Seguridad Física IDESEGI INSTITUTO DE INVESTIGACIÓN Y DESARROLLO EN SEGURIDAD INTEGRAL

CURSO DE PREPARACIÓN PARA LA CERTIFICACION PSP Fecha: 22/05/2019 Instructor: Orlando Chávez Villafranca. PSP

Temario General PRINCIPIOS DE SEGURIDAD FÍSICA Parte I:Gestión del Riesgo: La base para la seguridad Física Parte II: Principios y Practicas de Diseño Parte III: Seguridad Física y Estrategias de Protección Parte IV: Gestión de Proyectos y Programas de Seguridad Física 2

GESTION DE RIESGO: LA BASE PARA LA SEGURIDAD FÍSICA Fecha: 22/05/2019 Curso de preparación: Certificación PSP Instructor: Orlando Chávez Villafranca. PSP

CONTENIDO: 1.- Conceptos de Gestión de Riesgos de Seguridad 2.- Funciones de la Seguridad Física 3.- Planeación y ejecución de evaluaciones de Seguridad Física 4.- Mediciones de la Eficacia: Conceptos de métricas de seguridad Física 4

Conceptos de Gestión de Riesgos de Seguridad 5

Gestión De Riesgos Risk Management “El objetivo principal de la seguridad es gestionar riesgosequilibrando el costo de las medidas de protección con los beneficios obtenidos” “ Para gestionar el riesgo eficazmente, un profesional de la seguridad, debería eliminar o reducir el número total de incidentes que conducen a pérdidas” “ Uno de los objetivos de la gestión de riesgos es manejar las pérdidas eficientemente al menor costo” 6

Gestión de Riesgos “Proceso analítico y sistemático mediante el cual una organización identifica, reduce y controla sus potenciales riesgos y pérdidas*” Ofrece un método racional y defendible para tomar decisiones sobre el gasto de los escasos recursos y la selección de contra medidas rentables para proteger los activos valiosos Mejora la tasa de éxito de los esfuerzos de seguridad de una organización Ayuda a los profesionales de la seguridad y a los principales responsables de tomar las decisiones a responder la pregunta ¿Cuánta seguridad es suficiente? * National Infraestructure Protection Center 7

8 Proceso de Gestión de Riesgos

RIESGO 9

Riesgo Riesgo.-es la exposición a una posible perdida In certitud de perdida financiera Variación entre resultados actuales y esperados Probabilidad de que una perdida ocurra u ocurrirá El resultado del riesgo es una perdida o una perdida de valor El objeto asegurado

Tipos de Riesgo Riesgo puro Crimen Riesgos naturales Normalmente perdida Riesgo Especulativo o Dinámico Derivado de negocios Perdidas o ganancia

Factores de riesgo Peril Hazard Peril.- causa del riesgo Fuego, inundación, terremoto. Hazard.-Peligro Latente Pistola, acido, almacén combustible. Factor que contribuye o aumenta el peril

Estableciendo el contexto Cuál es el Riesgo? 13

Modelo de Análisis de riesgo

Bienes / Activos 2 Tareas: Identificación Valoración Bienes Tangibles Intangibles Mixtos “ No se puede implementar un programa de seguridad eficaz sin conocimiento profundo de lo que se está protegiendo o debe ser protegido” “Las personas son el bien más crítico de cualquier organización” 15

Amenazas 16 3 Categorías: Intencionales Naturales Accidentales o inadvertidas 3 Tareas: Identificarlas Describirlas Estimar la probabilidad o posibilidad de que se materialice el ataque “ Una exhaustiva evaluación del nivel de amenaza que enfrenta la organización es fundamental para el éxito del plan de seguridad”

Vulnerabilidades Una debilidad, un error, omisión o problema que puede ser aprovechado por la amenaza Condiciones existentes o prácticas de la organización “ Una debilidad o una práctica organizacional que puede facilitar o permitir que una amenaza se ejecute, o aumente la magnitud de un evento de pérdida” Asis International

Vulnerabilidades - Amenazas 18 “Las vulnerabilidades son propias de la organización y generalmente se puede ejercer algún grado de control” “Las amenazas pueden ser internas o externas pero generalmente están fuera del control de la organización “

Análisisde riesgos 2 Tareas Fundamentales Impacto de un evento de pérdida Consecuencia, Impacto, Criticidad Clasificar, priorizar los riesgos identificados Categorías Valor monetario Costos de mitigación Plazos “ El análisis de riesgos es el proceso de identificar las potenciales área de pérdidas e implementar las contramedidas para mitigar la probabilidad de pérdida” 19

Evaluación de Riesgos AMENAZAS Y VULNERABILIDADES BIENES Clasificar, catalogar los riesgos identificados Ordenarlos por importancia o prioridad Decidir cuales atacar primero PROBABILIDAD / POSIBILIDAD IMPACTO DE EVENTO DE PÉRDIDA Evaluación de riesgos

Análisis de Riesgo Es una herramienta administrativa Define los estándares que la administración esta dispuesta a aceptar como perdidas Toma de decisiones No es trabajo de una vez, es continuo y periódico “Establecer un balance económico entre el impacto del riesgo en la empresa y el costo de la implementación de las medidas” No es una ciencia exacta

Análisis de Riesgo Tareas básicas Identificar bienes y objetivos de protección a ser protegidos Identificar el tipo de riesgo que pueden afectar a los bienes u objetivos de protección ( Amenazas) Determinar la probabilidad de ocurrencia del riesgo Determinar el impacto o los efectos,( monetariamente de preferencia) El mayor recurso para llevarlo a cabo es el personal bien capacitado Interno Externo (consultores) Normalmente el primer análisis es el más costoso Soporte de la alta dirección

Selección de Medidas de Mitigación Recomendar medidas para abordar eficazmente los riesgos relevantes Considerar Recursos disponibles Se debe considerar los objetivos y misión de la organización No es práctico atacar todos los riesgos que se han identificado Bien/amenaza y vulnerabilidad que pueden causar mayor impacto o daño en la misión de la organización, deben ser atacados con prioridad

IMPLEMENTACION DE MEDIDAS, Elementos estructurales, Sistemas, Políticas y Procedimientos, Personal Análisis Costo Beneficio Disponibilidad, Factibilidad Operaciones, misión, stakeholders Cultura de la empresa

Técnica de tres etapas Medidas para manejo Prevención Control Recuperación

Técnica Costo beneficio Costo de medidas de seguridad Cuantificación de beneficios Costos –Adquisición –Instalación –Operación –Mantenimiento / actualizaciones –Ciclo de vida –Personal Confiabilidad –Madurez de la tecnología –Avance tecnológico –Prueba de los sistemas Retraso –Tiempo para implementar medidas –Necesidad de implementar medidas temporales o en paralelo

MEDIDAS vs AMENAZAS Las medidas dependen del adversario y amenaza Se requieren diferentes medidas y niveles de efectividad para manejar diferentes amenazas Cuando la amenaza cambia o se sofistica el nivel de seguridad y medidas también deben hacerlo Se puede desarrollar una tabla de amenazas

Pasos parala selección de Medidas 1.Seleccionar 2.Probar 3.Implementar 4.Entrenar 28

1.- Seleccionar medida Considerar diferentes alternativas Identificar medidas que ofrezcan un equilibrio óptimo entre la reducción y el costo del riesgo (Costo / Beneficio ) Se pueden clasificar por: Costo Urgencia Conveniencia Comodidad Dificultad o tiempo para ser implementada Difícilmente una medida única solucionara todos los requerimientos 29

2.- Probar La solución funciona como se esperaba en ese entorno específico? La integración entre los componentes de todo el sistema es la adecuada? La solución funciona como se esperaba con otros sistemas del sitio? La solución tiene el efecto deseado en la reducción del riesgo? El personal puede adaptarse a la nueva solución? Los costos a corto y largo plazo se pueden proyectar con exactitud? 30

3.- Implementar Costos directos e indirectos Tiempos Afectaciones a instalaciones, procesos o personas Notificación a personas o departamentos dentro de la organización Apoyo de otros departamentos, personal interno, externos, consultores, Tiempo para que el personal se acostumbren a la solución 31

4.- Entrenar Personal de Seguridad Administración Operación Configuración Mantenimiento Empleados, visitantes, proveedores Políticas Procedimientos 32

MITIGACION DEL RIESGO Metodología sistemática aplicada por la alta dirección para reducir el riesgo global de la operación Se debe establecer el nivel de riesgo aceptable Responsabilidad de la alta dirección

Mitigación de Riesgos CONCEPTOS FUNDAMENTALES Las 4 D´s Las 5 Vías para enfrentar el riesgo Seguridad por Capas 34

Las 4 D´s DISUADIR Desalentar cualquier intento de ataque de un potencial adversario DETECTAR Falla la disuasión El ataque, evento o situación 37

Las 4 D´s DEMORAR El ataque está en curso Retrasar el ataque lo suficiente para: Desalentarlo y que aborten el intento La fuerza de respuesta actúe Registrar el evento Denegar Evitar que: La amenaza llegue al bien Robe el bien Cumpla su objetivo 38

Las 4 D´s Detectar lo más alejado del bien Retraso cerca del bien Detección sin evaluación no es detección Detección y retraso sin respuesta solo es disuasión Retraso antes de la detección es solo disuasión Respuesta Interrupción Neutralización

Medición de Desempeño Probabilidad de detección Tiempo para comunicación y evaluación Frecuencia de alarmas no deseadas Retraso Tiempo que ofrece el sistema después de la detección Denegar (Respuesta) Probabilidad de la correcta comunicación con la fuerza de respuesta Tiempo para comunicar Probabilidad de despliegue Tiempo de despliegue Efectividad de la fuerza Detección

Líneas de defensa Barreras de perímetro Primera línea de defensa Normalmente detección, poco retraso, Disuasión Paredes exteriores,pisos, techos Segunda línea de defensa Retraso, Detección, Zonas de intervención, Disuasión Líneas internas Tercera línea de defensa Detección, zonas de intervención, RETRASO

Las 5 vías para reducir el Riesgo Métodos de manejo de Riesgo Evitar Distribuir Transferir Reducir Aceptar

Las 5´s Vías para enfrentar el Riesgo EVITAR Vía más directa Eliminar cualquier posibilidad que se manifieste el riesgo En ocasiones no es posible. DISTRIBUIR Dispersar geográficamente los activos de la organización Se disminuye el riesgo reduciendo la criticidad Puede incrementar costos operativos 43

Las 5´s Vías para enfrentar el Riesgo TRANSFERIR Seguros En algunos casos no cubren toda la criticidad del riesgo Convertirse en un objetivo menos atractivo o más difícil Transferir el riesgo a proveedores, distribuidores REDUCIR Cualquier medida enfocada a disminuir la vulnerabilidad Políticas, procedimientos Sistemas Personal 44

REDUCCION DEL RIESGO Prevenir el ataque Disuasión Inteligencia Protegerse contra el ataque Medidas para evitar que el evento de pérdida se complete Reducir o mitigar las consecuencias Pueden ser implementadas antes, durante o después

Las 5´s Vías para enfrentar el Riesgo ACEPTAR Riesgos que no se pueden manejar Riesgos que no conviene manejar RIESGO RESIDUAL “Riesgo no identificado, Riesgo aceptado” Una estrategia integral de protección de activos debe incorporar una combinación de todos los métodos 46

Matriz de Decisión Al proponer una medida se deben considerar los costos de implementarla Evaluar como afectará la operación y funcionamiento de la organización Evaluar beneficios No se deben implementar medidas que no sean eficientes en la relación costo beneficio.

Matriz de decisión Frecuencia Alta Frecuencia Media Frecuencia Baja Severidad Alta Evitar Reducir y Evitar Transferir Severidad Media Reducir y Evitar Reducir y Trasferir Aceptar (Incluso Fondear) Severidad Baja Reducir Reducir y Aceptar Aceptar Costo Beneficio

Seguridad en Capas Una combinación de medidas y niveles e seguridad bien pensados y complementarios conforman un plan eficaz de protección de activos ASIS: Un enfoque de seguridad física que requiere que un criminal penetre o supere una serie de capas de seguridad antes de lograr su objetivo. Las capas deben ser: Las barreras perimetrales Los edificios o áreas,protegidas con cerraduras, CCTV y guardias Protección del punto o bien utilizando cajas fuertes bóvedas y sensores 49

Seguridad en Capas Protección en Profundo El agresor, deberá evitar o derrotar una serie de dispositivos y medidas de protección en secuencia Las medidas pueden ofrecer niveles de efectividad diferente, o requerir diferentes tiempos para superarlos, pero el agresor deberá enfrentarlos uno a uno

Protección en Profundo Protección por capas Incrementar el nivel de desconocimiento del sistema al agresor Requerir mayor nivel de preparación y sofisticación del atacante Crear pasos que el atacante fallara terminando por abortar la misión. Mínimo dos sistemas de alarma en alta seguridad Combinación de sistemas

Protección por capas Tipos de capas Detección Retraso Defensa Tres capas Principales Barreras de perímetro Primera línea de defensa Paredes exteriores,pisos, techos (Boundary) Segunda línea de defensa Areas internas Tercera línea de defensa

Seguridad en Capas Estrategia integral, no solamente una combinación de elementos parciales Estructura de seguridad Sistemas electrónicos Oficiales e Seguridad Políticas y procedimientos Educación y conciencia de seguridad Diseño, distribución arquitectura e ingeniería CPTED Contratos Aspectos legales y financieros Seguros Safety Seguridad de la información ( TI y no TI) Continuidad del negocio 53

ADMINISTRACION DE RIESGO No es posible eliminar completamente el riesgo Es importante determinar el nivel de protección requerido y determinar las opciones para lograrlo El objetivo es reducir la vulnerabilidad del bien a través de diferentes acciones y medidas

Terminología Evento Algo que ocurre de manera notable: incidente de seguridad, accidente, alarma, emergencia médica Evento de pérdida Evento que produce una pérdida financiera o impacto negativo en los bienes, guerra, crimen, desastres, incidentes de seguridad Incidente de seguridad Una ocurrencia o acción que puede acarrear muertes, lesiones o pérdidas monetarias, asaltos a empleados clientes o proveedores en las instalaciones Perfil de evento de pérdida Tipos de amenazas que afectan al bien Probabilidad de evento de pérdida Criticidad de evento de pérdida Criticidad ( Criticality) Impacto del evento de pérdida, costo neto del evento Asis: General Security Risk Assessment Guideline

PSP: Gestión de Riesgos

FUNCIONES DE LA SEGURIDAD FISICA Ing. Raúl Granados Sánchez PSP, DSE 57

SEGURIDAD FISICA “Parte de la seguridad relacionada con las medidas de seguridad para proteger a las personas; evitar el acceso no autorizado a equipos, instalaciones, material y documentos; y para protegerlos contra un incidente de seguridad” Facilities Physical Security Measures Guideline, ASIS “ Las medidas de seguridad física apuntan, ya sea a prevenir un ataque directo a un sitio o reducir el potencial de daño y lesiones que podría infringirse si ocurriera el incidente” centre for the protection of nationel Infraestructure, U.K.

SEGURIDAD FISICA Medida de seguridad física: “Dispositivo, sistema o práctica de naturaleza tangible diseñada para proteger a las personas y evitar daños a, pérdida de, o acceso no autorizado a los bienes” Facilities Physical Security Measures Guideline, ASIS  Amenazas humanas intencionales  Protegerse de un ataque ( evitar que se lleve a cabo con éxito)  Reducir el riesgo reduciendo la probabilidad del éxito del ataque  El ataque se esta llevando a cabo

FUNCIONES BASICAS DE LA SEGURIDAD FÍSICA  CONTROL DE ACCESO  OBSERVACIÓN DE UN AREA, SITUACIÓN O EVENTO  DETECTAR EVENTOS  RESPONDER A SITUACIONES

FUNCIONES BASICAS DE LA SEGURIDAD FÍSICA Control de acceso Controlar o limitar el acceso a un área, instalación, persona o bien Personas Vehículos Objetos Paquetes, armas, explosivos,

FUNCIONES BASICAS DE LA SEGURIDAD FÍSICA Observación Detectar una amenaza que se aproxima

FUNCIONES BASICAS DE LA SEGURIDAD FÍSICA Detectar eventos Descubrimiento de acciones cubiertas o evidentes de la amenaza

FUNCIONES BASICAS DE LA SEGURIDAD FÍSICA Respuesta Neutralizar Contener Mitigar Registrar el evento

Componentes Las Medidas y herramientas de un sistema de seguridad física pueden ser agrupadas en: Elementos Estructurales Componentes Electrónicos Componentes Humanos Sistemas Periféricos e interfaces

Componentes estructurales Barreras Cercados Bolardos Terreno Cerraduras Diseño, Arquitectura, Ingeniería CPTED Paisajismo Iluminación Vidrios ( Glazing)

Elementos electrónicos Vigilancia Control de acceso Sistemas de detección de intrusos Comunicaciones

Componentes Humanos Guardias de seguridad Otras funciones de soporte Mantenimiento, instalaciones, recepción, legal, RRHH, IT Control de visitantes Credencialización Centro de operación de seguridad Armas Sistemas de manejo de incidentes

Sistemas Periféricos e interfaces Sistemas de “safety” Detección de humo Incendio Notificación de emergencia BMS IT Relaciones y comunicación Policía local Bomberos, Ambulancias Autoridades Asociaciones

Elementos del Sistema de Seguridad Física Estructura Seguridad Electrónica Recursos Humanos SEGURIDAD INTEGRAL

Modelos Típicos Estructura R. Humanos Seguridad electrónica S.E. Estructura R.Humanos

Modelo Optimo Seguridad electrónica R. Humanos Estructur a

Jerarquía de Medidas COSTO Personal Guardias, consultores, Staff, Administración, Electromecánico CCTV, alarmas, iluminación, chapas, sensores, barreras Torniquetes, centro de monitoreo, comunicaciones Modificación de comportamiento Políticas, procedimientos, entrenamiento, conciencia de seguridad

Prioridades Medidas de Bajo Costo Medidas que incrementen altamente la probabilidad de prevenir la agresión Medidas que incrementan altamente la probabilidad de evitar el éxito de la agresión Medidas a Valores de alto valor Consecuencias Altas Relaciones Costo Beneficio Alto

Seguridad Física IDESEGI INSTITUTO DE INVESTIGACIÓN Y DESARROLLO EN SEGURIDAD INTEGRAL