You are on page 1of 76

CURSO DE

Instructor: Raúl Granados Sánchez PSP


PREPARACIÓN
PARA LA
CERTIFICACION
PSP
Fecha: 22/05/2018
Temario General
PRINCIPIOS DE SEGURIDAD FÍSICA
• Parte I: Gestión del Riesgo: La base para la
seguridad Física
• Parte II: Principios y Practicas de Diseño
• Parte III: Seguridad Física y Estrategias de
Protección
• Parte IV: Gestión de Proyectos y Programas de
Seguridad Física
2
GESTION DE
Curso de preparación:
RIESGO: LA Certificación PSP
BASE PARA LA
SEGURIDAD Instructor: Raúl Granados Sánchez PSP

FÍSICA

Fecha: 22/05/2018
CONTENIDO:
• 1.- Conceptos de Gestión de Riesgos de Seguridad
• 2.- Funciones de la Seguridad Física
• 3.- Planeación y ejecución de evaluaciones de
Seguridad Física
• 4.- Mediciones de la Eficacia: Conceptos de
métricas de seguridad Física

4
Conceptos de Gestión
de Riesgos de Seguridad

Ing. Raúl Granados Sánchez PSP, DSE

5
Gestión De Riesgos
• Risk Management
“El objetivo principal de la seguridad es gestionar
riesgos equilibrando el costo de las medidas de
protección con los beneficios obtenidos”
“ Para gestionar el riesgo eficazmente, un profesional
de la seguridad, debería eliminar o reducir el número
total de incidentes que conducen a pérdidas”
“ Uno de los objetivos de la gestión de riesgos es
manejar las pérdidas eficientemente al menor costo”
6
Gestión de Riesgos
“Proceso analítico y sistemático mediante el cual una
organización identifica, reduce y controla sus potenciales
riesgos y pérdidas*”
• Ofrece un método racional y defendible para tomar
decisiones sobre el gasto de los escasos recursos y la
selección de contra medidas rentables para proteger los
activos valiosos
• Mejora la tasa de éxito de los esfuerzos de seguridad de una
organización
• Ayuda a los profesionales de la seguridad y a los principales
responsables de tomar las decisiones a responder la pregunta
¿Cuánta seguridad es suficiente?
*National Infraestructure Protection Center
7
Proceso de
Gestión de
Riesgos

8
RIESGO

9
Riesgo
• Riesgo.-es la exposición a una posible perdida
• In certitud de perdida financiera
• Variación entre resultados actuales y esperados
• Probabilidad de que una perdida ocurra u
ocurrirá
• El resultado del riesgo es una perdida o una
perdida de valor
• El objeto asegurado
Tipos de Riesgo
• Riesgo puro
• Crimen
• Riesgos naturales
• Normalmente perdida
• Riesgo Especulativo o Dinámico
• Derivado de negocios
• Perdidas o ganancia
• Peril.- causa del riesgo
Factores de riesgo • Fuego, inundación,
terremoto.
• Hazard.-Peligro Latente
• Pistola, acido, almacén
• Peril combustible.
• Factor que contribuye o
• Hazard aumenta el peril
Estableciendo el contexto

• Cuál es el Riesgo?

13
Modelo de Análisis de riesgo
Bienes / Activos
• 2 Tareas:
• Identificación
• Valoración
• Bienes
• Tangibles
• Intangibles
• Mixtos
“ No se puede implementar un
programa de seguridad eficaz sin
conocimiento profundo de lo que
se está protegiendo o debe ser
protegido”

“Las personas son el bien más


crítico de cualquier organización”

15
Amenazas
• 3 Categorías:
• Intencionales
• Naturales
• Accidentales o
inadvertidas
• 3 Tareas:
• Identificarlas
• Describirlas
• Estimar la probabilidad
o posibilidad de que se
materialice el ataque
“ Una exhaustiva evaluación del nivel de amenaza
que enfrenta la organización es fundamental para el
éxito del plan de seguridad” 16
Vulnerabilidades
• Una debilidad, un error,
omisión o problema que
puede ser aprovechado
por la amenaza
• Condiciones existentes o
prácticas de la
organización
“ Una debilidad o una práctica
organizacional que puede facilitar o
permitir que una amenaza se
ejecute, o aumente la magnitud de
un evento de pérdida”
Asis International 2007
17
Vulnerabilidades - Amenazas
• “Las vulnerabilidades
son propias de la
organización y
generalmente se puede
ejercer algún grado de
control”
• “Las amenazas pueden
ser internas o externas
pero generalmente
están fuera del control
de la organización “
18
Análisis de riesgos
“ El análisis de riesgos es el
2 Tareas Fundamentales proceso de identificar las
potenciales área de pérdidas e
• Impacto de un evento implementar las contramedidas
de pérdida para mitigar la probabilidad de
• Consecuencia, Impacto, pérdida”
Criticidad
• Clasificar, priorizar los
riesgos identificados
• Categorías
• Valor monetario
• Costos de mitigación
• Plazos
19
Evaluación de Riesgos
• AMENAZAS Y • PROBABILIDAD /
VULNERABILIDADES POSIBILIDAD

• BIENES • IMPACTO DE
EVENTO DE
PÉRDIDA
Clasificar, catalogar los riesgos
identificados
Ordenarlos por importancia o prioridad
Decidir cuales atacar primero
Evaluación de riesgos
Análisis de Riesgo
• Es una herramienta administrativa
• Define los estándares que la administración
esta dispuesta a aceptar como perdidas
• Toma de decisiones
• No es trabajo de una vez, es continuo y
periódico
• “Establecer un balance económico entre el
impacto del riesgo en la empresa y el costo
de la implementación de las medidas”
No es una ciencia exacta
Análisis de Riesgo
• Tareas básicas
• Identificar bienes y objetivos de protección a ser protegidos
• Identificar el tipo de riesgo que pueden afectar a los bienes u
objetivos de protección ( Amenazas)
• Determinar la probabilidad de ocurrencia del riesgo
• Determinar el impacto o los efectos,( monetariamente de
preferencia)
• El mayor recurso para llevarlo a cabo es el personal bien
capacitado
• Interno
• Externo (consultores)
• Normalmente el primer análisis es el más costoso
• Soporte de la alta dirección
Selección de Medidas de Mitigación
• Recomendar medidas para abordar eficazmente los
riesgos relevantes
• Considerar Recursos disponibles
• Se debe considerar los objetivos y misión de la
organización
• No es práctico atacar todos los riesgos que se han
identificado
• Bien/amenaza y vulnerabilidad que pueden causar
mayor impacto o daño en la misión de la organización,
deben ser atacados con prioridad
IMPLEMENTACION DE MEDIDAS
• Elementos estructurales, Sistemas, Políticas y
Procedimientos, Personal
• Análisis Costo Beneficio
• Disponibilidad, Factibilidad
• Operaciones, misión, stakeholders,
• Cultura de la empresa
Técnica de tres etapas
• Medidas para manejo
• Prevención
• Control
• Recuperación
Técnica Costo beneficio
• Costo de medidas de seguridad
• Cuantificación de beneficios
• Costos
– Adquisición
– Instalación
– Operación
– Mantenimiento / actualizaciones
– Ciclo de vida
– Personal
• Confiabilidad
– Madurez de la tecnología
– Avance tecnológico
– Prueba de los sistemas
• Retraso
– Tiempo para implementar medidas
– Necesidad de implementar medidas
temporales o en paralelo
MEDIDAS vs AMENAZAS
• Las medidas dependen del adversario y
amenaza
• Se requieren diferentes medidas y niveles de
efectividad para manejar diferentes amenazas
• Cuando la amenaza cambia o se sofistica el
nivel de seguridad y medidas también deben
hacerlo
• Se puede desarrollar una tabla de amenazas
Pasos para la selección de Medidas
1. Seleccionar
2. Probar
3. Implementar
4. Entrenar

28
1.- Seleccionar medida
• Considerar diferentes alternativas
• Identificar medidas que ofrezcan
un equilibrio óptimo entre la
reducción y el costo del riesgo
(Costo / Beneficio )
• Se pueden clasificar por:
• Costo
• Urgencia
• Conveniencia
• Comodidad
• Dificultad o tiempo para ser
implementada
• Difícilmente una medida única
solucionara todos los
requerimientos
29
2.- Probar
La solución funciona como se
esperaba en ese entorno
específico?
La integración entre los
componentes de todo el sistema es
la adecuada?
La solución funciona como se
esperaba con otros sistemas del
sitio?
La solución tiene el efecto deseado
en la reducción del riesgo?
El personal puede adaptarse a la
nueva solución?
Los costos a corto y largo plazo se
pueden proyectar con exactitud?
30
3.- Implementar
• Costos directos e indirectos
• Tiempos
• Afectaciones a instalaciones,
procesos o personas
• Notificación a personas o
departamentos dentro de la
organización
• Apoyo de otros
departamentos, personal
interno, externos,
consultores,
• Tiempo para que el personal
se acostumbren a la solución 31
4.- Entrenar
• Personal de Seguridad
• Administración
• Operación
• Configuración
• Mantenimiento
• Empleados, visitantes,
proveedores
• Políticas
• Procedimientos

32
MITIGACION DEL RIESGO
• Metodología sistemática aplicada por
la alta dirección para reducir el riesgo
global de la operación
• Se debe establecer el nivel de riesgo
aceptable
• Responsabilidad de la alta dirección
Mitigación de Riesgos
• CONCEPTOS FUNDAMENTALES
• Las 4 D´s
• Las 5 Vías para enfrentar el riesgo
• Seguridad por Capas

34
Las 4 D´s
• DISUADIR
• Desalentar cualquier
intento de ataque de un
potencial adversario
• DETECTAR
• Falla la disuasión
• El ataque, evento o
situación

37
Las 4 D´s
• DEMORAR
• El ataque está en curso
• Retrasar el ataque lo
suficiente para:
• Desalentarlo y que
aborten el intento
• La fuerza de respuesta
actúe
• Registrar el evento
• Denegar
• Evitar que:
• La amenaza llegue al bien
• Robe el bien
• Cumpla su objetivo 38
Las 4 D´s
• Detectar lo más alejado del bien
• Retraso cerca del bien
• Detección sin evaluación no es detección
• Detección y retraso sin respuesta solo es disuasión
• Retraso antes de la detección es solo disuasión
• Respuesta
• Interrupción
• Neutralización
Medición de Desempeño
• Detección
• Probabilidad de detección
• Tiempo para comunicación y evaluación
• Frecuencia de alarmas no deseadas
• Retraso
• Tiempo que ofrece el sistema después de
la detección
• Denegar (Respuesta)
• Probabilidad de la correcta comunicación
con la fuerza de respuesta
• Tiempo para comunicar
• Probabilidad de despliegue
• Tiempo de despliegue
• Efectividad de la fuerza
Líneas de defensa
• Barreras de perímetro
• Primera línea de defensa
• Normalmente detección, poco retraso,
Disuasión
• Paredes exteriores ,pisos, techos
• Segunda línea de defensa
• Retraso, Detección, Zonas de intervención,
Disuasión
• Líneas internas
• Tercera línea de defensa
• Detección, zonas de intervención, RETRASO
Las 5 vías para reducir
el Riesgo
• Métodos de manejo de Riesgo

• Evitar
• Distribuir
• Transferir
• Reducir
• Aceptar
Las 5´s Vías para
enfrentar el Riesgo
• EVITAR
• Vía más directa
• Eliminar cualquier posibilidad
que se manifieste el riesgo
• En ocasiones no es posible.
• DISTRIBUIR
• Dispersar geográficamente los
activos de la organización
• Se disminuye el riesgo
reduciendo la criticidad
• Puede incrementar costos
operativos
43
Las 5´s Vías para enfrentar
el Riesgo
• TRANSFERIR
• Seguros
• En algunos casos no cubren
toda la criticidad del riesgo
• Convertirse en un objetivo
menos atractivo o más difícil
• Transferir el riesgo a
proveedores, distribuidores
• REDUCIR
• Cualquier medida enfocada a
disminuir la vulnerabilidad
• Políticas, procedimientos
• Sistemas
• Personal
44
REDUCCION DEL RIESGO
• Prevenir el ataque
• Disuasión
• Inteligencia
• Protegerse contra el
ataque
• Medidas para evitar que
el evento de pérdida se
complete
• Reducir o mitigar las
consecuencias
• Pueden ser
implementadas antes,
durante o después
Las 5´s Vías para enfrentar
el Riesgo
• ACEPTAR
• Riesgos que no se pueden
manejar
• Riesgos que no conviene
manejar
• RIESGO RESIDUAL
“Riesgo no identificado, Riesgo
aceptado”
Una estrategia integral de
protección de activos debe
incorporar una combinación de
todos los métodos
46
Matriz de Decisión
• Al proponer una medida se deben considerar
los costos de implementarla
• Evaluar como afectará la operación y
funcionamiento de la organización
• Evaluar beneficios
• No se deben implementar medidas que no sean
eficientes en la relación costo beneficio.
Matriz de decisión
Frecuencia Frecuencia Frecuencia
Alta Media Baja

Severidad Evitar Reducir y Transferir


Alta Evitar

Severidad Reducir y Reducir y Aceptar


Media Evitar Trasferir (Incluso Fondear)

Severidad Reducir Reducir y Aceptar


Baja Aceptar

Costo
Beneficio
Seguridad en Capas
• Una combinación de medidas y niveles e seguridad
bien pensados y complementarios conforman un plan
eficaz de protección de activos
ASIS:
Un enfoque de seguridad física que requiere que un
criminal penetre o supere una serie de capas de
seguridad antes de lograr su objetivo. Las capas deben
ser:
Las barreras perimetrales
Los edificios o áreas, protegidas con cerraduras,
CCTV y guardias
Protección del punto o bien utilizando cajas
fuertes bóvedas y sensores
49
Seguridad en Capas
• Protección en Profundo
• El agresor, deberá evitar o derrotar una serie de
dispositivos y medidas de protección en
secuencia
• Las medidas pueden ofrecer niveles de
efectividad diferente, o requerir diferentes
tiempos para superarlos, pero el agresor deberá
enfrentarlos uno a uno
Protección en Profundo
• Protección por capas
• Incrementar el nivel de desconocimiento del sistema al agresor
• Requerir mayor nivel de preparación y sofisticación del atacante
• Crear pasos que el atacante fallara terminando por abortar la
misión.
Mínimo dos sistemas de alarma en alta seguridad
Combinación de sistemas
Protección por capas

• Tipos de capas
• Detección
• Retraso
• Defensa
• Tres capas
Principales
Barreras de perímetro
Primera línea de defensa
Paredes exteriores ,pisos, techos
(Boundary)
Segunda línea de defensa
Areas internas
Tercera línea de defensa
Seguridad en Capas
• Estructura de seguridad
• Estrategia integral, no
• Sistemas electrónicos
solamente una • Oficiales e Seguridad
combinación de • Políticas y procedimientos
elementos parciales • Educación y conciencia de seguridad
• Diseño, distribución arquitectura e
ingeniería
• CPTED
• Contratos
• Aspectos legales y financieros
• Seguros
• Safety
• Seguridad de la información ( TI y no TI)
• Continuidad del negocio 53
ADMINISTRACION DE RIESGO
• No es posible eliminar completamente el riesgo
• Es importante determinar el nivel de protección
requerido y determinar las opciones para lograrlo
• El objetivo es reducir la vulnerabilidad del bien a través
de diferentes acciones y medidas
Terminología

• Evento
• Perfil de evento de pérdida • Algo que ocurre de manera
• Tipos de amenazas que afectan al bien notable: incidente de seguridad,
accidente, alarma , emergencia
• Probabilidad de evento de pérdida médica
• Criticidad de evento de pérdida • Evento de pérdida
• Criticidad ( Criticality) • Evento que produce una pérdida
financiera o impacto negativo en
• Impacto del evento de pérdida, costo los bienes, guerra, crimen,
neto del evento desastres, incidentes de seguridad
• Incidente de seguridad
• Una ocurrencia o acción
Asis: que puede acarrear muertes,
lesiones o pérdidas monetarias ,
General Security Risk Assessment asaltos a empleados clientes o
Guideline proveedores en las instalaciones
PSP: Gestión de Riesgos
FUNCIONES DE LA
SEGURIDAD FISICA

Ing. Raúl Granados Sánchez PSP, DSE

57
SEGURIDAD FISICA
• “Parte de la seguridad relacionada con las medidas de
seguridad para proteger a las personas; evitar el acceso
no autorizado a equipos, instalaciones, material y
documentos; y para protegerlos contra un incidente de
seguridad” Facilities Physical Security Measures Guideline, ASIS
• “ Las medidas de seguridad física apuntan, ya sea a
prevenir un ataque directo a un sitio o reducir el
potencial de daño y lesiones que podría infringirse si
ocurriera el incidente” centre for the protection of nationel
Infraestructure, U.K.
SEGURIDAD FISICA
• Medida de seguridad física:
“Dispositivo, sistema o práctica de naturaleza tangible
diseñada para proteger a las personas y evitar daños a,
pérdida de, o acceso no autorizado a los bienes” Facilities
Physical Security Measures Guideline, ASIS

Amenazas humanas intencionales


Protegerse de un ataque ( evitar que se lleve a cabo
con éxito)
Reducir el riesgo reduciendo la probabilidad del éxito
del ataque
El ataque se esta llevando a cabo
FUNCIONES BASICAS DE LA
SEGURIDAD FÍSICA
CONTROL DE ACCESO
OBSERVACIÓN DE UN AREA, SITUACIÓN O EVENTO
DETECTAR EVENTOS
RESPONDER A SITUACIONES
FUNCIONES BASICAS DE LA SEGURIDAD
FÍSICA
• Control de acceso
• Controlar o limitar el
acceso a un área,
instalación, persona o
bien
• Personas
• Vehículos
• Objetos
• Paquetes, armas,
explosivos,
FUNCIONES BASICAS DE LA SEGURIDAD
FÍSICA
• Observación
• Detectar una amenaza
que se aproxima
FUNCIONES BASICAS DE LA SEGURIDAD
FÍSICA
• Detectar eventos
• Descubrimiento de
acciones cubiertas o
evidentes de la
amenaza
FUNCIONES BASICAS DE LA SEGURIDAD
FÍSICA
• Respuesta
• Neutralizar
• Contener
• Mitigar
• Registrar el evento
Componentes

• Las Medidas y herramientas de un sistema de


seguridad física pueden ser agrupadas en:

• Elementos Estructurales
• Componentes Electrónicos
• Componentes Humanos
• Sistemas Periféricos e interfaces
Componentes estructurales
• Barreras
• Cercados
• Bolardos
• Terreno
• Cerraduras
• Diseño, Arquitectura,
Ingeniería
• CPTED
• Paisajismo
• Iluminación
• Vidrios ( Glazing)
Elementos electrónicos
• Vigilancia
• Control de acceso
• Sistemas de detección
de intrusos
• Comunicaciones
Componentes Humanos
• Guardias de seguridad
• Otras funciones de soporte
• Mantenimiento,
instalaciones, recepción,
legal, RRHH, IT
• Control de visitantes
• Credencialización
• Centro de operación de
seguridad
• Armas
• Sistemas de manejo de
incidentes
Sistemas Periféricos e interfaces
• Sistemas de “safety”
• Detección de humo
• Incendio
• Notificación de
emergencia
• BMS
• IT
• Relaciones y
comunicación
• Policía local
• Bomberos, Ambulancias
• Autoridades
• Asociaciones
Elementos del Sistema de Seguridad Física

Seguridad
Electrónica
Estructura

Recursos SEGURIDAD
Humanos
INTEGRAL
Modelos Típicos

Seguridad electrónica
R.Humanos

R. Humanos
S.E.
Estructura Estructura
Modelo Optimo

Estructura

Seguridad electrónica

R. Humanos
COSTO

Jerarquía de
Medidas
Personal
Guardias, consultores, Staff,
Administración,

Electromecánico
CCTV, alarmas, iluminación, chapas, sensores, barreras
Torniquetes, centro de monitoreo, comunicaciones

Modificación de comportamiento
Políticas, procedimientos, entrenamiento, conciencia
de seguridad
Prioridades
• Medidas de Bajo Costo
• Medidas que incrementen altamente la
probabilidad de prevenir la agresión
• Medidas que incrementan altamente la
probabilidad de evitar el éxito de la agresión
• Medidas a Valores de alto valor
• Consecuencias Altas
• Relaciones Costo Beneficio Alto
PSP: Funciones de la seguridad
Física