscaba protección personal contra las inclemencias de la naturaleza y luego fue
haciéndose más complejo, haciendo complejas también sus necesidades.[2]

En cierto punto el hombre se fue congregando, fueron creándose pequeñas

comunidades que le dieron forma a la sociedad como la conocemos.

La búsqueda de mejores oportunidades en grandes ciudades como parte de la

Revolución Industrial fue promoviendo la distribución desigual de la población
mundial. Como consecuencia, muchas áreas quedaron superpobladas,
 Coordinador de seguridad privada 15

convirtiéndose esto en un problema que afectó directamente a la sensación de

seguridad del ser humano. Eran muchos, mayormente desconocidos, en un área
muy reducida.

Estar rodeados de muchos fue afianzando en el hombre la necesidad de proteger lo

que consideraba como suyo y de allí comienza a plantear mecanismos para la
defensa de sus bienes.

Desde ese punto, hasta la actualidad, la humanidad ha perfeccionado los

mecanismos y sistemas de protección personal; en el camino fueron agregándose
tecnologías que hicieron de la seguridad una acción más fiable.

El aumento de los índices de robo en ciertas zonas también contribuyó al desarrollo

de la seguridad física como necesidad y fue convirtiéndola en negocio y
especialización.[3]

Detección y prevención de riesgos

Como consecuencia la disminución de la sensación de seguridad en los seres

humanos, se plantearon mecanismos para la detección y prevención de situaciones
de riesgos en espacios físicos.

Para la detección y prevención de riesgo se toman en cuentan variables

fundamentales entre las que se encuentran:

Estudio del entorno en riesgo

Probabilidad de ocurrencia de riesgos de acuerdo con el tipo

Características del recinto a proteger

Planificación de la seguridad física

Una vez que se ha detectado una posible situación de riesgo, se planifican las
acciones de seguridad física. La planificación suele depender de:
 Coordinador de seguridad privada 16

Expectativa de seguridad

Tecnología para emplear

Presupuesto para la inversión en seguridad

Entre los elementos típicos que se incluyen en un plan de seguridad física están:[4]

Protección para accesos (puertas, ventanas y otros)

Sistemas de vigilancia monitorizados (cámaras)

Sistemas de seguridad privada

lineamientos de seguridad para usuarios (cómo mantener el nivel de seguridad con

acciones cotidianas)

Participación de cerrajeros y otros profesionales en la seguridad física

La planificación de la seguridad física en recintos suele ser una acción común en la

sociedad actual. Por lo general, la participación de profesionales en la materia es
necesaria para que se cumplan con las expectativas del sistema.

Los profesionales en cerrajería suelen ser actores directos en el plan de seguridad

física porque se encargan de la instalación y mantenimiento de los elementos que
componen el sistema de seguridad (puertas, ventanas y otros accesos). Con el
avance de la tecnología, nuevos profesionales se han sumado al equipo de trabajo
de los planes de seguridad física.

Avance tecnológico en la seguridad de recintos

La automatización de procesos en una vivienda, conocida como domótica, es parte

del avance tecnológico de la seguridad física en búsqueda de mejorar la sensación
de seguridad del ser humano en sociedad. La tecnología de fabricación de piezas
de cerrajería también ha evolucionado de acuerdo con las nuevas necesidades de
protección. Actualmente las cerraduras inteligentes [5] y los sistemas reforzados de
apertura y cierre de puertas proveen un nuevo nivel de seguridad para recintos,
tanto comerciales como residenciales.
 Coordinador de seguridad privada 17

1.4 OBJETIVOS DE LA SEGURIDAD FISICA

¿Qué es la seguridad física? Conceptos clave y su importancia

En estos tiempos de apogeo de la era tecnológica, la seguridad es una prioridad

absoluta para las empresas de todos los sectores. Ahora que casi todas las
organizaciones dependen de la infraestructura informática para llevar a cabo
operaciones empresariales cotidianas como el intercambio de información y las
transacciones monetarias, proteger su red digital tiene sentido desde un punto de
vista práctico.

Debido al panorama siempre cambiante de la infraestructura digital, es natural que

las empresas inviertan mucho en la protección de sus activos informáticos, sobre
todo porque se vislumbran amenazas nuevas y problemas más sofisticadas. Pero
¿Son suficientes las medidas de seguridad digital?

Los sistemas de seguridad física no son un concepto nuevo, pero son igual de
importantes que las medidas de ciberseguridad cuando se trata de proteger a las
personas, los bienes y los activos.

En esta sección, aprenderá la definición de seguridad física, sus componentes,

tecnologías, ventajas y otra información que debe conocer para implantar un plan de
seguridad física eficiente.

¿Qué es la seguridad física?

Una definición común de seguridad física incluye las medidas de seguridad

diseñadas para limitar el acceso a las personas autorizadas, así como cualquier
recurso que proteja al personal de severos daños materiales.

Así, en el término más sencillo, la seguridad física se define como la protección de

los activos de una organización para que no sufran daños como consecuencia de
sucesos físicos. Estos sucesos pueden ir desde catástrofes naturales, como
incendios e inundaciones, hasta peligros causados por el hombre, como robos y
vandalismo. Los accidentes y los daños que repercutan de estos también entran
dentro de los sucesos que pueden estar cubiertos por un plan de seguridad física.

¿Qué implican los sistemas y planes de seguridad física? A primera vista, las
medidas de seguridad física incluyen cerraduras, puertas, cámaras de
 Coordinador de seguridad privada 18

videovigilancia y guardias de seguridad. Aunque éstas son estrategias excelentes,

hay capas más profundas que debe tener en cuenta a la hora de crear un plan de
seguridad física.

Un plan eficiente debe incluir equipamiento y tecnología y puede funcionar junto a

estas áreas:

- Formación: Asegúrese de que su personal tiene los conocimientos

adecuados en la aplicación de su estrategia de seguridad física.
- Diseño y disposición del equipo: El equipamiento y los componentes de
seguridad física deben colocarse estratégicamente para complementar el
esquema y la distribución de sus instalaciones.
- Respuesta inmediata ante emergencias: El personal de sus instalaciones
debe recibir formación sobre qué hacer en determinadas situaciones y
emergencias.
- Control de acceso: Comprende absolutamente todo a la asignación del
acceso que tendrá su personal y sus límites para espacios restringidos.
- Componentes medioambientales: Cree medidas de seguridad para mitigar
los daños de los desastres naturales intencionados o imprevistos que puedan
suceder.

Principales medidas de seguridad física

Cuando se trata de prevenir distintos tipos de amenazas a la seguridad física en

cualquier instalación, hay muchos tipos de innovaciones que puede utilizar: desde
tarjetas de acceso cifradas y cámaras de seguridad hasta credenciales móviles y
sensores de temperatura. Pero antes de utilizar cualquiera de estos sistemas, es
importante comprender los distintos elementos que pueden contribuir a su plan de
seguridad física.

Al crear una estrategia de seguridad física, es necesario que todas las medidas de
seguridad se complementen entre sí. Esto significa que hay que utilizar distintos
tipos de medidas de seguridad física en un enfoque estratificado para garantizar la
protección desde todos los ángulos.

¿Cuáles son las buenas prácticas de seguridad física? He aquí los elementos más
comunes de un plan de seguridad física eficiente:
 Coordinador de seguridad privada 19

- Disuasión: Este tipo de tecnología de seguridad física se centra en mantener

alejados de una zona determinada a personas, vehículos o animales no
deseados. La disuasión puede abarcar diversos equipos como señalización,
cámaras de seguridad y sistemas de control de acceso. También incluye
barreras físicas como puertas, cerraduras y muros. Se trata esencialmente de
cualquier sistema o equipo de seguridad que pueda ayudar a disuadir a los
intrusos de entrar en zonas sensibles.

- Detección: Los elementos disuasorios no son suficientes. Si quiere proteger

plenamente sus instalaciones, necesita dispositivos que puedan identificar a
posibles intrusos y formas de alertar a las autoridades competentes. Algunas
tecnologías que puede utilizar para las medidas de detección de seguridad
física son sensores, alarmas y notificaciones automáticas.

- Retraso: Existen varios controles de seguridad física creados para retrasar a

los intrusos a la hora de irrumpir en una instalación. Medidas de seguridad
sencillas como puertas adicionales, cerraduras y guardias de seguridad,
pueden ayudar a retrasar los incidentes. Otras tecnologías de seguridad
física más avanzadas como las tarjetas llave y las credenciales móviles,
pueden dificultar la entrada en un edificio a usuarios no autorizados. Con esta
tecnología instalada, es fácil mitigar una brecha antes de que se cause
demasiado daño.

- Respuesta: Una vez que se produce una brecha o intrusión, también debe
contar con una estrategia de respuesta, como el cierre del edificio o la
notificación automática a los servicios de emergencia.

Los planes eficientes deben incluir estas tecnologías para garantizar que una
instalación pueda prevenir las amenazas físicas y tomar las medidas necesarias si
se produce una violación en la seguridad

Componentes de los controles y sistemas de seguridad física

Los controles de seguridad física se dividen en tres áreas principales: control de

acceso, vigilancia y pruebas. El buen funcionamiento de estos componentes de
seguridad puede ser decisivo para su programa de seguridad física. Su rendimiento
también puede indicar lo bien que se ha aplicado el plan, dónde hay que mejorar y
qué hay que mantener.
 Coordinador de seguridad privada 20

Control de acceso

La forma más eficiente de maximizar sus controles de seguridad física es limitar y

controlar quién puede acceder a sus instalaciones comerciales. Este componente de
seguridad física consiste en restringir la exposición de determinados activos y zonas
únicamente al personal autorizado. Las empresas pueden utilizar componentes de
seguridad física como teclados, tarjetas de identificación, inicios de sesión
biométricos y guardias de seguridad para limitar el acceso de personas no
autorizadas.

¿Cómo funciona el control de acceso? La primera línea de defensa de la

seguridad física es su arquitectura. Esto incluye muros, rejas, puertas y guardias
colocados estratégicamente para disuadir la entrada de delincuentes. En algunos
lugares, los alambres de espino, las cerraduras adicionales, las señales de
seguridad visibles y el equipamiento pueden ayudar a reducir los intentos de entrar
en una instalación.

También existen medidas de control de acceso más avanzadas que utilizan un

enfoque basado en la tecnología para reforzar la seguridad de los edificios. Un
ejemplo de seguridad física es el uso de tarjetas de identificación de proximidad. En
lugar de una simple tarjeta de identificación de plástico, los empleados reciben
tarjetas llave que utilizan tecnología NFC o RFID para autenticar su identidad al
entrar en distintos lugares del edificio.

Además de los empleados, las empresas también pueden proporcionar tarjetas de

acceso a los visitantes para controlar fácilmente a qué zonas de sus instalaciones
pueden acceder sus visitantes. Algunas empresas utilizan autenticadores móviles en
lugar de tarjetas de identificación para validar la identidad al entrar en un edificio.
Estos escáneres de identificación y autenticadores actuarán como obstáculos para
cualquier persona sin autorización, lo que dificultará a los atacantes el acceso a
determinadas áreas importantes e información en sus instalaciones.

Habilitar la autenticación multifactor (multi factor authentication o MFA) aumenta el

tiempo que tardan los intrusos en llevar a cabo cualquier delito que tengan en
mente. Esta práctica recomendada de seguridad física requiere que los usuarios
presenten al menos dos credenciales autorizadas, como teclear un código PIN y
escanear una tarjeta de identificación. Cuantos más obstáculos estratégicamente
situados estén disponibles, más tiempo podrán ganar las empresas para actuar ante
las amenazas y poder mitigarlas.
 Coordinador de seguridad privada 21

Además, el control de acceso puede hacer mucho más que restringir el acceso no
autorizado. Las barreras físicas como muros y cercos pueden ayudar a proteger los
edificios de catástrofes naturales y medioambientales, como corrimientos de tierras
e inundaciones. Obviamente, estos riesgos dependen de la ubicación, pero las
organizaciones siempre deben tener en cuenta este tipo de amenazas a la hora de
invertir en sistemas de seguridad física.

Importancia del control de accesos para la seguridad física

Además de disuadir a los intrusos, las organizaciones pueden utilizar los modernos
sistemas de control de acceso para conocer los movimientos del personal y los
visitantes. Por ejemplo, un sistema de tarjetas identificativas permite a los
administradores acceder a informes y leer registros de eventos. Esto puede servir
para comprender mejor el uso del edificio, identificar puntos de congestión, mejorar
los procesos generales y el flujo de tráfico y adoptar un enfoque de la seguridad
basado en los riesgos y análisis de los datos.

El control de acceso también puede utilizarse en la gestión de visitas. Una táctica

habitual de los intrusos son las visitas sin previo aviso a las instalaciones que
quieren atacar. Comprueban qué medidas de seguridad existen e investigan si es
una opción viable seguir infiltrándose en el espacio. Si sólo gestiona el acceso de
sus visitantes sobre el papel, es posible que se sientan más seguros a la hora de
acceder sin autorización. Pero si dispone de registros de actividad más avanzados y
registros detallados de los visitantes, puede que se lo piensen dos veces antes de
entrar en las instalaciones.

Herramientas y tecnología de vigilancia

Cuando se trata de la prevención y la recuperación tras un incidente, la vigilancia es

el componente más crítico de la seguridad física. Hace referencia al personal, los
recursos y la tecnología que utilizan las organizaciones para supervisar la actividad
en las distintas áreas de las instalaciones. Incluye cámaras de video, sensores,
vigilantes y sistemas de notificación automática. Uno de los tipos de tecnología de
seguridad física más utilizados para este componente son las cámaras de seguridad
o cámaras de circuito cerrado de televisión (CCTV). Estos dispositivos graban
continuamente la actividad de una zona determinada, lo que permite ver lo que
ocurre en un lugar concreto en tiempo real o grabarlo para verlo más tarde. Algunas
 Coordinador de seguridad privada 22

cámaras de seguridad incorporan funciones analíticas capaces de detectar y

clasificar objetos de forma inteligente, notificándole si ocurre algo inusual. Cuando
elija un equipo de video para sus instalaciones, asegúrese de contar con la ayuda
de un técnico especialista en cámaras de seguridad que pueda evaluar
cuidadosamente cada punto de entrada, comprobando si hay algún punto ciego que
pueda ser aprovechado. El técnico especialista en cámaras de seguridad también
se asegurará de que sus cámaras de video estén colocadas estratégicamente en
lugares que requieran vigilancia y protección constantes.

Importancia de las cámaras de video para la seguridad física

Cuando se produce una actividad delictiva, se necesitan pruebas que demuestren

que se ha producido. A menudo, la video seguridad proporciona las pruebas que
necesita. La mayoría de las cámaras permiten grabar constantemente en una zona
determinada y algunas tienen capacidad de visión nocturna para ver en entornos
más oscuros. Si ocurre algo sospechoso en sus instalaciones, puede utilizar estas
grabaciones como prueba.

Además, algunos dispositivos de vigilancia ofrecen una función de notificación

automática que proporciona alertas instantáneas de amenazas a la seguridad física,
como la detección de intrusiones. Las cámaras de video y el software de gestión
avanzados suelen disponer de monitorización en tiempo real, lo que le permite ver
las brechas en acción a medida que se desarrollan. Esto puede darle una idea de
cómo mitigarlas lo antes posible.

Pruebas de los sistemas de seguridad física

El control de acceso y la vigilancia son medidas preventivas de seguridad física:

sólo conocerá su calidad cuando se produzca un suceso real. Pero, por supuesto,
no querrá esperar a que eso ocurra sin saber hasta qué punto son seguras sus
instalaciones. Por eso es necesario realizar pruebas como mejores prácticas de
seguridad física. Este componente de la seguridad física comprueba lo bien que su
organización identifica, responde y contiene una amenaza para la seguridad.

Las pruebas requieren educar a los empleados, a menudo mediante formación y

comunicación escrita. Las cámaras y las tecnologías pueden hacer mucho, pero su
empresa estará mejor protegida si sus empleados conocen las medidas de
seguridad de su empresa y saben qué hacer en caso de amenaza a la seguridad
física. Esto se aplica especialmente a catástrofes naturales como incendios y
 Coordinador de seguridad privada 23

terremotos, pero es igualmente importante a la hora de identificar riesgos para la

seguridad física como el acoso o las actividades sospechosas.

Importancia de las pruebas de seguridad física

Las pruebas permiten a los propietarios de empresas o al personal de seguridad

comprender lo bien que funciona su sistema de seguridad y qué aspectos deben
mejorar. Si lleva a cabo simulacros de violaciones de la seguridad física, también
podrá ver lo bien que se desenvuelven sus empleados en distintos escenarios. Esto
también le da una idea de cómo están funcionando sus medidas de seguridad y si
hay otras vulnerabilidades que deba proteger.

Al mismo tiempo, educar a sus empleados sobre las políticas y protocolos de

seguridad física puede hacer que se sientan más seguros en el trabajo. Si los
empleados son conscientes de los sistemas existentes para detectar actividades
delictivas, esto también puede ayudar a disuadir cualquier actividad que suponga
una amenaza física, como comportamientos fraudulentos o robos por parte de los
empleados.

Ejemplos de aplicación de la seguridad física

Seguridad perimetral

Este es uno de los ejemplos más comunes de seguridad física que vemos hoy en
día. La seguridad perimetral es sencilla. Consiste en crear barreras físicas que
protejan sus instalaciones de los intrusos. Esto incluye cercos, puertas, alambre de
espino y guardias de seguridad. Este tipo de seguridad física es también su primera
línea de defensa para disuadir a los intrusos de entrar en sus instalaciones.

Elementos del entorno

La disposición y el paisajismo de su propiedad pueden ayudar a controlar el flujo de

tráfico en las instalaciones y disuadir de actividades no deseadas. Por ejemplo, los
cercos altos alrededor del perímetro, la iluminación activada por movimiento y los
senderos mantenidos facilitan la detección de cualquier persona que parezca
sospechosa merodeando por el exterior del edificio.
 Coordinador de seguridad privada 24

Credenciales seguras para las personas autorizadas

Exigir que todas las personas autorizadas dispongan de credenciales de acceso es

una de las mejores prácticas de seguridad que debe implantar en su empresa.
Existen muchos tipos de sistemas y cada uno de ellos puede utilizarse en función
del nivel de amenaza o de la importancia de una zona, entre los que se incluyen:

Tarjetas magnéticas / tarjetas de identificación

Sistema de llavero magnético

Lectores biométricos

Cerraduras con teclado

Credenciales basadas en dispositivos móviles

Estos dispositivos de seguridad física garantizan que cada usuario pueda acceder
fácilmente al edificio cuando lo necesite. También ofrecen a las empresas una mejor
visión del tráfico diario, los intentos de acceso fallidos y las posibles amenazas a la
seguridad física.

Zonas de acceso restringido

Este ejemplo de seguridad física muestra cómo pueden aplicarse medidas para
zonas restringidas, como una sala de servidores o una zona con equipos costosos.
A este tipo de zonas sólo puede acceder un pequeño subconjunto del personal, lo
que requiere credenciales de acceso adicionales, como MFA, PIN únicos o
credenciales biométricas. Si algo desaparece o se daña en la sala, se reduce quién
puede ser considerado responsable.

Los componentes de seguridad de supervisión adicionales, como cámaras de video

o un guardia con personal, pueden disuadir aún más de la actividad no autorizada
en espacios restringidos.

Registros y auditorías

Otra forma de proteger una instalación es mediante un registro detallado. En lugar

de restringir el acceso, este método de seguridad física mantiene un registro de las
credenciales utilizadas, así como de dónde y cuándo se produjo la actividad. Esto
no sólo disuade a los usuarios no autorizados, sino que también permite crear un
 Coordinador de seguridad privada 25

entorno de datos forense esencial para la gestión y el mantenimiento de la

seguridad física.

Por ejemplo, los registros de múltiples intentos fallidos de inicio de sesión o los
intentos de acceso con una tarjeta perdida serían más fáciles de detectar con
registros de actividad detallados. Si se produce un fallo de seguridad, podrá
identificar rápidamente los puntos débiles de su sistema gracias a los registros de
auditoría.

Sistemas de control

La mayoría de las organizaciones disponen de sistemas de vigilancia para proteger

sus instalaciones. Esto les permite detectar de inmediato intrusos que puedan haber
burlado otras medidas de seguridad, como la seguridad perimetral. Algunos
sistemas también pueden detectar catástrofes naturales y emitir avisos en caso de
que se produzcan. Estos sistemas pueden incluir detectores de movimiento,
cámaras de seguridad y sistemas de alarma contra incendios. En algunas
situaciones, basta con que estos dispositivos registren las actividades. Sin embargo,
otras instalaciones requieren que un sistema de vigilancia sea gestionado
activamente por un guardia o personal.

Miembros del personal

Por supuesto, necesita a alguien que haga cumplir sus medidas de seguridad física,
y ahí es donde entran en juego sus empleados. Hay algunos empleados o personal
de seguridad contratados explícitamente para aplicar su plan de seguridad, mientras
que a otros sólo se les anima a participar activamente cuando se produce una
emergencia.

Por ejemplo, los guardias de seguridad y los recepcionistas pueden actuar como
guardianes, dando acceso sólo a las personas autorizadas. Las patrullas, por su
parte, pueden vigilar una sección de sus instalaciones a determinadas horas del día.
Pero los miembros del personal no deben ser las únicas medidas de seguridad
física que aplique. Este ejemplo de seguridad física debe complementarse con otras
tecnologías y componentes para asegurarse de que cubre todos los aspectos que
necesita proteger.

Amenazas comunes a la seguridad física

 Coordinador de seguridad privada 26

En la era digital en la que vivimos, el número de amenazas aumenta de forma

alarmante y muchas de ellas proceden del ciberespacio. Desde las violaciones de
datos hasta la piratería informática, el enfoque de muchas organizaciones ha
cambiado, centrándose más en conseguir una óptima solución de seguridad para la
seguridad física que también proteja las provisiones digitales.

Teniendo esto en cuenta, echemos un vistazo a las amenazas más comunes para la
seguridad física. Estas amenazas pueden ir dirigidas no sólo a los activos de sus
instalaciones, sino también a sus recursos digitales y humanos. Las amenazas a la
seguridad física pueden ser naturales o de origen humano, por lo que es vital que su
estrategia aborde ambas vulnerabilidades. Las amenazas también pueden
clasificarse en función del lugar de origen de los ataques:

Amenazas internas

Este tipo de amenaza a la seguridad física procede del interior de su organización.

Los riesgos internos para la seguridad física son más difíciles de contener que las
amenazas externas, ya que son más difíciles de predecir. Pueden ser de naturaleza
accidental o maliciosa. Ejemplos de este tipo de riesgos son:

Empleados que cometen robos o causan daños a la propiedad.

Empleados descuidados que dejan abiertas zonas restringidas.

Errores cometidos por su equipo de seguridad.

Infraestructuras defectuosas o condiciones de trabajo peligrosas.

De hecho, se calcula que el 69% de las compañías experimentó el robo de datos

corporativos por parte de los empleados, como a su vez se calcula una pérdida
anual de 1800 millones de euros por hurto y errores administrativos en las empresas
de distribución. Por lo tanto, necesita disponer de medidas de seguridad para evitar
que los miembros internos caigan en la tentación de actuar maliciosamente. Esto
puede incluir dispositivos de acceso con RFID y sistemas de videovigilancia para
proteger las zonas críticas de sus instalaciones.

Las amenazas internas también pueden provenir de fuentes no humanas, como

incendios debidos a cableado defectuoso, equipos mal manipulados y otros. Dado
que este tipo de amenazas son más difíciles de predecir, lo mejor es identificar las
zonas de sus instalaciones más expuestas a este tipo de peligro y tomar medidas
 Coordinador de seguridad privada 27

proactivas para mitigar este riesgo para la seguridad física. Un plan adecuado de
preparación y respuesta ante emergencias es también una medida de seguridad
física fundamental para este tipo de situaciones.

Amenazas externas

Como su nombre indica, este tipo de amenaza se origina fuera de su empresa.

Puede incluir ataques de terceros con intenciones maliciosas y catástrofes
naturales. Las amenazas externas a la seguridad física también pueden incluir:

Entradas forzadas o robos

Vandalismo y daños a la propiedad

Entrada no autorizada de personas ajenas a su personal o a su lista de visitantes

aprobados.

Un estudio presentado por Crime&Tech, una empresa emergente surgido en la

Universidad Católica del Sagrado Corazón de Milán, y la multinacional Checkpoint
System, ha analizado el valor de los hurtos con un coste anual de más de 2550
millones de euros en supermercados españoles y son los más afectados en toda
Europa. La mayoría de las veces, este tipo de delitos son perpetrados por actores
externos. Sin embargo, los actores internos también pueden participar en este tipo
de sucesos, a veces sin saberlo, al dejar entrar a un colado en un edificio o dejar
una puerta abierta por accidente.

Amenazas naturales

Estas amenazas a la seguridad física constituyen daños causados por causas

naturales como inundaciones, terremotos, rayos y otras catástrofes naturales
imprevisibles. En esta situación, el riesgo para la seguridad física reside en el hecho
de que un suceso de este tipo puede causar daños extremos a sus activos y poner
en peligro a los empleados.

Más que la pérdida de hardware, la pérdida de años y años de datos empresariales

críticos y de inversión, así como las lesiones de sus empleados pueden suponer un
duro golpe para el funcionamiento de su empresa. Por eso es crucial que las
estrategias de seguridad física incluyan formación y comunicación adecuadas para
los procedimientos de emergencia en todos los sectores y tipos de propiedad.
 Coordinador de seguridad privada 28

¿Por qué es importante la convergencia de la ciberseguridad y la seguridad física?

Para la infraestructura digital, la ciberseguridad desempeña sin duda un papel

integral en un funcionamiento más seguro. Sin embargo, los sistemas de datos aún
pueden ser vulnerados mediante una amenaza de seguridad física. Esta es una de
las razones por las que muchas empresas recurren hoy en día a la convergencia de
la ciberseguridad y la seguridad física para una protección más proactiva. Este tipo
de estrategia de seguridad protege los datos esenciales de la empresa, la
información crítica y confidencial, así como el hardware, el personal y otras
estructuras tangibles.

Con más dispositivos conectados a las redes internas como nunca visto, enfocar la
ciberseguridad teniendo en cuenta las medidas de seguridad física ayuda a crear
una estrategia completa que cubre su empresa desde múltiples ángulos y elimina
redundancias en sus equipos de seguridad.

Mejores prácticas de seguridad física

¿Qué medidas de seguridad física debe adoptar para mantener la seguridad de sus
instalaciones? ¿A qué componentes de la seguridad física debe prestar más
atención?

No existe una solución única de seguridad física. Cada organización tiene

necesidades diferentes, pero hay medidas comunes que, cuando se ajustan a su
situación, pueden ayudar a protegerla de ataques físicos. Entonces, ¿cuál es una
buena práctica para la seguridad física?

Invertir en personal de seguridad

Uno de los mejores elementos disuasorios frente a posibles ataques es la seguridad

visible y esto es lo que puede garantizar la inversión en personal de seguridad. Por
ejemplo, puede contratar guardias de seguridad adicionales o cambiar las rutas de
patrulla existentes para cubrir más terreno. Considere la posibilidad de dotar de
personal las entradas y salidas importantes, lo que puede ayudar a garantizar que
no se produzcan entradas o salidas no autorizadas.

Además, tener personal de seguridad puede dar tranquilidad a sus empleados y

disuadir a los malintencionados de trabajar contra su empresa. Sin embargo, tener
guardias de seguridad no garantiza automáticamente la protección y la seguridad.
 Coordinador de seguridad privada 29

También debe asegurarse de que su equipo de seguridad entienda los requisitos de

su organización y esté formado en las medidas de seguridad física que aplique su
empresa. Deben disponer de equipos de última generación que puedan disuadir y
retrasar a los intrusos y deben saber cómo responder adecuadamente en distintas
situaciones de seguridad.

Utilizar sistemas de vigilancia

Los guardias de seguridad pueden ser eficientes para disuadir y retrasar a los
intrusos, pero sólo pueden detectar amenazas en su proximidad. Aquí es donde
entran en juego los sistemas de vigilancia. Este tipo de sistema de seguridad física
puede ayudarle a saber lo que ocurre en varias zonas de sus instalaciones al mismo
tiempo que previene posibles peligros. Sin embargo, no todas las soluciones de
monitorización son adecuadas para todas las propiedades y hay muchos factores
que contribuyen a su eficiencia.

Las cámaras de seguridad deben colocarse estratégicamente en lugares que

ofrezcan la máxima visibilidad sobre sus instalaciones. Estas grabaciones pueden
servir de prueba cuando se produce una brecha y las cámaras equipadas con
análisis de IA (Inteligencia Artificial) pueden ayudar a los equipos de seguridad a
saber dónde centrarse en los momentos críticos, todo a través de una buena gestión
de la seguridad física.

Un sistema de alerta automatizado puede notificar inmediatamente a la persona

adecuada en caso de acceso no autorizado o movimientos sospechosos en un área
particular y segura de sus instalaciones. Esto permite una respuesta inmediata a las
amenazas para ayudar a disminuir cualquier daño. También puede emplear
cámaras de seguridad avanzadas que le permitan acercarse a una persona u objeto
concreto para vigilar de cerca su actividad sospechosa.

Los sensores también pueden ayudar a proporcionar un mejor conocimiento de la

situación. Algunos ejemplos del componente de seguridad física incluyen sensores
de humo, sensores de temperatura, sensores de agua o fugas y dispositivos de
recuento de ocupación.

Algunos sistemas también permiten a los jefes de los equipos de seguridad

comprobar la ubicación de sus guardias mediante GPS en toda clase de sistemas
operativos. Esto también permite una rápida respuesta y delegación cuando se
 Coordinador de seguridad privada 30

produce un incidente y así los directivos encargados sabrán a quién llamar en el

lugar del incidente.

Limitar el acceso a las instalaciones

¿Sabe cuál es el enemigo número uno de la seguridad? La accesibilidad. El fácil

acceso a sus instalaciones es el toque de rebato para las personas
malintencionadas que desean poner en peligro sus activos. Una forma eficiente de
evitarlo es restringir el acceso a sus instalaciones. Entonces, ¿cómo puede controlar
el acceso a sus instalaciones?

La respuesta depende de lo que quiera proteger y de los riesgos que pueda

permitirse. En las zonas que necesitan menos seguridad, puede bastar con un
vigilante. Algunas situaciones pueden requerir etiquetas identificativas y controles de
seguridad al entrar y salir del edificio. Sin embargo, en las zonas en las que hay que
aplicar la máxima seguridad física, hay que contar con un control de acceso más
avanzado, como lectores biométricos y cerraduras codificadas.

Educar a sus empleados

Aunque disponga de los sistemas de seguridad más avanzados y de guardias

formados, nada de eso importa si sus empleados no conocen sus protocolos de
seguridad física y las funciones que desempeñan en ellos. ¿Sabe su personal qué
hacer en caso de que se produzca una intrusión física en sus instalaciones? ¿Saben
dónde acudir si se producen catástrofes naturales?

Para garantizar que sus empleados estén preparados, asegúrese de que están bien
formados para hacer frente a las amenazas a la seguridad física. Cuando conocen
el procedimiento operativo estándar, pueden contribuir a proteger sus activos e
incluso salvar vidas en el proceso. Al mismo tiempo, educarles puede darle la
tranquilidad de que está protegido cuando se producen brechas y emergencias.

Reflexiones finales sobre planes, sistemas y soluciones seguras para la seguridad

física

Cada empresa es única, y también lo son sus requisitos de seguridad física. Una
vez más, no existe un enfoque único que pueda proteger todos los aspectos de su
empresa, por lo que es fundamental asegurarse de que su plan de seguridad física
 Coordinador de seguridad privada 31

se adapte a su organización y a sus instalaciones. Entender qué es la seguridad

física, así como cuáles son las normas de seguridad física sólidas es un buen
comienzo.

Dado que los mundos físico y digital se solapan continuamente, necesita un socio
de confianza que le ayude a navegar por ambos. Realice una evaluación exhaustiva
de los riesgos y consulte a un profesional.

LISTADO DE COMPROBACION DE LA SEGURIDAD FISICA

La seguridad es una prioridad cuando diriges las instalaciones de una empresa, ya

sean grandes o pequeñas, y puede incluir medidas como cerraduras y cámaras de
seguridad, así como protocolos para gestionar el acceso al edificio y supervisar la
actividad en su interior. Pero ¿cómo puedes saber si tu seguridad física es
suficientemente eficaz? Una evaluación de la seguridad física medirá hasta qué
punto tu edificio y sus ocupantes están protegidos frente a posibles amenazas.

Una forma de determinar la eficacia de las medidas de seguridad de tus

instalaciones es realizar una auditoría de seguridad física y llevar a cabo
inspecciones que ayuden a identificar posibles puntos débiles y amenazas,
garantizando que las instalaciones estén adecuadamente protegidas contra
amenazas como robos, violaciones de datos y accesos no autorizados. Según una
investigación del Ponemon Institute LLC, las organizaciones que ponen a prueba
sus medidas de seguridad tienen mucha más confianza en su seguridad física
general, lo que les permite concentrarse en aspectos empresariales más
importantes.

Se recomienda contratar a un auditor de seguridad física externo para garantizar

que cumples los requisitos de seguridad reglamentarios, las normas del sector y que
tengas en cuenta las últimas vulnerabilidades conocidas. Sin embargo, no todas las
organizaciones disponen del presupuesto para hacerlo. Si aún no estás preparado
para contratar a un auditor, elaborar una lista de comprobación interna de seguridad
física puede ayudarte a reforzar tus medidas de seguridad.

En este artículo, te proporcionaremos una lista de comprobación de la seguridad en

la oficina que puedes utilizar para evaluar tu seguridad física actual e identificar los
problemas y las áreas que necesitan mejorar. Aunque esta lista de comprobación de
la seguridad de la oficina es una guía útil, no sustituye a una auditoría y certificación
 Coordinador de seguridad privada 32

profesionales. Te recomendamos que hables con un auditor de seguridad física

después de realizar tu propia lista de comprobación de la seguridad del edificio para
asegurarte de que no se pasa nada por alto.

¿Qué es una evaluación de riesgos para la seguridad física?

También llamada auditoría de seguridad, una evaluación de la seguridad física es

una evaluación sistemática de una instalación y sus medidas de seguridad, con el
objetivo de identificar posibles vulnerabilidades y áreas susceptibles de mejora.

Puede implicar una revisión de las políticas y procedimientos de seguridad, una

inspección de las instalaciones físicas, pruebas de carga de los sistemas de
seguridad y entrevistas con los empleados. La evaluación de riesgos de la
seguridad física debe centrarse en la protección de las personas, los bienes y la
información, y debe tener en cuenta amenazas potenciales como robos, catástrofes
naturales y hurtos internos.

El objetivo de una auditoría de seguridad de oficinas es garantizar que las

instalaciones están adecuadamente protegidas frente a posibles amenazas y que
las medidas de seguridad son eficaces y adecuadas. Una buena auditoría de
seguridad de la oficina también garantizará que todo el equipo de seguridad
existente funcione correctamente en caso de infracción o emergencia. No querrás
esperar a que se produzca un incidente para saber que algunos de tus protocolos y
dispositivos instalados no funcionan.

¿Qué ocurre durante una evaluación de riesgos físicos?

Hay varios pasos y elementos clave en una lista de comprobación de auditoría de

seguridad física.

Revisión de políticas y procedimientos. Este paso incluye la revisión de las medidas

de control de acceso, las patrullas de seguridad y los protocolos de respuesta a
incidentes para determinar cualquier punto débil o incoherencia en las prácticas de
seguridad. Un auditor de seguridad física puede hacer recomendaciones para
mejorar, si es necesario.
 Coordinador de seguridad privada 33

Inspección de las instalaciones físicas. En esta parte de la evaluación de riesgos de

seguridad física, un auditor inspeccionará la construcción del edificio, la distribución,
la iluminación y el paisajismo en busca de deficiencias en la infraestructura que
puedan ser fácilmente aprovechadas, y ofrecerá recomendaciones para mejoras o
actualizaciones.

Probar tus sistemas de seguridad. La tecnología es estupenda, pero sólo si funciona

a pleno rendimiento. Por eso es importante evaluar las cerraduras electrónicas, las
cámaras de seguridad, sistemas de alarma y toda computadora involucrada para
asegurarse de que funcionan correctamente y carecen de problemas de operación.

Entrevistas a los empleados. El último paso de una oficina de seguridad te ayudará

a comprender mejor hasta qué punto cada trabajador en tu empresa es susceptible
de que agentes malintencionados intenten aprovecharse de ellos para acceder a tus
instalaciones, así como a asegurarte de que saben cómo actuar en caso de una
brecha o un desastre natural.

En general, una lista de comprobación de evaluación de la seguridad física es una

herramienta importante para garantizar la seguridad y protección de una instalación.
Realizando periódicamente evaluaciones de riesgos y aplicando las
recomendaciones de seguridad, las instalaciones pueden reducir el riesgo de
infracciones y mantener un entorno de trabajo seguro.

¿Con qué frecuencia debo realizar una evaluación de riesgos para la

seguridad física?

Mediante la realización periódica de evaluaciones, las instalaciones pueden

identificar cualquier laguna en sus medidas de seguridad y tomar medidas para
abordarlas y mejorarlas. Esto puede ayudar a reducir el riesgo de violaciones de la
seguridad y a mantener un entorno seguro para los empleados y los bienes.

En general, se recomienda realizar cada año una exhaustiva lista de comprobación

de la seguridad física del edificio. Sin embargo, según la ubicación, el tamaño y el
sector de la organización, la frecuencia puede variar. Las organizaciones más
grandes con cientos de empleados pueden querer realizar auditorías más
frecuentes.

Listas de comprobación de seguridad física para oficinas y edificios comerciales

Aunque una evaluación exhaustiva de los riesgos para la seguridad física debe
llevarla a cabo un profesional, sigue siendo útil realizarla tú mismo como parte de
una estrategia de seguridad proactiva. Sigue la siguiente lista de comprobación de
seguridad de edificios para evaluar lo preparadas que están tus instalaciones frente
a una posible amenaza.
 Coordinador de seguridad privada 34

Lista de control de seguridad en oficinas

¿Dispones de una política de seguridad en la oficina? Para realizar una lista de

comprobación de la seguridad en la oficina, empieza por las medidas y protocolos
que existen para proteger a las personas, los bienes y la información de posibles
amenazas.

Si no tienes una política escrita, ahora es un buen momento para esbozar todas tus
medidas de seguridad. Aunque tu oficina disponga de un código de procedimiento,
es importante revisar y actualizar periódicamente las políticas. Como parte de una
evaluación de la seguridad física, esto es necesario para garantizar que son
eficaces y adecuadas para el panorama de amenazas en constante cambio.

El objetivo de revisar las políticas para la lista de control de seguridad de tu oficina

es identificar cualquier laguna o incoherencia en las prácticas de seguridad y ofrecer
recomendaciones para mejorarlas. Para evaluar si tus políticas y procedimientos
actuales funcionan, utiliza esta lista de comprobación de la seguridad en la oficina:

¿Cuál es el alcance de tu revisión de seguridad? Puede ser toda la organización, un

departamento o unidad de negocio concretos, o un proceso o sistema en particular.

¿Dispones de políticas o procedimientos internos de seguridad?

¿Existen normas reglamentarias o procedimientos industriales relevantes que deba

seguir tu organización?

¿Siguen siendo pertinentes y están actualizadas todas las políticas? Ten en cuenta
los cambios en la organización, la tecnología o las amenazas que puedan haberse
producido desde la última revisión de la política.

¿Hay lagunas o incoherencias en tus políticas actuales? Por ejemplo, ¿diversas

políticas entran en conflicto entre sí, o algunas políticas no proporcionan suficiente
orientación sobre cómo manejar determinadas situaciones?

¿Falta algún control o requisito en la lista de comprobación de seguridad de tu

oficina que deba revisarse o comprobarse para garantizar su cumplimiento?

¿Tienes alguna forma de documentar los resultados de las auditorías periódicas de

seguridad de los edificios de oficinas, incluidas las recomendaciones para mejorar la
seguridad?

Lista de control de inspección de los locales físicos

Después de haber revisado y evaluado tus políticas y procedimientos actuales, lo

siguiente en tu lista de comprobación de evaluación de riesgos para la seguridad
 Coordinador de seguridad privada 35

física es inspeccionar tus instalaciones reales. Esto incluye comprobar tus

estructuras físicas y las instalaciones en general para identificar cualquier cosa que
pueda afectar a la integridad de tu seguridad física.

El mantenimiento es una parte que suele pasarse por alto en la lista de

comprobación de la seguridad de un edificio de oficinas, pero tener un espacio
limpio y desordenado puede marcar una gran diferencia cuando se trata de
seguridad. Un local con escombros, basura o jardines descuidados puede ser un
objetivo más fácil para los delincuentes, mientras que un interior desorganizado
puede provocar respuestas más lentas en momentos críticos.

Utiliza esta lista de comprobación de la seguridad física del edificio para comprobar
e inspeccionar las instalaciones físicas de tu centro.

El exterior del edificio

¿Los puntos de entrada, como puertas y ventanas, son seguros y funcionan

correctamente?

¿Existen puntos vulnerables, como ventanas o puertas sin asegurar, que puedan
ser aprovechados por posibles intrusos?

¿Toda la iluminación exterior es eficaz y está en buen estado de funcionamiento?

¿Tienes señalización visible y cámaras de seguridad, si son necesarias?

¿Está asegurado y bien mantenido el perímetro del edificio?

El interior del edificio

¿Hay rincones oscuros o zonas no seguras donde no tengas visibilidad?

¿La disposición de las instalaciones proporciona al personal de seguridad líneas de

visión claras hacia los puntos de entrada clave

¿Existen vulnerabilidades potenciales, como zonas no seguras o puntos débiles en

la estructura del edificio, que podrían ser aprovechados por posibles intrusos?

¿Están bien organizados tus armarios y almacenes informáticos?

¿Dispones de un sistema de registro de visitas?

Lista de comprobación para probar los sistemas de seguridad

 Coordinador de seguridad privada 36

La mayoría de los edificios actuales tienen instalada tecnología de seguridad:

cámaras de videovigilancia, control de accesos, alarmas y sistemas de gestión de
edificios. Sin embargo, que fueran probados cuando se instalaron no significa que
sigan funcionando como deberían.

Por eso es vital probar periódicamente tu tecnología de seguridad durante una

evaluación de riesgos para la seguridad física del edificio. Esto puede incluir la
ejecución de informes para garantizar que no se ha pasado por alto ninguna
vulnerabilidad, pero también debería incluir pruebas de carga de tus sistemas con
robos simulados o simulacros de seguridad.

He aquí algunas preguntas clave para la lista de comprobación de la seguridad de tu

oficina:

Control de acceso

¿Cómo se conceden y gestionan los permisos ¿Cómo se emiten y gestionan las

tarjetas o fichas de acceso?

¿Cómo se generan los registros e informes de acceso y con qué frecuencia se

revisan?

¿Cómo se integra el sistema de control de acceso con otros controles de seguridad

(por ejemplo, detección de intrusos, cortafuegos y encriptación de datos)?

¿Existen vulnerabilidades o puntos débiles en el sistema de control de acceso que

puedan comprometer la seguridad?

¿Se han producido incidentes o violaciones de la seguridad del control de accesos

en el pasado, y has abordado esas vulnerabilidades?

¿Qué grado de fiabilidad tienen tus lectores y cerraduras?

Seguridad por vídeo

¿Están todas tus cámaras de seguridad conectadas y funcionan correctamente?

¿Dan todas las cámaras una imagen clara y de alta definición, incluso en
condiciones de iluminación variables?

¿Hay zonas de alto riesgo equipadas con cámaras de seguridad?

¿Cómo se supervisan las grabaciones de las cámaras? Si no tienes vigilancia 24

horas al día, 7 días a la semana, ¿tienes configuradas alertas para cualquier
actividad sospechosa?

¿Cómo está protegido el almacenamiento de datos de vídeo?

 Coordinador de seguridad privada 37

¿Tienes suficiente almacenamiento de datos de vídeo para cumplir las normas del
sector en materia de auditoría?

Entrevistar a los empleados para evaluar los riesgos para la seguridad física

Las políticas de seguridad sólo son eficaces si tus empleados siguen todos los
procedimientos y buenas prácticas. Por eso entrevistar a los empleados debe formar
parte de tu lista de comprobación de la seguridad en la oficina. Hablar con el
personal puede proporcionarte información valiosa sobre lo bien que se transmiten
en tu organización los conocimientos y las prácticas de seguridad. Con ello, puedes
determinar si los empleados conocen y han recibido formación sobre los protocolos
de seguridad y si los siguen en su trabajo diario.

Además, entrevistar a los empleados durante una auditoría de la lista de

comprobación de seguridad de un edificio te puede ayudar a identificar posibles
vulnerabilidades en la seguridad de una instalación. Por desgracia, no todo puede
detectarse durante una evaluación de riesgos para la seguridad física de tus
instalaciones y sistemas. Por ejemplo, tus empleados pueden tener algunas
preocupaciones de seguridad que pueden convertirse en algo grave si no se
abordan adecuadamente.

Entrevistar a los empleados también puede ayudar a garantizar que son conscientes
de los posibles riesgos y amenazas para las instalaciones y están preparados para
afrontarlos. Comprometiéndose con los empleados y proporcionándoles información
sobre medidas y protocolos de seguridad, puedes ayudarles a sentirse más seguros
y preparados en caso de incidente de seguridad. Esto puede ayudar a fomentar una
cultura de la seguridad en tus instalaciones y mejorar la seguridad y la moral
generales del lugar de trabajo.

He aquí algunos ejemplos de preguntas para una lista de comprobación de auditoría

de seguridad física:

¿Conocen los empleados la política de seguridad de tu compañía?

¿Cuáles son los procedimientos para informar de incidentes o violaciones de la

seguridad?

¿Cómo pueden los empleados identificar y evitar los ataques de phishing y otros
tipos de ingeniería social?
 Coordinador de seguridad privada 38

¿Qué medidas existen para proteger los datos y sistemas de la compañía?

¿Cuáles son las normas para acceder a datos y sistemas sensibles?

¿Son conscientes los empleados de los riesgos y amenazas potenciales para las
instalaciones, y saben cómo responder en caso de emergencia?

Cuando incluyes a tus empleados en la lista de comprobación de la evaluación de

riesgos para la seguridad física, pueden sentirse escuchados, valorados y
protegidos. Esto puede ayudar a crear una sensación de seguridad en tu lugar de
trabajo, al tiempo que refuerza las medidas actuales que tienes en marcha.

Lista de comprobación de seguridad de edificios de oficinas para catástrofes

naturales

Las catástrofes naturales supusieron en España un coste total de alrededor de

3.600 millones de euros en el año 2021, según el último Barómetro Anual de las
Catástrofes. Aunque esta cifra incluye tanto instalaciones privadas como
comerciales, no deja de ser una llamada de atención para las empresas que
piensan que son inmunes a los daños duraderos de las catástrofes naturales, que a
menudo detienen las operaciones durante largos periodos de tiempo.

Aunque no puedes evitar que ocurran estas catástrofes, sí puedes disponer de

protocolos y medidas para mitigar los daños que puedan ocasionar. A continuación,
encontrarás una lista de comprobación de la seguridad en la oficina que puedes
utilizar para mitigar los daños de las catástrofes naturales:

Identifica las posibles catástrofes naturales propensas en tu zona que podrían

afectar a las instalaciones, como terremotos, huracanes o inundaciones.

Elabora un plan para responder a cada tipo de catástrofe, que incluya

procedimientos de evacuación de emergencia, protocolos de comunicaciones de
emergencia y suministros de emergencia.

Comunica el plan a todos los empleados y realiza periódicamente cursos de

formación y simulacros para asegurarte de que todos saben qué hacer en caso de
catástrofe.

Instala medidas de protección, como muros reforzados, persianas o barreras contra

inundaciones, para reducir el riesgo de daños por catástrofes naturales.

Desarrolla sistemas de reserva y fuentes de energía de emergencia para garantizar

que los sistemas y equipos críticos puedan seguir funcionando en caso de
catástrofe.
 Coordinador de seguridad privada 39

Crea kits y reservas de suministros de emergencia para garantizar que los

suministros esenciales, como agua, alimentos y material médico, estén disponibles
en caso de catástrofe.

Vigila las condiciones meteorológicas y las alertas, y mantente informado sobre

posibles catástrofes naturales.

Utiliza sistemas de vigilancia y alerta meteorológica, como sirenas o alertas, para

comunicar rápida y eficazmente las amenazas potenciales a los empleados y otros
ocupantes de las instalaciones.

¿Está tu lugar de trabajo preparado para las amenazas a la seguridad del edificio?

Al evaluar sistemáticamente las medidas y políticas de seguridad vigentes, una lista

de comprobación de la seguridad de la oficina es vital para identificar posibles
vulnerabilidades y amenazas. Como herramienta de evaluación de riesgos para la
seguridad física, una buena lista de control de auditoría de seguridad puede ayudar
a las instalaciones a mitigar posibles amenazas y mantener un entorno seguro para
empleados y bienes.

Con las listas de comprobación de seguridad de edificios de oficinas y las directrices

descritas en este artículo, las empresas pueden realizar auditorías preliminares de
seguridad física eficaces, y obtener información crucial sobre lo que deben buscar
cuando trabajen con auditores profesionales de seguridad de edificios. Esto puede
proporcionar tranquilidad y garantizar que una instalación está adecuadamente
protegida contra posibles amenazas, incluso cuando el panorama de la seguridad
sigue evolucionando.

1.6 ¿QUE ES EL RIESGO? ¿DIFERENCIA ENTRE RIESGO Y

PELIGRO?
DIFERENCIA ENTRE RIESGO Y PELIGRO

El riesgo es la probabilidad de que ocurra un daño real mientras que el peligro es

el potencial o la capacidad de causar daño. Consideremos, por ejemplo, un cuchillo.
En sí mismo es un peligro pues con él se puede causar daño. Si el cuchillo es
manipulado por un adulto mientras prepara alimentos el riesgo de causar daño es
bajo. En cambio, si el cuchillo está en las manos de un niño el riesgo de causar
daño es elevado.

Las palabras "riesgo" y "peligro" son a menudo usadas como sinónimos, sin
embargo, un factor que los distinguen es la capacidad de elección. Es decir, el
peligro es inherente mientras que el riesgo es electivo.
 Coordinador de seguridad privada 40

Riesgo Peligro

Definición Posibilidad de pérdida, daño o peligro a Potencial de daño o

consecuencia de una decisión. pérdida resultado de algo
externo.

 Magnitud de las consecuencias  Naturaleza del

Dimensiones  Probabilidad del suceso daño
 Intensidad del
daño

Dependenci Depende de un contexto o escenario Depende de factores

a externos
Tipos Industrial Físico
Ambiental Químico
Sanitario Biológico
Económico/financiero Ambiental
Ejemplos Apostar dinero en el casino. Incendios
Contraer una enfermedad luego de Arsénico
fumar por 20 años.
Venenos
Vivir en las laderas de un volcán.
Terremotos
Fumar mientras se llena el tanque de
Bombas atómicas
gasolina.

¿Qué es riesgo?

El riesgo puede definirse como:

1. La probabilidad de que un evento favorable o adverso ocurra dentro de un

determinado tiempo. Por ejemplo, el riesgo de embarazo en una mujer puede
ser visto como un evento favorable para quien quiere tener hijos, o
desfavorable para una adolescente.
2. La probabilidad de que un evento específicamente desfavorable ocurra
dentro de un dado intervalo de tiempo. Por ejemplo, el riesgo de cáncer de
pulmón en fumadores a los 50 años.

El riesgo es en cierta forma lo opuesto a seguridad.

Clasificación de riesgo
 Coordinador de seguridad privada 41

 Extremadamente alto: las consecuencias del evento son extremadamente

serias y altamente probable. Por ejemplo, el riesgo de daño cerebral es
extremadamente alto en boxeadores.
 Alto: se presenta cuando un daño serio o promedio es probable, o un daño
extremadamente serio es poco probable. Por ejemplo, es de riesgo alto para
un astronauta salir de la Estación Espacial Internacional sin traje protector.
 Intermedio: cuando es improbable un daño serio o extremadamente serio, o
hay mayor probabilidad de lesiones ligeras. Por ejemplo, los cocineros o
asistentes de cocina tienen un riesgo intermedio de cortarse con cuchillos
mientras preparan los alimentos.
 Bajo: cuando la ocurrencia de lesiones leves a moderadas es poco probable
o improbable. Por ejemplo, el riesgo de sufrir una fractura de fémur en un
niño(a) de 10 años por saltar la cuerda es bajo.

Dimensiones del riesgo

El riesgo tiene dos dimensiones:

 extensión de la consecuencia y
 probabilidad de la ocurrencia.

Es decir, el riesgo es el resultado de la combinación de las probabilidades de que

ocurra un evento y de las consecuencias de este.

Probabilidad de un evento

Para entender mejor la clasificación de los riesgos debemos considerar los

diferentes niveles de probabilidades:

 Altamente probable: cuando se conocen episodios donde el evento ha

causado daño.
 Probable: cuando se conocen algunos episodios donde el evento ha
causado daño o puede transformarse en daño.
 No muy probable: cuando se conocen solo casos ocasionales o el evento
ocurre en circunstancias muy específicas.
 Improbable: no hay casos conocidos, o el evento puede ocurrir solo por una
desafortunada combinación de eventos independientes e improbables.

Consecuencia de un evento

Las consecuencias pueden ser:

 Extremadamente serias: cuando se presentan lesiones muy serias e

irreversibles, invalidez total o consecuencias peligrosas para la vida.
 Serias: si hay lesión o invalidez temporal con lesiones significativas e
irreversibles.
 Coordinador de seguridad privada 42

 Promedio: cuando hay un accidente o incapacidad temporal con enfermedad

o lesiones moderadas reversibles.
 Ligeras: por lesión o incapacidad temporal con efectos reversibles.

Gestión de riesgo

La gestión organizada e institucional del riesgo también conocida como gestión del
riesgo o manejo de riesgos consiste en comprender cómo se producen los
accidentes y desarrollar estrategias para prevenir o reducir la probabilidad de que
ocurran. De esta forma, los riesgos pueden estudiarse, analizarse, prevenirse y
manejarse.

El concepto de riesgo no está confinada a la cuestión de la vida y la muerte; de

hecho, en economía, particularmente en los mercados financieros, el riesgo es
usualmente asociado con la pérdida de dinero como consecuencia de malas
inversiones, hipotecas no pagadas y contaduría fraudulenta.

Dentro de la gestión de riesgo también deben ser consideradas las terceras

partes que son las personas que no toman parte en la actividad, pero están
expuestos a los riesgos. Estas pueden comunidades cercanas de una planta
nuclear, cerca de una ruta usada para el transporte de químicos o combustible, o la
gente que vive aledaña a un aeropuerto.

La ciencia del riesgo es el estudio de las amenazas que representan para la

humanidad y el medio ambiente los sistemas tecnológicos. Esta trata de:

 encontrar explicaciones para la ocurrencia de eventos no deseados;

 hacer modelos de estos sistemas con el enfoque en describir el riesgo,
 predecir el comportamiento futuro de los sistemas y
 ayudar a los involucrados a encontrar medidas para reducir los riesgos
planteados por estos sistemas.

Tipos de riesgo

 Riesgo tecnológico: esta presente cuando humanos y tecnologías

interactúan para alcanzar una meta particular, por ejemplo, las personas que
operan maquinarias y equipamiento.
 Riesgo ocupacional: Es el riesgo de muerte o de lesión mientras se está
realizando un trabajo.
 Riesgo individual: La probabilidad que una persona sufra un daño particular.
 Riesgo localizado: aquel que está asociado a una localidad. Por ejemplo, en
el planeamiento espacial es la frecuencia que un nivel letal de algún agente
(químico, onda térmica, radiación) sea excedida en esa determinada
localización.
 Coordinador de seguridad privada 43

 Riesgo grupal: o riesgo social es la probabilidad de que un grupo de un

cierto tamaño sea afectado simultáneamente por el mismo evento o
accidente.

Riesgo según ISO 45001

La norma ISO 45001:2018 es el estándar internacional que establece las

indicaciones de un sistema de manejo de salud y seguridad ocupacional para que
las organizaciones controlen sus propios riesgos. La nueva definición de riesgo
pretende que sea la consecuencia de la imprevisibilidad de un evento, donde la
consecuencia puede ser una desviación negativa y positiva de un resultado
esperado.
En este caso, las desviaciones negativas de los resultados esperados se denominan
comúnmente riesgos, mientras que las desviaciones positivas se denominan
oportunidades.

Ejemplos de riesgo

 Patinar con casco y equipo de protección en un área reservada es de riesgo

intermedio; patinar sin equipo de protección en una autopista es de alto
riesgo.
 Vivir en la vecindad de un aeropuerto internacional es de alto riesgo.
 Conducir un auto mientras se está ebrio y sin cinturón de seguridad es de alto
riesgo; conducir un auto en estado sobrio y usando cinturón de seguridad es
de riesgo intermedio.
 Nadar en un rio caudaloso en la noche sin compañía es de alto riesgo; nadar
en un rio tranquilo a plena luz del día en compañía de otras personas es de
bajo riesgo.

¿Qué es peligro?

La palabra "peligro" se emplea para definir la exposición simple o combinada capaz

de causar un efecto adverso sobre la salud o la vida. Podremos decir que son
"peligro" las cosas que nos hacen sentir inseguros, también llamadas "amenazas".

Dimensiones del peligro

El peligro tiene dos propiedades o dimensiones:

 Naturaleza del daño potencial.

 Intensidad del daño: es decir ¿cuán malo es?

Por ejemplo, el peligro de caer de una escalera. Dependiendo de la altura, uno

puede lastimarse levemente o morir. Así la naturaleza del daño es física al cuerpo, y
que el daño puede ser lo suficiente malo para provocar la muerte.

Tipos de peligro
 Coordinador de seguridad privada 44

 Biológico: agentes biológicos que producen enfermedad o muerte. Por

ejemplo: el hongo venenoso Amanita phaloides, el anthrax.
 Químico: agentes químicos que provocan lesiones graves e irreversibles. Por
ejemplo: el cianuro, el ácido sulfúrico concentrado.
 Físico: agentes físicos que pueden provocar daños o lesiones. Por ejemplo:
la electricidad, las explosiones, las altas temperaturas.
 Ambiental: todo aquello que afecta negativamente el medio ambiente. Por
ejemplo: huracanes, contaminación, terremotos.

Ejemplos de peligro

 Conducir un auto.
 Transportar combustibles y químicos.
 Zonas sísmicas/volcánicas.
 Volar en un avión.
 Condiciones climáticas extremas.
 Animales salvajes.
 Plantas y hongos venenosos.
 Agentes infecciosos: bacterias, virus, parásitos.

QUE ES RIESGO

El riesgo es una medida de la magnitud de los daños frente a una situación

peligrosa. El riesgo se mide asumiendo una determinada vulnerabilidad frente a
cada tipo de peligro. Si bien no siempre se hace, debe distinguirse adecuadamente
entre peligrosidad (probabilidad de ocurrencia de un peligro), vulnerabilidad
(probabilidad de ocurrencia de daños dado que se ha presentado un peligro) y
riesgo (propiamente dicho).[1]

Comúnmente, para unos esta señal es de riesgo y para otros es de peligro (porque
confunden el riesgo con el peligro). Pero no es ninguna de ambas cosas. Es una
señal indicadora de que en este lugar "existe un agente dañino". Para que en este
lugar haya riesgo o peligro hacen falta más causas.

Más informalmente se habla de riesgo para hablar de la ocurrencia ante un potencial

perjuicio o daño para las unidades, personas, organizaciones o entidades (en
general "bienes jurídicos protegidos"). Cuanto mayor es la vulnerabilidad mayor es
el riesgo, pero cuanto más factible es el perjuicio o daño, mayor es el peligro. Por
tanto, el riesgo se refiere solo a la teórica "posibilidad de daño" bajo determinadas
circunstancias, mientras que el peligro se refiere solo a la teórica "probabilidad de
 Coordinador de seguridad privada 45

daño" bajo esas circunstancias. Por ejemplo, desde el punto de vista del riesgo de
daños a la integridad física de las personas, cuanto mayor es la velocidad de
circulación de un vehículo en carretera mayor es el "riesgo de daño" para sus
ocupantes, mientras que cuanto mayor es la imprudencia al conducir mayor es el
"peligro de accidente" (y también es mayor el riesgo del daño consecuente)

Introducción

Existen diversas propuestas de medición de riesgo, cuando se recurre a una forma

de representación determinista el riesgo R se representa mediante una función de la
peligrosidad p y la vulnerabilidad V. [2]

Por ejemplo, el valor esperado de un cierto tipo de daños o perjuicios, fijada una
vulnerabilidad, es una función de este tipo siempre bajo condiciones estacionarias.
La peligrosidad usualmente se define como la probabilidad de ocurrencia de una
situación desfavorable, por tanto, a mayor, probabilidad de ocurrencia se asume
mayor riesgo. Igualmente, a mayor vulnerabilidad se asume que el riesgo aumenta.
Una persona encargada de reducir el riesgo puede optar por dos estrategias
posibles:

Reducir la peligrosidad o probabilidad de ocurrencia de un hecho.

Reducir la vulnerabilidad frente a daños, dado que se asume que el suceso

peligroso acabará dándose tarde o temprano.

En ocasiones solo es posible reducir uno de los dos factores (por ejemplo, en los
desastres naturales no puede actuarse sobre la probabilidad de ocurrencia ya que
no dependen de la acción humana).

Tipos de riesgos

Riesgo estratégico

Riesgo del negocio

Riesgo laboral

Riesgo de accidente

Riesgo patológico

Riesgo sanitario
 Coordinador de seguridad privada 46

Riesgo geológico

Riesgo sísmico: Terremotos o Maremotos

Erupciones volcánicas

Corrimiento de tierra

Riesgo financiero

Riesgo de crédito

Riesgo de liquidez

Riesgo de mercado

Riesgo operacional

Riesgo relacional

Riesgo biológico

Infección viral.

Epidemia

Material Biológico Peligroso

Agentes microscópicos altamente patógenos

Otros tipos de riesgo

Riesgos físicos

Riesgos químicos

Riesgos psicosociales

Clasificación de riesgos

editar

riesgo alto

riesgo medio

riesgo bajo

Algunas definiciones respecto del riesgo son las siguientes:

Se entiende a Riesgo cómo:

 Coordinador de seguridad privada 47

«potencial de que una amenaza específica explote las debilidades de un activo o

grupo de activos para ocasionar pérdida y/o daño a los activos. Por lo general se
mide por medio de una combinación del impacto y la probabilidad de ocurrencia
(CCN, 2015, pág. 756)» [3]

Desde el análisis de la Protección Civil y la Gestión Integral de Riesgo se entiende a

riesgo cómo:

«Probabilidad que una amenaza produzca daños al actuar sobre una población
vulnerable.» [4]

También desde el aspecto de normalización se entiende a Riesgo cómo:

«efecto de la incertidumbre sobre los objetivos

Nota 1 a la entrada: Un efecto es una desviación respecto a lo previsto. Puede ser

positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y
amenazas.

Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y

se pueden aplicar a diferentes niveles.

Nota 3 a la entrada: Con frecuencia, el riesgo se expresa en términos de fuentes de

riesgo (3.4), eventos (3.5) potenciales, sus consecuencias (3.6) y sus probabilidades
(3.7).» [5]

Este concepto de riesgo se relaciona con la peligrosidad [6] y con la probabilidad.

Otra definición de riesgo corresponde al peligro que se puede predecir únicamente
con incertidumbre y en términos probabilísticos. La valoración de este riesgo
corresponde a un proceso de identificación y de estudio de una serie de peligros,
con el objetivo de reducir las probabilidades de que ocurra. Esa valoración tiene dos
finalidades, caracterizar el riesgo de los actos violentos futuros, y elaborar
intervenciones para controlar o reducir ese riesgo.

Valoración del riesgo.

La teoría española de mayor relevancia en este ámbito es el modelo denominado de

"Triple Riesgo Delictivo" (TRD), del autor Santiago Redondo, influida por diferentes
teorías que buscan explicar el fenómeno delictivo, como son la Teoría del
aprendizaje social (Akers y Burgess, 1966), la Teoría del Control Social (Hirschi,
1969) o la Teoría General de la Tensión (Merton, 1938).

El modelo TRD, elabora diferentes dimensiones de riesgo, en concreto menciona

tres categorías distintas.
 Coordinador de seguridad privada 48

Personales: denominados como factor A, se incluyen en este las dimensiones de

impulsividad-autocontrol y la de egocentrismo-empatía. Es similar a la personalidad
o a la identidad. Este factor puede alterarse por disfunciones del Sistema Nervioso o
por experiencias traumáticas, entre otros. Este factor es continuo junto a los de
apoyo social.

Apoyo prosocial: factor B de este modelo. Se corresponde con las dimensiones de

crianza equilibrada-desequilibrada o con los de amigos antisociales-prosociales.

Oportunidades delictivas: este factor C es el que va a determinar la vulnerabilidad

diferencial para el delito. En este factor están incluidos los riesgos situacionales y
las oportunidades delictivas. Este factor puede llegar a precipitar por sí solo una
conducta delictiva.

Este modelo afirma que la simple suma de los factores A y B provoca la motivación
delictual, la motivación antisocial y una serie de factores continuos.

Riesgo y compañías aseguradoras

En los seguros podemos considerar varias clases de riesgos:

Riesgo subjetivo

Riesgo objetivo

Riesgo ordinario

Riesgo heterógrado

Para una compañía, un riesgo es una posibilidad de que ocurra un suceso futuro e
incierto, ajeno a la voluntad de las partes y generador de un daño. Para analizar un
riesgo hay que conocer los factores que lo generan; frecuencia e intensidad.

Frecuencia: número de veces que se produce el hecho en un periodo.

Intensidad: mayor o menor amplitud del daño.

"Riesgo" frente a "amenaza"

Los métodos de probabilidad bayesiana permitirían asignar cierto grado de creencia

al riesgo, en función del grado de verosimilitud y de la magnitud de sus causas,
incluso aunque el riesgo concreto nunca se haya percibido antes. Además, del
peligro, una causa de riesgo previa es la amenaza. Las amenazas en un contexto
de seguridad de la información incluyen actos dirigidos, deliberados (por ejemplo,
por crackers) y sucesos no dirigidos, aleatorios o impredecibles (como puede ser un
rayo).

Amenaza es la causa de riesgo que crea aptitud dañina sobre personas y bienes.
En el ámbito económico las amenazas latentes (con posibilidad de existencia) es,
 Coordinador de seguridad privada 49

por ejemplo, la causa origen de pérdida de dinero por baja de las cotizaciones de la
bolsa, mientras que el riesgo de pérdida de las acciones es la posibilidad de daño
monetario.

1.7 ANALISIS DE RIESGOS DE SEGURIDAD

¿Por qué hacer el análisis de riesgos de seguridad?

Su organización debe hacer el análisis de riesgos de seguridad. Siempre hay

PERSONAS, dentro o fuera de ella, que pueden afectar de manera grave cualquiera
de los recursos claves que necesitan para operar.
Algunas lo hacen en forma voluntaria (con dolo, con interés o no de lucro), otras en
forma involuntaria, sin intención de hacer el daño.
Sea voluntaria o involuntaria, pueden afectar de manera grave cualquiera de
los recursos claves que su empresa o negocio necesitan para operar.
Por ejemplo, recursos humanos, recursos financieros, recursos técnicos, recursos
de información, por mencionar algunos de ellos. La desaparición, daño o
disminución grave de un recurso clave, impide alcanzar los objetivos o incluso
afectarle la supervivencia de la empresa.

Identificación de vulnerabilidades de seguridad

El análisis de riesgos de seguridad inicia con la identificación de las

vulnerabilidades.
La vulnerabilidad de seguridad que permanece “escondida” es siempre la más
temible, porque no se ha implementado ningún medio para afrontarla cuando
suceda.
encontrar las vulnerabilidades de seguridad, reconocerlas y describirlas con sus
riesgos y consecuencias. En especial, las que pueden impedir a su organización
lograr sus objetivos. Nos preocupamos por diagnosticar las vulnerabilidades de
seguridad que pueden afectar cualquiera de sus recursos claves.
Lo hacemos con un equipo humano certificado por la Superintendencia de Vigilancia
y Seguridad Privada. Con la experiencia en múltiples casos en empresas de
diferentes sectores económicos.
 Coordinador de seguridad privada 50

La identificación de las vulnerabilidades y su análisis lo presentamos con la

cartografía de riesgos. Se presenta el perfil de riesgos encontrados, de una forma
gráfica y fácil de comprender. Así se le facilita la toma de decisiones sobre cuáles
riesgos va a intervenir, y las herramientas que va a utilizar para el tratamiento de los
riesgos.

“El análisis del riesgo proporciona una entrada para la valoración del riesgo, para las
decisiones sobre la manera de tratar los riesgos y si es necesario hacerlo y sobre la
estrategia y los métodos más apropiados de tratamiento del riesgo. Los resultados
proporcionan un entendimiento profundo para tomar decisiones, cuando se está
eligiendo entre distintas alternativas, y las opciones implican diferentes tipos y
niveles de riesgo”
ISO 31000:2018(es), Gestión del riesgo — Directrices

EVALUACIÓN DE RIESGOS EN SEGURIDAD

La mejor manera de determinar si las medidas de seguridad tomadas en una

determinada ubicación son adecuadas es mediante una evaluación de riesgos de
seguridad.

Algunas de las preguntas más frecuentes a la que nos podemos enfrentar cuando
realizamos tareas de consultoría es: ¿Mi seguridad es la adecuada? ¿Son
suficientes las medidas de seguridad que tenemos? Profesionalmente, a estas
preguntas únicamente se puede contestar con otra pregunta: ¿Adecuado para qué?

Imagínate que una visita al médico, para hacerte un chequeo rutinario, sin hacerte
ninguna prueba, el doctor te informa que necesitas una intervención quirúrgica de
urgencia. ¿Cuál sería tu opinión de ese supuesto profesional de la medicina? Lo
más normal es que cuestionaras la opinión del “profesional” por no haber
realizado ningún tipo de estudio o prueba y buscaras otra opinión.

Esta misma filosofía debería aplicarse a los profesionales de la seguridad. Cambios

significativos en las medidas de seguridad existentes nunca debieran
aplicarse sin un diagnóstico adecuado, o lo que es lo mismo, una evaluación
de riesgos.
 Coordinador de seguridad privada 51

El primer paso para dar respuesta a cualquier problema es entender el mismo,

conocer su terminología y analizar su funcionamiento. En el presente artículo
precisamente explicaremos los conceptos básicos que deben conocerse, así como
la metodología a emplear en función del objetivo buscado en la evaluación de
riesgos.

Si bien hay muchas maneras de evaluar la seguridad, ninguna es más eficaz que la
evaluación integral de los riesgos que considera los tres elementos de riesgo que se
indican a continuación:

RIESGO = AMENAZA x VULNERABILIDAD x CONSECUENCIA

Donde:

Amenaza: Probabilidad de sufrir un determinado ataque.

Vulnerabilidad: Probabilidad del sistema de seguridad falle.
Consecuencia: Impacto sobre el activo en caso de materialización de la amenaza.
De lo anterior, podemos definir la fórmula general del riesgo (R)riesgo =
(P)probabilidad x (I)impacto, donde, (P)robalidad = (A)menaza x
(V)vulnerabilidad.

Ahondando un poco más en las definiciones de los términos específicos citados

hasta ahora, podemos definir cada uno de ellos como:

Activo: Cualquier recurso de una organización, en propiedad o no, que tiene o

puede generar un valor, y cuyo deterioro supondría una pérdida para la
organización. Los activos pueden ser tangibles (Edificios, vehículos, personas,
dinero, maquinaria…) o intangibles (Reputación, información, conocimiento,
propiedad intelectual…). Igualmente, sin ser objeto de este artículo, para la
realización de una evaluación de riesgos, los activos se suelen priorizar en función
de su criticidad para la organización analizada: cuanto más crítico sea un activo,
mejor deberá ser protegido.
 Coordinador de seguridad privada 52

Amenaza: Toda acción que podría tener un potencial efecto negativo sobre algún
activo de la organización. Las amenazas pueden ser de diversos tipos, intencionales
causadas por el hombre, naturales, negligentes, de origen técnico, accidentales, etc.
Desde el punto de vista de una organización pueden ser tanto internas como
externas.
Vulnerabilidad: Debilidad o fallo en el sistema de seguridad que facilita o permite
que un atacante pueda lograr su objetivo y generar un impacto. Estos “agujeros”
pueden tener distintos orígenes.
Impacto: La consecuencia derivada de la materialización de una amenaza sobre un
activo. Esta consecuencia no se mide únicamente sobre el activo “atacado”, sino
que se hace sobre toda la organización e incluso, su círculo de influencia. El
impacto no sólo puede ser económico, sino que puede ser psicológico, lesivo o de
muerte en personas y/o animales, reputacional, penal…
Riesgo: De acuerdo con la ISO 31000, el riesgo se define como la incertidumbre
que surge durante la consecución de un objetivo. Se trata, en esencia, de
circunstancias, sucesos o eventos adversos que impiden el normal desarrollo de las
actividades de una empresa y que, en general, tienen repercusiones económicas
para sus responsables. De manera general se puede decir que los riesgos podrían
ser positivos, si ayudan a conseguir los objetivos, o negativos, si amenazan o
dificultan su consecución. Al hablar de seguridad, siempre lo hacemos desde el
punto de vista negativo, es decir, se evalúan aquellos riesgos que pueden suponer
un obstáculo a la consecución de los objetivos de la organización.
Determinando el nivel de la amenaza:
Cualquier evaluación de riesgos que se realice de acuerdo con la fórmula anterior,
se iniciará generando un catálogo de posibles amenazas que puedan afectar a la
organización y sus activos, y fijando la probabilidad de materialización de una
determinada amenaza sobre un determinado activo. Se trata de un ejercicio no
exento de subjetividad, que debe intentar paliarse haciendo uso de la mayor
información posible para su establecimiento, acudiendo a estudios de incidentes
previos sobre esa determinada tipología, a estadísticas, a organizaciones y
profesionales del sector o cercanos a nuestra organización, a fuentes policiales, a
fuentes abiertas en internet (OSINT)…
Determinado la efectividad de la seguridad. Vulnerabilidad:
Para realizar un análisis de vulnerabilidades se requieren ciertos conocimientos
técnicos sobre seguridad, el funcionamiento de los sistemas y sus funciones,
protocolos de seguridad, modus operandi de los agresores, elementos
motivacionales del crimen, CPTED…

Se trata de realizar un análisis sistemático sobre la efectividad de un sistema de

seguridad ante las diferentes amenazas determinadas en el apartado anterior al fin
de detectar posibles “agujeros” o debilidades que faciliten la materialización de la
amenaza y la consecución del objetivo por parte del atacante.

Fijando criterios de impacto:

Cada organización debe definir su propio modelo de impacto, de manera
cuantitativa (coste económico) y/o cualitativa. ¿Por qué debe ser específico para
cada organización? Pensemos en un impacto económico de pérdida de 30.000€,
¿Sería igual para una pequeña empresa que para una empresa del IBEX35? La
 Coordinador de seguridad privada 53

respuesta es NO. Mientras que para la pequeña empresa podría significar el cierre,
un impacto catastrófico, para la gran empresa supondría calderilla, un impacto leve.
Dentro de los criterios de impacto se debe atender a consecuencias económicas,
legales (Compliance), reputacionales, de interrupción del servicio, etc. Se requiere
un conocimiento del funcionamiento de la organización, su capacidad y apetito de
riesgo, sus objetivos…

El objetivo de la evaluación de riesgos:

Resumiendo, podemos definir que el objetivo principal de una evaluación de riesgos
de seguridad es obtener una imagen de:

 Cuáles son los activos críticos de una organización que necesitan ser
protegidos.
 Que amenazas pueden afectar a estos activos, y por tanto a los
objetivos de la organización, y la probabilidad de ocurrencia.
 Que debilidades presenta el actual sistema de seguridad que pueda
favorecer la materialización de la amenaza.
 Qué consecuencias puede tener la materialización de cada amenaza
para la consecución de los objetivos de la organización.
Esta foto fija, realizada en un momento determinado, deberá servir de base para la
propuesta de acciones de mitigación de los riesgos, no sólo de medidas de
seguridad, sino también de otras posibles opciones que pudieran ser más eficientes
y acordes a los niveles de apetito, tolerancia y capacidad de riesgo de la
organización.

De manera general, las posibles medidas tendentes a mitigar el riesgo serán:

 Evitar el riesgo.
 Adoptar medidas que mitiguen la probabilidad y/o el impacto:
Sistemas, protocolos, controles…
 Compartir o transferir el riesgo.
 Diferir o diversificar el riesgo.
 Aceptar el riesgo y asumir sus consecuencias.

Análisis parciales y su utilidad:

La toma en consideración, de manera individualizada o parcial, de los elementos de
la fórmula general del riesgo de seguridad enunciada con anterioridad, si bien no
son una evaluación de riesgos, pueden ser útiles para abordar otros objetivos
diferentes:

Evaluación de la amenaza:
Riesgo = Amenaza x Vulnerabilidad x Impacto
Este tipo de informe únicamente contendrá los datos de la primera parte de la
formula enunciada.

Se trata de realizar un estudio pormenorizado de las amenazas, sus actores, modus

operandi, posibles motivaciones, objetivos, nivel de preparación…
 Coordinador de seguridad privada 54

A mayor conocimiento de la amenaza, mejor podremos determinar su probabilidad

de materialización, cuáles son las medidas de seguridad más adecuadas, las
herramientas que utilizarán para conseguir su objetivo, determinar el diagrama de
secuencia de adversario…, es decir, mejor conoceremos a nuestro adversario y
como debemos protegernos de él.

Si desea simplemente estudiar a los delincuentes o terroristas que pueden tener un

interés y crear problemas de seguridad para su organización, podría comenzar con
una evaluación de la amenaza. Esto abarcará un estudio de sólo la primera parte
de la fórmula como se muestra a continuación.

Evaluación de la vulnerabilidad:
Riesgo = Amenaza x Vulnerabilidad x Impacto
Una evaluación de vulnerabilidad considerará sólo dos de los tres elementos de la
fórmula de riesgo, la vulnerabilidad y el impacto. Se supondrá que el nivel de
amenaza es el más alto, y la organización se verá obligada a mejorar simplemente
su eficacia en materia de seguridad reduciendo la vulnerabilidad y a encontrar
formas de reducir las consecuencias, lo que podría incluir la mejora de la respuesta
de emergencia o la elaboración de planes de continuidad de las actividades.

Una evaluación de la vulnerabilidad suele dar lugar a un gasto excesivo en

seguridad, ya que se omite el nivel de amenaza real y la probabilidad de que ocurra
un incidente.

Business Impact Analysis (BIA):

Riesgo = Amenaza x Vulnerabilidad x Impacto
El análisis del impacto en el negocio (BIA por sus siglas en inglés) es otra
metodología común utilizada en algunas organizaciones para identificar los activos
más críticos y crear resiliencia en torno a esos activos, a menudo en forma de
planes de continuidad del negocio.

En muchos casos, los análisis de impacto en el negocio no tienen en cuenta las

amenazas o la vulnerabilidad de los activos y, una vez más, pueden dar lugar a
gastos excesivos que, mediante una evaluación de riesgos completa, se verían
reducidos.

Auditoría de seguridad:
Riesgo = Amenaza x Vulnerabilidad (o efectividad) x Impacto
Una auditoría de seguridad es probablemente la metodología más fácil de ejecutar,
ya que es simplemente una verificación de que todas las medidas de seguridad que
se encuentran inventariadas están de hecho en su lugar y funcionando
correctamente.

La auditoría de seguridad se centrará en la eficacia de la seguridad y/o determinará

que la vulnerabilidad se está mitigando adecuadamente.
 Coordinador de seguridad privada 55

La auditoría de seguridad tiene ciertamente su lugar en el panorama del análisis,

pero no es una evaluación del riesgo y es poco probable que identifique una
vulnerabilidad desconocida.

Resumiendo:
Lanzarse a implantar medidas de seguridad si haber realizado previamente una
adecuada evaluación de riesgos es, en la mayoría de los casos, una inversión de
dinero innecesaria que pudiera no ser adecuada a los objetivos buscados. Por
ejemplo, en casos de robos en trasteros, lo primero que se nos viene a la cabeza es
la instalación de cámaras y, por supuesto, habrá empresas que, con el ánimo de
vender, no pongan en duda la idoneidad de estas, pero ¿realmente las cámaras van
a evitar nuevos robos? Estamos cansados de ver en televisión e internet multitud de
robos llevados a cabo en presencia de cámaras de seguridad, gran calidad de
imagen que no ha evitado el robo. ¿Existen otras opciones? ¿son más efectivas?
¿Cuál es su coste? ¿Cuál es el “valor” de los materiales que debo proteger?… todas
estas preguntas se responden con la adecuada evaluación de riesgos, que servirá
como base a la toma de una decisión correcta y alineada con nuestros objetivos.

LOS DISTINTOS TIPOS DE ANÁLISIS DE RIESGOS

Descubra los distintos tipos de procesos de evaluación de riesgos que puede utilizar
su organización, desde la identificación y evaluación de peligros hasta la mitigación
de amenazas y la planificación de acciones.

¿Qué significan los tipos de evaluación de riesgos?

Existen varios tipos de evaluaciones de riesgos para que los directivos, auditores y
evaluadores identifiquen los riesgos y peligros en el lugar de trabajo, que suelen ser
obligatorias en numerosos sectores. Una evaluación de riesgos es un proceso
sistemático que las organizaciones utilizan para identificar y analizar los peligros
potenciales en el lugar de trabajo. Las organizaciones utilizan procesos de
evaluación de riesgos para identificar posibles soluciones de reducción de riesgos o
desarrollar planes de acción frente a amenazas o peligros.

Para este proceso, los asesores colaboran con múltiples departamentos para
identificar puntos de referencia que ayuden a supervisar los niveles de riesgo dentro
de la organización y a crear medidas de control para mitigar los impactos a corto y
largo plazo de los tipos de análisis de riesgos específicos.

Además de identificar peligros, las evaluaciones de riesgos también detectan

ineficiencias dentro de un equipo, un departamento o una organización en general.
Los directivos pueden utilizar los procesos de evaluación de riesgos para identificar
las áreas que carecen de productividad, incurren en gastos innecesarios y
consumen recursos excesivos. Los resultados de las evaluaciones se utilizan para
identificar áreas de mejora y aplicar soluciones que aumenten la eficiencia y eficacia
de su trabajo.

6 tipos de análisis de riesgos

 Coordinador de seguridad privada 56

El tipo de evaluación de riesgos que utilice en el lugar de trabajo dependerá de sus

riesgos específicos, ineficiencias y retos organizativos. A continuación, se describen
los distintos procesos de evaluación de riesgos:

1. Evaluaciones cuantitativas del riesgo

Las evaluaciones cuantitativas del riesgo son una herramienta esencial en la gestión
del riesgo. Utilizan datos numéricos y análisis estadísticos para evaluar y cuantificar
el riesgo asociado a peligros o sucesos específicos. Este tipo de evaluación de
riesgos proporciona un enfoque más objetivo y mensurable para comprender y
gestionar los riesgos.

Los resultados de una evaluación cuantitativa de riesgos suelen presentarse en

forma de matrices o registros de riesgos, que representan visualmente los riesgos y
sus correspondientes probabilidades e impactos. Permite a los responsables de la
toma de decisiones establecer prioridades y asignar recursos en función del nivel de
riesgo y las posibles consecuencias.

2. Evaluaciones cualitativas del riesgo

Las evaluaciones cualitativas del riesgo implican una valoración subjetiva de los
riesgos potenciales en función de su gravedad y probabilidad de ocurrencia. A
diferencia de las evaluaciones cuantitativas de riesgos, que asignan valores
numéricos a los riesgos, las evaluaciones cualitativas proporcionan una descripción
o clasificación cualitativa de los riesgos.

Una vez identificados los riesgos, se evalúan en función de su impacto y

probabilidad. El impacto se refiere a la gravedad de las consecuencias si se produce
una amenaza, mientras que la probabilidad se refiere a la probabilidad de que se
produzca el riesgo. Estas evaluaciones suelen utilizar una escala, como baja, media
o alta, para clasificar los riesgos.

3. Evaluaciones semicuantitativas del riesgo

Este método combina elementos cualitativos y cuantitativos de evaluación de

riesgos para proporcionar una comprensión más completa de los mismos.

En una evaluación de riesgos semicuantitativa, se asignan valores numéricos a los

riesgos en función de su probabilidad e impacto potencial. Los valores suelen
expresarse en una escala de 1 a 5 o de 1 a 10, en la que 1 indica baja
probabilidad/impacto y 5 o 10 demuestran alta probabilidad/impacto. Al asignar
valores numéricos, resulta más fácil comparar y priorizar los riesgos.

4. Tipos de análisis de riesgos basadas en activos

Este tipo de evaluación de riesgos se centra en identificar y evaluar los riesgos y

vulnerabilidades potenciales asociados a activos específicos dentro de una
organización. Este enfoque permite un análisis más específico y exhaustivo de los
riesgos potenciales, ya que tiene en cuenta las características y vulnerabilidades
únicas de cada activo.
 Coordinador de seguridad privada 57

Las organizaciones pueden utilizar diversas técnicas para evaluar los riesgos y
vulnerabilidades, como entrevistar al personal clave, revisar datos históricos e
informes de incidentes y analizar las mejores prácticas del sector.

5. Tipos de análisis de riesgos basadas en la vulnerabilidad

Las evaluaciones de riesgos basadas en la vulnerabilidad (VBRA) son evaluaciones

de riesgos que se centran en la identificación y el análisis de vulnerabilidades dentro
de un sistema u organización. Este enfoque difiere de otros métodos de evaluación
de riesgos, centrados principalmente en las amenazas o en la probabilidad de que
se produzca un suceso.

La VBRA tiene en cuenta las debilidades o vulnerabilidades potenciales que podrían

explotar amenazas como catástrofes naturales, ciberataques o sabotajes internos.
Las organizaciones pueden priorizar eficazmente sus recursos y esfuerzos para
mitigar los riesgos y mejorar la seguridad mediante la identificación de
vulnerabilidades.

6. Tipos de análisis de riesgos basadas en amenazas

Los métodos basados en amenazas evalúan a fondo su postura de riesgo

examinando cada condición que contribuye al riesgo. Estas evaluaciones también
implican auditar sus activos informáticos y similares para evaluar la presencia o
ausencia de controles.

Es fundamental tener en cuenta las evaluaciones de riesgos basadas en amenazas,

que consideran las técnicas de los ciberdelincuentes más allá de la infraestructura
informática para elaborar estrategias de mitigación de riesgos eficaces.

Por ejemplo, la formación de los empleados es esencial para una evaluación de

riesgos basada en los activos. En cambio, una evaluación basada en las amenazas
puede proporcionar información valiosa sobre el impacto de la formación en
ciberseguridad a la hora de mitigar los riesgos sin incurrir en costes adicionales.

¿Cómo elegir el tipo de evaluación de riesgos adecuado?

Las distintas metodologías de evaluación de riesgos tienen sus ventajas e

inconvenientes. Las organizaciones pueden utilizar una combinación de estos
enfoques para la evaluación de riesgos, ya sea intencionadamente o por casualidad.

A la hora de diseñar un proceso de evaluación de riesgos, las metodologías

dependerán de los resultados deseados y de las características de la organización.

Si los criterios principales son las aprobaciones a nivel directivo y ejecutivo, es

probable que su enfoque dé prioridad a los métodos cuantitativos. Los enfoques
cualitativos pueden ser más eficaces si necesita el apoyo de los empleados y las
partes interesadas. Por otro lado, las evaluaciones basadas en activos son
adecuadas para las organizaciones de TI, mientras que las evaluaciones basadas
en amenazas abordan los retos del panorama actual de la ciberseguridad.
 Coordinador de seguridad privada 58

FASES BÁSICAS DEL ANÁLISIS DE RIESGO EN SEGURIDAD

a
nálisis de riesgo en seguridad en Colombia
El análisis de riesgo en seguridad es uno de los trabajos más importantes a la
hora de definir proyectos e iniciativas para la mejora de la seguridad de la
información.

Una amenaza se puede definir como cualquier evento que puede afectar los activos
de información y se relaciona, principalmente, con recursos humanos, eventos
naturales o fallas técnicas. Algunos ejemplos pueden ser: ataques informáticos
externos, infecciones con programa maligno, una inundación, un incendio o cortes
de fluido eléctrico.

Pero en ocasiones basta una omisión o despiste por parte del personal de
la empresa, como el uso de una simple pulsera imantada, para que se pueda llegar
a producir un daño grave, e incluso irreparable, de la información.

En definitiva, el análisis de riesgo en seguridad trata de elaborar una

adecuada gestión de riesgos que permita a las organizaciones conocer cuáles son
las principales vulnerabilidades de sus activos de información.

Menú de contenido
 Fases básicas de un análisis de riesgo en seguridad
 Fase 1. Definir el alcance
 Fase 2. Identificar los activos
 Fase 3. Identificar / seleccionar las amenazas
 Fase 4. Identificar vulnerabilidades y salvaguardas
 Fase 5. Evaluar el riesgo
 Fase 6. Tratar el riesgo
 Criticidad del riesgo
 1. Riesgo aceptable
 2. Riesgo residual
 Conclusión
 Coordinador de seguridad privada 59

FASES BÁSICAS DE UN ANÁLISIS DE RIESGO EN SEGURIDAD

El análisis de riesgo en seguridad permite proponer acciones de prevención y

de protección con inversiones idóneas en medidas de seguridad.

Hoy en día, el análisis de riesgo en seguridad privada se utiliza para casi todo,
sobre todo porque es un formato de evaluación que permite establecer un umbral de
riesgo y su impacto sobre el negocio o sobre una vivienda.

A continuación, veremos de forma sencilla las principales tareas del análisis

de riesgos, aportando recomendaciones prácticas sobre cómo llevarlo a cabo.
Cabe señalar que las fases o etapas que componen un análisis de riesgos
dependen de la metodología escogida.

FASE 1. DEFINIR EL ALCANCE

a
nálisis de riesgos para empresas
El primer paso a la hora de llevar a cabo el análisis de riesgo en seguridad, es
establecer el alcance del estudio. Es posible definir un alcance más limitado
 Coordinador de seguridad privada 60

atendiendo a departamentos, procesos o sistemas. Por ejemplo, análisis de

riesgos sobre los procesos del departamento Administración, análisis
de riesgos sobre los procesos de producción y gestión de almacén o análisis de
riesgos sobre los sistemas TIC relacionados con la página web de la empresa, etc.

FASE 2. IDENTIFICAR LOS ACTIVOS

Una vez definido el alcance en el análisis de riesgo en seguridad, debemos

identificar los activos más importantes que guardan relación con el departamento,
proceso, o sistema objeto del estudio. Para mantener un inventario de activos
sencillo puede ser suficiente con hacer uso de una hoja de cálculo o tabla.

FASE 3. IDENTIFICAR / SELECCIONAR LAS AMENAZAS

 Coordinador de seguridad privada 61

Habiendo identificado los principales activos, el siguiente paso consiste

en identificar las amenazas a las que estos están expuestos. Tal y como
imaginamos, el conjunto de amenazas es amplio y diverso por lo que debemos
hacer un esfuerzo en mantener un enfoque práctico y aplicado. Por ejemplo, si
nuestra intención es evaluar el riesgo que corremos frente a la destrucción de
nuestro servidor de ficheros, es conveniente considerar las averías del servidor, la
posibilidad de daños por agua (rotura de una cañería) o los daños por fuego.

FASE 4. IDENTIFICAR VULNERABILIDADES Y SALVAGUARDAS

La siguiente fase de un análisis de riesgo en seguridad consiste en estudiar las

características de nuestros activos para identificar puntos débiles
o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser identificar un
conjunto de ordenadores o servidores cuyos sistemas antivirus no están
actualizados o una serie de activos para los que no existe soporte ni mantenimiento
por parte del fabricante. Posteriormente, a la hora de evaluar el riesgo aplicaremos
penalizaciones para reflejar las vulnerabilidades identificadas.

Por otra parte, también analizaremos y documentaremos las medidas de

seguridad implantadas en nuestra organización.

Estas consideraciones (vulnerabilidades y salvaguardas) debemos tenerlas en

cuenta cuando vayamos a estimar la probabilidad y el impacto, como veremos en la
siguiente fase del análisis de riesgo en seguridad.

FASE 5. EVALUAR EL RIESGO

 Coordinador de seguridad privada 62

a
nálisis de riesgo en seguridad en Colombia
Llegado a este punto del análisis de riesgo en seguridad, disponemos de los
siguientes elementos:

 Inventario de activos.
 Conjunto de amenazas a las que está expuesta cada activo.
 Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
 Conjunto de medidas de seguridad implantadas.

Con esta información, nos encontramos en condiciones de calcular el riesgo. Para

cada par activo-amenaza, estimaremos la probabilidad de que la amenaza se
materialice y el impacto sobre el negocio que esto produciría. El cálculo de
riesgo se puede realizar usando tanto criterios cuantitativos como cualitativos.

FASE 6. TRATAR EL RIESGO

 Coordinador de seguridad privada 63

Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite
que nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos
riesgos cuyo valor sea superior a “4” o superior a “Medio” en caso de que hayamos
hecho el cálculo en términos cualitativos. A la hora de tratar el riesgo, existen cuatro
estrategias principales:

 Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que

cubra los daños a terceros ocasionados por fugas de información.
 Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está
sujeto a un riesgo elevado. En el caso práctico que hemos expuesto,
podríamos eliminar la wifi de cortesía para dar servicio a los clientes si no es
estrictamente necesario.
 Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar
un grupo electrógeno puede ser demasiado alto y, por tanto, la organización
puede optar por asumir.
 Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a
internet de respaldo para poder acceder a los servicios en la nube en caso de
que la línea principal haya caído.

CRITICIDAD DEL RIESGO

 Coordinador de seguridad privada 64

Además de lo expuesto anteriormente, en el análisis de riesgo en seguridad se

deben evaluar las consecuencias potenciales para poder evaluar su
criticidad: riesgo aceptable y riesgo residual.

1. Riesgo aceptable

No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible

ni tampoco resultaría rentable, sino de reducir su posibilidad de ocurrencia y
minimizar las consecuencias a unos niveles que la organización pueda asumir, sin
que suponga un perjuicio demasiado grave a todos los niveles: económico, logístico,
de imagen, de credibilidad, etc.

2. Riesgo residual
 Coordinador de seguridad privada 65

a
nálisis de riesgo en seguridad
Se trata del riesgo que permanece y subsiste después de haber implementado
los debidos controles, es decir, una vez que la organización haya desarrollado
completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un
incidente, pese a verse implantado con eficacia las medidas evaluadoras y
correctoras para mitigar el riesgo inherente.

Conclusión
Llevar a cabo un análisis de riesgo en seguridad nos proporciona información de
gran valor y contribuye en gran medida a mejorar la seguridad de nuestra
organización. Dada esta situación, animamos a nuestros lectores a siempre optar
por decir análisis en manos de profesionales, para garantizar la obtención de los
mejores resultados posibles.

Los distintos tipos de soluciones a través de herramientas y sistemas de seguridad

integrales. Vigilancia humana, análisis de riesgos, seguridad electrónica, vigilancia
humana móvil, investigación y capacitación. Su protección está en nuestras
manos. Contáctanos y reciba más información sobre seguridad física en Colombia.

LOS DISTINTOS TIPOS DE ANÁLISIS DE RIESGOS

Descubra los distintos tipos de procesos de evaluación de riesgos que puede utilizar
su organización, desde la identificación y evaluación de peligros hasta la mitigación
de amenazas y la planificación de acciones.

¿Qué significan los tipos de evaluación de riesgos?

Existen varios tipos de evaluaciones de riesgos para que los directivos, auditores y
evaluadores identifiquen los riesgos y peligros en el lugar de trabajo, que suelen ser
obligatorias en numerosos sectores. Una evaluación de riesgos es un proceso
sistemático que las organizaciones utilizan para identificar y analizar los peligros
potenciales en el lugar de trabajo. Las organizaciones utilizan procesos de
 Coordinador de seguridad privada 66

evaluación de riesgos para identificar posibles soluciones de reducción de riesgos o

desarrollar planes de acción frente a amenazas o peligros.

Para este proceso, los asesores colaboran con múltiples departamentos para
identificar puntos de referencia que ayuden a supervisar los niveles de riesgo dentro
de la organización y a crear medidas de control para mitigar los impactos a corto y
largo plazo de los tipos de análisis de riesgos específicos.

Además de identificar peligros, las evaluaciones de riesgos también detectan

ineficiencias dentro de un equipo, un departamento o una organización en general.
Los directivos pueden utilizar los procesos de evaluación de riesgos para identificar
las áreas que carecen de productividad, incurren en gastos innecesarios y
consumen recursos excesivos. Los resultados de las evaluaciones se utilizan para
identificar áreas de mejora y aplicar soluciones que aumenten la eficiencia y eficacia
de su trabajo.

6 tipos de análisis de riesgos

El tipo de evaluación de riesgos que utilice en el lugar de trabajo dependerá de sus

riesgos específicos, ineficiencias y retos organizativos. A continuación, se describen
los distintos procesos de evaluación de riesgos:

1. Evaluaciones cuantitativas del riesgo

Las evaluaciones cuantitativas del riesgo son una herramienta esencial en la gestión
del riesgo. Utilizan datos numéricos y análisis estadísticos para evaluar y cuantificar
el riesgo asociado a peligros o sucesos específicos. Este tipo de evaluación de
riesgos proporciona un enfoque más objetivo y mensurable para comprender y
gestionar los riesgos.

Los resultados de una evaluación cuantitativa de riesgos suelen presentarse en

forma de matrices o registros de riesgos, que representan visualmente los riesgos y
sus correspondientes probabilidades e impactos. Permite a los responsables de la
toma de decisiones establecer prioridades y asignar recursos en función del nivel de
riesgo y las posibles consecuencias.

2. Evaluaciones cualitativas del riesgo

Las evaluaciones cualitativas del riesgo implican una valoración subjetiva de los
riesgos potenciales en función de su gravedad y probabilidad de ocurrencia. A
diferencia de las evaluaciones cuantitativas de riesgos, que asignan valores
numéricos a los riesgos, las evaluaciones cualitativas proporcionan una descripción
o clasificación cualitativa de los riesgos.

Una vez identificados los riesgos, se evalúan en función de su impacto y

probabilidad. El impacto se refiere a la gravedad de las consecuencias si se produce
una amenaza, mientras que la probabilidad se refiere a la probabilidad de que se
produzca el riesgo. Estas evaluaciones suelen utilizar una escala, como baja, media
o alta, para clasificar los riesgos.
 Coordinador de seguridad privada 67

3. Evaluaciones semicuantitativas del riesgo

Este método combina elementos cualitativos y cuantitativos de evaluación de

riesgos para proporcionar una comprensión más completa de los mismos.

En una evaluación de riesgos semicuantitativa, se asignan valores numéricos a los

riesgos en función de su probabilidad e impacto potencial. Los valores suelen
expresarse en una escala de 1 a 5 o de 1 a 10, en la que 1 indica baja
probabilidad/impacto y 5 o 10 demuestran alta probabilidad/impacto. Al asignar
valores numéricos, resulta más fácil comparar y priorizar los riesgos.

4. Tipos de análisis de riesgos basadas en activos

Este tipo de evaluación de riesgos se centra en identificar y evaluar los riesgos y

vulnerabilidades potenciales asociados a activos específicos dentro de una
organización. Este enfoque permite un análisis más específico y exhaustivo de los
riesgos potenciales, ya que tiene en cuenta las características y vulnerabilidades
únicas de cada activo.

Las organizaciones pueden utilizar diversas técnicas para evaluar los riesgos y
vulnerabilidades, como entrevistar al personal clave, revisar datos históricos e
informes de incidentes y analizar las mejores prácticas del sector.

5. Tipos de análisis de riesgos basadas en la vulnerabilidad

Las evaluaciones de riesgos basadas en la vulnerabilidad (VBRA) son evaluaciones

de riesgos que se centran en la identificación y el análisis de vulnerabilidades dentro
de un sistema u organización. Este enfoque difiere de otros métodos de evaluación
de riesgos, centrados principalmente en las amenazas o en la probabilidad de que
se produzca un suceso.

La VBRA tiene en cuenta las debilidades o vulnerabilidades potenciales que podrían

explotar amenazas como catástrofes naturales, ciberataques o sabotajes internos.
Las organizaciones pueden priorizar eficazmente sus recursos y esfuerzos para
mitigar los riesgos y mejorar la seguridad mediante la identificación de
vulnerabilidades.

6. Tipos de análisis de riesgos basadas en amenazas

Los métodos basados en amenazas evalúan a fondo su postura de riesgo

examinando cada condición que contribuye al riesgo. Estas evaluaciones también
implican auditar sus activos informáticos y similares para evaluar la presencia o
ausencia de controles.

Es fundamental tener en cuenta las evaluaciones de riesgos basadas en amenazas,

que consideran las técnicas de los ciberdelincuentes más allá de la infraestructura
informática para elaborar estrategias de mitigación de riesgos eficaces.

Por ejemplo, la formación de los empleados es esencial para una evaluación de

riesgos basada en los activos. En cambio, una evaluación basada en las amenazas
 Coordinador de seguridad privada 68

puede proporcionar información valiosa sobre el impacto de la formación en

ciberseguridad a la hora de mitigar los riesgos sin incurrir en costes adicionales.

¿Cómo elegir el tipo de evaluación de riesgos adecuado?

Las distintas metodologías de evaluación de riesgos tienen sus ventajas e

inconvenientes. Las organizaciones pueden utilizar una combinación de estos
enfoques para la evaluación de riesgos, ya sea intencionadamente o por casualidad.

A la hora de diseñar un proceso de evaluación de riesgos, las metodologías

dependerán de los resultados deseados y de las características de la organización.

Si los criterios principales son las aprobaciones a nivel directivo y ejecutivo, es

probable que su enfoque dé prioridad a los métodos cuantitativos. Los enfoques
cualitativos pueden ser más eficaces si necesita el apoyo de los empleados y las
partes interesadas. Por otro lado, las evaluaciones basadas en activos son
adecuadas para las organizaciones de TI, mientras que las evaluaciones basadas
en amenazas abordan los retos del panorama actual de la ciberseguridad.

MODULOS 2

2.1 IDENTIFICACION DE VULNERABILIDADES Y AMENAZAS

AMENAZA, VULNERABILIDAD Y RIESGO: ¿EN QUÉ SE DIFERENCIAN?

La gestión del riesgo engloba muchos factores de importancia para la seguridad

de una empresa. Dentro de este concepto, podemos encontrar constantemente
conceptos como amenazas y vulnerabilidades, pero ¿sabes en qué se asocian y
se diferencian del riesgo? Veamos a continuación.

Menú de contenido
 ¿Qué es una vulnerabilidad?
 Coordinador de seguridad privada 69

 ¿Qué es una amenaza?

 ¿Qué es el riesgo?
 ¿En qué se diferencian las amenazas, las vulnerabilidades y los riesgos?
 Prevención y mitigación
 Importancia del análisis de riesgos para la prevención
 Conclusión
¿Qué es una vulnerabilidad?

La vulnerabilidad es una debilidad ambiental, física, económica, social, educativa,

institucional o política que genera susceptibilidad a amenazas, con el resultado de
sufrir algún daño. Las vulnerabilidades están en directa interrelación con
las amenazas porque si no existe una amenaza, tampoco existe la vulnerabilidad, o
bien, pierde importancia, porque no se puede ocasionar un daño.

Corresponde, entonces, a la predisposición a sufrir pérdidas o daños de los seres

humanos y sus medios de subsistencia, así como de sus sistemas físicos, sociales,
económicos y de apoyo que pueden ser afectados por eventos peligrosos.

¿Qué es una amenaza?

Una amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra
la seguridad. Se puede identificar como un peligro latente de que un evento físico
de origen natural, causado, o inducido por la acción humana de forma accidental,
actúe tan severamente que nos cueste pérdida de vidas, lesiones u otros impactos
en la salud, así como también daños y pérdidas en los bienes, la infraestructura, los
medios de sustento, la prestación de servicios y los recursos ambientales.

¿Qué es el riesgo?
 Coordinador de seguridad privada 70

El riesgo se entiende como los daños o pérdidas potenciales que pueden

presentarse debido a eventos peligrosos de cualquier origen, en un período de
tiempo especio y que son determinados por la vulnerabilidad de los elementos
expuestos; por consiguiente, el riesgo se deriva de la combinación de la amenaza y
la vulnerabilidad.

En otras palabras, es la posibilidad de que ocurra un incidente de seguridad y que

una amenaza se materialice aprovechando una vulnerabilidad existente, y
causando, por consiguiente, una serie de daños.

¿En qué se diferencian las amenazas, las vulnerabilidades y los riesgos?

El riesgo es la probabilidad de que una amenaza se convierta en un desastre. La
vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se
juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un
desastre.

Prevención y mitigación

La prevención y mitigación son todo lo que hacemos para asegurarnos de que no

suceda un desastre o, si sucede, que no nos perjudique tanto como podría. La
 Coordinador de seguridad privada 71

mayoría de los fenómenos naturales no pueden impedirse; pero sí podemos reducir

los daños que causa un sismo si construimos casas más resistentes y en lugares
donde el suelo sea sólido.

Por un lado, ¿Qué es la prevención? Es la aplicación de medidas para evitar que

un evento se convierta en un desastre.

La mitigación constituye buenas medidas para reducir la vulnerabilidad frente a

ciertas amenazas.

La prevención y mitigación comienzan por conocer cuáles son las amenazas

y riesgos a los que estamos expuestos; no es suficiente hablar sobre el asunto, hay
que tomar acciones.

El análisis y gestión en este aspecto nos servirá para averiguar la magnitud y la

gravedad de las consecuencias del riesgo a las que está expuesta nuestra empresa
y, de esta forma, poder gestionarlos adecuadamente. Para ello tendremos que
definir un umbral que determine los riesgos asumibles y los diferencie de los que no
lo son. En función de la relevancia de los riesgos podremos optar por:

 Evitarlos, eliminando su causa, por ejemplo, cuando sea viable optar por no
implementar una actividad o proceso que pudiera implicar un riesgo.
 Adoptar medidas que mitiguen su impacto o su probabilidad a través de la
implementación y monitorización de controles.
 Compartirlos o transferirlos con terceros a través de seguros, contratos etc.
 Aceptar su existencia y monitorizarlos.

Importancia del análisis de riesgos para la prevención

F
oto de krakenimages en Unsplash
 Coordinador de seguridad privada 72

En cuanto a los riesgos, con este análisis pretendemos entenderlos de la mejor

forma posible, y esto lo usaremos para tomar decisiones en cuanto a si debemos
tratarlos o no, y cuáles métodos utilizaremos para ello. Debemos estudiar en
profundidad todos los factores que pueden influir en las causas y en las
consecuencias, ya que ambas pueden ser muchas y muy variadas.

Un análisis de riesgos parte por la identificación de estos; se debe analizar las

probabilidades de ocurrencia de un hecho y cuál es el impacto que puede tener en
la empresa. Seguidamente, se deben determinar diversos elementos, como la
clasificación de tipos de riesgos, y los niveles de exposición ante ellos.

En un entorno empresarial competitivo y cambiante, es imprescindible identificar y

evaluar los riesgos. Esto es un factor crucial en la gestión de las empresas, ya que
ser capaces de anticiparse a las situaciones adversas es una gran ventaja que
contribuye a la supervivencia. Además, disminuye el potencial de pérdidas,
protegiendo las vidas de las personas y bienes de la empresa, facilita la creación de
manuales de buenas prácticas, mejorando la eficiencia de toda la organización.

Entonces, ¿por qué es importante el análisis de riesgos? Básicamente porque nos

conduce a la adopción de medidas para reducir o controlar el riesgo cuando las
posibles consecuencias superen los límites aceptables para la empresa. Así como
permite gestionar los riesgos de la forma más adecuada.

Contar con un programa de gestión del riesgo exitoso en la empresa nos ofrece
información de valor acerca de los riesgos que puedan afectar los planes
estratégicos y de crecimiento empresarial, a través de un proceso de análisis,
evaluación e información sobre los posibles impactos y oportunidades que surgen
de los mismos, así como la reacción y enfoque de la empresa ante ellos.
 Coordinador de seguridad privada 73

Conclusión
De esta forma, vemos la importancia de conocer los riesgos, medirlos y evaluarlos
para evitar en la medida de lo posible los incidentes, implantando las medidas
de seguridad adecuadas; identificar nuestras vulnerabilidades, las amenazas y
los riesgos.

El riesgo depende entonces de los siguientes factores: la probabilidad de que la

amenaza se materialice aprovechando una vulnerabilidad y produciendo un daño o
impacto.

DISEÑO BASE DE AMENAZAS EN SEGURIDAD FÍSICA.

¿Qué es el Diseño Base de Amenazas en Seguridad Física y Cómo Funciona?

El Diseño Base de Amenazas en Seguridad Física es una técnica de análisis de

riesgos que permite a las organizaciones identificar posibles amenazas y
vulnerabilidades en sus instalaciones o edificios. A través de la identificación y
evaluación de las amenazas, se pueden desarrollar medidas de seguridad
adecuadas para prevenir o mitigar posibles riesgos.

El diseño base de amenazas en seguridad física implica la identificación de las

amenazas potenciales que podrían enfrentar una instalación o edificio, como el
robo, el vandalismo, el espionaje, el sabotaje, el terrorismo, entre otros. Además,
también se consideran factores como la ubicación, el tipo de edificio, el acceso y la
movilidad, y la capacidad de respuesta en caso de emergencias.
 Coordinador de seguridad privada 74

Una vez que se han identificado las amenazas potenciales, se evalúan las
vulnerabilidades de la instalación o edificio, como las brechas de seguridad, las
debilidades estructurales o la falta de medidas de seguridad efectivas. A partir de
esta evaluación, se desarrollan medidas de seguridad física adecuadas para mitigar
las amenazas identificadas y reducir las vulnerabilidades.

Identificación de Amenazas: Criterios y Metodologías

Para realizar un diseño base de amenazas en seguridad física, se deben identificar
posibles amenazas y clasificarlas según su tipo, táctica y medio de operación. Esto
se puede lograr mediante la utilización de criterios y metodologías específicas, como
el análisis de escenarios, la revisión de incidentes previos y la consulta de expertos
en seguridad.
Para realizar un diseño base de amenazas en seguridad física, se consideran los
siguientes criterios:

 Ubicación y entorno: Se evalúa la ubicación de la instalación o edificio, así

como su entorno, para determinar si hay factores externos que puedan
representar una amenaza, como la proximidad a vías de tráfico pesado,
zonas de alta criminalidad, instalaciones militares, entre otros.
 Tipo de instalación o edificio: El tipo de instalación o edificio se considera
para determinar las medidas de seguridad física necesarias. Por ejemplo, un
edificio gubernamental o un aeropuerto requieren medidas de seguridad más
estrictas que una oficina o un centro comercial.
 Acceso y movilidad: Se evalúa la facilidad con la que los visitantes,
empleados y vehículos pueden acceder a la instalación o edificio, y cómo
pueden moverse dentro de ella.
 Activos críticos: Se identifican los activos críticos que se deben proteger,
como personas, información, bienes materiales, equipos y sistemas.
 Historial de amenazas: Se evalúa el historial de amenazas y ataques a
instalaciones o edificios similares para determinar las amenazas más
probables.
 Análisis de vulnerabilidades: Se lleva a cabo un análisis de
vulnerabilidades para identificar debilidades estructurales, brechas de
seguridad, sistemas de seguridad obsoletos y otros factores que puedan
aumentar el riesgo de amenazas.
 Capacidades de respuesta: Se consideran las capacidades de respuesta
ante emergencias, como la existencia de un plan de evacuación, equipo de
respuesta a emergencias y sistemas de comunicación de emergencia.

Pasos para la identificación de amenazas

La identificación de amenazas se lleva a cabo mediante un proceso sistemático que
implica la consideración de varios factores, como el entorno, la ubicación, el tipo de
instalación o edificio, los activos críticos y el historial de amenazas.
Los pasos que se siguen para identificar las amenazas en un diseño base de
amenazas son:

1. Identificación de las instalaciones o edificios a proteger: En primer lugar,

se identifican las instalaciones o edificios que se van a proteger, y se lleva a
cabo una descripción detallada de cada uno de ellos.
 Coordinador de seguridad privada 75

2. Identificación de los activos críticos: Se identifican los activos críticos que

se deben proteger, como personas, información, bienes materiales, equipos y
sistemas.
3. Análisis del entorno y ubicación: Se lleva a cabo un análisis del entorno y
la ubicación de cada instalación o edificio, para determinar los riesgos y
amenazas que puedan afectarlos. Esto puede incluir la evaluación de
factores como la ubicación geográfica, la topografía, la demografía y el clima.
4. Evaluación del tipo de instalación o edificio: Se evalúa el tipo de
instalación o edificio, teniendo en cuenta factores como la función, el tamaño
y la complejidad de la estructura, y se determinan las medidas de seguridad
física adecuadas.
5. Identificación de amenazas potenciales: A partir de la información
recopilada, se identifican las amenazas potenciales que puedan afectar la
seguridad física de la instalación o edificio, como el robo, el vandalismo, el
espionaje, el sabotaje, el terrorismo, entre otros.
6. Priorización de amenazas: Se priorizan las amenazas identificadas en
función de su probabilidad de ocurrencia y su impacto potencial en los activos
críticos.
7. Identificación de vulnerabilidades: A partir de las amenazas identificadas,
se lleva a cabo un análisis de vulnerabilidades para identificar debilidades
estructurales, brechas de seguridad, sistemas de seguridad obsoletos y otros
factores que puedan aumentar el riesgo de amenazas.

Metodologías y estándares para realizar un diseño base de amenazas

Existen diferentes metodologías y estándares que se pueden utilizar para realizar un
diseño base de amenazas en seguridad física. A continuación, se describen algunas
de las metodologías y estándares más comunes:

 Metodología OCTAVE (Operationally Critical Threat, Asset, and Vulnerability

Evaluation): Esta metodología se utiliza para evaluar las amenazas, activos y
vulnerabilidades en sistemas de información, aunque también se puede
adaptar para la evaluación de amenazas en la seguridad física. OCTAVE
utiliza un enfoque basado en equipos y colaborativo para evaluar los riesgos
y amenazas, y desarrollar planes de acción para reducir los riesgos
identificados.
 Estándar ISO 31000: Este estándar proporciona una guía para la gestión del
riesgo, y se puede aplicar a la gestión del riesgo en seguridad física. ISO
31000 ofrece una estructura para identificar y analizar los riesgos, evaluar la
efectividad de las medidas de seguridad existentes, y desarrollar planes de
acción para reducir el riesgo.
 Metodología CARVER (Criticality, Accessibility, Recuperability, Vulnerability,
Effect y Recognizability): Esta metodología se utiliza para evaluar la crítica de
un activo, la facilidad de acceso, la capacidad de recuperación, la
vulnerabilidad, el efecto potencial de la amenaza y la capacidad de
reconocimiento de la amenaza. CARVER se puede aplicar a la evaluación de
amenazas en la seguridad física y es útil para identificar los activos críticos y
las amenazas que puedan afectarlos.
 ANSI/ASIS PAP.1-2012 Sistemas de gestión de la seguridad: protección
física de los activos. Este estándar presenta un sistema de gestión integral
 Coordinador de seguridad privada 76

para la protección de activos mediante la aplicación de medidas de seguridad

para la protección física de los activos.

Estructura de un Reporte de Diseño Base de Amenazas

Un reporte de Diseño Base de Amenazas debe incluir una introducción, descripción
de la instalación o edificio, identificación de los activos críticos, análisis de
amenazas, evaluación de vulnerabilidades, evaluación de medidas de seguridad
existentes, plan de medidas de seguridad, conclusiones y recomendaciones. Este
reporte debe estar estructurado de manera clara y concisa para que los
responsables de seguridad puedan comprender las amenazas y las medidas de
seguridad necesarias para prevenirlas.
La estructura de un reporte de diseño base de amenazas puede variar según las
necesidades específicas de la organización y la metodología utilizada para realizar
el análisis. Sin embargo, en general, un reporte de diseño base de amenazas suele
incluir los siguientes elementos:

1. Introducción: Esta sección debe proporcionar una visión general del reporte
y del objetivo del diseño base de amenazas. También puede incluir
información sobre la metodología utilizada para llevar a cabo el análisis.
2. Descripción de la instalación o edificio: Se debe incluir una descripción
detallada de la instalación o edificio que se ha analizado, incluyendo
información sobre su ubicación, tamaño, función, uso, número de empleados,
y otros detalles relevantes.
3. Identificación de los activos críticos: Se deben identificar los activos
críticos que se deben proteger, como personas, información, bienes
materiales, equipos y sistemas.
4. Análisis de amenazas: Se deben identificar las amenazas potenciales que
podrían afectar la seguridad física de la instalación o edificio, basadas en la
metodología utilizada para realizar el análisis. Estas amenazas deben ser
priorizadas en función de su probabilidad de ocurrencia y su impacto
potencial en los activos críticos.
5. Evaluación de vulnerabilidades: Se deben identificar las vulnerabilidades
existentes que podrían permitir que las amenazas identificadas tengan éxito
en afectar los activos críticos. La evaluación de vulnerabilidades también
puede incluir la identificación de debilidades en los sistemas de seguridad
física.
6. Evaluación de medidas de seguridad existentes: Se deben evaluar las
medidas de seguridad física existentes que se han implementado para
proteger la instalación o edificio. Esto puede incluir la revisión de los sistemas
de seguridad física, las políticas de seguridad, los procedimientos y la
capacitación de los empleados.
7. Plan de medidas de seguridad: Se debe desarrollar un plan de medidas de
seguridad física adecuado para mitigar las amenazas identificadas y reducir
las vulnerabilidades. Este plan debe incluir recomendaciones específicas
para mejorar la seguridad física, incluyendo la implementación de nuevos
sistemas de seguridad, la mejora de los sistemas existentes, el
fortalecimiento de políticas y procedimientos, y la capacitación de los
empleados.
 Coordinador de seguridad privada 77

8. Conclusiones: En esta sección se resumen las principales conclusiones del

análisis y se destacan las áreas críticas que requieren atención en términos
de seguridad física.
9. Recomendaciones: Esta sección proporciona recomendaciones específicas
para mejorar la seguridad física, basadas en las conclusiones del análisis.

Conclusiones
El Diseño Base de Amenazas en Seguridad Física es un proceso importante para
identificar y prevenir posibles riesgos en las instalaciones o edificios. La
identificación de amenazas y la evaluación de vulnerabilidades son elementos clave
para desarrollar medidas de seguridad adecuadas para mitigar posibles riesgos. Las
herramientas tecnológicas y la estructura de un reporte de diseño base de
amenazas pueden ayudar a los responsables de seguridad a comprender mejor las
posibles fuentes de riesgo y a desarrollar medidas de seguridad adecuadas para
prevenirlas.
Si te interesa conocer más sobre el tema te recomiendo estos libros como punto de
partida:
"Crime Prevention Through Environmental Design" de Lawrence Fennelly: Este libro
es una referencia clásica en el campo de la seguridad física y el diseño ambiental.
Proporciona una guía detallada sobre cómo aplicar los principios del Diseño Base
de Amenazas para prevenir el delito y mejorar la seguridad física de edificios e
instalaciones.
"Risk Analysis and Security Countermeasure Selection" de Thomas L. Norman: Este
libro ofrece una introducción práctica al análisis de riesgos y la selección de
medidas de seguridad en el campo de la seguridad física. Incluye información
detallada sobre cómo identificar y evaluar amenazas, vulnerabilidades y riesgos
potenciales, y cómo seleccionar medidas de seguridad efectivas para mitigarlos.

MODULO 3

EL ESTUDIO DE SEGURIDAD

3.1 LA RAZON DE SER DEL ESTUDIO DE SEGURIDAD, SU

PRINCIPAL OBJETIVO.

¿Por qué hacer un estudio de seguridad?

Las empresas de todos los sectores y tamaños corren los mismos riesgos al
momento de ingresar nuevo personal a sus operaciones e instalaciones, riesgos
asociados al manejo que hacen sus colaboradores sobre el capital, los equipos, la
mercancía e incluso la información de la empresa.

La necesidad de conocer los comportamientos previos y presentes de los

candidatos y empleados lleva a que las empresas requieran la contratación de
entidades especializadas en la ejecución de estudios de seguridad. Conoce los
principales criterios que debes tener en cuenta:
 Coordinador de seguridad privada 78

¿Qué es un estudio de seguridad?

Un estudio de seguridad es un minucioso análisis que se realiza para determinar si

una persona es realmente quien dice ser, y para conocer su historia de
comportamiento social y criminal; de esta forma, podemos tomar mejores decisiones
de vinculación y ubicación para los futuros integrantes de la organización.
El estudio de seguridad permite además confirmar que una persona es honesta,
confiable y que no representa riesgos para la actividad comercial e integridad de la
empresa que lo contratará. En otras oportunidades, los estudios de seguridad son
realizados al personal que ya se encuentra vinculado a una empresa, con la
finalidad de evaluar cómo ha sido su comportamiento o si se ha visto envuelto en
malos manejos asociados a su desempeño.

¿Para qué hacer un estudio de seguridad?

A través de los estudios de seguridad es posible detectar los antecedentes

judiciales, penales, disciplinarios, fiscales, entre otros, tanto en Colombia como en el
exterior de los candidatos a ingresar a la organización. Así mismo, podemos
identificar mentiras en el proceso de selección o en su hoja de vida, lo cual suele ser
común en la historia académica y laboral de los aspirantes. Cuando se realiza como
proceso de seguimiento a empleados vinculados podemos encontrar información
valiosa sobre uso de recursos, manejo de influencias, fuga de la información, entre
muchas otras.

¿Cuándo debe hacerse un estudio de seguridad?

 Cuando un nuevo colaborador esté próximo a ingresar a la compañía,

principalmente en cargos de alta responsabilidad, manejo de dinero e
información confidencial.

 Cuando se produzcan cambios en las funciones de una persona que fue

previamente contratada en la empresa y pasará a cumplir funciones
delicadas.

 Cuando se observa o sospecha de la existencia de actos que violan las

condiciones de seguridad de la empresa.

 Cuando haya transcurrido un tiempo (se sugiere un año) de desempeño

laboral al interior de la compañía en aquellos perfiles de alta
responsabilidad, manejo de dinero e información confidencial.

 Cuando no se conozcan los resultados de un estudio de seguridad

previo.

¿Qué se hace durante un estudio de seguridad?

 Coordinador de seguridad privada 79

Todas las empresas tienen la posibilidad de coordinar las actividades a ejecutar

según sus necesidades reales. Entre las actividades que se llevan a cabo se
encuentran:

 Visita domiciliaria: Con la visita domiciliaria se tiene la posibilidad de

corroborar en vivo muchas de las condiciones e información que el
candidato ha manifestado: condiciones de vivienda, nivel
socioeconómico, dinámica familiar, la interacción con sus vecinos, el rol
que desempeña el evaluado al interior de la familia, entre otros.

 Consulta de antecedentes judiciales, disciplinarios y fiscales: Este

servicio les da la posibilidad a las empresas de vincular a sus
instalaciones personal confiable, ya que incrementa el nivel de seguridad
en el proceso de selección, lo que finalmente repercute en reducción de
costos organizacionales al prevenir posibles fraudes.

 Consulta de antecedentes internacionales: Se consulta una amplia

base de datos de diferentes agencias a nivel mundial que comparten
información para la prevención del lavado de activos y financiación del
terrorismo.

 Consulta de referencias financieras: A través de este se analiza el

comportamiento financiero del candidato para evaluar si presenta
posibles conductas de riesgo, que puedan poner en riesgo la seguridad
de la compañía.

 Poligrafía: Esta prueba se encarga de realizar una exploración con

detenimiento del candidato, validando la información que ha suministrado
durante el proceso de selección o a lo largo de su desempeño al interior
de la empresa. Permite detectar, de manera oportuna, situaciones que a
futuro puedan representar una amenaza.

 Consulta de certificaciones académicas: Se valida la veracidad de los

títulos académicos presentados por los candidatos, para determinar si
efectivamente se encuentran capacitados para desempeñarse en el
cargo para el cual serán contratados.

 Consulta de certificaciones laborales: A través del contacto con

antiguos empleadores, se valida el desempeño del candidato y los
motivos reales que motivaron las terminaciones de contratos anteriores.

 Consulta de referencias personales: Se contactan personas que

conozcan a los candidatos para conocer sobre su comportamiento social
y relaciones.

¿Cuánto dinero le costará a la empresa?

 Coordinador de seguridad privada 80

Todo depende de las actividades de seguridad que la compañía requiera, además si

requieres un proceso de seguridad completo o actividades específicas. Contáctanos
para poder ofrecerte una propuesta comercial según las necesidades de la
compañía.

3.2 EL ESTUDIO DE SEGURIDAD

¿Qué es un estudio de seguridad para instalaciones?

¿Qué es un estudio de seguridad para instalaciones? Veamos los aspectos

básicos de este servicio.

La seguridad ayuda a generar un clima de confianza y tranquilidad que permite el

buen desarrollo de las actividades para el cumplimiento de los objetivos
organizacionales. De esta forma, para poder establecer los niveles de
seguridad (tanto existentes, como necesarios) es importante realizar un estudio de
seguridad, que permitirá aplicar los mejores esquemas según las necesidades del
negocio.

Un estudio de seguridad para instalaciones permite identificar riesgos,

amenazas, potencialidades, etc., para proporcionar recomendaciones técnicas a fin
de optimizar los procesos y esquemas de seguridad, o bien, implementarlos
correctamente.

¿Qué es un estudio de seguridad para instalaciones?

El estudio de seguridad para instalaciones se hace a partir de un proceso
metodológico de análisis de factores internos y externos que puedan favorecer o
afectar la seguridad de dicha instalación, independientemente de sus dimensiones,
ubicación geográfica o actividades que se desarrollen en ella.

Este tipo de estudios son realizados por especialistas en análisis de riesgos y

seguridad, para ayudar a las empresas a determinar las medidas de seguridad que
se deben adoptar para garantizar la protección de las propias instalaciones, ante la
materialización de cualquier riesgo detectado en el análisis.
 Coordinador de seguridad privada 81

Estudio de seguridad para instalaciones – Imagen: Towfiqu barbhuiya en Unsplash

Es así como la creación de planes y programas de seguridad en las organizaciones
dependen de los estudios de seguridad para identificar todos los aspectos a
considerar para garantizar la integridad en una determinada instalación.

El estudio está basado en las características de infraestructura, la instalación, la

ubicación, el nivel de riesgo en cuanto a producción o manejo de recursos, la
cantidad de empleados, la potencialidad de robo o hurto y los recursos que se
tienen o no en materia de seguridad.

¿Cuáles son los objetivos de un estudio de seguridad para instalaciones?

El conocimiento de las vulnerabilidades en seguridad reduce la incertidumbre y
permite tratar factores conocidos. La vulnerabilidad de seguridad que no ha sido
identificada es siempre la más peligrosa, porque al no conocerla, quiere decir que
no se ha implementado ningún medio para afrontarla cuando suceda.

Los estudios de seguridad para instalaciones son un aspecto fundamental para

proteger los activos más importantes de una organización o de un lugar específico, y
se enfocan en:

1. Identificar vulnerabilidades.
2. Diagnosticar las condiciones de la infraestructura.
3. Recomendar medidas preventivas y de protección.
4. Identificar necesidades.
5. Salvaguardar activos (instalaciones).

El uso de la tecnología se ha vuelto un recurso indispensable que permite

promover la seguridad, generando impacto a la conectividad para mantener un
monitoreo constante y de forma inmediata todos los sucesos a través de sistemas
integrados de vigilancia.

El propósito principal de realizar un estudio de seguridad para empresas es que el

cliente implemente las recomendaciones de seguridad que se establezcan allí y
 Coordinador de seguridad privada 82

cumpla con los requerimientos de seguridad indispensables para proteger su

propiedad.

Cada país tiene sus propias normativas relacionadas con la seguridad que se debe
tener en cuenta cuando se construyen instalaciones para diversos fines, entre ellos,
para empresas o negocios. La seguridad es responsabilidad de todos.

Contar con un estudio de seguridad garantiza la mitigación de riesgos, sin embargo,

la eficacia de estos procesos depende de la optimización de los recursos y de la
capacidad para llevar a cabo los procedimientos recomendados.

Conclusión
Hemos observado que el estudio de seguridad para instalaciones nos permite
identificar las amenazas a las que se expone nuestra instalación, identificar las
respectivas oportunidades de mejora para recomendar y aplicar los esquemas
correctos de seguridad para mantener la integridad de las instalaciones.

La seguridad implica la evaluación de los riesgos a que podemos estar expuestos

para determinar los niveles de aceptabilidad, que permitan determinar el grado de
seguridad que posee o necesita en una instalación, independientemente de la
actividad que se desarrolle en ella.

Descubre qué es un estudio de seguridad a instalaciones

Un estudio de seguridad a instalaciones es un análisis detallado de las medidas de

seguridad existentes en una determinada instalación, con el objetivo de identificar
posibles vulnerabilidades y recomendar soluciones para fortalecer la seguridad en
esa instalación. Este tipo de estudio suele incluir una evaluación de los riesgos, un
análisis de los sistemas de seguridad existentes, y una revisión de las políticas y
procedimientos de seguridad. El objetivo final es garantizar la seguridad de las
personas y la protección de la propiedad en la instalación.
 Coordinador de seguridad privada 83

Menú de contenido
 ¿Cómo funciona un estudio de seguridad a instalaciones?
 ¿Qué objetivos cumple un estudio de seguridad a instalaciones?
 Beneficios de un estudio de seguridad a las instalaciones de una empresa
 Conclusión
¿Cómo funciona un estudio de seguridad a instalaciones?

Un estudio de seguridad a instalaciones generalmente se lleva a cabo en varias

etapas:

 Identificación de los riesgos: En esta etapa, se identifican los riesgos

potenciales para la instalación, incluyendo los riesgos naturales, humanos y
tecnológicos.
 Evaluación de los riesgos: Una vez identificados los riesgos, se evalúa la
probabilidad de que ocurran y el impacto potencial en caso de que se
produzcan.
 Análisis de los sistemas de seguridad existentes: En esta etapa, se
revisan y evalúan los sistemas de seguridad existentes en la instalación,
como las medidas de seguridad físicas, los sistemas de alarma y las políticas
y procedimientos de seguridad.
 Identificación de las vulnerabilidades: A partir de la evaluación de los
riesgos y el análisis de los sistemas de seguridad existentes, se identifican
las vulnerabilidades en la instalación.
 Recomendaciones: Finalmente, se elaboran recomendaciones para mejorar
la seguridad en la instalación, teniendo en cuenta las vulnerabilidades
identificadas y los riesgos evaluados.
 Implementación: Se lleva a cabo la implementación de las recomendaciones
dadas.
 Monitoreo: Se monitorea continuamente la instalación para detectar cambios
en los riesgos, vulnerabilidades y medidas de seguridad, y se realizan ajustes
y mejoras según sea necesario.
 Coordinador de seguridad privada 84

¿Qué objetivos cumple un estudio de seguridad a instalaciones?

Algunos de los objetivos del estudio de seguridad a instalaciones pueden ser:

 Identificar las vulnerabilidades de la instalación: El objetivo principal es

identificar las vulnerabilidades en la instalación, con el fin de minimizar el
riesgo de incidentes o ataques.
 Evaluar los riesgos: Ayuda a evaluar los riesgos potenciales para la
instalación y a determinar la probabilidad y el impacto potencial de un
incidente.
 Ofrecer recomendaciones de seguridad: Proporciona recomendaciones
para mejorar la seguridad en la instalación, fortaleciendo las medidas de
seguridad existentes e implementando nuevas medidas de seguridad.
 Garantizar la seguridad de las personas: Ayuda a garantizar la seguridad
de las personas en la instalación, minimizando el riesgo de lesiones o
muertes.
 Mejorar la continuidad del negocio: Puede ayudar a mejorar la continuidad
del negocio, minimizando el riesgo de interrupciones en la operación de la
instalación.
 Coordinador de seguridad privada 85

Beneficios de un estudio de seguridad a las instalaciones de una empresa

Fot
o de LinkedIn Sales Solutions en Unsplash
Un estudio de seguridad a instalaciones puede proporcionar varios beneficios a una
empresa:

 Mejora la seguridad: Al identificar y corregir las vulnerabilidades en la

instalación, se puede mejorar la seguridad en general y minimizar el riesgo de
incidentes o ataques.
 Protección de la propiedad: El estudio ayuda a proteger la propiedad de la
empresa, reduciendo el riesgo de daños y pérdidas.
 Garantía de la seguridad de las personas: Al identificar y corregir las
vulnerabilidades, se puede garantizar la seguridad de las personas en la
instalación, reduciendo el riesgo de lesiones o muertes.
 Ahorro de costos: Al implementar medidas de seguridad eficaces, se puede
reducir el riesgo de incidentes y pérdidas, lo que puede resultar en un ahorro
de costos a largo plazo.
 Mejora la imagen de la empresa: Al mostrar un compromiso con la
seguridad, una empresa puede mejorar su imagen y su reputación en el
mercado.
 Cumplimiento de las regulaciones: El estudio puede ayudar a la empresa a
cumplir con las regulaciones y normas de seguridad aplicables a la
instalación.
 Coordinador de seguridad privada 86

Conclusión
Un estudio de seguridad a instalaciones es un análisis detallado de las medidas
de seguridad existentes en una determinada instalación, y se realiza con el objetivo
principal de identificar las vulnerabilidades en la instalación, con el fin de minimizar
el riesgo de incidentes o ataques. El estudio proporciona recomendaciones para
mejorar la seguridad en la instalación, fortaleciendo las medidas de seguridad
existentes e implementando nuevas medidas de seguridad. Es recomendable
realizar estos estudios de seguridad de forma regular para mantener la seguridad de
la instalación al día.

3.3 SEGURIDAD EN PROFUNDIDAD

PROTECCIÓN EN PROFUNDIDAD EN SEGURIDAD FÍSICA DE

INSTALACIONES

La protección en profundidad es una estrategia de seguridad física que se utiliza

para proteger una instalación o sistema mediante la implementación de múltiples
 Coordinador de seguridad privada 87

capas de seguridad. El objetivo de la protección en profundidad es crear una serie

de barreras físicas y lógicas que dificulten el acceso no autorizado y mitiguen el
impacto de un posible ataque.

Esta estrategia se basa en la idea de que ningún sistema de seguridad es

completamente infalible, por lo que es importante tener varias capas de protección
que puedan detectar y prevenir un ataque en diferentes etapas. De esta manera, si
un intruso logra pasar una capa de seguridad, aún se enfrentará a otras barreras
antes de poder alcanzar su objetivo.

En este episodio de mi podcast, te cuento sobre la técnica de protección en

profundidad que ha resistido la prueba del tiempo. Acompáñame mientras
exploramos algunas de las ideas clave detrás de esta estrategia de seguridad
empresarial.

Protección en profundidad
A lo largo de la historia, la protección en profundidad ha sido una técnica utilizada
por los seres humanos para protegerse de los enemigos. Esta técnica ha sido
empleada en diversas situaciones, desde la defensa de ciudades y fortalezas hasta
la salvaguarda de caravanas y convoyes.

Un ejemplo temprano de la protección en profundidad se puede encontrar en la

fortificación de ciudades de la antigua Mesopotamia. Las ciudades eran rodeadas
por muros altos y gruesos que servían como la primera línea de protección contra
los invasores. Además, los muros estaban flanqueados por torres y fortificaciones
que permitían a los defensores disparar flechas y lanzar piedras contra los
atacantes. Detrás de los muros, se encontraban los edificios de la ciudad y las
casas, que proporcionaban otra capa de protección a los ciudadanos.

En la Edad Media, los castillos y fortalezas también utilizaron la técnica de la

protección en profundidad. Los castillos estaban rodeados por murallas y torres de
vigilancia, y en el interior, había múltiples capas de protección, como puertas,
puentes levadizos, foso, mazmorras y torres de vigilancia para mantener a los
atacantes alejados y proteger a los habitantes.

En la Segunda Guerra Mundial, los alemanes utilizaron la protección en profundidad

en su estrategia militar, creando una serie de fortificaciones y bunkers a lo largo de
la Línea Sigfrido. Estas protección en profundidad dificultaron el avance de los
Aliados y dieron lugar a una serie de batallas sangrientas y prolongadas.

Capas de seguridad en una estrategia de protección en profundidad

Las capas de seguridad en una estrategia de protección en profundidad pueden
incluir:

 Barreras físicas: como puertas, paredes y cercas, que dificultan el acceso

no autorizado.
 Control de acceso: como tarjetas de identificación y sistemas de huellas
dactilares, que permiten el acceso solo a personas autorizadas.
 Coordinador de seguridad privada 88

 Sistemas de detección: como cámaras de seguridad y sensores de

movimiento, que pueden detectar la presencia de intrusos.
 Sistemas de alarma: que pueden alertar a los guardias de seguridad o a la
policía sobre una posible intrusión.
 Protección de la red: como firewalls y sistemas de detección de intrusiones,
que pueden detectar y bloquear intentos de acceso no autorizados a través
de redes informáticas.
 Políticas de seguridad y procedimientos: que establecen reglas y
procedimientos para garantizar que los empleados sigan prácticas seguras
de seguridad física y digital.

Recomendaciones de diseño

1. Realizar una evaluación de riesgos: Antes de diseñar un sistema de

protección en profundidad, es importante realizar una evaluación de los
riesgos específicos que enfrenta la instalación. Esto permitirá identificar las
áreas críticas que requieren protección adicional y diseñar un sistema
adecuado.
2. Identificar los activos críticos: como los equipos y maquinarias de
producción, la información confidencial y los recursos humanos. De esta
manera, se podrá priorizar las medidas de seguridad en aquellos activos que
representan un mayor riesgo para la operación de la empresa.
3. Evaluar las amenazas: tanto internas como externas. Las amenazas
internas incluyen a los empleados, contratistas o socios que pueden tener
acceso a información o activos críticos. Las amenazas externas pueden
incluir a grupos criminales, competidores, hackers, entre otros.
4. Evaluar la vulnerabilidad: La vulnerabilidad puede estar relacionada con la
facilidad de acceso a los activos críticos, la falta de medidas de seguridad
adecuadas, la falta de capacitación del personal, entre otros factores.
5. Evaluar el impacto: El impacto puede ser financiero, reputacional, legal,
entre otros.
6. Identificar las medidas de seguridad adecuadas: Una vez que se han
identificado los activos críticos, las amenazas, la vulnerabilidad y el impacto,
se pueden identificar las medidas de seguridad adecuadas para proteger el
edificio. Estas medidas pueden incluir la implementación de sistemas de
control de acceso, sistemas de detección de intrusos, sistemas de
videovigilancia, políticas y procedimientos de seguridad, entre otros.
7. Establecer zonas de seguridad: La instalación debe ser dividida en zonas
de seguridad, cada una con diferentes niveles de protección. Las zonas más
críticas, como la zona de producción o almacenamiento de productos
valiosos, deben tener más capas de protección y ser monitoreadas de
manera más constante.
8. Implementar medidas de control de acceso: La instalación debe contar
con medidas de control de acceso, como sistemas de identificación de
personas, tarjetas de acceso y cámaras de vigilancia. Esto ayudará a
garantizar que solo las personas autorizadas puedan ingresar a la instalación.
9. Empoderar un equipo de seguridad: Se debe contar con un equipo de
seguridad bien entrenado y capacitado para responder rápidamente a
cualquier situación de emergencia o amenaza de seguridad. Este equipo
debe tener una estructura clara de mandos y un plan de acción detallado.
 Coordinador de seguridad privada 89

10. Implementar sistemas de detección y alarma: La instalación debe contar

con sistemas de detección de intrusiones, como sensores de movimiento y
alarmas. Estos sistemas deben estar conectados a una central de monitoreo
que pueda alertar al equipo de seguridad en caso de una emergencia.
11. Establecer políticas de seguridad y entrenamiento: Es importante
establecer políticas de seguridad claras y un programa de entrenamiento
para todos los empleados de la instalación. Esto garantizará que todos los
empleados estén al tanto de las medidas de seguridad y sepan cómo actuar
en caso de una emergencia.
12. Realizar simulaciones de emergencia: La instalación debe realizar
simulaciones de emergencia periódicas para evaluar la efectividad del
sistema de seguridad y entrenar al equipo de seguridad y a los empleados.
13. Colaboración con las autoridades: La instalación debe colaborar con las
autoridades locales en materia de seguridad y compartir información sobre
las amenazas y riesgos específicos que enfrenta.
14. Realizar auditorías regulares del sistema de seguridad: Esto te ayuda a
garantizar que esté actualizado y funcionando correctamente.

Consideraciones
Aunque la protección en profundidad es una técnica efectiva para protegerse contra
amenazas externas, también puede tener algunos inconvenientes y limitaciones.
En primer lugar, la protección en profundidad puede ser costosa y requiere una
inversión significativa en recursos y tecnología. La implementación de múltiples
capas de seguridad puede resultar en un alto costo financiero y logístico, lo que
puede no ser viable para todas las organizaciones o empresas.
En segundo lugar, la protección en profundidad puede dar una falsa sensación de
seguridad. Al tener múltiples capas de protección, es posible que las
organizaciones descuiden algunas áreas críticas de seguridad o subestimen el
riesgo de amenazas internas, lo que podría comprometer la efectividad de la
protección en profundidad.
En tercer lugar, la protección en profundidad puede aumentar la complejidad de la
seguridad, lo que puede dificultar la gestión y el mantenimiento del sistema de
seguridad. Las múltiples capas pueden requerir una gestión y mantenimiento
continuo, lo que puede resultar en una mayor carga de trabajo para los
responsables de la seguridad.
Por último, la protección en profundidad no es una solución infalible. Aunque
puede reducir el riesgo de un ataque exitoso, no puede garantizar la seguridad
completa. Los atacantes pueden encontrar formas de superar cada capa de
protección y lograr su objetivo, lo que puede poner en peligro la seguridad de la
organización.
Aunque la tecnología puede ser una herramienta valiosa en la protección en
profundidad, confiar demasiado en ella puede ser un error. La tecnología es
susceptible a fallos y vulnerabilidades, y los atacantes pueden encontrar formas de
superarla. Además, puede haber limitaciones en la capacidad de la tecnología para
adaptarse a los cambios en el entorno de seguridad.
 Coordinador de seguridad privada 90

¿Qué es la defensa en profundidad?

La defensa en profundidad es una estrategia que aprovecha múltiples medidas de

seguridad para proteger los activos de una organización. El pensamiento es que, si
una línea de defensa se ve comprometida, existen capas adicionales como respaldo
para garantizar que las amenazas se detengan en el camino. La defensa en
profundidad aborda las vulnerabilidades de seguridad inherentes no solo con el
hardware y el software, sino también con las personas, ya que la negligencia o el
error humano suelen ser la causa de una violación de seguridad.

Las ciberamenazas actuales están creciendo rápidamente en escala y sofisticación.

La defensa en profundidad es un enfoque integral que emplea una combinación de
herramientas de seguridad avanzadas para proteger los endpoints, los datos, las
aplicaciones y las redes de una organización. El objetivo es detener las amenazas
cibernéticas antes de que ocurran, pero una sólida estrategia de defensa en
profundidad también frustra un ataque que ya está en curso, y evita que se
produzcan daños adicionales.

El software antivirus, los firewall, las puertas de enlace seguras y las redes privadas
virtuales (VPN) sirven como defensas de redes corporativas tradicionales y
ciertamente siguen siendo fundamentales en una estrategia de defensa en
profundidad. Sin embargo, ahora se utilizan medidas más sofisticadas, como el uso
de aprendizaje automático (machine learning, ML) para detectar anomalías en el
comportamiento de los empleados y en los endpoints, para construir la defensa más
sólida y completa posible.

Un entorno laboral cambiante y un panorama de amenazas

La defensa en profundidad se necesita ahora más que nunca, ya que más

empleados trabajan desde casa y las organizaciones dependen cada vez más de
los servicios basados en la nube. Con los empleados que trabajan desde casa, las
organizaciones deben abordar los riesgos de seguridad asociados con el uso de sus
propios dispositivos para trabajar y su conexión Wi-Fi doméstica para ingresar a la
red corporativa.

Incluso con los recursos de TI implementados, las vulnerabilidades son inherentes a

los dispositivos utilizados tanto para uso laboral como personal, vulnerabilidades
explotadas por ciberdelincuentes. Además, con más empresas que utilizan
aplicaciones de software como servicio (Software-as-a-Service, SaaS) alojadas en
la nube, muchas de las cuales son críticas para la misión, la privacidad y la
seguridad de una cantidad creciente de datos ingresados a través de sitios web
siguen siendo difíciles de gestionar.

La defensa en profundidad es similar a la seguridad física

 Coordinador de seguridad privada 91

El concepto de defensa en profundidad no es diferente de la seguridad física, como

la utilizada para un edificio o para comenzar a trabajar en un entorno de oficina. La
seguridad de edificios tiene muchas capas, algunas de las cuales pueden
considerarse redundantes:

1. Un empleado utiliza una tarjeta de acceso para ingresar al edificio.

2. Un guardia de seguridad vigila el vestíbulo.
3. Las cámaras de seguridad graban todos los movimientos en el vestíbulo, en
cada piso y en el ascensor.
4. Una vez que llega al piso, el empleado debe usar su tarjeta de llave para abrir
la puerta de la oficina.
5. Una vez en su escritorio, el empleado enciende su computadora e ingresa su
contraseña y código temporal de cuatro dígitos (autenticación de dos
factores) para iniciar sesión en la red de la empresa.

Estos son, por supuesto, solo algunos de los pasos de seguridad que el empleado
debe tomar para comenzar a trabajar cada día. Algunas de estas medidas pueden
parecer innecesarias y algunas medidas pueden parecer más fuertes que otras,
pero en conjunto, son análogas a una estrategia de defensa en profundidad
implementada dentro de las organizaciones.

Problemas comunes de ciberseguridad

Los siguientes son algunos problemas comunes que las organizaciones tienen que
enfrentar al implementar una estrategia de ciberseguridad:

1. El software antimalware no se ha actualizado o no está instalado en todos los

dispositivos.
2. Los empleados no han sido capacitados y son víctimas de esquemas de
suplantación de identidad.
3. Los parches de software no se están actualizando o se ignoran.
4. Los empleados no aplican ni conocen las políticas de seguridad.
5. Falta cifrado o está mal implementado.
6. Los empleados remotos se están conectando a redes no seguras, como
Internet público.
7. Defectos de seguridad física, como salas de servidores no seguras.
8. Los socios comerciales, como los proveedores de servicios en la nube, no
están completamente protegidos.

Imagine que todos estos problemas ocurran a la vez. La única manera de que una
empresa se defienda de las vulnerabilidades es con una estrategia de defensa en
profundidad sólida e integral. Si una medida falla, otra medida está en espera, lista
para actuar.
Los diferentes elementos de un sistema de defensa en profundidad
El enfoque de múltiples niveles para la seguridad en un sistema de defensa en
profundidad incorpora elementos de las siguientes áreas:
 Coordinador de seguridad privada 92

1. Controles físicos: Algunos ejemplos incluyen tarjetas con clave de acceso

para ingresar a un edificio o escáneres para leer huellas digitales.
2. Controles de seguridad de red: Este es un software que autentica a un
empleado para que ingrese a la red y utilice un dispositivo o aplicación.
3. Controles administrativos: Esto autoriza a los empleados, una vez
autenticados, a acceder solo a ciertas aplicaciones o partes de la red.
4. Antivirus: Esta es la herramienta que impide que el software malicioso
ingrese a la red y se propague.
5. Análisis del comportamiento: Los algoritmos y el ML pueden detectar
anomalías en el comportamiento de los empleados, y en las aplicaciones y
los dispositivos en sí.

¿Cómo ayuda la defensa en profundidad?

Al estratificar e incluso duplicar los procesos de seguridad, se minimiza la

probabilidad de una violación. La mayoría de las organizaciones reconocen que una
sola capa de seguridad o un producto de un solo punto (p. ej., un firewall) no llega lo
suficientemente lejos como para proteger a la empresa de la creciente sofisticación
de los ciberdelincuentes actuales.

Por ejemplo, si un pirata informático se infiltra con éxito en la red de una

organización, la defensa en profundidad les da a los administradores tiempo para
lanzar contramedidas. Se debe implementar software antivirus y firewalls para
bloquear un acceso adicional y proteger las aplicaciones y los datos de la
organización contra el riesgo.

La redundancia en la seguridad puede, a primera vista, parecer un desperdicio. Sin

embargo, una estrategia de defensa en profundidad previene las amenazas porque
cuando un producto de seguridad falla, hay otro producto de seguridad para tomar el
control.
¿Qué es la seguridad en capas y cómo se relaciona con la defensa en
profundidad?
Aunque se utiliza indistintamente (e incorrectamente), el término “seguridad
estratificada” no es lo mismo que defensa en profundidad.

La seguridad en capas consiste en contar con varios productos para abordar un solo
aspecto de la seguridad. Los productos pueden ser muy similares y apuntar a hacer
el mismo trabajo, pero en una estrategia de seguridad por capas, ambos son
necesarios. El uso de productos aparentemente redundantes fortalece la defensa de
la empresa contra las amenazas.

Por ejemplo, tanto una puerta de enlace como un firewall determinan qué datos
deben permitirse ingresar a la red. Ciertamente hay diferencias entre los dos, una
puerta de enlace es hardware mientras que un firewall es tanto hardware como
software, pero ambos tienen como objetivo restringir el acceso a ciertos sitios web y
aplicaciones. Una vez que la puerta de enlace y el firewall hayan realizado su
trabajo (por ejemplo, un empleado puede visitar un sitio web en particular) otro
 Coordinador de seguridad privada 93

producto o servicio de seguridad tendrá que hacerse cargo si el empleado desea

ingresar una contraseña para iniciar sesión en ese sitio web.

El siguiente producto de seguridad puede ser la autenticación multifactor (MFA),

que impide el acceso a un sitio web a menos que se proporcionen varias
credenciales. En otras palabras, la seguridad en capas solo aborda una dimensión
de seguridad o un vector de ataque, mientras que la defensa en profundidad es más
amplia, multifacética y de alcance más estratégico. También se puede decir que la
seguridad en capas es un subconjunto de defensa en profundidad.

Una estrategia de seguridad en capas se evalúa en tres áreas diferentes:

administrativa, física y técnica. Los controles administrativos incluyen las políticas y
los procedimientos necesarios para restringir el acceso no autorizado, como
el control de acceso basado en roles (role-based access control, RBAC) o la
capacitación de empleados para proteger contra estafas de suplantación de
identidad. Los controles físicos incorporan un acceso físicamente seguro al sistema
de TI, como el bloqueo de salas de servidores, mientras que los controles técnicos
incluyen la combinación de productos y servicios que la organización selecciona
para abordar la seguridad.

¿Cuáles son las capas esenciales en un mecanismo de defensa en

profundidad?

Las capas principales para llevar a cabo una estrategia de defensa en profundidad
deben incluir:

1. Contraseñas seguras y complejas

2. Software antivirus
3. Puerta de enlace segura
4. Firewall
5. Gestión de parches
6. Copia de seguridad y recuperación
7. Principio de privilegio mínimo, o dar a un usuario el nivel de acceso mínimo o
los permisos necesarios para hacer su trabajo

A medida que las empresas crecen y aumenta la cantidad de dispositivos,

aplicaciones y servicios utilizados en toda la organización, estos sirven como capas
de seguridad importantes en una estrategia de defensa en profundidad:

1. Autenticación de dos factores (2FA) frente a autenticación multifactor

(MFA)
2. Sistemas de detección y prevención de intrusiones
3. Detección y respuesta de endpoint (EDR)
4. Segmentación de red
5. Cifrado
6. Prevención de pérdida de datos
 Coordinador de seguridad privada 94

7. VPN

Preguntas frecuentes sobre defensa en profundidad

¿Qué es una estrategia de defensa en profundidad?

Una estrategia de defensa en profundidad utiliza múltiples medidas de seguridad

para proteger el 100 % de los activos de una organización.

¿Cuáles son los tres elementos de la seguridad en capas?

La seguridad en capas requiere controles administrativos, físicos y técnicos. Los

controles administrativos consisten en las políticas y los procedimientos que deben
implementarse para minimizar las vulnerabilidades. Estos pueden incluir acceso
automatizado a aplicaciones basadas en la función del empleado o capacitación del
empleado para identificar estafas de suplantación de identidad.

Los controles físicos incluyen proteger el acceso físico al sistema de TI, como el
bloqueo de salas de servidores o las instalaciones de almacenamiento de TI. Los
controles técnicos son, generalmente, los más complejos e incluyen la combinación
de productos y servicios que la organización adopta para abordar la seguridad.

¿Cuál es la diferencia entre la seguridad en capas y la defensa en

profundidad?

La seguridad en capas aprovecha múltiples productos de seguridad para abordar

solo un aspecto de seguridad, como la detección de intrusiones o el filtrado de
correo electrónico, mientras que la defensa en profundidad es más amplia y de
alcance más estratégico. La defensa en profundidad incorpora todas las medidas de
seguridad de la organización para abordar todos los problemas relacionados con
endpoint, aplicación y seguridad de la red.

Dicho de otra manera, la seguridad en capas es un aspecto de la seguridad,

mientras que la defensa en profundidad es un plan estratégico integral. La defensa
en profundidad cubre más que solo manejar un ataque y supone una visión
predictiva, más amplia y variada de la defensa.

3.4 PROTECCION DE ACTIVOS CRITICOS

INFRAESTRUCTURAS CRÍTICAS: DEFINICIÓN, PLANES, RIESGOS,

AMENAZAS Y LEGISLACIÓN
 Coordinador de seguridad privada 95

Las Infraestructuras Críticas de todos los países están expuestas a multitud

de riesgos y amenazas fruto de sus vulnerabilidades. Las Infraestructuras
Críticas son el objetivo más deseado de los atentados terroristas, los ataques
cibernéticos de particulares e incluso ataques híbridos por parte de gobiernos y
servicios de inteligencia, de ahí que necesiten una protección más avanzada.

Ejemplos como los ataques terroristas del 11S en EEUU, las acciones
cibernéticas de Anonymous o malwares diseñados por Servicios de Inteligencia
como fue el caso de Stuxnet contra las Centrales Nucleares de Irán, han provocado
que la mayoría de los gobiernos establezcan líneas de acción estratégicas para
garantizar la protección de sus Infraestructuras Críticas.

Como ciudadanos, pero especialmente como profesionales, conviene reconocer y

saber qué es una Infraestructura Crítica de la que depende nuestra calidad de
vida. Conocer cómo y con qué criterios se protegen, nos permitirá proteger
nuestros propios sistemas u organización con la misma eficacia.

¿Qué son las Infraestructuras Críticas?

A diario utilizas la electricidad, bebes agua, utilizas el transporte público,

realizas pagos con tarjetas bancarias, buscas a través de Google Maps, llamas
por teléfono, te conectas a Internet o realizas trámites con la Administración.

Todas esas actividades esenciales dependen de las Infraestructuras Críticas:

centrales eléctricas o nucleares, sistema de aguas, transporte ferroviario, sistema
bancario, tecnología de satélite, sistemas de telecomunicaciones o de
la Administración.
 Coordinador de seguridad privada 96

“El elemento, sistema o parte de este situado en los Estados miembros que es
esencial para el mantenimiento de funciones sociales vitales, la salud, la integridad
física, la seguridad, y el bienestar social y económico de la población, cuya
perturbación o destrucción afectaría gravemente a un Estado miembro al no poder
mantener esas funciones”.

A nivel nacional, en el caso de España, el Centro Nacional de Protección de

Infraestructuras y Ciberseguridad (CNPIC), facilita las siguientes definiciones de
utilidad para comprender el resto del artículo:

- Servicio esencial: "Es el servicio necesario para el mantenimiento de las funciones

sociales básicas, la salud, la seguridad, el bienestar social y económico de los
ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las
Administraciones Públicas.”

- Infraestructura Crítica: "Son las infraestructuras estratégicas, que proporcionan

servicios esenciales y cuyo funcionamiento es indispensable y no permite
soluciones alternativas, por lo que su perturbación o destrucción tendría un grave
impacto sobre los servicios esenciales.”

- Infraestructura Estratégica: "Infraestructura Estratégica: Son las instalaciones,

redes, sistemas y equipos físicos y de tecnología de la información sobre las que
descansa el funcionamiento de los servicios esenciales.”
En otras palabras, las infraestructuras críticas son todos aquellos sistemas
físicos o digitales que facilitan funciones y servicios esenciales para apoyar a
los sistemas más básicos a nivel social, económico, medioambiental y político.

Una alteración o interrupción en su funcionamiento debido a causas naturales

(por ejemplo: una inundación que afecta al suministro eléctrico) o provocada por el
hombre (por ejemplo: un atentado terrorista o un ataque cibernético a una central
nuclear o a una entidad financiera) podría conllevar graves consecuencias.

Las amenazas a las infraestructuras críticas podrían afectar a cualquier

Estado al no poder continuar y desarrollar con normalidad las actividades básicas
de la sociedad. Sin embargo, el problema empeora cuando una infraestructura
crítica es dependiente de otra. La caída de una infraestructura crítica supondría
la paralización o menoscabo de los servicios de ambas, por lo que la protección de
estas adquiere mayor importancia.

A pesar de que las infraestructuras críticas son similares en todos los países,
su práctica puede variar en función de las necesidades, recursos y nivel de
desarrollo de cada país en particular.

- L I S T ADO DE SECTORES CON INFRAESTRUCTURAS CRÍTICAS

 Coordinador de seguridad privada 97

La información sobre la totalidad de las infraestructuras críticas está clasificada

como secreta debido a la alta sensibilidad para la seguridad nacional. Sin embargo,
España dispone de más de 3.500 infraestructuras críticas reconocidas.

A continuación, te ofrecemos una lista de las áreas estratégicas en las que están
las infraestructuras críticas:

1. Sistema Financiero y Tributario (entidades bancarias, información,

valores e inversiones).
2. Administración (servicios básicos, instalaciones, redes de información,
principales activos y monumentos del patrimonio nacional).
3. Agua (embalses, almacenamiento, tratamiento y redes).
4. Alimentación (producción, almacenamiento y distribución).
5. Centrales y Redes de energía (producción y distribución).
6. Instalaciones relacionadas con el Espacio Exterior.
7. Centrales nucleares (producción, almacenamiento y transporte de
mercancías peligrosas, materiales nucleares, radiológicos, etc.).
8. Industria Química (producción, almacenamiento y transporte de
mercancías peligrosas, materiales químicos, etc.).
9. Investigación: laboratorios que por su idiosincrasia dispongan o
produzcan materiales, sustancias o elementos críticos o peligrosos.
10. Salud (sector e infraestructura sanitaria).
11. Tecnologías de la Información y las Comunicaciones (TIC, ya sean
infraestructuras críticas en sí mismas, como redes de
telecomunicaciones, o den servicio de información y comunicaciones a
otras infraestructuras críticas)
 Coordinador de seguridad privada 98

12. Transportes (aeropuertos, puertos, instalaciones intermodales,

ferrocarriles y redes de transporte público, sistemas de control del
tráfico).

¿Qué es el Plan Nacional de Protección de las Infraestructuras Críticas?

El Plan Nacional de Protección de las Infraestructuras Críticas (PNPIC) es un

instrumento de programación del Estado, cuya principal finalidad es mantener
seguras las infraestructuras españolas que facilitan los servicios esenciales a la
sociedad. Para ello, se recoge en él una sucesión de medidas para prevenir y
proteger a las infraestructuras críticas de todas aquellas amenazas que puedan
afectarlas.

Es un documento clasificado y registrado en el Centro Nacional para la

Protección de las Infraestructuras Críticas (CNPIC) que fue aprobado por la
Secretaría de Estado de Seguridad en mayo de 2007.

Entre sus principales objetivos destacan las siguientes:

1. Obliga a que todas las infraestructuras críticas cuenten con un

responsable de seguridad que haga de enlace con el Centro Nacional
de Protección de las Infraestructuras Críticas en caso de que sea
necesario.

2. Fomenta el intercambio de información entre las diversas empresas e

instituciones afectadas por esta catalogación.

3. Define las medidas resolutivas que deben de poner en marcha las

infraestructuras críticas en caso de ser víctimas de un ataque.

4. Recoge los dictámenes y directivas que sigue el Estado para

movilizar sus capacidades operativas frente a ataques deliberados,
así como los mecanismos de coordinación establecidos con los
operadores críticos en estos casos.

Líneas de Acción Estratégicas de la Seguridad Nacional para las

Infraestructuras Críticas

Para fortalecer las infraestructuras críticas, la Estrategia de Seguridad

Nacional ha establecido siete líneas de acción que son las siguientes:

1. Responsabilidad compartida y cooperación público-privada – Para

que las Administraciones Públicas y los operadores privados trabajen de
forma coordinada para proteger a las infraestructuras críticas, el
 Coordinador de seguridad privada 99

Gobierno fomentará la creación de un sistema que facilite la cooperación

mutua y el intercambio de información.
2. Planificación escalonada – Se creará un sistema que identifique,
evalúe, prevenga y mitigue los riesgos a los que nos enfrentamos. Este
sistema se emprenderá mediante un enfoque integral multirriesgo y
homogeneizador.
3. Equilibrio y eficiencia – El Gobierno adoptará un procedimiento
homogéneo a partir del cual se catalogarán las infraestructuras
críticas de manera priorizada y permitirá una racionalización en la
asignación de recursos.
4. Resiliencia – Es necesario considerar la existencia de sistemas
redundantes o aislados y la correcta dotación de elementos de
reposición.
5. Coordinación – Resulta de gran relevancia la existencia de una
correcta coordinación operativa entre las distintas organizaciones
responsables de la gestión de riesgos y la gestión de crisis.
6. Cooperación internacional – Para conseguir la cooperación de los
países europeos, se establecerán el Programa Europeo de Protección
de Infraestructuras Críticas (EPCIP) y la Directiva Europea 2008/114/CE
del Consejo sobre la Identificación y Designación de Infraestructuras
Críticas Europeas y Evaluación de la Necesidad de Mejorar su
Protección.
7. Garantía en la seguridad de las infraestructuras críticas según lo
expuesto en el PNPIC – Todas las infraestructuras críticas contarán con
sistemas redundantes e independientes de otras tecnologías y
operadores.

Principales responsables de la protección de las Infraestructuras Críticas

Como ya hemos comentado con anterioridad, gran parte de los suministros y

servicios esenciales de los países son ofrecidos, facilitados y garantizados por
las infraestructuras críticas. Debido al carácter interdependiente, complejo y
privado de la gran mayoría de las infraestructuras críticas es de suma relevancia su
protección. De esta manera, los principales responsables de la protección de las
infraestructuras críticas son:

1. Gobiernos – Son los principales interesados en la generación e implantación de

iniciativas de Protección de Infraestructuras Críticas para garantizar que los
servicios esenciales funcionen de manera adecuada.

2. Organismos competentes – Es muy común que los gobiernos deleguen las

tareas de difusión, elaboración y gestión de iniciativas de Protección de
Infraestructuras críticas (PIC) en organismos públicos, privados o combinación de
ambos. Se encargan de garantizar que la industria adopte las medidas de seguridad
establecidas por las leyes de protección. Para ello, fomentan y difunden las
iniciativas de concienciación y de facilitación del cumplimiento legislativo.
 Coordinador de seguridad privada 100

Los organismos competentes son los siguientes:

1. La Secretaría de Estado de Seguridad del Ministerio del Interior.

2. El Centro Nacional para la Protección de las Infraestructuras Críticas.
3. Los Ministerios y organismos integrados en el Sistema.
4. Las Comunidades Autónomas y las Ciudades con Estatuto de
Autonomía.
5. Las Delegaciones del Gobierno en las Comunidades Autónomas y en
las Ciudades con Estatuto de Autonomía.
6. Las Corporaciones Locales mediante la asociación de Entidades
Locales de mayor implantación a nivel nacional.
7. La Comisión Nacional para la Protección de las Infraestructuras
Críticas.
8. El Grupo de Trabajo Interdepartamental para la Protección de las
Infraestructuras Críticas.
3. Operadores de infraestructuras críticas – Son los que tienen más interés en
que sus infraestructuras sean seguras, funcionen de manera adecuada y no sufran
daños, interrupciones ni ataques. No obstante, en ocasiones, los requerimientos de
las normativas PIC pueden entrar en conflicto con sus estrategias empresariales.

Las principales funciones de los operadores críticos en materia de

seguridad son:

1. Analizar sus organizaciones para comprobar si hay algún tipo de

problema en ellas.
2. Diseñar nuevas políticas de seguridad y un marco de gobierno desde
el punto de vista de la seguridad integral.
3. Establecer nuevas estructuras organizativas para converger la
seguridad física con la cibernética bajo un mismo responsable.
4. Hacer reuniones para gestionar todos temas relacionados con la
seguridad que fueran transversales a la organización.
5. Analizar los riesgos y las amenazas no previstos con anterioridad y
que han ayudado a mejorar la planificación de la seguridad.
6. Llevar a cabo estudios de las consecuencias y el impacto que
supondría la interrupción y no disponibilidad de los servicios esenciales
prestados por el operador.
7. Concienciar al personal sobre la importancia del cumplimiento de los
procedimientos y recomendaciones de seguridad en su operativa diaria.

4. Terceras partes – No se ven afectadas de manera directa por las exigencias

legales, pero sí manera indirecta. Un ejemplo de ello son las empresas en que los
operadores de las infraestructuras hayan delegado la gestión de las mismas. La
forma en que se verán afectadas variará en función de los acuerdos establecidos
con el operador de la infraestructura. Así pues, podrán ir desde la asunción de
nuevas responsabilidades dentro del marco de trabajo existente o a la contratación
de nuevos servicios.
 Coordinador de seguridad privada 101

Amenazas y vulnerabilidades de las infraestructuras críticas

Las amenazas que pueden poner en riesgo los intereses vitales y

estratégicos de España se han visto incrementadas en los últimos años. Tanto es
así que los funcionarios de seguridad y del gobierno están preocupados por
las amenazas y las vulnerabilidades a las que están expuestas las
infraestructuras críticas:

1. Terrorismo – Cada vez tiene mayores dimensiones, fundamentalmente el

yihadista, el cual actúa a nivel global realizando execrables atentados terroristas. En
la actualidad, el Daesh / ISIS es el principal protagonista por su modo de operar, su
proyección mediática y su rápida expansión, pero cada vez están surgiendo otros
motivimientos terroristas con diferente ideología. Conoce la Estrategia
Nacional Contra el Terrorismo para 2019-2022 en España aquí.

2. Crimen organizado – Es una amenaza de carácter transnacional, flexible y

opaca. Tiene una gran capacidad desestabilizadora, cuyo fin es el ánimo de lucro,
pero debilitando el Estado y minando la buena gobernanza económica. Una parte
del Crimen Organizado es el llevado a cabo por los Grupos Violentos son los
responsables de gran parte de las conductas violentas en las grandes ciudades. Si
quieres aprender a identificarlos con la finalidad de reducir los homicidios, la
violencia y la delincuencia, haz clic aquí.

3. Proliferación de armas de destrucción masiva – Supone una gran amenaza

para la paz y la seguridad internacional, afectando de manera directa a la Seguridad
 Coordinador de seguridad privada 102

Nacional. Para saber cómo actuar en caso de presenciar o ser víctima de

un atentado NBQR, aquí tienes el protocolo de actuación y varios consejos
prácticos.

4. Espionaje – Es una amenaza de primer orden para la seguridad tanto por

el espionaje de otros países como por el realizado por empresas extranjeras. La
Inteligencia en el ciberespacio coge el nombre de ciberinteligencia siendo su
objetivo obtener cantidades ingentes de información y datos confidenciales entre los
que puedan estar los de Infraestructuras Críticas. Si quieres saber cómo las
empresas e instituciones utilizan la inteligencia, aquí te hemos preparado
una Guía práctica de Inteligencia Competitiva. Si quieres formarte y certificarte en
la anticipación a cualquier riesgo, amenaza u oportunidad en el mundo
empresarial, haz clic aquí.

5. Vulnerabilidad del ciberespacio – Las amenazas en el ciberespacio han

adquirido una dimensión global que va mucho más allá de la tecnología. El objetivo
es conseguir diferentes propósitos como, por ejemplo, la expansión
de determinados intereses geopolíticos por parte de Estados, organizaciones
terroristas y actores individuales. Aquí te facilitamos multitud de artículos sobre
los principales ciberriesgos y ciberamenazas y cómo puedes prevenirlos.

6. Vulnerabilidad del espacio marítimo – Este espacio es de gran relevancia para

España como potencia marítima, pues reviste un gran valor estratégico. Los factores
que desafían la seguridad marítima se concentran en dos grupos:

 Amenazas derivadas de actos intencionados y de naturaleza delictiva (la

piratería, el terrorismo, los tráficos ilícitos, etc)
 Amenazas accidentales derivadas de las condiciones naturales del
propio medio (accidentes marítimos y las catástrofes naturales).
7. Vulnerabilidad del espacio aéreo y ultraterrestre – El espacio aéreo puede ser
comprometido por parte de actores estatales y no estatales. Algunos ejemplos son
las acciones contra la aviación comercial, los sistemas de control de navegación y
los tráficos ilícitos. Los drones generan nuevos riesgos y amenazas al facilitar el
espionaje, la comisión de atentados y riesgos para la seguridad ciudadana, física y
patrimonial. Para conocer las ventajas y riesgos de los Drones haz clic aquí.

8. Causas naturales – El impacto de las catástrofes perjudica la vida de las

personas, así como a los bienes patrimoniales, al medioambiente y al desarrollo
económico. Por otro lado, las epidemias y las pandemias han aumentado su número
y situaciones de riesgo. Y, finalmente, los efectos derivados del cambio climático
tienen graves consecuencias. Por ejemplo, la subida de las temperaturas afecta a
los niveles del mar, a la degradación del suelo y a la acidificación del océano, entre
otros.

9. Otros – Cualquier tipo de perturbación en los servicios ofrecidos por estas

infraestructuras de sectores estratégicos y esenciales podría conllevar riesgos en
los flujos de suministros vitales o en el funcionamiento de los servicios esenciales,
además de dar lugar a disfunciones en materia de seguridad.
 Coordinador de seguridad privada 103

Si quieres complementar este análisis con el Análisis Internacional de

Amenazas desde la perspectiva de Estados Unidos, haz clic aquí.

Legislación y normativa aplicable a las infraestructuras críticas

La principal legislación y normativa aplicable a las infraestructuras críticas es la

siguiente:

- L E G I S LACIÓN EUROPEA

Directiva 2008/114/CE DEL CONSEJO de 8 de diciembre de 2008 sobre:

 Identificación y designación de infraestructuras críticas europeas y la

evaluación de la necesidad de mejorar su protección.
 Constituye un importante paso en la cooperación en esta materia en el
seno de la Unión.
 Se establece que la responsabilidad principal y última de proteger las
infraestructuras críticas europeas corresponde a los Estados miembros y
a los operadores de las mismas
 Se determina el desarrollo de una serie de obligaciones y de
actuaciones por dichos Estados, que deben incorporarse a las
legislaciones nacionales.
 Coordinador de seguridad privada 104

L E G I S L ACIÓN COLOMBIANA Y OTROS DOCUMENTOS DE

UT I L I DAD

DECRETO 338 DE 2022 (Marzo 08)

Por el cual se adiciona el Título 21 a la Parte 2 del libro 2 del Decreto Único
1078 de 2015, Reglamentario del Sector de Tecnologías de la Información y las
Comunicaciones, con el fin de establecer los lineamientos generales para
fortalecer la gobernanza de la seguridad digital, se crea el Modelo y las
instancias de Gobernanza de Seguridad Digital y se dictan otras disposiciones

El presidente de la República de Colombia, en ejercicio de sus facultades

constitucionales y legales, en especial las que le confieren el numeral 11 del
artículo 189 de la Constitución Política y el artículo 43 de la Ley 489 de 1998,

CONSIDERANDO:

Que, conforme al principio de “masificación del gobierno en línea” hoy Gobierno

Digital, consagrado en el numeral 8 del artículo 2° de la Ley 1341 de 2009 “por la
cual se definen principios y conceptos sobre la sociedad de la información y la
organización de las Tecnologías de la Información y las Comunicaciones (TIC),
(...)”,”(...) las entidades públicas deberán adoptar todas las medidas necesarias para
garantizar el máximo aprovechamiento de las Tecnologías de la Información y las
Comunicaciones (TIC), en el desarrollo de sus funciones (...)”.

Que, en virtud del numeral 2 del artículo 17 de la Ley 1341 de 2009, el Ministerio de
Tecnologías de la Información y las Comunicaciones tiene entre sus objetivos “(...)
2. Promover el uso y apropiación de las Tecnologías de la Información y las
Comunicaciones entre los ciudadanos, las empresas, el Gobierno y demás
instancias nacionales como soporte del desarrollo social, económico y político de la
Nación”

Que, la Ley 1437 de 2011, “por la cual se expide el Código de Procedimiento

Administrativo y de lo Contencioso Administrativo”, a través de su artículo 64 faculta
al Gobierno nacional para definir los estándares y protocolos que deberán cumplir
las autoridades para incorporar en forma gradual los medios electrónicos en los
procedimientos administrativos, entre los que se cuentan los relativos a la seguridad
digital.

Que, a través del Documento Conpes 3701 del 14 de julio de 2011, por medio del
cual se dieron lineamientos de política para Ciberseguridad y Ciberdefensa, se
implementaron instancias para prevenir, coordinar, atender, controlar, generar
recomendaciones y regular los incidentes o emergencias cibernéticas para afrontar
las amenazas y los riesgos que atentan contra la ciberseguridad y ciberdefensa
nacional. Uno de sus objetivos específicos es, conformar organismos con la
capacidad técnica y operativa necesaria para la defensa y seguridad en materia de
seguridad digital.

Que, de acuerdo con el artículo [Link].2.1 del Decreto 1078 de 2015, “por medio
del cual se expide el Decreto Único Reglamentario del sector de Tecnologías de la
 Coordinador de seguridad privada 105

Información y las Comunicaciones”, la Política de Gobierno Digital será definida por

el Ministerio de Tecnologías de la Información y las Comunicaciones y se
desarrollará a través de componentes y habilitadores transversales que,
acompañados de lineamientos y estándares, permitirán el logro de propósitos que
generarán valor público en un entorno de confianza digital a partir del
aprovechamiento de las TIC.

Que, según el mismo artículo [Link].2.1, numeral 2, los habilitadores transversales

de la Política de Gobierno Digital, son los elementos fundamentales de Seguridad
de la Información, Arquitectura y Servicios Ciudadanos Digitales, que permiten el
desarrollo de los componentes y el logro de los propósitos de dicha Política.

Que, de acuerdo con el numeral 12 del artículo [Link].1 del Decreto 1083 de
2015, “Decreto Único Reglamentario del Sector Función Pública”, la política de
Seguridad Digital forma parte de las políticas de Gestión y Desempeño Institucional.
Así mismo, el numeral 5 del artículo [Link].6 del decreto en mención define como
una de las funciones de los Comités Sectoriales de Gestión y Desempeño “Dirigir y
articular a las entidades del sector administrativo en la operación de las políticas de
gestión y desempeño y de las directrices impartidas por la Presidencia de la
República y el Ministerio de Tecnologías de la Información y las Comunicaciones en
materia de Gobierno y Seguridad digital”.

Que, de acuerdo con el numeral 5 del artículo [Link].7 del citado Decreto 1083 de
2015, una de las funciones de los Comités Departamentales, Distritales y
Municipales de Gestión y Desempeño es la de “Dirigir y articular a las entidades del
departamento, distrito o municipio en la implementación y operación de las políticas
de gestión y desempeño y de las directrices impartidas por la Presidencia de la
República y el Ministerio de Tecnologías de la Información y las Comunicaciones en
materia de Gobierno y Seguridad digital”. Por su parte, el numeral 6 del artículo
[Link].8, define como una de las funciones de los Comités Institucionales de
Gestión y Desempeño “Asegurar la implementación y desarrollo de las políticas de
gestión y directrices en materia de seguridad digital y de la información”.

Que, el Conpes 3854 del 11 de abril de 2016, establece la Política Nacional de

Seguridad Digital, mediante la cual crea las condiciones para que las múltiples
partes interesadas gestionen el riesgo de seguridad digital en sus actividades
socioeconómicas y se genere confianza en el uso del entorno digital, siendo uno de
los principales aportes de esta política el desarrollo de estrategias que establecieron
un marco institucional para la seguridad digital con un enfoque de gestión de
riesgos, es decir, con una visión preventiva antes que reactiva ante las posibles
amenazas en seguridad digital.

Que, mediante la Política Nacional de Seguridad digital, contenida en el Conpes

3854 del 11 de abril de 2016, se generaron mecanismos estratégicos para impulsar
la cooperación, colaboración y asistencia en seguridad digital a nivel nacional e
internacional y se creó la figura de Coordinador Nacional de Seguridad digital, la
cual se encuentra actualmente en cabeza de la Consejería Presidencial para la
Transformación Digital y Gestión y Cumplimiento de la Presidencia de la República.
 Coordinador de seguridad privada 106

Que, el artículo 147 de la Ley 1955 de 2019 “por la cual se expide el Plan Nacional
de Desarrollo 2018-2022 “pacto por Colombia, pacto por la equidad” señala la
obligación de las entidades estatales del orden nacional, de incorporar en sus
respectivos planes de acción el componente de transformación digital, siguiendo los
estándares que para este propósito defina el Ministerio de Tecnologías de la
Información y las Comunicaciones. De acuerdo con el mismo precepto, los
proyectos estratégicos de transformación digital se orientarán entre otros, por la
aplicación y aprovechamiento de estándares, modelos, normas y herramientas que
permitan la adecuada gestión de riesgos de seguridad digital, para generar
confianza en los procesos de las entidades públicas y garantizar la protección de
datos personales.

Que, el artículo 230 de la Ley 1450 de 2011, modificado por el artículo 148 de la Ley
1955 de 2019 señala que “Todas las entidades de la administración pública deberán
adelantar las acciones que señale el Gobierno nacional a través del Ministerio de
Tecnologías de la Información y las Comunicaciones para la implementación de la
política de Gobierno Digital”. Dentro de las acciones prioritarias se encuentra el
cumplimiento de los lineamientos y estándares para el incremento de la confianza y
la seguridad digital.

Que, con el objetivo de generar un proceso continuo de gestión de riesgos

adaptable a nuevas tecnologías actuales y futuras, las autoridades deberán
implementar tecnologías emergentes, cibercultura, resiliencia y seguridad en el
ecosistema, que les permitan operar de una manera segura y generando confianza
en los servicios ciudadanos ofrecidos.

Que, el Ministerio de Tecnologías de la Información y las Comunicaciones

estableció, a través dela Resolución 500 de 2021 los lineamientos y estándares para
la estrategia de seguridad digital, y la adopción del Modelo de Seguridad y
Privacidad de la Información (MSPI), como habilitador de la política de Gobierno
Digital., el cual conduce a la preservación de la confidencialidad, integridad,
disponibilidad de la información, permitiendo garantizar la privacidad de los datos,
mediante la aplicación de un proceso de gestión del riesgo, brindando confianza a
las partes interesadas acerca de la adecuada gestión de riesgos.

Que, el Conpes 3995 de 2020, Política Nacional de Confianza y Seguridad digital,

señala el objetivo de establecer medidas para desarrollar la confianza digital a
través de la mejora en la seguridad digital de manera que Colombia sea una
sociedad incluyente y competitiva en el futuro digital mediante el fortalecimiento de
capacidades y la actualización del marco de gobernanza en seguridad digital, así
como con la adopción de modelos con énfasis en nuevas tecnologías.

Que, con fundamento en lo anterior, se hace necesario disponer de un marco para

la gobernanza de la seguridad digital del país, así como implementar y aplicar
Modelos de Gestión de Riesgos de Seguridad y un Modelo Nacional de Atención a
Incidentes y la creación de un Equipo de Respuesta a Incidentes de Seguridad
Informática (CSIRT Gobierno) por sus siglas en inglés (Computer Security Incident &
Response Team), con el fin de prevenir y mitigar los riesgos de seguridad y generar
confianza.
 Coordinador de seguridad privada 107

Que, en cumplimiento de los artículos 3° y 8° la Ley 1437 de 2011 y [Link].14 del

Decreto 1081 de 2015, “Decreto Reglamentario Único del Sector Presidencia de la
República”, las disposiciones del presente proyecto de decreto fueron publicadas en
la sede electrónica del Ministerio de Tecnologías de la Información y las
Comunicaciones, durante el periodo comprendido entre el 1° de febrero de 2022 y el
18 de febrero de 2022.

Que, en mérito de lo expuesto,

DECRETA:

Artículo 1°. Adiciónese el Título 21 a la Parte 2 del Libro 2 del Decreto Único
Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones,
Decreto 1078 de 2015, el cual quedará así:

“TÍTULO 21

LINEAMIENTOS GENERALES PARA FORTALECER LA GOBERNANZA DE LA

SEGURIDAD DIGITAL, LA IDENTIFICACIÓN DE INFRAESTRUCTURAS
CRÍTICAS CIBERNÉTICAS Y SERVICIOS ESENCIALES, LA GESTIÓN DE
RIESGOS Y LA RESPUESTA A INCIDENTES DE SEGURIDAD DIGITAL

CAPÍTULO 1

Lineamientos Generales

SECCIÓN 1

OBJETO, ÁMBITO DE APLICACIÓN, DEFINICIONES, LINEAMIENTOS

GENERALES Y PRINCIPIOS

Artículo [Link].1.1. Objeto. El presente título tiene por objeto reglamentar

parcialmente los artículos 64 de la Ley 1437 de 2011, 147 de la Ley 1955 de 2019
y 230 de la Ley 1450 de 2011, modificado por el artículo 148 de la Ley 1955 de
2019, con el fin de establecer los lineamientos generales para fortalecer la
gobernanza de la seguridad digital, la identificación de infraestructuras críticas
cibernéticas y servicios esenciales, la gestión de riesgos y la respuesta a incidentes
de seguridad digital.

Artículo [Link].1.2. Ámbito de aplicación. Los sujetos obligados a las

disposiciones contenidas en el presente título serán las entidades que conforman la
Administración Pública en los términos del artículo 39 de la Ley 489 de 1998 y los
particulares que cumplen funciones públicas o administrativas. Para los efectos del
presente se les dará el nombre de autoridades.

Parágrafo 1°. La implementación del presente decreto en las Ramas Legislativa y

Judicial, en los órganos de control, en los autónomos e independientes y demás
organismos del Estado, se realizará bajo un esquema de coordinación y
 Coordinador de seguridad privada 108

colaboración armónica en aplicación de los principios señalados en los

artículos 113, 209 de la Constitución Política, y demás normas concordantes.

Parágrafo 2°. Las personas jurídicas de derecho privado que tengan a su cargo la
prestación de servicios y que administren y gestionen infraestructuras críticas
cibernéticas o presten servicios esenciales, podrán aplicar las disposiciones
contenidas en este decreto, siempre que no resulten contrarias a su naturaleza y a
las disposiciones que regulan su actividad o servicio. En cualquier caso, las
personas jurídicas de derecho privado sujetarán sus actuaciones a las disposiciones
especiales que regulen su actividad o servicio.

Parágrafo 3°. Las entidades de regulación, en el marco de sus competencias,

evaluarán la necesidad de expedir normas para la protección de las infraestructuras
críticas cibernéticas o de los servicios esenciales de su sector. Las entidades de
supervisión, en el marco de sus competencias, evaluarán la necesidad de proferir
instrucciones a sus vigiladas para el mismo fin.

Artículo [Link].1.3. Definiciones. Para efectos de lo establecido en este título, se

tendrán en cuenta las siguientes definiciones:

1. CERT: (Computer Emergency Response Team) Equipo de Respuesta a

Emergencias cibernéticas, por su sigla en inglés. Es el equipo que dispone de la
capacidad centralizada para la coordinación de gestión de incidentes de seguridad
digital.

2. Ciberespacio: Red interdependiente de infraestructuras de tecnología de la

información que incluye Internet, redes de telecomunicaciones, sistemas
informáticos, procesadores y controladores integrados en industrias.

3. Ciberdefensa: Capacidad del Estado para prevenir y contrarrestar toda amenaza

o incidente de naturaleza cibernética que afecte la sociedad, la soberanía nacional,
la independencia, la integridad territorial, el orden constitucional y los intereses
nacionales. Implica el empleo de las capacidades militares ante amenazas
cibernéticas, ataques cibernéticos o ante actos hostiles de naturaleza cibernética.

4. CSIRT: (Computar Security Incident & Response Team) Equipo de Respuesta a

Incidentes de Seguridad Cibernética, por su sigla en inglés. Es el equipo que provee
las capacidades de gestión de incidentes a una organización/sector en especial.
Esta capacidad permitir minimizar y controlar el daño resultante de incidentes,
proveyendo la respuesta, contención y recuperación efectiva, así como trabajar en
pro de prevenir la ocurrencia de futuros incidentes.

5. CSIRT sectorial: Son los equipos de respuesta a incidentes de cada uno de los
sectores, para el adecuado desarrollo de sus actividades económicas y sociales, a
partir del uso de las tecnologías de la información y las comunicaciones.

6. CSIRT sectorial crítico: Son los equipos de respuesta a incidentes sectoriales

de cada uno de los sectores identificados como críticos.
 Coordinador de seguridad privada 109

7. Gobernanza de la seguridad digital para Colombia: Corresponde al conjunto

de interacciones y enfoques entre las múltiples partes interesadas para identificar,
enmarcar, proponer, y coordinar respuestas proactivas y reactivas a posibles
amenazas a la confidencialidad, integridad o disponibilidad de los servicios
tecnológicos, sistemas de información, infraestructura tecnológica, redes e
información que en conjunto constituyen el entorno digital.

8. Incidente de seguridad digital: Ocurrencia de una situación que pone en peligro

la confidencialidad, integridad o disponibilidad de un sistema de información o la
información que el sistema procesa, almacena o transmite; o que constituye una
violación a las políticas de seguridad, procedimientos de seguridad o políticas de
uso aceptable.

9. Infraestructura crítica cibernética: Sistemas y activos, físicos o virtuales,

soportados por Tecnologías de la Información y las Comunicaciones, cuya
afectación significativa tendría un impacto grave en el bienestar social o económico
de los ciudadanos, o en el funcionamiento efectivo del gobierno o la economía.

10. Modelo de Gobernanza de Seguridad digital: Es el esquema de trabajo

compuesto por un conjunto de políticas de operación, principios, normas, reglas,
procedimientos de toma de decisiones y programas compartidos por las múltiples
partes interesadas de la seguridad digital del país, con el fin de fortalecer las
capacidades para la gestión de riesgos e incidentes de seguridad digital y para la
respuesta proactiva y reactiva a posibles amenazas a la confidencialidad, integridad
o disponibilidad de los servicios tecnológicos, sistemas de información,
infraestructura tecnológica y las redes e información que, en conjunto, constituyen el
entorno digital en el país.

11. Múltiples partes interesadas: Corresponde al conjunto de actores que

dependen del entorno digital para todas o algunas de sus actividades, económicas y
sociales. Compren e a las autoridades, las organizaciones privadas, los operadores
o propietarios de las infraestructuras críticas cibernéticas nacionales, los
prestadores de servicios esenciales, la academia y la sociedad civil.

12. Riesgo de seguridad digital: Es la combinación de amenazas y/o

vulnerabilidades que se pueden materializar en el curso de cualquier actividad en el
entorno digital y que puede afectar el logro de los objetivos económicos o sociales al
alterar la confidencialidad, integridad y disponibilidad.

13. Seguridad de la información: Preservación de la autenticidad,

confidencialidad, integridad, y disponibilidad de la información, en cualquier medio
de almacenamiento: impreso o digital, y la aplicación de procesos de resiliencia
operativa.

14. Seguridad digital: Es la situación de normalidad y de tranquilidad en el entorno

digital, a través de la apropiación de políticas, buenas prácticas, y mediante: (i) la
gestión del riesgo de seguridad digital; (ii) la implementación efectiva de medidas de
ciberseguridad; y (iii) el uso efectivo de las capacidades; que demanda la voluntad
social y política de las múltiples partes interesadas.
 Coordinador de seguridad privada 110

15. Servicio esencial: En el marco de la gestión de riesgos de la seguridad digital

es aquel servicio necesario para el mantenimiento de las actividades sociales y
económicas del país, que dependen del uso de tecnologías de la información y las
comunicaciones, y un incidente en su infraestructura o servicio podría generar un
daño significativo que afecte la prestación de dicho servicio y la consecuente
parálisis de las actividades.

16. Vulnerabilidad de seguridad digital: Debilidad, atributo o falta de aplicación de

un control que permite o facilita la actuación de una amenaza contra los servicios
tecnológicos, sistemas de información, infraestructura tecnológica y las redes e
información de la organización.

Artículo [Link].1.4. Lineamientos generales. Las autoridades deberán adoptar

medidas técnicas, humanas y administrativas para garantizar la gobernanza de la
seguridad digital, la gestión de riesgos de seguridad digital, la identificación y reporte
de infraestructuras críticas cibernéticas y servicios esenciales, y la gestión y
respuesta a incidentes de seguridad digital.

Artículo [Link].1.5. Principios. Además de los principios previstos en los

artículos 209 de la Constitución Política, 2º de la Ley 1341 de 2009, 3º de la Ley
1437 de 2011, 4º de la Ley 1581 de 2012, los atinentes a la Política de Gobierno
Digital contenidos en el artículo [Link].1.3 del Decreto 1078 de 2015, y los
principios de gestión documental contenidos en el artículo [Link].5.5 del Decreto
1080 de 2015, a los efectos del presente decreto se aplicarán los siguientes:

1. Confianza. La seguridad digital debe fomentar la confianza mediante la buena

comunicación, el intercambio de información y la concreción de acuerdos claros
sobre la división de tareas y acciones a realizar.

2. Coordinación. Las actuaciones que se realicen en materia de seguridad digital

deberán integrar de manera coordinada a las múltiples partes interesadas, para
garantizar la armonía en el ejercicio de sus funciones y el logro del objeto del
presente título.

3. Colaboración entre las múltiples partes interesadas. En la aplicación e

interpretación de los presentes lineamientos se deben involucrar activamente a las
múltiples partes interesadas, y permitir establecer condiciones para el desarrollo
eficiente de alianzas, con el fin de promover la seguridad digital del país y sus
habitantes, y aumentar la capacidad de resiliencia nacional frente a eventos no
deseados en el entorno digital y con ello fomentar la prosperidad económica y
social, buscando la generación de riqueza, innovación, productividad,
competitividad, y empleo en todos los sectores de la economía.

4. Cooperación. En el marco de las relaciones nacionales e internacionales en

materia de seguridad digital a través del ciberespacio, Las autoridades aunarán
esfuerzos para el logro de los objetivos institucionales o comunes.

5. Enfoque basado en la gestión de riesgos. Las autoridades deben gestionar el

riesgo de forma que el uso de tecnologías de la información y las comunicaciones
fomente la confianza en el entorno digital, la prosperidad económica y social, genere
 Coordinador de seguridad privada 111

riqueza, innovación, productividad, competitividad, y empleo en todos los sectores

de la economía, y ello no suponga la materialización de infracciones a los derechos
de los ciudadanos.

6. Gradualidad. Las autoridades desarrollarán herramientas estratégicas y

operativas, de alcance definido en tiempo, espacio y recursos presupuestales que
permitan la implementación gradual y sostenida de estrategias, programas, planes y
proyectos, que requiera el país para garantizar la seguridad y protección del
ciberespacio.

7. Inclusión. La seguridad digital debe incluir a todas las partes interesadas,

fomentar su participación y establecer condiciones necesarias para el desarrollo
eficiente de alianzas.

8. Proporcionalidad. Las acciones y operaciones en el ciberespacio serán

proporcionales con la gestión dinámica de los riesgos derivados de los avances o
usos de la ciencia y la tecnología, ponderando circunstancias de necesidad,
derechos e intereses en juego, oportunidad, capacidades, amenazas y riesgos.

9. Salvaguarda de los Derechos Humanos y los valores fundamentales de los

ciudadanos. En la aplicación e interpretación de los lineamientos generales para
fortalecer la gobernanza de la seguridad digital, la gestión de riesgos de seguridad
digital, la identificación de infraestructuras críticas cibernéticas y servicios
esenciales, y la respuesta a incidentes de seguridad digital, primará la alternativa de
solución más garantista en el marco del respeto por los derechos humanos, la libre
competencia económica, y valores incorporados en la Constitución Política y los
tratados internacionales ratificados por Colombia.

10. Uso eficiente de la infraestructura y de los recursos para protección de las

infraestructuras críticas cibernéticas y los servicios esenciales. Las
autoridades velarán por las infraestructuras y los recursos tendientes a la protección
de las infraestructuras críticas cibernéticas y los servicios esenciales para que sean
aprovechados de forma eficiente y en beneficio de los derechos de los ciudadanos
en el ciberespacio.

- ¿ Q UÉ ES UN SERVICIO ESENCIAL? ¿QUÉ ES UNA

I NF RAE STRUCTURA CRÍTICA Y ESTRATÉGICA?

Un servicio esencial es el servicio necesario para el mantenimiento de las

funciones sociales básicas, la salud, la seguridad, el bienestar social y económico
de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las
Administraciones Públicas.
 Coordinador de seguridad privada 112

Una infraestructura crítica son las infraestructuras estratégicas que proporcionan

servicios esenciales y cuyo funcionamiento es indispensable. De esta manera, su
perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.

Una infraestructura estratégica son las instalaciones, redes, sistemas y equipos

físicos y de tecnología de la información sobre las que descansa el funcionamiento
de los servicios esenciales.

- ¿ Q UÉ ES UN SECTOR ESTRATÉGICO?

Un sector estratégico es cada una de las áreas diferenciadas dentro de la

actividad laboral, económica y productiva que proporciona un servicio
esencial o que garantiza el ejercicio de la autoridad del Estado o de la seguridad del
país. En la normativa española se distinguen los siguientes sectores:

1. Administración.
2. Instalaciones del Espacio.
3. Industria Química.
4. Industria Nuclear.
5. Agua.
6. Centrales y Redes de energía.
7. Tecnologías de la Información y las Comunicaciones (TIC).
8. Salud.
9. Transportes
10. Alimentación.
11. Sistema Financiero y Tributario.

- ¿ Q UÉ ES EL SISTEMA DE PROTECCIÓN DE
I NF RAE STRUCTURAS CRÍTICAS (SISTEMA PIC)? ¿POR QUIÉ N
E S T Á F ORMADO?

El sistema PIC se compone de una serie de instituciones, órganos y

empresas, procedentes tanto del sector público como el privado, cuyas
principales responsabilidades están relacionadas con el correcto funcionamiento de
los servicios esenciales o en la seguridad de los ciudadanos. Son Agentes del
Sistema PIC los siguientes:

1. La Secretaría de Estado de Seguridad del Ministerio del Interior.

2. El Centro Nacional para la Protección de las Infraestructuras Críticas.
3. Los Ministerios y organismos integrados en el Sistema.
4. Las Comunidades Autónomas y las Ciudades con Estatuto de
Autonomía.
 Coordinador de seguridad privada 113

5. Las Delegaciones del Gobierno en las Comunidades Autónomas y en las

Ciudades con Estatuto de Autonomía.
6. Las Corporaciones Locales.
7. La Comisión Nacional para la Protección de las Infraestructuras Críticas.
8. El Grupo de Trabajo Interdepartamental para la Protección de las
Infraestructuras Críticas.
9. Operadores críticos.

- ¿ Q UÉ ES EL ESQUEMA DE PLANIFICACIÓN DE PROTECCIÓN DE

I NF RAE STRUCTURAS CRÍTICAS (PIC)?

El Esquema de planificación PIC se articula en un mecanismo de carácter

interdepartamental del que forman parte órganos y entidades, tanto de las
Administraciones Públicas como del sector privado. Los instrumentos que
conforman este conjunto son:

1. De carácter estratégico y responsabilidad del estado:

 Plan Nacional de Protección de las Infraestructuras Críticas.

 Planes Estratégicos Sectoriales.
2. De alcance más limitado y responsabilidad del titular de la infraestructura
crítica:

 Planes de Seguridad del Operador (Contenidos Mínimos Guía de

Buenas Prácticas)
 Planes de Protección Específicos (Contenidos Mínimos Guía de Buenas
Prácticas)
2. De carácter operativo y responsabilidad de Fuerzas y Cuerpos de
Seguridad:

 Planes de Apoyo Operativo

- ¿ Q UÉ ES Y QUÉ CONTIENE EL CATÁLOGO NACIONAL DE

I NF RAE STRUCTURAS ESTRATÉGICAS?

El Catálogo es el instrumento que contiene toda la información y la valoración

de las infraestructuras estratégicas del país, entre las que se hallan incluidas las
clasificadas como Críticas o Críticas Europeas. Es custodiado, gestionado y
mantenido por el Centro Nacional de Protección de Infraestructuras y
Ciberseguridad. Este Catálogo contiene, entre otros datos, los relativos a:

 La descripción de las infraestructuras.

 Su ubicación.
 Coordinador de seguridad privada 114

 Titularidad y administración.
 Servicios que prestan.
 Medios de contacto.
 Nivel de seguridad que precisan en función de los riesgos evaluados.
 Información obtenida de las Fuerzas y Cuerpos de Seguridad.

MODULO 4

SEGURIDAD DE PERSONAL Y PERSONAS

Relegados a sucesos aislados en los noticiarios o el boca a boca de nuestro
entorno, no podemos evitar que las desgracias ajenas nos calen hondo,
empatizando con los afectados y, en muchos casos, compartiendo sus inquietudes
ante la posibilidad de que sucedan otras situaciones similares en las que nos
veamos envueltos.

Por suerte, los tiempos siguen cambiando, y los métodos para asegurar nuestra
seguridad personal continúan creciendo y evolucionando, poniendo a nuestro
alcance herramientas que no sólo nos otorgan un sentimiento de seguridad, sino
que nos ofrecen una cobertura real y constante sin importar la hora, el día, ni dónde
nos encontremos.

4.1 ARQUITECTURA DE SEGURIDAD INTEGRAL DE EMPRESAS Y

EDIFICIOS.

¿En qué consiste un plan de seguridad para edificios?

En primer lugar, es importante aclarar que toda edificación está expuesta a

vulnerabilidades físicas. Esto se debe a que, como toda estructura, un edificio puede
presentar fallas de origen, ya sea por su técnica de construcción o por los materiales
utilizados durante la misma. Obviamente, las técnicas de construcción son cada vez
mejores, a la par que las exigencias de las autoridades son más grandes en este
sentido.
Sin embargo, un evento de riesgo puede presentarse en cualquier momento, por lo
que es necesario implementar medidas de prevención adecuadas.
Del mismo modo, una vez que un edificio ya está en pie y se encuentra ocupado, las
emergencias no son solo estructurales, sino que también pueden guardar relación
con otros aspectos. Estos se asocian principalmente con las personas que hacen
vida en la edificación.
Así, los principales peligros que atraviesa un edificio pueden dividirse en dos
grandes ramas. Por un lado, los estructurales, y por el otro, los personales. En
 Coordinador de seguridad privada 115

ambos casos pueden incluirse los riesgos sobre los bienes de valor que se
encuentran dentro de la estructura.

Para contrarrestar estas situaciones, es necesario contar con un plan de seguridad

para edificios. En dicho plan se analizan todas las variables que pueden afectar la
edificación. Luego, se simulan escenarios para verificar la preparación del edificio, y
después se aplican medidas correctivas para mitigar los riesgos.

Principales riesgos en un edificio

Las edificaciones con fines empresariales pueden albergar oficinas,
establecimientos, almacenes y áreas de uso común. En todas ellas encontramos
personas que trabajan allí, visitantes y objetos de alto valor. Algunos ejemplos son
equipos tecnológicos, maquinaria, documentos, entre otros.
Entonces, según las variantes de riesgo mencionadas con anterioridad, vale la pena
que veamos cuáles los principales peligros en un edificio actualmente:

– Riesgos estructurales
En esta parte encontramos todo lo que puede afectar la infraestructura del espacio:
 Incendios.

 Inundaciones.
 Filtraciones.
 Fallas estructurales.
 Temblores.
 Problemas eléctricos.
 Ausencia de señalética.
 Bloqueo de vías de escape.
 Coordinador de seguridad privada 116

– Riesgos personales
Acá tomaremos en cuenta todo lo relacionado a las personas que se desenvuelven
dentro del edificio:
 Robos en oficinas.
 Secuestros.

 Negligencia en el uso de los bienes de la empresa.

 Aglomeraciones.
 Extravío de objetos.
 Actos de sabotaje.

¿Qué debe incluir un plan de seguridad para edificios?

El desarrollo de este plan debe estar en manos de profesionales en distintas áreas,
como seguridad industrial, seguridad electrónica, gestión de riesgos y salud
ocupacional. Teniendo en cuenta esto, es importante que se incluyan los siguientes
aspectos:

1. Integración de seguridad electrónica

Los sistemas de seguridad electrónica son altamente efectivos para disuadir
acciones delictivas y determinar responsabilidades en la ocurrencia de accidentes.
Por lo tanto, la aplicación de cámaras de seguridad, sistemas de alarma, controles
de acceso y sensores de movimiento deben formar parte de un esquema de
protección en edificios.

2. Diseño de planes de evacuación

Las rutas de evacuación y las vías de escape deben estar correctamente diseñadas.
Para ello, es necesario analizar la infraestructura de la edificación mediante sus
planos. De esa forma, se determinará cuáles son los pasillos, escaleras, salones y
áreas más seguras para la población.

3. Colocación de señalética
Un ambiente correctamente señalizado es un lugar más seguro para todos. En
este sentido, la implementación de una señalética visible es absolutamente
necesaria. Esta sirve para indicar las vías de escape, los puntos de reunión, las
salidas de emergencia, los artefactos de seguridad contra incendios, entre otras
cosas.

4. Instalación de equipos de rescate

Un edificio debe contar con herramientas de rescate en sus instalaciones. Los más
importantes son extintores, mangueras, hachas, camillas, botiquines de
primeros auxilios, entre otros.
 Coordinador de seguridad privada 117

Conclusión sobre un plan de seguridad para edificios

Los administradores de las edificaciones, así como las personas que desarrollan sus
actividades en ellas, deben tener conocimiento sobre un plan de seguridad para
edificios. De esta manera, se reducirá la presencia de eventos de emergencia,
muchos de los cuales se deben al desconocimiento y la ausencia de medidas
preventivas por parte de los usuarios.

Un Plan de Seguridad Integral es un proyecto complejo, desarrollado para asegurar

la completa coordinación de medios humanos y materiales (activos y pasivos) con el
fin de conseguir un sistema de protección eficaz que garantice la máxima seguridad
de personas y bienes de un recinto, edificio o instalación.

La implementación de un plan de seguridad integral se podría definir a nivel

empresarial, como el programa de protección y evaluación de todo elemento
humano, social, económico, físico, técnico o legal que tenga participación en una
organización.

La seguridad integral supone una aplicación globalizadora de la seguridad, en la que

se tienen en cuenta los aspectos humanos, legales, sociales, económicos y técnicos
de todos los riesgos que pueden afectar a todos los sujetos activos participantes en
la actividad de una entidad.

Las compañías que tienen buenos planes de contingencia basados en la seguridad

integral tienden a sufrir menores impactos frente a una catástrofe a comparación de
aquellas que no cuentan con uno.

El Plan de Seguridad Integral debe responder a unas preguntas clave

 Coordinador de seguridad privada 118

 ¿Qué tenemos que proteger y contra qué?

 ¿Cómo, cuándo y con qué hay que protegerlo?
 ¿Cómo hay que actuar si ocurre un incidente o riesgo?

Para responder a estas preguntas y desarrollar una protección eficaz hay que
evaluar los riesgos y circunstancias concretas de cada cliente. Este análisis nos
permitirá definir y organizar los recursos disponibles para prevenir riesgos,
proporcionarnos tiempo de actuación en caso necesario y garantizar la vuelta a la
normalidad en el mínimo tiempo posible.

Cuando una empresa no tiene claros los roles que debe cumplir y estos no están
alineados con la visión de la empresa, tienden a ser deficientes y generar pérdida de
tiempo y dinero.

El objetivo principal de estos planes es mejorar el control sobre todas las

instalaciones de manera objetiva y lograr la medición apropiada de los riesgos
actuales; de esta manera establecer las contramedidas adecuadas para mitigar
dichos riesgos.

Cualquier empresa que adquiera servicios de seguridad debe implementar políticas

de integración para adaptar cualquier cativo a su visión y metas. Por lo tanto, es de
gran relevancia abarcar la seguridad de las personas, instalaciones e información.

El análisis de la localización de la instalación o recinto a proteger, su exterior y su

interior, sus puntos de suministro, comunicaciones, elementos más vulnerables, así
como los riesgos derivados de su situación física y circunstancial nos permitirá fijar
unos objetivos de seguridad justificados y adecuados.

Los medios para poder afrontar esos riesgos, han de definirse en un Plan de
Seguridad Integral e incluir los siguientes tipos:

 Medios Humanos: Personal de Seguridad Privada.

 Medios Técnicos: Sistemas de seguridad pasiva y seguridad activa,
incluyendo medios auxiliares (sistemas de comunicación, vehículos, medios
sanitarios, etc.).
 Medios Organizativos: Normativa, plan y procedimientos de actuación.

Por medios humanos entendemos no sólo los vigilantes de seguridad sino todo
personal operativo u organizativo necesario para llevar a cabo la operativa: turnos,
rondas, puestos y jerarquía, etc. siempre ateniéndonos a la normativa y entorno
legal definido por la Ley y Reglamento de Seguridad Privada.

Los medios técnicos incluyen los sistemas de seguridad pasiva y seguridad activa:
medios físicos y medios electrónicos (o tecnológicos) establecidos para prevenir,
impedir o retrasar los riesgos y en caso necesario comunicar éstos de forma
inmediata para poder activar los protocolos correspondientes.

El conjunto de normas, procesos y criterios de actuación son los que llamamos

medios organizativos. Definen los responsables, los agentes y las medidas que han
 Coordinador de seguridad privada 119

de tomarse de forma preventiva, en el momento de la intervención y de la

recuperación de la normalidad.

¿Qué debe cubrir un plan de seguridad integral?

Es importante que, en el momento de implementar o desarrollar un plan de

seguridad integral, se conozcan detalladamente los lineamientos de la organización,
desde su origen hasta su diseño. También se hace necesario determinar e
implementar un sistema que cubra:

 Plan de Emergencia. El departamento de salud ocupacional es el encargado

de implementar este plan.
 Controles de acceso. Para garantizar la seguridad interna y externa de los
empleados de su empresa.
 Medidas de protección pasiva. Minutas, registro de visitantes.
 Métodos de escáner o detección. Detectores de metal, control biométrico,
fotografía y toma de datos básicos, carné de empleado o visitante.
 Técnicas de verificación y control de sustancias peligrosas. Estos se
realizan cuando la compañía cuenta con un número significativo de
empleados que laboran 6 días a la semana, manejan elementos
potencialmente peligrosos.
 Seguridad de la información. Protección de las bases de datos en todos los
sistemas de la empresa que comprometan la seguridad física de los
empleados y los demás activos.

Al aplicar un plan de seguridad integral coordinado y permanente en su compañía,

se reciben una serie de beneficios reflejados a corto y mediano plazo en la
disminución de costos, reducción de riesgos, eliminando posibles fugas de
información, reducción en la rotación de personal, entre otros.

Para determinar qué medidas organizativas y operativas hay que implantar, deben
valorarse entre otros, los tiempos de respuesta ante una incidencia, los tiempos de
llegada de posibles refuerzos y asignarse los responsables del servicio, los criterios
de actuación y la forma de ejecutar los protocolos de actuación hasta recuperar la
normalidad.

Los protocolos de actuación a definir deben contemplar las siguientes fases:

1. Contención: Medidas de seguridad pasiva o preventiva con el objetivo de

obstaculizar el incidente o riesgo.

2. Detección: Localización del incidente o intrusión por medios electrónicos o

humanos.

3. Reacción: Valoración de las dimensiones del incidente y elección de las acciones

a emprender.

4. Intervención: Respuesta activa proporcional para neutralizar o minimizar el

incidente o riesgo.
 Coordinador de seguridad privada 120

5. Normalización: Recuperación de la seguridad.

Por último, hay que recordar que la implantación de medidas específicas y

detalladas debe contemplar la coordinación necesaria de los agentes de seguridad
con los responsables del cliente, con las Fuerzas y Cuerpos de Seguridad del
Estado o policía autonómica y con otros agentes como bomberos, emergencias
médicas, etc. garantizando así una recuperación rápida del nivel de seguridad
deseado.

4.2 MAPAS DE PROCESOS DE SEGURIDAD INTEGRAL

Mapa de procesos: cómo crear uno para un proyecto de seguridad integral

Los mapas de procesos son una representación visual del flujo de trabajo,
similar a una estructura de desglose del trabajo (EDT), y puede ser útil para
ayudarte a identificar problemas y áreas de mejora. ¿Te pasa con frecuencia
que se te ocurre una gran idea, pero no sabes por dónde empezar? Process
mapping, por su nombre en inglés, es entonces, lo primero que necesitas para
organizar tus ideas y elaborar un plan. Actualización 15/08/22: En esta
actualización hemos añadido más información y una clasificación de los tipos de
procesos que te ayudará a entender mejor cómo hacer un mapa de procesos.
Seguro que alguna vez has oído hablar de los mapas mentales y de los mapas
de procesos. Son herramientas muy útiles para visualizar conceptos o proyectos
de una forma más fácil. Puedes realizar mapas de procesos para tus proyectos y
mapas de procesos para la empresa. Te ayudarán durante las sesiones
de brainstorming, en la toma de decisiones o en la planificación de proyectos.
Los mapas de procesos de una empresa son también muy útiles en
la documentación de procesos, las capacitaciones para empleados nuevos
 Coordinador de seguridad privada 121

y mejoras de procesos. Se trata de una herramienta imprescindible para

la gestión de proyectos.
Descubre cómo elaborar un mapa de procesos (con ejemplos), qué tipo de
procesos deberás tener en cuenta y los beneficios que aportará a tu proyecto o
en tu empresa.

¿Qué es un mapa de procesos?

El mapa de procesos es una técnica utilizada para planificar visualmente los
flujos de trabajo y procesos. Involucra la creación de un mapa, también conocido
como diagrama de flujo, diagrama de flujo de procesos o diagrama de flujo de
trabajo. Generalmente, el mapa de procesos de una empresa se representará
con un diagrama de valor.
El propósito de un process mapping es comunicar cómo funciona un proceso de
manera concisa y directa. Permite que los miembros del equipo comprendan
fácilmente cómo llevar a cabo un proceso específico sin demasiadas
explicaciones verbales. Al elaborar un mapa de procesos de principio a fin,
puedes comprender mejor cómo funciona el proceso completo e identificar
ineficiencias. Asimismo, es una herramienta eficaz para lograr una mejora
continua de todos los procesos. Se trata, por lo tanto, de una técnica
fundamental en la gestión de proyectos.

Puedes utilizarlos para visualizar cualquier tipo de proceso, pero lo más común
es utilizarlos para la gestión y análisis de procesos, capacitaciones,
integraciones o mejoras continuas de procesos. Son útiles para comunicar un
proceso complejo, abordar un problema recurrente dentro de un proceso
determinado o coordinar las responsabilidades de varios miembros de un
equipo.

Tipos de procesos
Antes de comenzar con el mapeo de procesos, especialmente si vas a elaborar
un mapa de procesos de la empresa, es importante que conozcas los tipos de
procesos de una organización. Podemos identificar los siguientes:

Procesos estratégicos
Se refieren al conjunto de actividades y tareas que atañen, principalmente, a la
alta dirección y que forman parte del plan estratégico de la compañía. Suelen
incluirse procesos aquí de Marketing o lanzamiento de nuevos productos.
 Coordinador de seguridad privada 122

Procesos clave o procesos operativos

Son los procesos implicados directamente en el producto que desarrollas o el
servicio que presta la compañía.

Procesos de apoyo o soporte

Se trata de los procesos que servirán de soporte a los procesos estratégicos y
clave. Un ejemplo de este tipo de procesos sería el de un proyecto de formación
para empleados.

Cómo crear un mapa de procesos

Crear un mapa de procesos es simple y se puede hacer en papel o en
un software de gestión de flujos de trabajo y con plantillas. Los pasos a
continuación explican cómo crear un mapa de procesos desde cero.

Paso 1: Identifica un proceso para diagramar

Primero, determina el proceso que quieres representar. ¿Hay algún proceso
ineficiente que deba mejorarse? ¿Un proceso nuevo que quisieras comunicar de
manera concisa a tu equipo? ¿Un proceso complejo que siempre genera
preguntas por parte de los empleados? Identifica lo que quieres diagramar y
asígnale un nombre.
 Coordinador de seguridad privada 123

Paso 2: Determina qué actores o responsables intervienen en el proceso

Es importante que puedas identificar a las personas, responsables o
departamentos que serán claves para la elaboración de las tareas que
conformen el proceso que quieres mapear.

Paso 3: Enumera todas las actividades relacionadas

Documenta todas las tareas necesarias para llevar a cabo el proceso. En esta
etapa el orden no es importante. Haz una lista de todas las actividades
relacionadas y quién será el responsable de cada una.
Es una buena idea colaborar con los compañeros de equipo y otros participantes
involucrados en el proceso para poder identificar con precisión todos los pasos
necesarios y determinar el nivel de detalle que se necesita. Además, asegúrate
de establecer dónde comienza y termina el proceso para que puedas saber qué
tareas se deben incluir para lograr el resultado deseado.

Paso 4: Establece la secuencia de los pasos

Ahora que ya cuentas con una lista de todas las actividades y miembros
necesarios, el próximo paso es ordenar estas actividades en la secuencia
correcta, hasta que el proceso completo esté representado de principio a fin.
Este es un buen momento para revisar si se omitió algo en el paso anterior.

Paso 5: Crea un diagrama de flujo utilizando símbolos de los mapas de procesos

Selecciona el formato de mapa de procesos adecuado y crea el proceso con la
simbología correspondiente. Hay aproximadamente 30 símbolos estándar que
puedes utilizar para representar diferentes elementos del proceso, pero
cubriremos los más comunes con mayor detalle más adelante en este artículo.

Paso 6: Agrega los últimos detalles y compártelos con tu equipo

Una vez que hayas terminado de crear tu mapa de procesos, revísalo junto con
los otros participantes involucrados en el proceso para asegurarte de que todos
lo entiendan y estén de acuerdo con la forma en que el proceso fue creado.
Asegúrate de que no se haya omitido ningún paso y de que no existan
redundancias o ambigüedades

Paso 7: Analiza las oportunidades de mejora

Después de haber confirmado que el mapa de procesos describe con claridad el
flujo de trabajo del proceso, el mapa completo servirá como una herramienta de
mejora continua de dicho proceso.
 Coordinador de seguridad privada 124

Con la ayuda de los comentarios de tu equipo, identifica dónde se encuentran

los cuellos de botella y las ineficiencias del proceso. ¿Qué pasos se podrían
eliminar? ¿Qué tareas podrían hacerse con más eficiencia? Una vez que hayas
identificado estas áreas de mejora, lleva a cabo las acciones necesarias para
mejorarlas y corrige el mapa para reflejar estos cambios.

¿Por qué usar un mapa de procesos?

Los mapas de procesos permiten consolidar las ideas y simplificar los procesos
al comunicar visualmente los pasos que se necesitan para ejecutar una idea.
Estas son algunas de las formas en que los mapas de procesos pueden ser
útiles para ti y tu equipo:
 Identifican ineficiencias: Ayudan a identificar cuellos de botella, omisiones
y otros problemas en el flujo de trabajo.
 Simplifican ideas: Dividen ideas complejas en pasos más pequeños.
 Aumentan la comprensión: Fomentan la comprennsión exhaustiva de un
proceso.
 Detectan las contingencias: Permiten visualizar las contingencias y
proporcionan una guía para resolver los problemas.
 Delegan responsabilidades: Coordinan las responsabilidades entre varias
personas o entidades.
 Constituyen una documentación: Proporcionan documentación del
proceso.
 Comunican de forma clara: Simplifican la comunicación mediante un
formato visual fácil de entender para el usuario.
 Permiten una rápida toma de decisiones: Garantizan que la toma de
decisiones sea más rápida gracias a que la comunicación es más
expedita.
 Brindan ayuda a los empleados: Mejoran el desempeño de los empleados
y la satisfacción laboral.
 Cumplen con los estándares: Ayudan a que las empresas cumplan con las
normas ISO 9000 e ISO 9001.
Lee: Eficiencia vs. efectividad en los negocios: Por qué tu equipo necesita ambas
cualidades

Tipos de mapas de procesos

Existen diversas formas y tamaños de los mapas de procesos. Todos sirven al
mismo propósito, pero ciertos tipos de mapas de procesos pueden utilizarse
 Coordinador de seguridad privada 125

mejor en algunos proyectos. Estos son algunos de los mapas de procesos más
comunes.

Diagrama de flujo
La forma más simple de un mapa de procesos es un diagrama de flujo. El
diagrama de flujo básico utiliza símbolos del mapa de procesos para ilustrar las
entradas y salidas de un proceso y los pasos necesarios para llevar a cabo el
proceso.
Los diagramas de flujo básicos pueden usarse para planificar proyectos nuevos,
mejorar la comunicación entre los miembros de un equipo, resolver problemas
de procesos en curso y analizar y gestionar flujos de trabajo.
Ideal para: mostrar cómo se realiza un proceso de principio a fin, generalmente
en orden secuencial.

Process Mapping de alto nivel

Un mapa de procesos de alto nivel —también conocido como mapa descendente
o mapa de la cadena de valor— otorga una vista de alto nivel de un proceso. Los
pasos se limitan a lo esencial del proceso y el mapa incluye detalles mínimos.
Los mapas de procesos de alto nivel pueden utilizarse para definir procesos de
negocios e identificar los pasos clave involucrados. Estos mapas de procesos
también son útiles para discutir procesos con los superiores u otras personas
que no necesitan conocer todos los detalles de la operación.
Ideal para: comunicar los pasos esenciales de un proceso.
 Coordinador de seguridad privada 126

Mapas de procesos detallados

A diferencia del mapa de procesos de alto nivel, un mapa de procesos detallado
brinda todos los detalles para cada paso y también incluye los subprocesos.
Documenta los puntos de decisión y las entradas y salidas de cada paso. Este
mapa de procesos permite un mayor entendimiento del proceso creado y es el
más eficaz para detectar áreas de ineficiencia debido a su alto nivel de detalle.
Ideal para: proporcionar un mayor entendimiento de un proceso, incluyendo
todos los detalles y contingencias.

Diagrama de flujo de carriles (swimlane)

El diagrama de flujo de carriles —también conocido como diagrama de flujo
interfuncional o de implementación— determina las actividades de un proceso
en “carriles” para designar quién es responsable de cada tarea. El mapa se
divide en canales para cada participante del proceso y enumera cada actividad
en el canal del participante correspondiente. Este tipo de mapa de procesos
resalta los diferentes roles involucrados en el proceso y la interacción entre los
participantes.
Los diagramas de flujo de carriles son ideales para que cada empleado pueda
estar debidamente informado sobre sus roles y responsabilidades en un
proceso. Son útiles para identificar ineficiencias en el proceso, tales como
retrasos, redundancias y potenciales fallas del proceso.
Ideal para: clarificar los roles de varios participantes en un proceso.

Mapa de flujo de valor

Un mapa de flujo de valor es una herramienta de gestión Lean en la que se
visualiza el proceso de entregar un producto o servicio al cliente. Los mapas de
flujo de valor suelen ser complejos y utilizan un sistema único de símbolos para
ilustrar el flujo de información y los materiales necesarios para el proceso.
Al documentar información como el tiempo de ciclo y la cantidad de gente
involucrada en cada paso, el mapa de flujo de valor sirve para identificar áreas
donde se pueden reducir pérdidas y revelar oportunidades para enfocar los
futuros proyectos.
Ideal para: describir el proceso de entregar un producto al cliente y documentar
datos cuantitativos del proceso.

Diagrama SIPOC (Proveedores, Entradas, Procesos, Salidas y Clientes)

 Coordinador de seguridad privada 127

Un diagrama SIPOC, más que un mapa de procesos, es un diagrama que

identifica los elementos clave del proceso, que puede ser creado como paso
previo a la elaboración de un mapa de procesos detallado.

Como sugiere el acrónimo, el diagrama SIPOC debería contener cinco columnas

que incluyan los pasos básicos del proceso, las entradas del proceso, los
clientes, las salidas del proceso y los proveedores de cada entrada. Además de
servir como punto de partida para un mapa de procesos detallado, el diagrama
SIPOC también es útil para definir el alcance de procesos complejos.
Ideal para: identificar los elementos clave y participantes de un proceso.

Simbología en los mapas de procesos

Los mapas de procesos utilizan símbolos del lenguaje unificado de modelado
(UML, por sus siglas en inglés) para representar elementos clave de un mapa de
procesos, tales como pasos a seguir, puntos de decisión, entradas y salidas, y
los participantes del equipo.
Estos son algunos de los símbolos más comunes en los mapas de procesos y su
uso:
 Terminal: Los óvalos denotan el inicio y el final de un proceso.
 Proceso: Un rectángulo representa una actividad o tarea del proceso.
 Flujo: Las flechas conectan los pasos del proceso y muestran el flujo
direccional.
 Decisión: Un diamante ilustra un punto donde se necesita tomar una
decisión, generalmente por “sí” o “no” sobre este punto.
 Retraso: Un símbolo en forma de D indica una demora en el proceso.
 Documento: Un rectángulo con una línea inferior ondulada representa un
documento o información que las personas pueden leer. Si existen
múltiples documentos, se indican con un símbolo que representa varios
rectángulos ondulados apilados.
 Datos: Un paralelogramo representa los datos de entrada o salida de un
paso del proceso.
 Entrada manual: Un rectángulo con una línea superior inclinada indica un
paso en el que deben introducirse datos de forma manual.
 Subproceso: Un rectángulo con líneas verticales dobles indica un
subproceso que está predefinido en otra parte.
 Coordinador de seguridad privada 128

También existen muchos más símbolos que puedes incorporar en tu mapa de

procesos, pero estos símbolos comunes serán los más útiles, especialmente al
comienzo.

También existen muchos más símbolos que puedes incorporar en tu mapa de

procesos, pero estos símbolos comunes serán los más útiles, especialmente al
comienzo.

Ejemplos de mapas de procesos

Puedes crear un mapa de procesos para cualquier tipo de proceso, pero puede
que aún te preguntes cómo utilizar esta herramienta en tu equipo.
Para que puedas tener una mejor idea te mostramos un ejemplo de un mapa de
procesos:
 Coordinador de seguridad privada 129

Técnicas de mapas de procesos

Puedes personalizar los mapas de procesos para que se ajusten a tus
necesidades y preferencias, pero también puedes tener en cuenta algunos
consejos generales para maximizar su efectividad. A continuación presentamos
las mejores prácticas sobre mapas de procesos para aplicarlas cuando estés
comenzando:
Al planificar tu mapa de procesos:
 Establece los límites del proceso de modo que solo se incluya la
información necesaria.
 Establece objetivos claros para el proceso.
 Solo crea mapas de procesos que tengan un resultado objetivo y definido.
Al diseñar tu mapa de procesos:
 Trabaja hacia atrás, desde la salida hacia la entrada.
 Mantén los subprocesos simples.
 Incluye los detalles necesarios, nada más y nada menos.
 Coordinador de seguridad privada 130

 Utiliza anotaciones estandarizadas para que todos estén alineados.

Al revisar tu mapa de procesos:
 Pide comentarios a todos los involucrados en el proceso.
 Detalla las rutas alternativas para llegar a las condiciones preferidas
cuando corresponda.
 Crea un mapa de procesos en su estado actual, no es necesario que sea
un proceso perfecto o idealizado, y mejóralo desde allí.
Aplica estos consejos en cada paso para lograr mapas de procesos más
efectivos.

Mapa de Procesos ISO 9001

Los mapas de procesos ISO 2001 se refieren a todos aquellos procesos que
intervienen en los sistemas de calidad de una empresa. La elaboración del mapa
de procesosISO 9001 deberá además incluir una serie de indicadores de
desempeño que permitirán medir los resultados y desempeño de cada proceso.

¿Qué es la Seguridad Personal?

La seguridad personal es un término que engloba la protección fundamental de

todos los aspectos de una persona, tanto a nivel físico y mental del individuo, como
de sus bienes materiales o sus seres queridos.

Además, comprende una amplia gama de temas y acciones que puede realizar un
individuo para garantizar la protección de uno mismo, así como de todos sus bienes,
ya sea ante peligros inminentes o contra daños futuros. Nos permite hacer frente,
prevenir o interrumpir cualquier actividad de riesgo que ya ha ocurrido.

Se trata así de una práctica indispensable, ya que otorga las medidas de precaución
necesarias para garantizar que una persona esté siempre protegida y, por lo tanto,
debe ser una prioridad que adoptar.

Y es que, aunque podamos admitir que todo el mundo sabe que la seguridad
personal es algo importante, siendo algo que aprendemos desde pequeños, todavía
parece que no cumplimos el total de las medidas básicas con la frecuencia que
deberíamos, incurriendo en muchas ocasiones en consecuencias desafortunadas.

Consejos para mantener una Seguridad personal adecuada

 Coordinador de seguridad privada 131

Medidas preventivas para la seguridad personal

Como bien decíamos, existen diferentes prácticas que podemos llevar a cabo de
manera individual para tratar de lograr una mayor seguridad personal para nosotros
y nuestro entorno. Y es que, en este caso, cuanto más, siempre será mejor:

Estar siempre alerta

Por mucho que lo deseemos, desgraciadamente nadie estará completamente

exento de poder sufrir cualquier tipo de incidente, dado que estos involucran una
parte esencial basada en un factor externo, desconocido, y en muchas ocasiones
totalmente inesperado.

Por ello, uno de los puntos más importantes a la hora de garantizar nuestra
seguridad personal pasa por ser conscientes de los riesgos que existen a nuestro
alrededor en todo momento, estando alerta ante cualquier señal que pueda
indicarnos que podamos estar en peligro.

Evitar las rutinas.

Tanto dentro como fuera de nuestro hogar, los delincuentes pueden estar
observando nuestras acciones diarias para tratar de descubrir nuestros patrones de
comportamiento tales como horarios de salida y entradas, o la cantidad de
personas presentes en el hogar, para tratar de encontrar el momento idóneo para
llevar a cabo sus fechorías.

Una recomendación para evitar ser víctima de este tipo de asaltos es que cada día,
cuando nos preparemos para dirigirnos al trabajo o cualquier otro lugar,
tomemos caminos o salidas distintas cada vez, además de tratar de abandonar el
domicilio junto con personas no regulares como pueda ser un vecino, para así
desconcertar a los posibles asaltantes.

Limitar la información personal que compartimos.

Hoy en día no cabe duda de que las redes sociales se han convertido no sólo en
nuestros álbumes de fotos, sino un completo escaparate de nuestras vidas, siendo
nuestro espacio favorito para socializar y compartir todos nuestros pensamientos y
acciones. Sin embargo, no muy a menudo nos paramos a pensar en los riesgos que
este tipo de exposición puede llegar a conllevar.

Las redes sociales son uno de los primeros lugares que los delincuentes suelen
utilizar para conocer detalles personales de sus posibles víctimas, pudiendo
llegar a descubrir si vives solo, cuáles son tus actividades típicas, e incluso cuándo y
por cuánto tiempo estás fuera de tu domicilio. De esta manera, y prácticamente sin
ningún esfuerzo, pueden saber cuál es el mejor momento para asaltarte a ti o tu
domicilio.
 Coordinador de seguridad privada 132

Aunque los riesgos de esta exposición no se limitan en exclusiva al plano físico, sino
que también pueden derivar a todo tipo de crímenes digitales, pudiendo llevarnos a
ser víctima de acoso, robo de identidad o incluso objetivo de ciberataques.

Evitar la sobreexposición resulta tan sencillo como revisar nuestras publicaciones

antes de hacerlas públicas, y tratar de asegurarnos de no exponer información
personal como nuestro número de teléfono, domicilio o dirección del lugar de
trabajo.

Adicionalmente, también podemos retrasar algunas de nuestras

publicaciones, ya sea tan sólo unas horas o llegando incluso a días, creando así
un patrón diferente al que puedan seguir los delincuentes.

Conservar la calma en todo momento.

Como bien señalábamos en el primer punto, lamentablemente no siempre es

posible evitar estos incidentes. Así pues, en caso de ser víctima de un ataque en la
calle o en nuestro domicilio, lo primero que debemos hacer es intentar conservar la
calma para así poder razonar y actuar con una mayor tranquilidad.

También resulta recomendable evitar cualquier conflicto o confrontación

directa, sin ofrecer oposición a las demandas de los asaltantes en caso de que nos
pidan entregar nuestro dinero u otros objetos de valor.

Por último, y sin duda lo más importante, siempre debemos priorizar y buscar
conservar nuestra integridad y la del resto de personas con nosotros. Una vida
siempre es mucho más valiosa que cualquier cantidad de dinero u otra pertenencia
material.

Otras medidas para la seguridad personal

Dada la inevitabilidad de estos sucesos, en muchas ocasiones, pese a tomar todas

las medidas pertinentes, no podemos evitar tener que enfrentarnos a ellos.

Es por esto por lo que, en la búsqueda de ofrecer una ayuda adicional a los
usuarios, hemos ampliado nuestros servicios de alarmas para el hogar con servicios
complementarios centrados directamente en los individuos.

En Movistar Prosegur Alarmas no sólo ofrecemos una protección completa para

tu hogar, tanto si estás dentro como si está tu casa vacía, sino que la
complementamos con el servicio de alarma personal ContiGo, una aplicación
para dispositivos inteligentes que os brinda a tu familia y a ti la seguridad allá
donde estéis.

Fácil de usar e intuitivo para los usuarios de cualquier edad, este servicio permite
contactar con nuestra Central Receptora de Alarmas ante cualquier situación de
peligro, compartiendo con las autoridades pertinentes tu ubicación exacta en
tiempo real.
 Coordinador de seguridad privada 133

Tan solo tendréis que pulsar el Botón SOS para que apliquemos el protocolo de
emergencia.

También contamos con la activación por Cuenta Atrás, pensada para aquellos
trayectos en los que os sintáis inseguros. Tras el tiempo marcado, si no confirmas tu
llegada, se activará un protocolo de emergencia para geolocalizarte y garantizar tu
seguridad.

Un servicio que no sólo está pensado para los trayectos a través de zonas menos
seguras, sino que también podremos utilizar cuando realicemos actividades con
mayores índices de peligrosidad, tales como salir a correr o usar la bicicleta, tanto
en horas de día como en los trayectos nocturnos.

Además, como ofrecemos mínimo tres usuarios ContiGo, sirve de protección

adicional para nuestros seres queridos, pudiendo garantizar la seguridad de las
personas dependientes de todas las edades, haciendo más seguro el trayecto de
vuelta del colegio de los más pequeños, como recurso de ayuda en caso de
bullying, o poniendo a disposición de los más mayores la ayuda inmediata de
profesionales.

Medidas Generales de Seguridad Personal

1. Conciencia del Entorno:

o Mantén siempre la atención en tu entorno y a las personas alrededor.
o Evita distracciones, como usar el teléfono móvil, especialmente en
lugares públicos.
2. Precauciones en el Hogar:
o Instala cerraduras seguras en puertas y ventanas.
o Utiliza sistemas de alarma y cámaras de seguridad si es posible.
o Mantén las puertas cerradas incluso cuando estés en casa.
3. Seguridad al Salir:
o Informa a alguien de confianza sobre tu destino y hora estimada de
llegada.
o Evita caminar solo por áreas oscuras o poco transitadas.
o Usa medios de transporte confiables y conoce las rutas de
seguridad.
4. Autodefensa y Protección Personal:
o Considera tomar clases de autodefensa para estar preparado en
caso de un ataque.
o Lleva contigo elementos de autodefensa como un spray de pimienta
si es legal en tu área.
5. Seguridad en el Transporte:
o Siempre usa el cinturón de seguridad y asegúrate de que todos los
pasajeros también lo hagan.
o Evita conducir bajo los efectos del alcohol o drogas.
o Revisa el estado de tu vehículo regularmente y realiza
mantenimientos necesarios.
6. Protección de Información Personal:
o No compartas información personal como tu dirección o número de
teléfono en público o en redes sociales sin precaución.
 Coordinador de seguridad privada 134

o Utiliza contraseñas fuertes y únicas para tus cuentas en línea.

7. Seguridad en Internet:
o Evita hacer clic en enlaces sospechosos o descargar archivos de
fuentes no confiables.
o Habilita la autenticación de dos factores en tus cuentas para añadir
una capa extra de seguridad.
8. Manejo de Situaciones de Riesgo:
o Mantén la calma y evalúa la situación antes de actuar.
o Si te sientes amenazado, busca un lugar seguro y contacta a las
autoridades si es necesario.
9. Preparación para Emergencias:
o Ten un plan de emergencia que incluya rutas de evacuación y puntos
de encuentro.
o Mantén un kit de emergencia con artículos esenciales como agua,
alimentos no perecederos, y un botiquín de primeros auxilios.
10. Relaciones Saludables:
o Fomenta relaciones positivas y de apoyo que te ayuden a mantener
una red de seguridad emocional.
o Establece límites claros en tus relaciones personales y profesionales
para proteger tu bienestar.
11. Cuidado Personal:
o Practica el autocuidado para mantener tu salud física y mental.
o Consulta con profesionales si sientes que estás lidiando con estrés
o problemas emocionales que afectan tu seguridad personal.

Medidas Adicionales de Seguridad Personal

12. Seguridad en Actividades al Aire Libre:

o Infórmate sobre el área antes de realizar actividades al aire libre,
como senderismo o camping.
o Lleva un teléfono móvil con batería cargada y, si es posible, un
dispositivo de localización GPS.
o Viaja acompañado o avisa a alguien de confianza sobre tu ubicación
y planes.

13. Protección en Situaciones de Conflicto:

o Evita confrontaciones y busca desescalar la situación si te enfrentas
a un conflicto.
o Busca ayuda si te sientes amenazado y no dudes en contactar a las
autoridades.

14. Cuidado con el Estrés y la Fatiga:

o Descansa adecuadamente y evita la fatiga que puede afectar tu
capacidad de alerta y juicio.
o Gestiona el estrés mediante técnicas de relajación, ejercicio o
actividades que disfrutes.

15. Seguridad en el Trabajo:

o Conoce y sigue las políticas de seguridad de tu lugar de trabajo.
 Coordinador de seguridad privada 135

o Utiliza el equipo de protección adecuado si tu trabajo lo requiere.

o Reporta cualquier situación de riesgo a los supervisores o
responsables de seguridad.

16. Medidas en Viajes:

o Investiga el destino antes de viajar, incluyendo riesgos locales y
servicios de emergencia.
o Mantén copias de documentos importantes como pasaportes y
tarjetas de crédito en un lugar seguro.
o Registra tu viaje con la embajada o consulado si viajas al extranjero.

17. Protección Financiera:

o Monitorea regularmente tus cuentas bancarias y reporta cualquier
actividad sospechosa.
o Utiliza servicios de alertas de fraude ofrecidos por bancos y
entidades financieras.
o Evita compartir información financiera en sitios web no seguros o a
través de correos electrónicos no verificados.

18. Seguridad en Eventos Públicos:

o Conoce las salidas de emergencia y la ubicación de los primeros
auxilios.
o Evita áreas congestionadas y mantén a los objetos personales
cerca.

19. Seguridad en Redes Sociales:

o Configura adecuadamente la privacidad de tus perfiles en redes
sociales.
o Revisa y ajusta periódicamente las configuraciones de privacidad y
seguridad.

20. Educación Continua:

o Participa en talleres y cursos sobre seguridad personal y
autoprotección.
o Mantente informado sobre nuevas amenazas y las mejores prácticas
de seguridad.

21. Manejo de Situaciones de Crisis:

o Desarrolla habilidades de toma de decisiones rápidas para
manejar situaciones de emergencia.
o Practica simulacros de emergencia con amigos o familiares para
estar mejor preparado.

22. Intervención en Emergencias:

o Conoce técnicas básicas de primeros auxilios y resucitación
cardiopulmonar (RCP).
o Mantén actualizados tus conocimientos en primeros auxilios
mediante cursos de formación.
 Coordinador de seguridad privada 136

Este conjunto ampliado de medidas te ayudará a estar mejor preparado para

enfrentar una variedad de situaciones que puedan poner en riesgo tu seguridad
personal. La clave es mantenerse informado, estar alerta y tomar medidas
proactivas para protegerse a uno mismo y a los demás.

MODULO 5

SEGURIDAD DE DOCUMENTOS, DATOS E INFORMACION.

5.1 SEGURIDAD DOCUMENTAL

¿A qué se refiere la seguridad documental?

Todas las empresas crean grandes cantidades de documentos, tanto en papel como
digitales, que requieren de seguridad en si mismos. Sus documentos se enfrentan a
amenazas de todo tipo, lo que incluye que los documentos físicos sean susceptibles
de perderse y que los documentos digitales corran el riesgo de ser pirateados.
Cuando los documentos vitales caen en las manos equivocadas, los datos
personales confidenciales de sus clientes podrían estar comprometidos y los
detalles financieros de sus cuentas bancarias y tarjetas de crédito podrían ser
robados. Estos y otros muchos escenarios le hacen vulnerable a demandas
judiciales y señalan la importancia crítica de la seguridad documental. Incluso las
empresas más pequeñas están empezando a darse cuenta de lo importante que es
la seguridad documental para el éxito continuado de sus empresas.
La seguridad documental es el sistema utilizado para todos los documentos
importantes que usted crea, archiva, almacena, hace copias de seguridad, entrega
y, finalmente, elimina cuando ya no los necesita. Aunque la definición es sencilla, el
proceso real de mantener su seguridad es bastante complejo. En un mundo cada
vez más digitalizado, la eliminación del papel facilita la gestión de los documentos
en muchos aspectos, pero sin las medidas de seguridad adecuadas, los
documentos digitales siguen estando en peligro.

¿Por qué es importante la seguridad documental?

Independientemente del tipo de negocio que dirija, la protección de sus datos es una
de las principales claves del éxito. Cuando sus documentos se pierden o son
robados, la información contenida puede dañar su negocio y la privacidad de sus
clientes o empleados. Eliminar los documentos en papel y recurrir a un sistema de
gestión digital de documentos ayuda a prevenir las brechas de seguridad derivadas
en la pérdida de papeles o su destrucción. Sin embargo, la escalada de amenazas
como el robo de identidades, la piratería de sitios web y otras brechas en la
seguridad de Internet enfatizan la importancia de mantener la seguridad de sus
registros. Otras razones importantes para la seguridad de los documentos son:
 Coordinador de seguridad privada 137

 Controlar el acceso a sus registros para garantizar que sólo personas

apropiadas puedan recuperar documentos que contengan información
privada.
 Proteger la confidencialidad y cumplir colocales y el Reglamento General
de Protección de Datos.
 Garantizar la encriptación adecuada de los documentos digitales, para
que sólo pueda acceder a los datos almacenados el personal autorizado.
La combinación de la seguridad de los documentos con un sistema de gestión
documental ayuda a que sus datos permanezcan seguros al tiempo que le ayuda a
organizar los archivos en un repositorio digital centralizado. Esto hace que sea
mucho más fácil y rápido acceder a los datos cuando los necesite, a la vez que le
ayuda a salvaguardar mejor sus datos.

La digitalización aumenta la seguridad documental

Las empresas que siguen conservando sus documentos en formato físico se

arriesgan a que la información se pierda o se dañe debido a robos, errores de los
empleados o incendios y otros desastres naturales. En un sistema basado en papel,
la seguridad de los documentos suele lograrse manteniendo los documentos bajo
llave y con acceso restringido al personal esencial, pero es casi imposible garantizar
la seguridad adecuada de los documentos en papel a medida que aumenta el
número de archivos. Además, acceder a los documentos que se necesitan en el
momento oportuno suele ser más difícil debido a fallos en el sistema, al gran
volumen de archivos o a errores humanos al catalogarlos. Los sistemas digitales
permiten un acceso más rápido a sus documentos con sólo pulsar unas teclas, lo
que hace que su uso sea más cómodo y que aumente la seguridad de los
documentos.
Es crucial que almacene sus documentos electrónicamente con un sistema de
gestión documental que utilice las últimas medidas de seguridad para proteger los
datos de su empresa, garantizar el cumplimiento de las normativas legales y evitar
las pérdidas financieras causadas por el fraude o el robo de identidad. Abundan las
amenazas procedentes de fuentes externas que utilizan virus y software malicioso
para destruir o robar sus datos, por lo que mantener sus documentos digitales a
salvo de los piratas informáticos es una parte fundamental de cualquier buen
sistema de gestión y seguridad documental.
Elija un servicio que:

 Implante cortafuegos y mecanismos de acceso seguro.

 Utilice lo último en software de seguridad, incluyendo programas
antispyware y antivirus.
 Actualice regularmente sus sistemas operativos, aplicaciones y medidas
de seguridad para tapar cualquier posible agujero que pueda permitir el
acceso no autorizado a sus datos.

Mejores prácticas de gestión documental y seguridad

 Coordinador de seguridad privada 138

Las empresas suelen trabajar mejor cuando pueden almacenar, acceder y gestionar
eficazmente sus documentos sin que los archivos sean imposibles de encontrar. Los
sistemas digitales de documentos ofrecen una mayor seguridad y cumplimiento de
los datos sensibles. Las mejores prácticas para la gestión digital de documentos y
seguridad incluyen:

 Restrinja selectivamente el acceso a determinadas carpetas

categorizando los archivos por niveles, teniendo en cada nivel diferentes
permisos de acceso.
 Cree niveles de privilegios de acceso, incluidos los de visualización y
edición por separado que le permiten elegir quién puede ver ciertos
documentos, pero no está autorizado a modificarlos.
 Establezca protecciones con contraseña y otros medios para controlar
aún más el acceso y garantizar que sólo los empleados autorizados
puedan ver, editar y/o compartir documentos.
 Mantenga documentos semejantes juntos de forma organizada, para que
se pueda acceder fácilmente a todos ellos a la vez, como los registros de
los empleados o las facturas de pedidos.
 Ofrezca una colaboración sencilla para permitir que numerosos
empleados trabajen al mismo tiempo en un documento y evitar que
circulen múltiples versiones, incluidas las que puedan distribuirse
inadvertidamente y que contengan datos inexactos o incompletos.
 Mantenga una trazabilidad que pueda ser fácilmente supervisada y que
le indique quién ha accedido a qué documentos, cuándo se ha accedido
a ellos, qué cambios se han realizado en cada documento y por quién, y
quién ha distribuido qué documentos y dónde, así estará siempre
preparado para cualquier auditoría.
 Incorpore la autenticación de documentos mediante firmas electrónicas
que garanticen que los documentos que recibe son de quien dicen ser.
 Implemente una política de retención y destrucción de documentos, de
modo que sólo conserve los documentos que aún necesita y destruya los
que no sean necesarios para liberar espacio.
 Desarrolle un plan de copia de seguridad y almacenamiento de datos
para garantizar que los documentos vitales no se pierdan con una
plataforma de almacenamiento de documentos que tenga la capacidad
de recuperar fácilmente los documentos perdidos o desaparecidos.
 Prepárese para los peores escenarios creando copias de seguridad
seguras para recuperarse rápidamente de los desastres. A diferencia de
las copias en papel, que pueden ser destruidas por un incendio o una
inundación, puede archivar de forma segura los documentos digitales
para recuperarlos fácilmente desde un servidor externo o
un almacenamiento en la nube.
La seguridad de los documentos es un problema importante al que se enfrentan
prácticamente todas las empresas que operan en el mundo. Es casi imposible
garantizar la seguridad adecuada de los documentos en papel que intenta mantener
 Coordinador de seguridad privada 139

bajo llave, y los requisitos de almacenamiento de todo ese papel pueden ser
abrumadores, especialmente cuanto más tiempo lleve en el negocio. Los
documentos electrónicos se están convirtiendo en la norma, y aunque al principio
cuesta un poco de tiempo y dinero digitalizar los archivos, rápidamente se dará
cuenta de todas las ventajas que obtiene su empresa gracias a una mejor
organización y una mayor seguridad de los documentos.

5.2 SEGURIDAD DE DATOS

5.1 LEY DE PROTECCION DE DATOS PERSONALES

LEY ESTATUTARIA 1581 DE 2012 (octubre 17)

Reglamentada parcialmente por el Decreto Nacional 1377 de 2013.
Por la cual se dictan disposiciones generales para la protección de datos
personales
EL CONGRESO DE COLOMBIA
DECRETA:
TÍTULO I
OBJETO, ÁMBITO DE APLICACIÓN Y DEFINICIONES
Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho
constitucional que tienen todas las personas a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en bases de datos o archivos, y
los demás derechos, libertades y garantías constitucionales a que se refiere el
artículo 15 de la Constitución Política; así como el derecho a la información
consagrado en el artículo 20 de la misma.
Artículo 2°. Ámbito de aplicación. Los principios y disposiciones contenidas en la
presente ley serán aplicables a los datos personales registrados en cualquier base
de datos que los haga susceptibles de tratamiento por entidades de naturaleza
pública o privada.
La presente ley aplicará al tratamiento de datos personales efectuado en territorio
colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento
no establecido en territorio nacional le sea aplicable la legislación colombiana en
virtud de normas y tratados internacionales.
El régimen de protección de datos personales que se establece en la presente ley
no será de aplicación:
a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente
personal o doméstico
Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se
deberá, de manera previa, informar al Titular y solicitar su autorización. En este caso
los Responsables y Encargados de las bases de datos y archivos quedarán sujetos
a las disposiciones contenidas en la presente ley;
 Coordinador de seguridad privada 140

b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa
nacional, así como la prevención, detección, monitoreo y control del lavado de
activos y el financiamiento del terrorismo;
c) A las Bases de datos que tengan como fin y contengan información de
inteligencia y contrainteligencia;
d) A las bases de datos y archivos de información periodística y otros contenidos
editoriales;
e) A las bases de datos y archivos regulados por la Ley 1266 de 2008;
f) A las bases de datos y archivos regulados por la Ley 79 de 1993.
Parágrafo. Los principios sobre protección de datos serán aplicables a todas las
bases de datos, incluidas las exceptuadas en el presente artículo, con los límites
dispuestos en la presente ley y sin reñir con los datos que tienen características de
estar amparados por la reserva legal. En el evento que la normatividad especial que
regule las bases de datos exceptuadas prevea principios que tengan en
consideración la naturaleza especial de datos, los mismos aplicarán de manera
concurrente a los previstos en la presente ley.
Artículo 3°. Definiciones. Para los efectos de la presente ley, se entiende por:
a) Autorización: Consentimiento previo, expreso e informado del Titular para llevar
a cabo el Tratamiento de datos personales;
b) Base de Datos: Conjunto organizado de datos personales que sea objeto de
Tratamiento;
c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o
varias personas naturales determinadas o determinables;
d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que
por sí misma o en asocio con otros, realice el Tratamiento de datos personales por
cuenta del Responsable del Tratamiento;
e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que
por sí misma o en asocio con otros, decida sobre la base de datos y/o el
Tratamiento de los datos;
f) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;
g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos
personales, tales como la recolección, almacenamiento, uso, circulación o
supresión.
TÍTULO II
PRINCIPIOS RECTORES
Artículo 4°. Principios para el Tratamiento de datos personales. En el
desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera
armónica e integral, los siguientes principios:
a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a
que se refiere la presente ley es una actividad reglada que debe sujetarse a lo
establecido en ella y en las demás disposiciones que la desarrollen;
 Coordinador de seguridad privada 141

b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de

acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el
consentimiento, previo, expreso e informado del Titular. Los datos personales no
podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de
mandato legal o judicial que releve el consentimiento;
d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser
veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el
Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del
Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento,
en cualquier momento y sin restricciones, información acerca de la existencia de
datos que le conciernan;
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los
límites que se derivan de la naturaleza de los datos personales, de las disposiciones
de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá
hacerse por personas autorizadas por el Titular y/o por las personas previstas en la
presente ley;
Los datos personales, salvo la información pública, no podrán estar disponibles en
Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso
sea técnicamente controlable para brindar un conocimiento restringido sólo a los
Titulares o terceros autorizados conforme a la presente ley;
g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable
del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se
deberá manejar con las medidas técnicas, humanas y administrativas que sean
necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida,
consulta, uso o acceso no autorizado o fraudulento;
h) Principio de confidencialidad: Todas las personas que intervengan en el
Tratamiento de datos personales que no tengan la naturaleza de públicos están
obligadas a garantizar la reserva de la información, inclusive después de finalizada
su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo
realizar suministro o comunicación de datos personales cuando ello corresponda al
desarrollo de las actividades autorizadas en la presente ley y en los términos de la
misma.
TÍTULO III
CATEGORÍAS ESPECIALES DE DATOS
Artículo 5°. Datos sensibles. Para los propósitos de la presente ley, se entiende
por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido
puede generar su discriminación, tales como aquellos que revelen el origen racial o
étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia
a sindicatos, organizaciones sociales, de derechos humanos o que promueva
intereses de cualquier partido político o que garanticen los derechos y garantías de
partidos políticos de oposición así como los datos relativos a la salud, a la vida
sexual y los datos biométricos.
 Coordinador de seguridad privada 142

Artículo 6°. Tratamiento de datos sensibles. Se prohíbe el Tratamiento de datos

sensibles, excepto cuando:
a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los
casos que por ley no sea requerido el otorgamiento de dicha autorización;
b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y este
se encuentre física o jurídicamente incapacitado. En estos eventos, los
representantes legales deberán otorgar su autorización;
c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las
debidas garantías por parte de una fundación, ONG, asociación o cualquier otro
organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o
sindical, siempre que se refieran exclusivamente a sus miembros o a las personas
que mantengan contactos regulares por razón de su finalidad. En estos eventos, los
datos no se podrán suministrar a terceros sin la autorización del Titular;
d) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento,
ejercicio o defensa de un derecho en un proceso judicial;
e) El Tratamiento tenga una finalidad histórica, estadística o científica. En este
evento deberán adoptarse las medidas conducentes a la supresión de identidad de
los Titulares.
Artículo 7°. Derechos de los niños, niñas y adolescentes. En el Tratamiento se
asegurará el respeto a los derechos prevalentes de los niños, niñas y adolescentes.
Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes,
salvo aquellos datos que sean de naturaleza pública.
Es tarea del Estado y las entidades educativas de todo tipo proveer información y
capacitar a los representantes legales y tutores sobre los eventuales riesgos a los
que se enfrentan los niños, niñas y adolescentes respecto del Tratamiento indebido
de sus datos personales, y proveer de conocimiento acerca del uso responsable y
seguro por parte de niños, niñas y adolescentes de sus datos personales, su
derecho a la privacidad y protección de su información personal y la de los demás.
El Gobierno Nacional reglamentará la materia, dentro de los seis (6) meses
siguientes a la promulgación de esta ley.
TÍTULO IV
DERECHOS Y CONDICIONES DE LEGALIDAD PARA EL TRATAMIENTO DE
DATOS
Artículo 8°. Derechos de los Titulares. El Titular de los datos personales tendrá
los siguientes derechos:
a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables
del Tratamiento o Encargados del Tratamiento. Este derecho se podrá ejercer, entre
otros frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a
error, o aquellos cuyo Tratamiento esté expresamente prohibido o no haya sido
autorizado;
b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo
cuando expresamente se exceptúe como requisito para el Tratamiento, de
conformidad con lo previsto en el artículo 10 de la presente ley;
 Coordinador de seguridad privada 143

c) Ser informado por el Responsable del Tratamiento o el Encargado del

Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos
personales;
d) Presentar ante la Superintendencia de Industria y Comercio quejas por
infracciones a lo dispuesto en la presente ley y las demás normas que la
modifiquen, adicionen o complementen;
e) Revocar la autorización y/o solicitar la supresión del dato cuando en el
Tratamiento no se respeten los principios, derechos y garantías constitucionales y
legales. La revocatoria y/o supresión procederá cuando la Superintendencia de
Industria y Comercio haya determinado que en el Tratamiento el Responsable o
Encargado han incurrido en conductas contrarias a esta ley y a la Constitución;
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de
Tratamiento.
Artículo 9°. Autorización del Titular. Sin perjuicio de las excepciones previstas en
la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la
cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta
posterior.
Artículo 10. Casos en que no es necesaria la autorización. La autorización del
Titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus
funciones legales o por orden judicial;
b) Datos de naturaleza pública;
c) Casos de urgencia médica o sanitaria;
d) Tratamiento de información autorizado por la ley para fines históricos,
estadísticos o científicos;
e) Datos relacionados con el Registro Civil de las Personas.
Quien acceda a los datos personales sin que medie autorización previa deberá en
todo caso cumplir con las disposiciones contenidas en la presente ley.
Artículo 11. Suministro de la información. La información solicitada podrá ser
suministrada por cualquier medio, incluyendo los electrónicos, según lo requiera el
Titular. La información deberá ser de fácil lectura, sin barreras técnicas que impidan
su acceso y deberá corresponder en un todo a aquella que repose en la base de
datos.
El Gobierno Nacional establecerá la forma en la cual los Responsables del
Tratamiento y Encargados del Tratamiento deberán suministrar la información del
Titular, atendiendo a la naturaleza del dato personal, Esta reglamentación deberá
darse a más tardar dentro del año siguiente a la promulgación de la presente ley.
Artículo 12. Deber de informar al Titular. El Responsable del Tratamiento, al
momento de solicitar al Titular la autorización, deberá informarle de manera clara y
expresa lo siguiente:
a) El Tratamiento al cual serán sometidos sus datos personales y la finalidad del
mismo;
 Coordinador de seguridad privada 144

b) El carácter facultativo de la respuesta a las preguntas que le sean hechas,

cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y
adolescentes;
c) Los derechos que le asisten como Titular;
d) La identificación, dirección física o electrónica y teléfono del Responsable del
Tratamiento.
Parágrafo. El Responsable del Tratamiento deberá conservar prueba del
cumplimiento de lo previsto en el presente artículo y, cuando el Titular lo solicite,
entregarle copia de esta.
Artículo 13. Personas a quienes se les puede suministrar la información. La
información que reúna las condiciones establecidas en la presente ley podrá
suministrarse a las siguientes personas:
a) A los Titulares, sus causahabientes o sus representantes legales;
b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o
por orden judicial;
c) A los terceros autorizados por el Titular o por la ley.
TÍTULO V
PROCEDIMIENTOS
Artículo 14. Consultas. Los Titulares o sus causahabientes podrán consultar la
información personal del Titular que repose en cualquier base de datos, sea esta del
sector público o privado. El Responsable del Tratamiento o Encargado del
Tratamiento deberán suministrar a estos toda la información contenida en el registro
individual o que esté vinculada con la identificación del Titular.
La consulta se formulará por el medio habilitado por el Responsable del Tratamiento
o Encargado del Tratamiento, siempre y cuando se pueda mantener prueba de esta.
La consulta será atendida en un término máximo de diez (10) días hábiles contados
a partir de la fecha de recibo de la misma. Cuando no fuere posible atender la
consulta dentro de dicho término, se informará al interesado, expresando los
motivos de la demora y señalando la fecha en que se atenderá su consulta, la cual
en ningún caso podrá superar los cinco (5) días hábiles siguientes al vencimiento
del primer término.
Parágrafo. Las disposiciones contenidas en leyes especiales o los reglamentos
expedidos por el Gobierno Nacional podrán establecer términos inferiores,
atendiendo a la naturaleza del dato personal.
Artículo 15. Reclamos. El Titular o sus causahabientes que consideren que la
información contenida en una base de datos debe ser objeto de corrección,
actualización o supresión, o cuando adviertan el presunto incumplimiento de
cualquiera de los deberes contenidos en esta ley, podrán presentar un reclamo ante
el Responsable del Tratamiento o el Encargado del Tratamiento el cual será
tramitado bajo las siguientes reglas:
1. El reclamo se formulará mediante solicitud dirigida al Responsable del
Tratamiento o al Encargado del Tratamiento, con la identificación del Titular, la
 Coordinador de seguridad privada 145

descripción de los hechos que dan lugar al reclamo, la dirección, y acompañando

los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se
requerirá al interesado dentro de los cinco (5) días siguientes a la recepción del
reclamo para que subsane las fallas. Transcurridos dos (2) meses desde la fecha
del requerimiento, sin que el solicitante presente la información requerida, se
entenderá que ha desistido del reclamo.
En caso de que quien reciba el reclamo no sea competente para resolverlo, dará
traslado a quien corresponda en un término máximo de dos (2) días hábiles e
informará de la situación al interesado.
2. Una vez recibido el reclamo completo, se incluirá en la base de datos una leyenda
que diga "reclamo en trámite" y el motivo del mismo, en un término no mayor a dos
(2) días hábiles. Dicha leyenda deberá mantenerse hasta que el reclamo sea
decidido.
3. El término máximo para atender el reclamo será de quince (15) días hábiles
contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible
atender el reclamo dentro de dicho término, se informará al interesado los motivos
de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso
podrá superar los ocho (8) días hábiles siguientes al vencimiento del primer término.
Artículo 16. Requisito de procedibilidad. El Titular o causahabiente sólo podrá
elevar queja ante la Superintendencia de Industria y Comercio una vez haya
agotado el trámite de consulta o reclamo ante el Responsable del Tratamiento o
Encargado del Tratamiento.
TÍTULO VI
DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO Y ENCARGADOS
DEL TRATAMIENTO
Artículo 17. Deberes de los Responsables del Tratamiento. Los Responsables
del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás
disposiciones previstas en la presente ley y en otras que rijan su actividad:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de
hábeas data;
b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la
respectiva autorización otorgada por el Titular;
c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos
que le asisten por virtud de la autorización otorgada;
d) Conservar la información bajo las condiciones de seguridad necesarias para
impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o
fraudulento;
e) Garantizar que la información que se suministre al Encargado del Tratamiento
sea veraz, completa, exacta, actualizada, comprobable y comprensible;
f) Actualizar la información, comunicando de forma oportuna al Encargado del
Tratamiento, todas las novedades respecto de los datos que previamente le haya
suministrado y adoptar las demás medidas necesarias para que la información
suministrada a este se mantenga actualizada;
 Coordinador de seguridad privada 146

g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al

Encargado del Tratamiento;
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo
Tratamiento esté previamente autorizado de conformidad con lo previsto en la
presente ley;
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las
condiciones de seguridad y privacidad de la información del Titular;
j) Tramitar las consultas y reclamos formulados en los términos señalados en la
presente ley;
k) Adoptar un manual interno de políticas y procedimientos para garantizar el
adecuado cumplimiento de la presente ley y en especial, para la atención de
consultas y reclamos;
l) Informar al Encargado del Tratamiento cuando determinada información se
encuentra en discusión por parte del Titular, una vez se haya presentado la
reclamación y no haya finalizado el trámite respectivo;
m) Informar a solicitud del Titular sobre el uso dado a sus datos;
n) Informar a la autoridad de protección de datos cuando se presenten violaciones a
los códigos de seguridad y existan riesgos en la administración de la información de
los Titulares.
o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de
Industria y Comercio.
Artículo 18. Deberes de los Encargados del Tratamiento. Los Encargados del
Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás
disposiciones previstas en la presente ley y en otras que rijan su actividad:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de
hábeas data;
b) Conservar la información bajo las condiciones de seguridad necesarias para
impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o
fraudulento;
c) Realizar oportunamente la actualización, rectificación o supresión de los datos en
los términos de la presente ley;
d) Actualizar la información reportada por los Responsables del Tratamiento dentro
de los cinco (5) días hábiles contados a partir de su recibo;
e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos
señalados en la presente ley;
f) Adoptar un manual interno de políticas y procedimientos para garantizar el
adecuado cumplimiento de la presente ley y, en especial, para la atención de
consultas y reclamos por parte de los Titulares;
g) Registrar en la base de datos las leyenda "reclamo en trámite" en la forma en que
se regula en la presente ley;
 Coordinador de seguridad privada 147

h) Insertar en la base de datos la leyenda "información en discusión judicial" una vez

notificado por parte de la autoridad competente sobre procesos judiciales
relacionados con la calidad del dato personal;
i) Abstenerse de circular información que esté siendo controvertida por el Titular y
cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;
j) Permitir el acceso a la información únicamente a las personas que pueden tener
acceso a ella;
k) Informar a la Superintendencia de Industria y Comercio cuando se presenten
violaciones a los códigos de seguridad y existan riesgos en la administración de la
información de los Titulares;
l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de
Industria y Comercio.
Parágrafo. En el evento en que concurran las calidades de Responsable del
Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el
cumplimiento de los deberes previstos para cada uno.
TÍTULO VII
DE LOS MECANISMOS DE VIGILANCIA Y SANCIÓN
CAPÍTULO I
De la autoridad de protección de datos
Artículo 19. Autoridad de Protección de Datos. La Superintendencia de Industria
y Comercio, a través de una Delegatura para la Protección de Datos Personales,
ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales se
respeten los principios, derechos, garantías y procedimientos previstos en la
presente ley.
Parágrafo 1°. El Gobierno Nacional en el plazo de seis (6) meses contados a partir
de la fecha de entrada en vigencia de la presente ley incorporará dentro de la
estructura de la Superintendencia de Industria y Comercio un despacho de
Superintendente Delegado para ejercer las funciones de Autoridad de Protección de
Datos.
Parágrafo 2°. La vigilancia del tratamiento de los datos personales regulados en la
Ley 1266 de 2008 se sujetará a lo previsto en dicha norma.
Artículo 20. Recursos para el ejercicio de sus funciones. La Superintendencia
de Industria y Comercio contará con los siguientes recursos para ejercer las
funciones que le son atribuidas por la presente ley:
a) Los recursos que le sean destinados en el Presupuesto General de la Nación.
Artículo 21. Funciones. La Superintendencia de Industria y Comercio ejercerá las
siguientes funciones:
a) Velar por el cumplimiento de la legislación en materia de protección de datos
personales;
b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como
resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el
 Coordinador de seguridad privada 148

derecho de hábeas data. Para el efecto, siempre que se desconozca el derecho,

podrá disponer que se conceda el acceso y suministro de los datos, la rectificación,
actualización o supresión de los mismos;
c) Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las
pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de
sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos
mientras se adopta una decisión definitiva;
d) Promover y divulgar los derechos de las personas en relación con el Tratamiento
de datos personales e implementará campañas pedagógicas para capacitar e
informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a
la protección de datos;
e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la
adecuación de las operaciones de los Responsables del Tratamiento y Encargados
del Tratamiento a las disposiciones previstas en la presente ley;
f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la
información que sea necesaria para el ejercicio efectivo de sus funciones.
g) Proferir las declaraciones de conformidad sobre las transferencias internacionales
de datos;
h) Administrar el Registro Nacional Público de Bases de Datos y emitir las órdenes y
los actos necesarios para su administración y funcionamiento;
i) Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad
que resulten acordes con la evolución tecnológica, informática o comunicacional;
j) Requerir la colaboración de entidades internacionales o extranjeras cuando se
afecten los derechos de los Titulares fuera del territorio colombiano con ocasión,
entre otras, de la recolección internacional de datos personajes;
k) Las demás que le sean asignadas por ley.
CAPÍTULO II
Procedimiento y sanciones
Artículo 22. Trámite. La Superintendencia de Industria y Comercio, una vez
establecido el incumplimiento de las disposiciones de la presente ley por parte del
Responsable del Tratamiento o el Encargado del Tratamiento, adoptará las medidas
o impondrá las sanciones correspondientes.
En lo no reglado por la presente ley y los procedimientos correspondientes se
seguirán las normas pertinentes del Código Contencioso Administrativo.
Artículo 23. Sanciones. La Superintendencia de Industria y Comercio podrá
imponer a los Responsables del Tratamiento y Encargados del Tratamiento las
siguientes sanciones:
a) Multas de carácter personal e institucional hasta por el equivalente de dos mil
(2.000) salarios mínimos mensuales legales vigentes al momento de la imposición
de la sanción. Las multas podrán ser sucesivas mientras subsista el incumplimiento
que las originó;
 Coordinador de seguridad privada 149

b) Suspensión de las actividades relacionadas con el Tratamiento hasta por un

término de seis (6) meses. En el acto de suspensión se indicarán los correctivos que
se deberán adoptar;
c) Cierre temporal de las operaciones relacionadas con el Tratamiento una vez
transcurrido el término de suspensión sin que se hubieren adoptado los correctivos
ordenados por la Superintendencia de Industria y Comercio;
d) Cierre inmediato y definitivo de la operación que involucre el Tratamiento de
datos sensibles;
Parágrafo. Las sanciones indicadas en el presente artículo sólo aplican para las
personas de naturaleza privada. En el evento en el cual la Superintendencia de
Industria y Comercio advierta un presunto incumplimiento de una autoridad pública a
las disposiciones de la presente ley, remitirá la actuación a la Procuraduría General
de la Nación para que adelante la investigación respectiva.
Artículo 24. Criterios para graduar las sanciones. Las sanciones por infracciones
a las que se refieren el artículo anterior, se graduarán atendiendo los siguientes
criterios, en cuanto resulten aplicables:
a) La dimensión del daño o peligro a los intereses jurídicos tutelados por la presente
ley;
b) El beneficio económico obtenido por el infractor o terceros, en virtud de la
comisión de la infracción;
c) La reincidencia en la comisión de la infracción;
d) La resistencia, negativa u obstrucción a la acción investigadora o de vigilancia de
la Superintendencia de Industria y Comercio;
e) La renuencia o desacato a cumplir las órdenes impartidas por la
Superintendencia de Industria y Comercio;
f) El reconocimiento o aceptación expresos que haga el investigado sobre la
comisión de la infracción antes de la imposición de la sanción a que hubiere lugar.
CAPÍTULO III
Del Registro Nacional de Bases de Datos
Artículo 25. Definición. Reglamentado por el Decreto Nacional 886 de 2014 El
Registro Nacional de Bases de Datos es el directorio público de las bases de datos
sujetas a Tratamiento que operan en el país.
El registro será administrado por la Superintendencia de Industria y Comercio y será
de libre consulta para los ciudadanos.
Para realizar el registro de bases de datos, los interesados deberán aportar a la
Superintendencia de Industria y Comercio las políticas de tratamiento de la
información, las cuales obligarán a los responsables y encargados del mismo, y
cuyo incumplimiento acarreará las sanciones correspondientes. Las políticas de
Tratamiento en ningún caso podrán ser inferiores a los deberes contenidos en la
presente ley.
 Coordinador de seguridad privada 150

Parágrafo. El Gobierno Nacional reglamentará, dentro del año siguiente a la

promulgación de la presente ley, la información mínima que debe contener el
Registro, y los términos y condiciones bajo los cuales se deben inscribir en este los
Responsables del Tratamiento.
TÍTULO VIII
TRANSFERENCIA DE DATOS A TERCEROS PAÍSES
Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de
cualquier tipo a países que no proporcionen niveles adecuados de protección de
datos. Se entiende que un país ofrece un nivel adecuado de protección de datos
cuando cumpla con los estándares fijados por la Superintendencia de Industria y
Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que
la presente ley exige a sus destinatarios.
Esta prohibición no regirá cuando se trate de:
a) Información respecto de la cual el Titular haya otorgado su autorización expresa e
inequívoca para la transferencia;
b) Intercambio de datos de carácter médico, cuando así lo exija el Tratamiento del
Titular por razones de salud o higiene pública;
c) Transferencias bancarias o bursátiles, conforme a la legislación que les resulte
aplicable;
d) Transferencias acordadas en el marco de tratados internacionales en los cuales
la República de Colombia sea parte, con fundamento en el principio de reciprocidad;
e) Transferencias necesarias para la ejecución de un contrato entre el Titular y el
Responsable del Tratamiento, o para la ejecución de medidas precontractuales
siempre y cuando se cuente con la autorización del Titular;
f) Transferencias legalmente exigidas para la salvaguardia del interés público, o
para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Parágrafo 1°. En los casos no contemplados como excepción en el presente
artículo, corresponderá a la Superintendencia de Industria y Comercio, proferir la
declaración de conformidad relativa a la transferencia internacional de datos
personales. Para el efecto, el Superintendente queda facultado para requerir
información y adelantar las diligencias tendientes a establecer el cumplimiento de
los presupuestos que requiere la viabilidad de la operación.
Parágrafo 2°. Las disposiciones contenidas en el presente artículo serán aplicables
para todos los datos personales, incluyendo aquellos contemplados en la
Ley 1266 de 2008.
TÍTULO IX
OTRAS DISPOSICIONES
Artículo 27. Normas Corporativas Vinculantes. El Gobierno Nacional expedirá la
reglamentación correspondiente sobre Normas Corporativas Vinculantes para la
certificación de buenas prácticas en protección de datos, personales y su
transferencia a terceros países.
 Coordinador de seguridad privada 151

Artículo 28. Régimen de transición. Las personas que a la fecha de entrada en

vigencia de la presente ley ejerzan alguna de las actividades acá reguladas tendrán
un plazo de hasta seis (6) meses para adecuarse a las disposiciones contempladas
en esta ley.
Artículo 29. Derogatorias. La presente ley deroga todas las disposiciones que le
sean contrarias a excepción de aquellas contempladas en el artículo 2°.
Artículo 30. Vigencia. La presente ley rige a partir de su promulgación.

5.3 SEGURIDAD DE DATOS

¿Qué es la seguridad de datos?

Definición de seguridad de datos

La seguridad de los datos se refiere a las medidas de protección empleadas para

proteger los datos contra accesos no autorizados y para preservar la
confidencialidad, la integridad y la disponibilidad de la base de datos. Las mejores
prácticas de seguridad de datos incluyen técnicas de protección de datos como
cifrado de datos, gestión de claves, ocultación de datos, agrupación de datos en
subconjuntos y enmascaramiento de datos, así como controles de accesos de
usuarios con privilegios, auditoría y supervisión.

Mejores prácticas de la seguridad de datos

Las mejores prácticas de seguridad de los datos deben aplicarse tanto en entornos
locales como en la nube de cara a mitigar el riesgo de violación de datos y lograr el
cumplimiento normativo. Las recomendaciones específicas pueden variar, pero
normalmente requieren una estrategia de seguridad de datos en capas diseñada
para aplicar un método de defensa en profundidad. Existen controles concretos para
mitigar los diferentes vectores de amenazas. Las diversas áreas de solución
incluyen capacidades para evaluar, detectar y supervisar la actividad y las
amenazas de las bases de datos.

La importancia de la seguridad de datos

Los datos constituyen uno de los activos más importantes de las organizaciones.
Por lo tanto, resulta fundamental proteger los datos frente a todos y cada uno de los
accesos no autorizados. Las filtraciones de datos, las auditorías deficientes o el
incumplimiento de los requisitos normativos pueden dañar la reputación, provocar la
amortización del valor de marca, poner en riesgo la propiedad intelectual y redundar
en multas por incumplimiento. Según el Reglamento general de protección de datos
(RGPD) de la Unión Europea, las filtraciones de datos pueden desembocar en
multas hasta del 4 % de los ingresos anuales globales de una organización, con lo
que a menudo se traduce en una pérdida financiera significativa. Los datos
confidenciales incluyen información personal, financiera, sanitaria y propiedad
intelectual. Los datos deben protegerse para evitar filtraciones y garantizar el debido
cumplimiento de las normativas.
 Coordinador de seguridad privada 152

Seguridad de datos y el RGPD

El enmascaramiento de datos, la agrupación de datos en subconjuntos y la

ocultación de datos son técnicas dirigidas a reducir la exposición de los datos
confidenciales en las aplicaciones. Estas tecnologías desempeñan un papel
fundamental a la hora de abordar los requisitos de anonimización y seudonimización
asociados con reglamentos como el RGPD de la UE. El RGPD de la Unión Europea
se basó en principios de privacidad establecidos y ampliamente aceptados, como
limitación de la finalidad, legalidad, transparencia, integridad y confidencialidad.
Refuerza los requisitos de privacidad y seguridad existentes, incluidos los requisitos
de notificación y consentimiento, las medidas de seguridad técnicas y operativas y
los mecanismos de flujos transfronterizos de datos. Para adaptarse a la nueva
economía digital, global y basada en datos, el RGPD también formaliza nuevos
principios de privacidad, como la responsabilidad y la minimización de datos.

En virtud del Reglamento General de Protección de Datos (RGPD), las violaciones

de datos pueden redundar en multas de hasta el cuatro por ciento del volumen de
negocio anual global de una empresa o de 20 millones de euros, si este importe es
mayor. Las empresas que recopilen y gestionen datos en la UE deberán considerar
y gestionar sus prácticas de tratamiento de datos, incluidos los siguientes requisitos:

 Seguridad de los datos. Las empresas deben implantar un nivel de

seguridad adecuado, que incluya controles de seguridad técnicos y
organizativos, para evitar la pérdida de datos, filtraciones de información u
otras operaciones de procesamiento de datos no autorizadas. El RGPD
anima a las empresas a incorporar los requisitos de cifrado, gestión de
incidentes e integridad, disponibilidad y resiliencia de las redes y los
sistemas en su programa de seguridad.
 Ampliación de los derechos de las personas. Las personas tienen
mayor control sobre sus datos y, en última instancia, mayor
responsabilidad. También disponen de un amplio conjunto de derechos de
protección de datos, incluido el derecho a la portabilidad de los datos y el
derecho al olvido.
 Notificación de filtración de datos. Las empresas deben informar a sus
reguladores o a las personas afectadas sin incurrir en demoras indebidas
una vez que se percaten de que sus datos han sido objeto de violación.
 Auditorías de seguridad. Se espera que las empresas documenten y
mantengan registros de sus prácticas de seguridad, auditen la eficacia de
su programa de seguridad y tomen las medidas correctivas siempre que
proceda.

¿Qué desafíos presenta la seguridad de las bases de datos?

 Coordinador de seguridad privada 153

Las bases de datos son valiosos repositorios de información confidencial, lo que las
convierte en el objetivo principal de los ladrones de datos. Normalmente, los hackers
de datos se pueden dividir en dos grupos: internos y externos. Los externos incluyen
a cualquier persona, desde hackers que actúan en solitario hasta ciberdelincuentes
que tratan de interrumpir las operaciones de negocio u obtener un beneficio
económico, u organizaciones criminales y patrocinadas por estados nación que
buscan cometer fraudes para crear interrupciones a escala nacional o global. Los
internos pueden comprender empleados actuales o antiguos, curiosos y clientes o
socios que se aprovechen de su posición de confianza para robar datos, o que
cometan un error que resulte en un incidente de seguridad no deseado. Tanto los
externos como los internos generan riesgos para la seguridad de los datos
personales, la información financiera, los secretos comerciales y los datos
regulados.
 Coordinador de seguridad privada 154

Los ciberdelincuentes cuentan con diversos métodos para tratar de robar datos de
las bases de datos:

 Comprometer o robar las credenciales de una administrador con privilegios

o una aplicación. Estas acciones suelen producirse a través de phishing en
correos electrónicos, otras formas de ingeniería social, o utilizando
malware para descubrir las credenciales y, en última instancia, los datos.
 Aprovechamiento de puntos débiles en aplicaciones con técnicas como la
inyección SQL o elusión de la seguridad de la capa de la aplicación
incrustando un código SQL en datos introducidos por el usuario final
aparentemente inocuos.
 Escalado de los privilegios de tiempo de ejecución aprovechando
aplicaciones vulnerables.
 Acceso a los archivos de la base de datos no cifrados en el disco.
 Explotación de sistemas no actualizados o bases de datos mal
configuradas para eludir los controles de acceso.
 Robo de cintas de archivo y soportes que contengan copias de seguridad
de la base de datos.
 Robo de datos de entornos que no sean de producción, como DevTest,
donde es posible que los datos no estén tan protegidos como en los
entornos de producción.
 Visualización de datos confidenciales mediante aplicaciones que los
expongan involuntariamente excediendo la capacidad de acceso que
deberían tener los usuarios o la propia aplicación.
 Coordinador de seguridad privada 155

 Errores humanos, accidentes, uso compartido de contraseñas, errores de

configuración y otros comportamientos irresponsables de los usuarios, que
siguen suponiendo casi el 90 % de las vulneraciones de seguridad.

Mejores prácticas de seguridad de bases de datos

Una estrategia de seguridad de bases de datos bien estructurada debe incluir

controles para mitigar múltiples vectores de amenazas. El mejor método es un
marco integrado de controles de seguridad que se pueda desplegar fácilmente para
aplicar los niveles de seguridad adecuados. Estos son algunos de los controles más
utilizados para proteger las bases de datos:

 Los controles de evaluación ayudan a analizar la postura de seguridad

de una base de datos y también deben ofrecer la capacidad de identificar
cambios de configuración. Las organizaciones pueden definir un punto de
referencia y posteriormente identificar el cambio. Los controles de
evaluación también ayudan a las organizaciones a identificar datos
confidenciales en el sistema, incluido el tipo de datos y dónde residen. Los
controles de evaluación tratan de dar respuesta a las siguientes preguntas:
o ¿Está configurado correctamente el sistema de la base de
datos?
o ¿Los parches están actualizados y se aplican con regularidad?
o ¿Cómo se gestionan los privilegios de los usuarios?
o ¿Qué datos confidenciales existen en el sistema de la base de
datos? ¿Cuántos? ¿Dónde residen?

 Los controles descriptivos supervisan el acceso de los usuarios y las

aplicaciones a los datos, identifican comportamientos anómalos, detectan
y bloquean amenazas y auditan la actividad de la base de datos para
generar informes en materia de cumplimiento.
 Coordinador de seguridad privada 156

 Los controles preventivos deniegan el acceso no autorizado a los datos

mediante el cifrado, la ocultación, el enmascaramiento y la agrupación de
datos en subconjuntos, en función del caso de uso previsto. El objetivo
final de los controles preventivos es evitar el acceso no autorizado a los
datos.
 Los controles específicos de datos aplican políticas de acceso de nivel
de aplicación en la base de datos, lo que proporciona un modelo de
autorización coherente en múltiples aplicaciones, herramientas de
presentación de información y clientes de base de datos.
 Los controles específicos de usuario aplican políticas adecuadas de
autenticación y autorización de usuarios, lo que garantiza que solo los
usuarios autenticados y autorizados tengan acceso a los datos.

Soluciones de seguridad de datos

Reduce el riesgo de sufrir una violación de datos y simplifica el cumplimiento con las
soluciones de seguridad de las bases de datos para cifrado, gestión de claves,
enmascaramiento de datos, controles de acceso de usuarios con privilegios,
supervisión de actividades y auditoría.

 Protección de datos: reduce el riesgo de una violación de datos y el

incumplimiento de las soluciones para una amplia gama de casos de uso,
como cifrado, gestión de claves, ocultación y enmascaramiento. Obtén
más información sobre Data Safe.
 Control de acceso a datos: un paso fundamental para proteger un
sistema de base de datos es validar la identidad del usuario que accede a
la base de datos (autenticación) y controlar las operaciones que puede
realizar (autorización). Contar con controles estrictos de autenticación y
autorización ayuda a proteger los datos frente a los atacantes. Además, la
aplicación de la separación de funciones ayuda a evitar que los usuarios
con privilegios abusen de sus privilegios del sistema para acceder a datos
confidenciales y también permite evitar cambios accidentales o
malintencionados en la base de datos.
 Auditoría y supervisión: toda la actividad de las bases de datos se debe
registrar para su posterior auditoría, incluida la actividad que se produce
en la red, así como la actividad generada dentro de la base de datos
(normalmente mediante conexión directa), que omite cualquier supervisión
de red. La auditoría debería funcionar incluso si la red está cifrada. Las
bases de datos deben proporcionar una auditoría sólida y completa que
incluya información sobre los datos, el cliente desde donde se realiza la
solicitud, los detalles de la operación y la propia sentencia SQL.
 Protección de bases de datos en la nube: los despliegues de bases de
datos en la nube pueden reducir costos, liberar al personal para un trabajo
más importante y fomentar una organización de TI más ágil y con mayor
capacidad de respuesta. Sin embargo, esos beneficios pueden conllevar
un riesgo adicional, incluido un perímetro de red extendido, una superficie
de ataque mayor con un grupo administrativo desconocido e
infraestructura compartida. Sin embargo, si se emplean las mejores
prácticas en seguridad de bases de datos, la nube puede ofrecer mayor
 Coordinador de seguridad privada 157

seguridad a la mayoría de las organizaciones que usan soluciones locales,

todo al tiempo que se reducen los costos y se incrementa la agilidad.

5.4 SEGURIDAD DE LA INFORMACIÓN

Máquina Enigma utilizada para cifrar información por las fuerzas de Alemania
durante la Segunda Guerra Mundial.

La seguridad de la información es el conjunto de medidas preventivas y reactivas de

las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la
información buscando mantener la confidencialidad, la disponibilidad e integridad de
datos.1

El concepto de seguridad de la información no debe ser confundido con el

de seguridad informática, ya que este último sólo se encarga de la seguridad en el
medio informático, pero la información puede encontrarse en diferentes medios o
formas, y no solo en medios informáticos.2

Para el ser humano como individuo, la seguridad de la información tiene un efecto

significativo respecto a su privacidad, la que puede cobrar distintas dimensiones
dependiendo de la cultura e idiosincrasia de la sociedad donde se desenvuelve.3

El campo de la seguridad de la información ha crecido y evolucionado

considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una
carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de
especialización, incluidos la auditoría de sistemas de información, planificación de la
continuidad del negocio, ciencia forense digital y administración de sistemas de
gestión de seguridad, entre otros.4

Concepción de la seguridad de la información

En la seguridad de la información es importante señalar que su manejo está basado
en la tecnología y debemos de saber que puede ser confidencial: la información está
centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser
robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La
información es poder, y según las posibilidades estratégicas que ofrece tener
acceso a cierta información, ésta se clasifica como:

 Crítica: Es indispensable para la operación de la empresa.

 Valiosa: Es un activo de la empresa y muy valioso.
 Sensible: Debe de ser conocida por las personas autorizadas.
 Coordinador de seguridad privada 158

Existen dos palabras muy importantes que son riesgo y seguridad:

 Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas

con su probabilidad de ocurrencia, amenazas expuestas, así como el
impacto negativo que ocasione a las operaciones de negocio.
 Seguridad: Es una forma de protección contra los riesgos.
La seguridad de la información comprende diversos aspectos entre ellos la
disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la
integridad, confidencialidad, recuperación de los riesgos.

Precisamente la reducción o eliminación de riesgos asociado a una cierta

información es el objeto de la seguridad de la información y la seguridad informática.
Más concretamente, la seguridad de la información tiene como objeto los sistemas
el acceso, uso, divulgación, interrupción o destrucción no autorizada de
información.5 Los términos seguridad de la información, seguridad
informática y garantía de la información son usados frecuentemente como
sinónimos porque todos ellos persiguen una misma finalidad al proteger la
confidencialidad, integridad y disponibilidad de la información. Sin embargo, no son
exactamente lo mismo existiendo algunas diferencias sutiles. Estas diferencias
radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de
concentración. Además, la seguridad de la información involucra la implementación
de estrategias que cubran los procesos en donde la información es el activo
primordial. Estas estrategias deben tener como punto primordial el establecimiento
de políticas, controles de seguridad, tecnologías y procedimientos para detectar
amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho
activo, es decir, que ayuden a proteger y salvaguardar tanto información como los
sistemas que la almacenan y administran. La seguridad de la información incumbe a
gobiernos, entidades militares, instituciones financieras, los hospitales y las
empresas privadas con información confidencial sobre sus empleados, clientes,
productos, investigación y su situación financiera.

En caso de que la información confidencial de una empresa, sus clientes, sus

decisiones, su estado financiero o nueva línea de productos caigan en manos de un
competidor; se vuelva pública de forma no autorizada, podría ser causa de la
pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o
incluso la quiebra de esta.

Por más de veinte años[¿cuándo?] la Seguridad de la Información ha declarado que la

confidencialidad, integridad y disponibilidad (conocida como la Tríada CID, del
inglés: "Confidentiality, Integrity, Availability") son los principios básicos de la
seguridad de la información.

La correcta Gestión de la Seguridad de la Información busca establecer y mantener

programas, controles y políticas, que tengan como finalidad conservar la
confidencialidad, integridad y disponibilidad de la información, si alguna de estas
características falla no estamos ante nada seguro. Es preciso anotar, además, que
la seguridad no es ningún hito, es más bien un proceso continuo que hay que
gestionar conociendo siempre las vulnerabilidades y las amenazas que se ciñen
sobre cualquier información, teniendo siempre en cuenta las causas de riesgo y la
probabilidad de que ocurran, así como el impacto que puede tener. Una vez
 Coordinador de seguridad privada 159

conocidos todos estos puntos, y nunca, deberán tomarse las medidas de seguridad
oportunas.

Confidencialidad
La confidencialidad es la propiedad que impide la divulgación de información a
individuos, entidades o procesos no autorizados. A grandes rasgos, asegura el
acceso a la información únicamente a aquellas personas que cuenten con la debida
autorización.

Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el

número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y
el comerciante de a una red de procesamiento de transacciones. El sistema intenta
hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los
datos que contiene la banda magnética durante la transmisión de los mismos. Si
una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha
producido una violación de la confidencialidad.

La pérdida de la confidencialidad de la información puede adoptar muchas formas.

Cuando alguien mira por encima de su hombro, mientras usted tiene información
confidencial en la pantalla, cuando se publica información privada, cuando
un laptop con información sensible sobre una empresa es robado, cuando se
divulga información confidencial a través del teléfono, etc. Todos estos casos
pueden constituir una violación de la confidencialidad.

Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas. (No es igual a integridad referencial en bases de datos.) A grandes
rasgos, la integridad es mantener con exactitud la información tal cual fue generada,
sin ser manipulada ni alterada por personas o procesos no autorizados.

La integridad también es la propiedad que busca proteger que se modifiquen los

datos libres de forma no autorizada, para salvaguardar la precisión y completitud de
los recursos.

La violación de integridad se presenta cuando un empleado, programa o proceso

(por accidente o con mala intención) modifica o borra datos importantes que son
parte de la información.

La integridad garantiza que los datos permanezcan inalterados excepto cuando

sean modificados por personal autorizado, y esta modificación sea registrada,
asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene
adjuntándole otro conjunto de datos de comprobación de la integridad: la firma
digital es uno de los pilares fundamentales de la seguridad de la información.

Disponibilidad
La disponibilidad es la característica, cualidad o condición de la información de
encontrarse a disposición de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones. A grandes rasgos, la disponibilidad es el acceso a la
información y a los sistemas por personas autorizadas en el momento que así lo
requieran.
 Coordinador de seguridad privada 160

En el caso de los sistemas informáticos utilizados para almacenar y procesar la

información, los controles de seguridad utilizados para protegerlo, y los canales de
comunicación protegidos que se utilizan para acceder a ella deben estar
funcionando correctamente. La alta disponibilidad sistemas objetivo debe estar
disponible en todo momento, evitando interrupciones del servicio debido a cortes de
energía, fallos de hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de ataque de denegación

de servicio. Para poder manejar con mayor facilidad la seguridad de la información,
las empresas o negocios se pueden ayudar con un sistema de gestión que permita
conocer, administrar y minimizar los posibles riesgos que atenten contra la
seguridad de la información del negocio.

La disponibilidad además de ser importante en el proceso de seguridad de la

información, es además variada en el sentido de que existen varios mecanismos
para cumplir con los niveles de servicio que se requiera. Tales mecanismos se
implementan en infraestructura tecnológica, servidores de correo electrónico, de
bases de datos, de web etc, mediante el uso de clusters o arreglos de discos,
equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos,
redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de
posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se
quiera proporcionar.

Autenticación
Es la propiedad que permite identificar el generador de la información. Por ejemplo
al recibir un mensaje de alguien, estar seguro de que es de ese alguien el que lo ha
mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de
identidad). En un sistema informático se suele conseguir este factor con el uso de
cuentas de usuario y contraseñas de acceso.

Esta propiedad se puede considerar como un aspecto de la integridad -si está

firmado por alguien, está realmente enviado por el mismo- y así figura en la
literatura anglosajona.

Servicios de seguridad
El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas de
procesamiento de datos y la transferencia de información en las organizaciones. Los
servicios de seguridad están diseñados para contrarrestar los ataques a la
seguridad y hacen uso de uno o más mecanismos de seguridad para proporcionar el
servicio.

No repudio
Proporciona protección contra la interrupción, por parte de alguna de las entidades
implicadas en la comunicación, de haber participado en toda o parte de la
comunicación. Está estandarizado en la ISO 7498-2.

 No repudio de origen: El emisor no puede negar qué envió porque el

destinatario tiene pruebas del envío. El receptor recibe una prueba
infalsificable del origen del envío, lo cual evita que el emisor, de negar tal
 Coordinador de seguridad privada 161

envío, tenga éxito ante el juicio de terceros. En este caso, la prueba la

crea el propio emisor y la recibe el destinatario.
 No repudio de destino: El receptor no puede negar que recibió el mensaje
porque el emisor tiene pruebas de la recepción. Este servicio proporciona
al emisor la prueba de que el destinatario legítimo de un envío, realmente
lo recibió, evitando que el receptor lo niegue posteriormente. En este caso
la prueba irrefutable la crea el receptor y la recibe el emisor.
Si la autenticidad prueba quién es el autor de un documento y cual es su
destinatario, el no repudio prueba que el autor envió la comunicación (no repudio en
origen) y que el destinatario la recibió (no repudio en destino).

El no repudio evita que el emisor o el receptor nieguen la transmisión de un

mensaje. Así, cuando se envía un mensaje, el receptor puede comprobar que,
efectivamente, el supuesto emisor envió el mensaje. De forma similar, cuando se
recibe un mensaje, el emisor puede verificar que, de hecho, el supuesto receptor
recibió el mensaje.

Definición según la recomendación X.509 de la UIT-T: servicio que suministra la

prueba de la integridad y del origen de los datos, ambos en una relación
infalsificable, que pueden ser verificados por un tercero en cualquier momento.

Protocolos de seguridad de la información

Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de

la transmisión de datos entre la comunicación de dispositivos para ejercer una
confidencialidad, integridad, autenticación y el no repudio de la información. Se
componen de:

 Criptografía (Cifrado de datos). Se ocupa de transposicionar u ocultar el

mensaje enviado por el emisor hasta que llega a su destino y puede ser
descifrado por el receptor.
 Lógica (Estructura y secuencia). Llevar un orden en el cual se agrupan los
datos del mensaje el significado del mensaje y saber cuando se va enviar
el mensaje.
 Identificación (Autentication). Es una validación de identificación técnica
mediante la cual un proceso comprueba que el compañero de
comunicación es quien se supone que es y no se trata de un impostor.

Planificación de la seguridad
Hoy en día la rápida evolución del entorno técnico requiere que las organizaciones
adopten un conjunto mínimo de controles de seguridad para proteger su información
y sistemas de información. El propósito del plan de seguridad del sistema es
proporcionar una visión general de los requisitos de seguridad del sistema y se
describen los controles en el lugar o los previstos para cumplir esos requisitos. El
plan de seguridad del sistema también delinea las responsabilidades y el
comportamiento esperado de todos los individuos que acceden al sistema. Debe
reflejar las aportaciones de distintos gestores con responsabilidades sobre el
 Coordinador de seguridad privada 162

sistema, incluidos los propietarios de la información, el propietario de la red, y el alto

funcionario de la agencia de información de seguridad (SAISO).

Los administradores de programas, los propietarios del sistema, y personal de

seguridad en la organización debe entender el sistema de seguridad en el proceso
de planificación. Los responsables de la ejecución y gestión de sistemas de
información deben participar en el tratamiento de los controles de seguridad que
deben aplicarse a sus sistemas.

Ciclo de gestión de incidentes

La gestión de incidentes de seguridad es crucial en el entorno empresarial actual. El
ciclo de gestión de incidentes proporciona un enfoque estructurado que permite a
las organizaciones hacer frente a las inevitables violaciones de seguridad. Desde la
perspectiva del equipo de seguridad, lo importante no es si ocurrirá una violación,
sino cuándo ocurrirá. Esta comprensión nos brinda la oportunidad de desarrollar un
plan de acción para minimizar los posibles daños.

Al seguir este ciclo, las organizaciones pueden reducir el tiempo de respuesta,

minimizar los daños potenciales y cumplir con los requisitos normativos.

La importancia de este enfoque radica en su capacidad para ayudar a las

organizaciones a ser más proactivas y eficientes en la gestión de incidentes de
seguridad. Proporciona una estructura sólida para abordar los incidentes, desde la
detección hasta la recuperación, pasando por la toma de decisiones y la
implementación de medidas de contención. Además, el ciclo de gestión de
incidentes permite aprender de las experiencias pasadas, mejorar continuamente
los procesos y proteger los activos y la reputación de la organización.

El ciclo de gestión de incidentes consta de varias fases que se integran de manera

coherente en cualquier metodología efectiva. Estas fases incluyen:

Planificación y preparación

 Política de Seguridad de la Información.

 Desarrollo de un plan de gestión de incidentes.
 Establecimiento del equipo de respuesta a incidentes (IRT).
 Concienciación y formación.
 Implantación y explotación de los elementos de monitorización de eventos
de seguridad.
 Taxonomía de incidentes de seguridad.
 Simulacros.
 Formación del equipo de respuesta a incidentes (IRT).
 Recursos físicos, como almacenamiento redundante, sistemas en espera
y servicios de respaldo.
Detección y reporte

 Recopilación de información interna y externa.

 Identificar actividad anómala.
 Registrar y notificar el incidente a los canales apropiados.
 Coordinador de seguridad privada 163

Valoración y decisión

Determinar si se trata de un incidente de seguridad.

Clasificar inicialmente el incidente según la taxonomía.
Estimar el impacto del incidente.
Estos parámetros se pueden reevaluar más adelante.
Respuesta

 Continuar la investigación del incidente, con la recopilación y análisis de

evidencias.
Subetapas:

Contención

 Acción inmediata para detener o minimizar el incidente.

 Medidas de contención para mitigar el impacto del incidente.
Erradicación

Aquí se elimina la amenaza identificada de los sistemas afectados.

Puede ser la subfase más larga.
Recuperación

Recuperación o restauración de los recursos y sistemas afectados,

aplicando planes de recuperación ante desastres y el plan de continuidad
de negocio.
Lecciones aprendidas y actividad post-incidente

Mejora continua del ciclo de respuesta a incidentes.

Identificación de mejoras en planes, políticas, procedimientos y sistemas
de monitorización.
 Evaluación de la efectividad, agilidad y desempeño del equipo de
respuesta a incidentes.
 Identificación de lecciones aprendidas y desarrollo de un plan para su
aplicación.
 Uso de la información recopilada para tomar decisiones de seguridad
futuras y entrenamiento del personal.
Consideraciones legales
Otros aspectos importantes por considerar en una respuesta a incidentes son las
ramificaciones legales. Los planes de seguridad deberían ser desarrollados con
miembros del equipo de asesoría jurídica o alguna forma de consultoría general. De
la misma forma en que cada compañía debería tener su propia política de seguridad
corporativa, cada compañía tiene su forma particular de manejar incidentes desde la
perspectiva legal. Las regulaciones locales, de estado o federales están más allá del
ámbito de este documento, pero se mencionan debido a que la metodología para
llevar a cabo el análisis forense, será dictado, al menos en parte, por la consultoría
jurídica. La consultoría general puede alertar al personal técnico de las
ramificaciones legales de una violación; los peligros de que se escape información
 Coordinador de seguridad privada 164

personal de un cliente, registros médicos o financieros; y la importancia de restaurar

el servicio en ambientes de misión crítica tales como hospitales y bancos.

Planes de acción
Una vez creado un plan de acción, este debe ser aceptado e implementado
activamente. Cualquier aspecto del plan que sea cuestionado durante la
implementación activa lo más seguro es que resulte en un tiempo de respuesta
pobre y tiempo fuera de servicio en el evento de una violación. Aquí es donde los
ejercicios prácticos son invalorables. La implementación del plan debería ser
acordada entre todas las partes relacionadas y ejecutada con seguridad, a menos
que se llame la atención con respecto a algo antes de que el plan sea colocado en
producción.

La respuesta a incidentes debe ir acompañada con recolección de información

siempre que esto sea posible. Los procesos en ejecución, conexiones de red,
archivos, directorios y mucho más debería ser auditado activamente en tiempo real.
Puede ser muy útil tener una toma instantánea de los recursos de producción al
hacer un seguimiento de servicios o procesos maliciosos. Los miembros de CERT y
los expertos internos serán recursos excelentes para seguir tales anomalías en un
sistema.

Respuestas Organizacionales
Los académicos han descubierto que la inversión en factores tecnológicos y
organizativos puede afectar la protección contra el phishing. Los estudios
encontraron que las organizaciones pueden mejorar la educación técnica de sus
empleados si incluyen factores sociotécnicos en su formación.6

El manejo de riesgos
Dentro de la seguridad en la información se lleva a cabo la clasificación de las
alternativas para manejar los posibles riegos que un activo o bien puede tener
dentro de los procesos de organización. Esta clasificación lleva el nombre de
manejo de riesgos.

El manejo de riesgos conlleva una estructura bien definida, con un control adecuado
y su manejo, habiéndolos identificado, priorizados y analizados, a través de
acciones factibles y efectivas. Para ello se cuenta con las siguientes técnicas de
manejo del riesgo:

 Evitar. El riesgo es evitado cuando la organización rechaza aceptarlo, es

decir, no se permite ningún tipo de exposición. Esto se logra simplemente
con no comprometerse a realizar la acción que origine el riesgo. Esta
técnica tiene más desventajas que ventajas, ya que la empresa podría
abstenerse de aprovechar muchas oportunidades. Ejemplo:
No instalar empresas en zonas sísmicas
 Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades
de tipo operacional, la alternativa puede ser su reducción hasta el nivel
más bajo posible. Esta opción es la más económica y sencilla. Se
consigue optimizando los procedimientos, la implementación de controles
y su monitoreo constante. Ejemplo:
 Coordinador de seguridad privada 165

No fumar en ciertas áreas, instalaciones eléctricas anti flama, planes de

contingencia.
 Retener, Asumir o Aceptar el riesgo. Es uno de los métodos más
comunes del manejo de riesgos, es la decisión de aceptar las
consecuencias de la ocurrencia del evento. Puede ser voluntaria o
involuntaria, la voluntaria se caracteriza por el reconocimiento de la
existencia del riesgo y el acuerdo de asumir las pérdidas involucradas,
esta decisión se da por falta de alternativas. La retención involuntaria se
da cuando el riesgo es retenido inconscientemente. Ejemplo de asumir el
riesgo:
Con recursos propios se financian las pérdidas.
 Transferir. Es buscar un respaldo y compartir el riesgo con otros controles
o entidades. Esta técnica se usa ya sea para eliminar un riesgo de un
lugar y transferirlo a otro, o para minimizar el mismo, compartiéndolo con
otras entidades. Ejemplo:
Transferir los costos a la compañía aseguradora

Medios de transmisión de ataques a los sistemas de seguridad

El mejor en soluciones de su clase permite una respuesta rápida a las amenazas
emergentes, tales como:

 Malware y spam propagado por correo electrónico.

 La propagación de malware y botnets.
 Los ataques de phishing alojados en sitios web.
 Los ataques contra el aumento de lenguaje de marcado extensible (XML)
de tráfico, arquitectura orientada a servicios (SOA) y servicios web.
Estas soluciones ofrecen un camino a la migración y la integración. Como las
amenazas emergentes, cada vez más generalizada, estos productos se vuelven
más integrados en un enfoque de sistemas.

Un enfoque de sistemas de configuración, la política, y el seguimiento se reúne

cumplimiento de las normativas en curso y permite a los sistemas rentables de
gestión. El enfoque de sistemas de gestión de la seguridad, dispone:

 Configuración de la política común de todos los productos

 Amenaza la inteligencia y la colaboración de eventos
 Reducción de la complejidad de configuración
 Análisis de riesgos eficaces y operativos de control
En la actualidad gracias a la gran cantidad posibilidades que se tiene para tener
acceso a los recursos de manera remota y al gran incremento en las conexiones a
la internet los delitos en el ámbito de TI se han visto incrementado, bajo estas
circunstancias los riesgos informáticos son más latentes. Los delitos cometidos
mediante el uso de la computadora han crecido en tamaño, forma y variedad. Los
principales delitos hechos por computadora o por medio de computadoras son:

 Fraudes
 Falsificación
 Coordinador de seguridad privada 166

 Venta de información
Entre los hechos criminales más famosos en los Estados Unidos están:

 El caso del Banco Wells Fargo donde se evidenció que la protección de

archivos era inadecuada, cuyo error costo USD 21.3 millones.
 El caso de la NASA donde dos alemanes ingresaron en archivos
confidenciales.
 El caso de un muchacho de 15 años que entrando a la computadora de la
Universidad de Berkeley en California destruyó gran cantidad de archivos.
 También se menciona el caso de un estudiante de una escuela que
ingreso a una red canadiense con un procedimiento de admirable
sencillez, otorgándose una identificación como un usuario de alta
prioridad, y tomó el control de una embotelladora de Canadá.
 También el caso del empleado que vendió la lista de clientes de una
compañía de venta de libros, lo que causó una pérdida de USD 3
millones.
 También el caso de estudiantes de Ingeniería electrónica donde
accedieron al sistema de una Universidad de Colombia y cambiaron las
notas de sus compañeros generando estragos en esta Universidad y
retrasando labores, lo cual dejó grandes pérdidas económicas y de
tiempo.7
Los virus, troyanos, spyware, malware y demás código llamado malicioso (por las
funciones que realiza y no por tratarse de un código erróneo), tienen como objetivo
principal el ejecutar acciones no solicitadas por el usuario, las cuales pueden ser
desde, el acceso a una página no deseada, el redireccionamiento de algunas
páginas de internet, suplantación de identidad o incluso la destrucción o daño
temporal a los registros del sistemas, archivos y/o carpetas propias. El virus
informático es un programa elaborado accidental o intencionadamente, que se
introduce y se transmite a través cualquier medio extraíble y transportable o de la
misma red en la que se encuentre un equipo infectado, causando diversos tipos de
daños a los sistemas.

Históricamente los virus informáticos fueron descubiertos por la prensa el 12 de

octubre de 1985, con una publicación del New York Times que hablaba de un virus
que fue se distribuyó desde un BBS y aparentemente era para optimizar los
sistemas IBM basados en tarjeta gráfica EGA, pero al ejecutarlo salía la
presentación pero al mismo tiempo borraba todos los archivos del disco duro, con
un mensaje al finalizar que decía "Caíste".

Este dato se considera como el nacimiento de su nombre, ya que los programas con
código integrado, diseñados para hacer cosas inesperadas han existido desde que
existen las propias computadoras. Las primeras referencias de virus con fines
intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC)
empleó una subrutina para proteger su famoso procesador de textos Decmate II,
que el 1 de abril de 1983 en caso de ser copia ilegal borraba todos los archivos de
su unidad de disco.

Actores que amenazan la seguridad

 Coordinador de seguridad privada 167

 Un hacker es cualquier persona con amplios conocimientos en tecnología,

bien puede ser informática, electrónica o comunicaciones, mantiene
permanentemente actualizado y conoce a fondo todo lo relacionado con
programación y sistemas complejos; es un investigador nato que se
inclina ante todo por conocer lo relacionado con cadenas de datos
cifrados y las posibilidades de acceder a cualquier tipo de "información
segura". Su formación y las habilidades que poseen les da una experticia
mayor que les permite acceder a sistemas de información seguros, sin ser
descubiertos, y también les da la posibilidad de difundir sus
conocimientos para que las demás personas se enteren de cómo es que
realmente funciona la tecnología y conozcan las debilidades de sus
propios sistemas de información.
 Un cracker, es aquella persona con comportamiento compulsivo, que
alardea de su capacidad para reventar sistemas electrónicos e
informáticos. Un cracker es un hábil conocedor de programación de
Software y Hardware; diseña y fabrica programas de guerra y hardware
para reventar software y comunicaciones como el teléfono, el correo
electrónico o el control de otros computadores remotos.
 Un lamer Es una persona que alardea de pirata informático, cracker o
hacker y solo intenta utilizar programas de FÁCIL manejo realizados por
auténticos hackers.
 Un copyhacker es una persona dedicada a falsificar y crackear hardware,
específicamente en el sector de tarjetas inteligentes. Su estrategia radica
en establecer amistad con los verdaderos Hackers, para copiarles los
métodos de ruptura y después venderlos los bucaneros. Los copyhackers
se interesan por poseer conocimientos de tecnología, son aficionados a
las revistas técnicas y a leer todo lo que hay en la red. Su principal
motivación es el dinero.
 Un "bucanero" es un comerciante que depende exclusivamente de la red
para su actividad. Los "bucaneros" no poseen ningún tipo de formación en
el área de los sistemas, si poseen un amplio conocimiento en área de los
negocios.
 Un phreaker se caracterizan por poseer vastos conocimientos en el área
de telefonía terrestre y móvil, incluso más que los propios técnicos de las
compañías telefónicas; recientemente con el auge de los teléfonos
móviles, han tenido que entrar también en el mundo de la informática y
del procesamiento de datos.
 Un newbie o "novato de red" es un individuo que sin proponérselo
tropieza con una página de hacking y descubre que en ella existen áreas
de descarga de buenos programas de hackeo, baja todo lo que puede y
empieza a trabajar con ellos.
 Un script kiddie o skid kiddie, es un simple usuario de Internet, sin
conocimientos sobre hackeo o crackeo que, aunque aficionado a estos
tema, no los conoce en profundidad limitándose a recopilar información
de la red y a buscar programas que luego ejecuta, infectando en algunos
casos de virus a sus propios equipos.
 Un tonto o descuidado, es un simple usuarios de la información, con o sin
conocimientos sobre hackeo o crackeo que accidentalmente borra daña o
 Coordinador de seguridad privada 168

modifica la información, ya sea en un mantenimiento de rutina o

supervision.

Gobierno de la Seguridad de la Información

Un término a tomar en cuenta en el área de la seguridad de la información es su
Gobierno dentro de alguna organización empezando por determinar los riesgos que
le atañen y su forma de reducir y/o mitigar impactos adversos a un nivel aceptable
mediante el establecimiento de un programa amplio y conciso en seguridad de la
información y el uso efectivo de recursos cuya guía principal sean los objetivos del
negocio, es decir, un programa que asegure una dirección estratégica enfocada a
los objetivos de una organización y la protección de su información.

Los seis resultados más importantes de este gobierno son:

 Alineación estratégica: alineada con la estrategia de negocio para

respaldar los objetivos de la organización.
 Gestión de riesgos: mitigar los riesgos y reducir el posible impacto a un
nivel aceptable para la organización.
 Entrega de valor: optimizar las inversiones en seguridad para apoyar los
objetivos del negocio.
 Gestión de recursos: utilizar el conocimiento y la infraestructura de
seguridad de la información con eficiencia y eficacia.
 Medición de desempeño: monitorear y reportar para garantizar que se
alcancen los objetivos definidos.
 Integración de aseguramiento: integrar todos los factores de
aseguramiento relevantes para garantizar que los procesos analizados y
que forman parte de la definición de gobierno, operan de acuerdo con lo
planeado de principio a fin.
Tareas específicas:

 Identificar las influencias internas y externas a la organización (por

ejemplo, la tecnología, el entorno empresarial, la tolerancia al riesgo, la
ubicación geográfica, los requisitos legales, normativas..) para asegurarse
que estos factores son abordados por la estrategia de seguridad de la
información (ciberseguridad).
 Obtener el compromiso de la alta dirección y el apoyo de otras partes
interesadas para maximizar la probabilidad de una implementación
exitosa de la estrategia de seguridad de la información (ciberseguridad),
es imprescindible.
 Definir y comunicar las funciones y responsabilidades de seguridad de la
información, definidas en el gobierno de la seguridad, en toda la
organización para establecer claramente las responsabilidades y las
líneas de autoridad.
 Establecer, supervisar, evaluar y reportar métricas para proporcionar una
administración y supervisión con información precisa en cuanto a la
efectividad de la estrategia de seguridad de la información.
Estándares de seguridad de la información
 Coordinador de seguridad privada 169

 ISO/IEC 27000-series
 ISO/IEC 27001
 ISO/IEC 27002
Otros estándares relacionados

 COBIT
 ITIL
 ISO/IEC 20000 — Tecnología de la información, Gestión del
servicio. BSI fue pionera con el desarrollo de la BS 15000 en 2002, norma
en la que se basó la ISO 20000
Certificaciones

 CISM: Certified Information Security Manager

 CISSP: Certified Information Systems Security Professional Certification
 GIAC: Global Information Assurance Certification
 CPTE Certified Penetration Testing Engineer
 CPTC Certified Penetration Testing Consultant
 CPEH Certified Professional Ethical Hacker
 CISSO Certified Information Systems Security Officer
 CSLO Certified Security Leadership Officer
Certificaciones independientes en seguridad de la información

 CISA- Certified Information Systems Auditor, ISACA

 CISM- Certified Information Security Manager, ISACA
 Lead Auditor ISO27001- Lead Auditor ISO 27001, BSI
 CISSP - Certified Information Systems Security Professional, ISC2
 SECURITY+, COMPTia - Computing Technology Industry Association
 CEH - Certified Ethical Hacker
 PCI DSS - PCI Data Security Standard