PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
Presentacion 2
1. EJERCITO NACIONAL
CENTRO DE EDUCACIÓN MILITAR
ESCUELA DE COMUNICACIONES MILITARES
ESPECIALIZACIÓN EN SEGURIDAD FÍSICA Y DE LA
INFORMÁTICA
Módulo físico Módulo de
seguridad
electrónica
Módulo de Seminario de
seguridad profundización
informática
Ing. Raúl Iván Bustos Ladino
2. Módulo físico
CRITERIOS DE DE TRABAJO
CALIFICACIÓN
Evaluaciones y
trabajos en clase 30%
Tareas 30%
Parcial final 40%
Ing. Raúl Iván Bustos Ladino
3. Módulo físico
INTRODUCCIÓN A LA SEGURIDAD
Construir en consenso los conceptos básicos y generales
relacionados con seguridad, de tal forma que sean
utilizados apropiadamente durante todo el proceso de
formación
Ing. Raúl Iván Bustos Ladino
4. Módulo físico
INTRODUCCIÓN A LA SEGURIDAD
NUCLEOS TEMÁTICOS
1. Definición y elementos de la Seguridad
2. Conceptos de seguridad
3. Seguridad física y sus elementos
4. Seguridad en una Empresa
Análisis de riesgos
Políticas de seguridad
5. Normatividad
Ing. Raúl Iván Bustos Ladino
5. Módulo físico
QUÉ ES SEGURIDAD
Cómo se garantiza
un sistema seguro
Ing. Raúl Iván Bustos Ladino
6. Módulo físico
QUÉ ES SEGURIDAD
Del latín securus
Es una característica de cualquier sistema (informático o
no) que nos indica que ese sistema está libre de todo
peligro, daño o riesgo, y que es, en cierto
modo, infalible.
Fiabilidad (probabilidad de que un sistema se comporte
tal y como se espera de él)
Ing. Raúl Iván Bustos Ladino
7. Módulo físico
Cómo se mantiene
un sistema fiable (seguro)
Confidencialidad
Integralidad Disponibilidad
Ing. Raúl Iván Bustos Ladino
8. Módulo físico
Ejemplos de prioridad
En un sistema militar se antepondrá la confidencialidad de
los datos almacenados o transmitidos sobre su
disponibilidad: seguramente, es preferible que alguien borre
información confidencial, a que ese mismo atacante pueda
leerla
En un entorno bancario, la faceta que más preocupa a los
responsables del sistema es la integridad de los datos,
frente a su disponibilidad o su confidencialidad: es
menos grave que un usuario consiga leer el saldo de otro
que el hecho de que ese usuario pueda modificarlo.
En un sistema comercial, un departamento premiará
la disponibilidad frente a la confidencialidad:
importa poco que un atacante lea una unidad, pero
que esa misma unidad no sea leída por usuarios
autorizados va a suponer una pérdida de tiempo y
Ing. Raúl Iván Bustos Ladino dinero.
9. Módulo físico
Servicios triple A
AUTORIZACIÓN
AUTENTICACIÓN
AUDITORÍA
Ing. Raúl Iván Bustos Ladino
10. Módulo físico
Servicios triple A
AUTORIZACIÓN
Propiedad
AUTENTICACIÓN Conocimiento
Uno - Dos
Innatos
AUDITORÍA
Ing. Raúl Iván Bustos Ladino
11. Módulo físico
“Para proteger algo primero debo conocerlo”
“La desconfianza
¿Atacante es la madre de la
o seguridad”
Intruso? Aristófanes
Los principales ataques vienen de los
“amigos” porque son los que me conocen
Ing. Raúl Iván Bustos Ladino
12. Módulo físico
Seguridad Integral
¿Qué quiero proteger?
Ing. Raúl Iván Bustos Ladino
13. Módulo físico
Que quiere proteger
Perímetro de trabajo
Políticas de capacitación
(capacitación por rol de
manera independiente)
Ing. Raúl Iván Bustos Ladino
14. Módulo físico
Contexto
•Seguridad social: Ley 100 de 1991.
•Política de defensa y seguridad democrática
•Programa de seguridad ciudadana
•Departamento Administrativo de Seguridad
•Consejo Colombiano de seguridad
•Ministerio de Defensa Nacional
•Policía Nacional y Ejercito Nacional
Ing. Raúl Iván Bustos Ladino
15. Módulo físico
Algunos conceptos de
Seguridad Física
Sistema de información.
Defensa.
Amenaza.
Impacto.
Vulnerabilidad. Incidente de seguridad.
Riesgo.
Ing. Raúl Iván Bustos Ladino
16. Módulo físico
Algunos conceptos
de Seguridad Física
Sistema de información.
Son los Recursos Informáticos (Físicos y
Lógicos) y Activos de Información de que
dispone la empresa u organización para su
correcto funcionamiento y la consecución de
los objetivos propuestos por su Dirección.
Ing. Raúl Iván Bustos Ladino
17. Módulo físico
Algunos conceptos
de Seguridad Física
Amenaza.
Cualquier evento que pueda provocar daño
en los Sistemas de
información, produciendo a la empresa
pérdidas materiales, financieras o de otro
tipo. Las amenazas son múltiples desde una
inundación, un fallo eléctrico o una
organización criminal o terrorista.
Ing. Raúl Iván Bustos Ladino
18. Módulo físico
Algunos conceptos
de Seguridad Física
Vulnerabilidad.
Cualquier debilidad en los Sistemas de
Información que pueda permitir a las
amenazas causarles daños y producir
pérdidas. Generalmente se producen por
fallos en los sistemas lógicos, aunque
también corresponden a defectos de
ubicación e instalación.
Ing. Raúl Iván Bustos Ladino
19. Módulo físico
Algunos conceptos
de Seguridad Física
Riesgo.
Es la probabilidad de que una amenaza se
materialice sobre una vulnerabilidad del
Sistema de información, causando un
impacto en la empresa. Evidentemente el
riesgo es característico para cada amenaza y
cada sistema, pudiéndose disminuir
tomando las medidas adecuadas.
Ing. Raúl Iván Bustos Ladino
20. Módulo físico
Algunos conceptos
de Seguridad Física
Incidente de seguridad.
Cualquier evento que tenga, o pueda tener, como
resultado la interrupción de los servicios
suministrados por un Sistema de Información y/o
pérdidas físicas, de activos o financieras. En otras
palabras la materialización de una amenaza, pues
como no existe el riesgo cero siempre es posible
que una amenaza deje de ser tal para convertirse
en una realidad.
Ing. Raúl Iván Bustos Ladino
21. Módulo físico
Algunos conceptos
de Seguridad Física
Impacto.
Es la medición y valoración del daño que podría
producir a la organización un incidente de
seguridad. La valoración global se obtendrá
sumando el coste de reposición de los daños
tangibles y la estimación, siempre subjetiva, de
los daños intangibles tales como la calidad del
servicio y la imagen de la organización.
Ing. Raúl Iván Bustos Ladino
22. Módulo físico
Algunos conceptos
de Seguridad Física
Defensa.
Cualquier medio, físico o lógico, empleado
para eliminar o reducir un riesgo. Debe
realizarse una valoración cuantitativa de su
coste. Muchas veces se la conoce como
medida de seguridad o prevención. Su
objetivo es reducir el riesgo o el impacto.
Ing. Raúl Iván Bustos Ladino
23. Módulo físico
Algunos conceptos
de Seguridad Física
Sistema de Amenaza.
información. Expuesto
Aprovecha
Riesgo.
Se convierte
Incidente de en
seguridad. Vulnerabilidad.
Genera un
Impacto.
Ing. Raúl Iván Bustos Ladino
24. Módulo físico
Seguridad Física
NO
¿Es suficiente?
Ing. Raúl Iván Bustos Ladino
25. Módulo físico
Seguridad Física
Consiste en la "aplicación de barreras físicas y
procedimientos de control, como medidas de
prevención y contramedidas ante amenazas a
los recursos e información confidencial“
Ingeniería de
seguridad
Ing. Raúl Iván Bustos Ladino
26. Módulo físico
Seguridad Física
Costo del activo a proteger Impacto que se protege
Análisis del riesgo
Rubro destinado para tal fin
(coherencia con el entrono)
Ing. Raúl Iván Bustos Ladino
27. Módulo físico
Seguridad Física
La seguridad física describe las medidas que previenen o detienen a
intrusos antes de que accedan a un recurso o información almacenada
en medios físicos.
Elementos
de riesgo
Físico Humano Información Lógico
Ing. Raúl Iván Bustos Ladino
28. Módulo físico
Seguridad Física
Obstáculos
Elementos
Ingeniería
Detección
de
seguridad
Respuesta
para
repeler, capt
urar o
frustrar
Ing. Raúl Iván Bustos Ladino
29. Módulo físico
Seguridad Física
Depende de las máquinas (principalmente)
Conocimiento del enemigo
Seguridad de área
Seguridad de equipos (físico y lógico)
Seguridad de usuario
Capacitación
Ing. Raúl Iván Bustos Ladino
30. Módulo físico
Seguridad Física
Seguridad de área
Definir perímetro de seguridad física (CONTROLES DE ACCESO)
Robustecer las fuentes de suministro
Definir verdaderas necesidades
Definir perfiles de usuario
Acciones de respuesta a ataques
Ing. Raúl Iván Bustos Ladino
31. Módulo físico
Seguridad Física
Seguridad de área
CONTROLES DE ACCESO
El control de acceso no sólo requiere la capacidad de identificación, sino
también asociarla a la apertura o cerramiento de puertas, permitir o negar
acceso basado en restricciones de tiempo, área o sector dentro de una empresa
o institución.
Animales Guardias
Protección Sistemas
electrónica biométricos
Detectores
de metales
Ing. Raúl Iván Bustos Ladino
32. Módulo físico
Seguridad Física
Seguridad de área
CONTROLES DE ACCESO
El Servicio de Vigilancia es el encargado del control de acceso de todas las personas
al edificio (incluyendo vehículos). Este servicio es el encargado de colocar los
guardias en lugares estratégicos para cumplir con sus objetivos y controlar el acceso
del personal.
Las personas se identifican por algo que poseen (credencial) o que saben
Credenciales: NORMAL TEMPORAL CONTRATISTA VISITA
Ventajas VS desventajas
Ing. Raúl Iván Bustos Ladino
33. Módulo físico
Seguridad Física
Seguridad de área
CONTROLES DE ACCESO
Ventajas VS desventajas
Ing. Raúl Iván Bustos Ladino
34. Módulo físico
Seguridad Física
Seguridad de área
CONTROLES DE ACCESO
200 millones de receptores olfativos
Olfato 10.000 veces mas sensible que el gusto
Ventajas VS desventajas
Ing. Raúl Iván Bustos Ladino
35. Módulo físico
Seguridad Física
Seguridad de área
CONTROLES DE ACCESO
Seguridad electrónica: Se llama así a la detección de robo, intrusión, asalto
e incendios mediante la utilización de sensores conectados a centrales de alarmas.
Barreras Infrarrojas y
de Micro-Ondas
Hasta 150 metros
Inmunidad
Ing. Raúl Iván Bustos Ladino
36. Módulo físico
Seguridad Física
Seguridad de área
CONTROLES DE ACCESO
Seguridad electrónica
Detectores Pasivos
Detector Sin Alimentación
Ultrasónico
(40 m2)
Ing. Raúl Iván Bustos Ladino
37. Módulo físico
Seguridad Física
Seguridad de área
CONTROLES DE ACCESO
Seguridad electrónica
Circuitos Cerrados de Televisión Edificios Inteligentes
Ing. Raúl Iván Bustos Ladino
38. Módulo físico
Seguridad Física
Seguridad de área
“CONTROLES DE ACCESO”
Seguridad electrónica
Sonorización y Detección y extinción
Dispositivos Luminosos de incendios
Ing. Raúl Iván Bustos Ladino
39. Módulo físico
Seguridad Física
Seguridad de área
CONTROLES DE ACCESO
Seguridad electrónica VENTAJAS Y DESVENTAJAS
Definir
perímetro
y
Definir
seguridad
Ing. Raúl Iván Bustos Ladino
40. Módulo físico
Seguridad Física
Seguridad de área
CONTROLES DE ACCESO
Biometría: es la parte de la
biología que estudia en forma
cuantitativa la variabilidad
individual de los seres vivos
utilizando métodos
estadísticos".
La Biometría es una tecnología
que realiza mediciones en
forma electrónica, guarda y
compara características únicas
para la identificación de
personas. Ventajas VS desventajas
Ing. Raúl Iván Bustos Ladino
41. Módulo físico
Seguridad Física
Seguridad de equipos (físico y lógico)
Contra robo Contra fuego
Los incendios son causados por el uso inadecuado de
combustibles, fallas de instalaciones eléctricas
defectuosas y el inadecuado almacenamiento y
Temperatura traslado de sustancias peligrosas. (Recomendaciones
y Humedad detección extinción y locativas)
Contra inundaciones
La temperatura no debe
sobrepasar los 18º C y el limite
de humedad no debe superar el Se las define como la invasión de agua por exceso de
65% para evitar el deterioro. escurrimientos superficiales o por acumulación en
terrenos planos, ocasionada por falta de drenaje ya
sea natural o artificial. (Recomendaciones locativas)
Ing. Raúl Iván Bustos Ladino
42. Módulo físico
Seguridad Física
Seguridad de equipos (físico y lógico)
Alimentos y bebidas Instalaciones eléctricas
(recomendaciones)
Ing. Raúl Iván Bustos Ladino
43. Módulo físico
Seguridad Física
Seguridad de equipos (físico y lógico)
Técnicas salami
Ing. Raúl Iván Bustos Ladino
44. Módulo físico
Seguridad Física
Seguridad de usuario
Ergometría
Integridad Es una disciplina que se ocupa
de estudiar la forma en que
física interactúa el cuerpo humano
con los artefactos y elementos
que lo rodean, buscando que
esa interacción sea lo menos
agresiva y traumática posible
Bienestar
Ing. Raúl Iván Bustos Ladino
45. Módulo físico
Seguridad Física
¿DE QUÉ NOS QUEREMOS PROTEGER?
Desastres Geofísicos
Naturales
Hidrológicos
Meteorológicos
Ing. Raúl Iván Bustos Ladino
46. Módulo físico
Seguridad Física
¿DE QUÉ NOS QUEREMOS PROTEGER?
PERSONAS (Interno y externo)
Interno
Consiste en la manipulación de las
personas para que voluntariamente
realicen actos que normalmente no
harían. Se combate con ingeniería
social y capacitación
Ing. Raúl Iván Bustos Ladino
47. Módulo físico
Seguridad Física
¿DE QUÉ NOS QUEREMOS PROTEGER?
PERSONAS (Interno y externo)
Externo
Ladrones
Ex-empleados
Delincuentes
informáticos Terroristas
Ing. Raúl Iván Bustos Ladino
48. Módulo físico
Seguridad Física
Ataques a la seguridad
Fuente Destino Fuente Destino Fuente Destino
Flujo Normal Interrupción
Intruso
Intercepción
Fuente Destino Fuente Destino
Intruso Intruso
Modificación Fabricación
Ing. Raúl Iván Bustos Ladino
49. Módulo físico
Seguridad al interior de la organización
¿Quien administra la seguridad?
Ing. Raúl Iván Bustos Ladino
50. Módulo físico
Seguridad al interior de la Empresa
Una organización se concibe como un sistema diseñado
para lograr metas y objetivos por medio de los recursos
físicos y humanos.
Jerárquica
TIPOS DE Funcional
ORGANIZACIÓN
Mixta
Ing. Raúl Iván Bustos Ladino
51. Módulo físico
Seguridad al interior de la Empresa
Organización jerárquica
Es una forma de organización basada en la autoridad de tal manera que cada miembro de
la organización sabe quiénes están por debajo de él y quiénes por encima.
Ventajas Desventajas
Mayor facilidad en la toma de Es rígida e inflexible.
decisiones y en la ejecución de
las mismas. La organización depende de hombres
clave, lo que origina trastornos.
No hay conflictos de autoridad ni
fugas de responsabilidad. No fomenta la especialización.
Es claro y sencillo. Los ejecutivos están saturados de
trabajo, lo que ocasiona que no se
La disciplina es fácil de dediquen a sus labores directivas, sino,
mantener. simplemente de operación.
Ing. Raúl Iván Bustos Ladino
52. Módulo físico
Seguridad al interior de la Empresa
Organización jerárquica
Ing. Raúl Iván Bustos Ladino
53. Módulo físico
Seguridad al interior de la Empresa
Organización funcional
Se basa en la especialización, de tal forma que una persona desarrolla una sola función en la
cual es especialista y puede recibir órdenes de otros especialistas a los cuales está
subordinada. Estos jefes sólo darán órdenes relacionadas con su especialidad.
Ventajas
Mayor especialización.
Se obtiene la más alta eficiencia de la persona.
La división del trabajo es planeada y no incidental.
El trabajo manual se separa del trabajo intelectual.
Disminuye la presión sobre un sólo jefe por el número
de especialistas con que cuenta la organización.
Ing. Raúl Iván Bustos Ladino
54. Módulo físico
Seguridad al interior de la Empresa
Organización funcional
Desventajas:
Dificultad de localizar y fijar la
responsabilidad, lo que
afecta seriamente la disciplina y moral
de los trabajadores por contradicción
aparente o real de las ordenes.
Se viola el principio de la unida de
mando, lo que origina confusión y
conflictos.
La no clara definición de la autoridad da
lugar a rozamientos entre jefes.
Ing. Raúl Iván Bustos Ladino
55. Módulo físico
Seguridad al interior de la Empresa
Organización mixta
Este modelo intenta aprovechar las ventajas de los dos modelos anteriores y eliminar sus
inconvenientes. Mantiene una estructura central jerárquica, pero aplicando una mayor
especialización. Se crean unos niveles consultivos “staff”. A estos niveles consultivos o “staff”
se utilizan para asesorar a los distintos niveles jerárquicos. Los componentes de los niveles
consultivos no tienen autoridad jerárquica.
Desventajas
Ventajas
Las decisiones son más lentas.
Permite el uso de especialistas que
asesoran diversos departamentos.
El personal de “staff” puede entrometerse
en cuestiones de control
Se mantienen la unidad de
administrativo, introduciendo un factor de
mando, puesto que casi nunca una
confusión.
persona depende de más de una.
El uso de “staff” especializados
incrementan los costes de administración
de la empresa.
Ing. Raúl Iván Bustos Ladino
56. Módulo físico
Seguridad al interior de la Empresa
Empresa
Es una organización económica básica encargada de satisfacer las
necesidades de un mercado mediante la utilización de recursos materiales y
humanos.
Según la actividad Según la forma
económica jurídica
Según la Según el destino de
dimensión Clasificación los beneficios
Según la titularidad Según el ámbito de
del capital la actividad
Ing. Raúl Iván Bustos Ladino
57. Módulo físico
Seguridad al interior de la Empresa
Empresa
Según la actividad
económica
Sector primario Sector secundario Sector terciario
(extractivo) (transformación materia prima) (servicios)
Ing. Raúl Iván Bustos Ladino
58. Módulo físico
Seguridad al interior de la Empresa
Empresa
Según la forma
jurídica
Individuales
Societarias
Generalmente constituidas por varias
personas. Dentro de esta clasificación están:
La sociedad anónima (SA), la sociedad
limitada (SL), la colectiva, la sociedad
comendataria y las sociedades de economía
social (cooperativa y sociedad laboral).
Ing. Raúl Iván Bustos Ladino
59. Módulo físico
Seguridad al interior de la Empresa
Empresa
Según la Según el destino de
dimensión los beneficios
Microempresa: si posee menos de 10
trabajadores Con ánimo de lucro
Pequeña: si tiene menos de 50
Mediana: si tiene un número entre 50 y 250 Sin ánimo de lucro
Grande: si poseen más de 250.
Según el ámbito de
Según la titularidad la actividad
del capital
Locales Regionales
Púbicas Privadas Mixtas
Nacionales Multinacionales
Ing. Raúl Iván Bustos Ladino
60. Módulo físico
Seguridad al interior de la Empresa
Organigrama
Es la representación gráfica de
la estructura organizativa de
una empresa, permite obtener
una idea uniforme acerca de
una organización.
El organigrama tiene doble
finalidad: desempeña un papel
informativo y es un
instrumento para el análisis de
las particularidades esenciales
de la empresa representada.
Ing. Raúl Iván Bustos Ladino
61. Módulo físico
Seguridad al interior de la Empresa
Organigrama
Ing. Raúl Iván Bustos Ladino
62. Módulo físico
Seguridad al interior de la Empresa
Departamentos de una empresa
Son centros de trabajo que se encargan de una actividad concreta
dentro de la empresa.
Dirección y recursos humanos Comercial
Finanzas y administración Sistemas de
información
Producción y logística
Ing. Raúl Iván Bustos Ladino
63. Módulo físico
Seguridad al interior de la Empresa
Departamento de seguridad
Su finalidad es establecer una estructura
Garantiza la protección de integral por niveles y políticas de
las personas, de los seguridad, análisis de riesgos, administración
bienes y propender por el de recursos, garantizar la protección de las
normal funcionamiento personas, de los bienes y normal
de los servicios. funcionamiento de los servicios.
Equipo interdisciplinario
Tiene multitud de “elementos”
repartidos por toda la empresa y
tiene personal de seguridad.
Ing. Raúl Iván Bustos Ladino
64. Módulo físico
Seguridad al interior de la Empresa
Departamento de seguridad
Objeto de protección
Personal propio, usuarios y clientes, activos
materiales propios, activos inmateriales
propios, tecnología, imagen y finanzas.
(A LA MEDIDA)
Ing. Raúl Iván Bustos Ladino
65. Módulo físico
Seguridad al interior de la Empresa
Departamento de seguridad
Las tareas encomendadas son
•servicios de vigilancia
•servicios de protección personal
•protección física
•protección electrónica
•Capacitación
•Diseño de planes operativos
•Ordenes de puesto
•Cuadrantes de servicio
•Inspecciones de material de extinción de incendios y salidas de
emergencia.
•Inspecciones de aparatos de seguridad contra intrusión.
Ing. Raúl Iván Bustos Ladino
66. Módulo físico
Seguridad al interior de la Empresa
Departamento de seguridad
Las tareas encomendadas son
•Medios (vehículos, radios, linternas, etc.).
•Actualización de normativa referente a seguridad.
•Gestión de alarmas.
•Establecer niveles de acceso.
•Emisión de credenciales y autorizaciones.
•Gestión de visitas
•Normativa interna.
•Previsión de gastos.
•Recomendaciones sobre mejoras del servicio.
•Asesoría en materia de seguridad.
•Información y colaboración con las Fuerzas y Cuerpos de Seguridad del estado.
•Informes internos.
Ing. Raúl Iván Bustos Ladino
67. Módulo físico
Seguridad al interior de la Empresa
Dirección de seguridad
Creada para la consecución de los objetivos en el orden y en los
tiempos requeridos, determinará los recursos humanos y
presupuestarios existentes así como las necesidades, tanto
organizativas como de medios.
Director de seguridad Ingeniero
“EL CEREBRO”
Ing. Raúl Iván Bustos Ladino
68. Módulo físico
Seguridad al interior de la Empresa
Director de seguridad
Fases estructurales
Establecer
prioridades y
plazos
Evaluación Política de
de riesgos seguridad
Delegar
Actuación responsabilidades y
sobre los recursos
riesgos Autoridad mía, responsabilidad
compartida
Ing. Raúl Iván Bustos Ladino
69. Módulo físico
Seguridad al interior de la Empresa
Funciones director de seguridad
Es el máximo responsable de la Seguridad y Protección de las personas y los bienes.
Le corresponde el análisis de situaciones de riesgo y la planificación y programación
de las actuaciones precisas para la implantación y realización de los servicios de
seguridad.
La organización, dirección e inspección del personal y servicios de seguridad propia y
concertada con empresa privada.
La propuesta de los sistemas de seguridad que resulten pertinentes, así como la
supervisión de su utilización, funcionamiento y conservación.
La coordinación de los distintos servicios de seguridad que de ellos dependan con
actuaciones propias de protección civil, en situaciones de emergencia, catástrofe o
calamidad pública.
Ing. Raúl Iván Bustos Ladino
70. Módulo físico
Seguridad al interior de la Empresa
Funciones director de seguridad
Asegurar la colaboración de los servicios de seguridad con los de las
correspondientes dependencias de las Fuerzas y Cuerpos de Seguridad.
En general, velar por la observancia de la regulación de seguridad aplicable.
Adoptar las medidas necesarias referentes a la elaboración de un protocolo
para la colaboración con los servicios de extinción de incendios de cada uno de
los municipios en donde haya un Centro.
Elaborar los procedimientos operativos y las órdenes de puesto.
Canalizar hacia las dependencias de las fuerzas y cuerpos de Seguridad las
comunicaciones. Comparecer a las reuniones informativas o de coordinación a
que fueren citados por las autoridades policiales competentes.
Ing. Raúl Iván Bustos Ladino
71. Módulo físico
Seguridad al interior de la Empresa
Funciones director de seguridad
Elaborará los documentos pertinentes a servicios extraordinarios, festivos, jornadas
nocturnas, turnicidad y/o jornadas especiales.
Firmará, previa su comprobación, las comisiones de servicio que motiven
indemnizaciones por locomoción y dietas, cumplimentadas por los Jefes de Unidad,
tramitándolas con posterioridad al departamento o servicio económico.
Adoptará las medidas necesarias para que los temas de intendencia y logística
propuestos por los Jefes de Unidad encuentren respuesta.
Elaborará propuestas de sustituciones de personal de Vigilancia en periodo estival,
permisos, licencias, bajas, y firmará los documentos correspondientes a su
incorporación al servicio
Ing. Raúl Iván Bustos Ladino
72. Módulo físico
Seguridad al interior de la Empresa
Central de control de seguridad
Ing. Raúl Iván Bustos Ladino
73. Módulo físico
Seguridad al interior de la Empresa
(A LA MEDIDA)
Análisis de riesgos
Ing. Raúl Iván Bustos Ladino
74. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
Es el proceso de identificar, analizar, valorar y mitigar o transferir
el riesgo
Responderlas siguientes
preguntas
¿Que podría ocurrir? (amenaza)
¿Sí ocurre, cuánto daño podría causar? (impacto)
¿Qué tan a menudo podría ocurrir?
¿Qué tan ciertas son las respuestas a las anteriores preguntas?
Ing. Raúl Iván Bustos Ladino
75. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
El Análisis de Riesgo realiza una predicción del futuro,
basándose en el pasado histórico y un análisis cuidadoso
de los eventos.
Contribuyen al Análisis de Riesgo, áreas relacionadas con
Epidemiología, Estadística, Clínica y Patología, Economía,
Teoría de Decisiones, Administración, Estudios Ambientales
y Legales, entre otras.
Ing. Raúl Iván Bustos Ladino
76. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
El Análisis de Riesgo no reemplaza la experiencia empírica, por el
contrario, con frecuencia gran cantidad de información se obtiene a
partir de juicios de expertos.
Los valores asignados a las probabilidades pueden ser, en algún
grado subjetivos si se obtienen de juicios de expertos o mas
objetivos si existen datos o registros cuantitativos
(informes, encuestas)
Hay que tener cuidado porque las predicciones nunca darán la
certeza absoluta.
Ing. Raúl Iván Bustos Ladino
77. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
Los modelos predictivos empleados para el Análisis de
Riesgo son perfectibles, de acuerdo con mejores
antecedentes. Por eso, nunca pensemos que hemos
llegado al último.
El cálculo de los valores puede proveer de antecedentes
poco seguros, pero al menos entrega datos que se pueden
evaluar, discutir e intercambiar con las contrapartes,
tratando de llegar al consenso.
Ing. Raúl Iván Bustos Ladino
78. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPAS
PLANEACIÓN IDENTIFICACIÓN
DE RECURSOS
IDENTIFICACIÓN DE
AMENAZAS Y
TRATAMIENTO VULNERABILIDADES
VALORACIÓN
Ing. Raúl Iván Bustos Ladino
79. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 1: PLANEACIÓN
Descripción del sistema: requerimientos (o misión) del
sistema, concepto de operación, e identificación de la
naturaleza de los recursos del sistema. Está descripción
provee las bases para posteriores análisis y es prerrequisito
para iniciar la valoración de riesgos.
El alcance: se determina el alcance del análisis. Cuales
recursos del sistema requiere o no el análisis de riesgos.
Cuales agentes de amenazas no serán considerados, etc.
Ing. Raúl Iván Bustos Ladino
80. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 2: IDENTIFICACIÓN DE
RECURSOS
Personas
Hardware
Software
Información
Ing. Raúl Iván Bustos Ladino
81. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 3: IDENTIFICACIÓN DE
AMENAZAS Y VULNERABILIDADES
Listado de Amenazas
RIESGOS NATURALES
HUMANOS
FÍSICO
LÓGICO
Ing. Raúl Iván Bustos Ladino
82. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 3: IDENTIFICACIÓN DE
AMENAZAS Y VULNERABILIDADES
Algunas debilidades
observadas en el sistema, dan
píe a una serie de
recomendaciones de
seguridad iniciales que se
pueden poner en práctica de
inmediato, por lo general
implican bajos costos, como
respaldo a estos controles se
implanta las correspondientes
políticas de seguridad.
Ing. Raúl Iván Bustos Ladino
83. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Cualitativo Cuantitativo
Ing. Raúl Iván Bustos Ladino
84. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Cualitativo
Los analistas se apoyan en su juicio, experiencia e
intuición para la toma de decisiones. Se pueden utilizar
cuando los datos numéricos son inadecuados o no se
cuentan con personal experimentado en el área.
Se utilizan clasificaciones de palabra como alto, medio o
bajo, o descripciones más detalladas de la probabilidad
y la consecuencia.
Ing. Raúl Iván Bustos Ladino
85. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Cualitativo
Las clasificaciones se determinan en relación con una
escala apropiada para calcular el nivel de riesgo. Se debe
poner atención en la escala utilizada a fin de evitar malos
entendidos o malas interpretaciones de los resultados.
Matricial Análisis de modo de
Análisis preliminar falla y efecto FMEA
de riesgos PHA
What if? Listas de
chequeos
Ing. Raúl Iván Bustos Ladino
86. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Análisis preliminar de riesgos PHA
Para realizar un PHA deben cubrirse las siguientes etapas:
Recopilación de la información necesaria.
Realización del PHA propiamente dicho.
Informe de resultados.
Ing. Raúl Iván Bustos Ladino
87. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Análisis preliminar de riesgos PHA
Recopilación de la información necesaria.
Son informaciones básicas las de la propia empresa o proceso, así
como las referentes a los equipos principales, y las del entorno en
el que se realizan las operaciones.
Es también fundamental la información relacionada con procesos
similares y empresas semejantes.
Ing. Raúl Iván Bustos Ladino
88. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Análisis preliminar de riesgos PHA
Realización del PHA propiamente dicho.
El objetivo principal del PHA es identificar las amenazas y
vulnerabilidades que provoquen consecuencias indeseables.
Pueden identificarse, asimismo, criterios de diseño o alternativas
que contribuyan a eliminar o reducir estos riesgos.
Ing. Raúl Iván Bustos Ladino
89. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Análisis preliminar de riesgos PHA
Informe de resultados.
MADIDAS PREVENTIVAS O
AMENAZA VULNERABILIDAD IMPACTO
CORRECTIVAS
Fuga tóxica Manejo inadecuado del Peligro de muerte a) Colocar sistemas de detección
cilindro de si la fuga es y alerta
almacenamiento importante b) Capacitación del personal
c) Desarrollar un procedimiento
de manipulación de los cilindros
Ing. Raúl Iván Bustos Ladino
90. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
LISTAS DE CHEQUEO
Son listas de fácil aplicación y pueden ser utilizadas en cualquier fase de un
proyecto o modificación de una planta. Es una manera adecuada de evaluar el nivel
mínimo aceptable de riesgo de un determinado proyecto. Muchas organizaciones
utilizan las listas de inspección estandarizadas para seguimiento y control de las
diferentes fases de un proyecto.
Inflamabilidad Vertidos
Explosividad Almacenamientos
SUSTANCIAS
(EJEMPLO)
Toxicidad Electricidad estática
Corrosividad Reactividad
Ing. Raúl Iván Bustos Ladino
91. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Análisis de modo de falla y efecto FMEA
(Failure Mode and Effects Analysis)
Este método consiste en la tabulación de los equipos y sistemas de una
empresa, estableciendo las diferentes posibilidades de fallo y las diversas
influencias (efectos) de cada uno de ellos en el conjunto del sistema o de la planta.
Para garantizar la efectividad del método, debe disponerse de:
Lista de equipos y sistemas.
Conocimiento de las funciones de los equipos.
Conocimiento de las funciones de los sistemas y empresa.
Item Identificación Designación Modo de fallo Efectos
Ing. Raúl Iván Bustos Ladino
92. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
What if?
Ing. Raúl Iván Bustos Ladino
93. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Matricial
Ing. Raúl Iván Bustos Ladino
94. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Matricial
Ing. Raúl Iván Bustos Ladino
95. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Matricial
Ing. Raúl Iván Bustos Ladino
96. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Cuantitativo
Se consideran métodos cuantitativos a aquellos que permiten
asignar valores de ocurrencia a las diferentes amenazas
identificadas, es decir, calcular matemáticamente el nivel de riesgo.
(a veces son llamados semi-cuantitativos)
Análisis funcional de Método de árbol
operatividad (AFO) de fallas
Índice Dow para
Matricial fuegos y explosiones
Ing. Raúl Iván Bustos Ladino
97. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Cuantitativo
Matricial
Ing. Raúl Iván Bustos Ladino
98. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 4: VALORACIÓN
Cuantitativo Matricial
Ing. Raúl Iván Bustos Ladino
99. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 5: TRATAMIENTO
Luego del análisis de riesgos se procede a
determinar el tipo de acción a tomar para
cada riesgo. Se estudian las amenazas que
presentan los recursos del sistema y se
determina si es posible la implantación de
mecanismos que reduzcan o eliminen el
riesgo, en caso contrario las acciones a
tomar serían la aceptación o transferencia
del riesgo.
Ing. Raúl Iván Bustos Ladino
100. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 5: TRATAMIENTO
Estrategias de respuesta
Proteger y procesar
Se suele aplicar cuando la organización es muy vulnerable o el nivel de los
atacantes es elevado; la filosofía es proteger de manera inmediata y restaurar su
estado normal, de forma que los usuarios puedan seguir trabajando
normalmente.
La principal desventaja de esta estrategia es que el atacante se da cuenta
rápidamente de que ha sido descubierto y puede emprender acciones para NO
ser identificado o se limita a abandonar su ataque y dedicarse a probar suerte
con otros sistemas menos protegidos en otras organizaciones.
Ing. Raúl Iván Bustos Ladino
101. Módulo físico
Seguridad al interior de la Empresa
Análisis de riesgos
ETAPA 5: TRATAMIENTO
Estrategias de respuesta
Perseguir y procesar
Adopta la filosofía de permitir al atacante proseguir sus actividades, pero de forma
controlada y observada por los administradores, de la forma más discreta posible.
Con esto, se intentan guardar pruebas para ser utilizadas en la segunda parte de la
estrategia, la de acusación y procesamiento del atacante (ya sea ante la justicia o
ante los responsables de la organización, si se trata de usuarios internos).
Evidentemente se corre el peligro de que el intruso descubra su monitorización y
destruya completamente el sistema
Ing. Raúl Iván Bustos Ladino
102. Módulo físico
Seguridad al interior de la Empresa
(A LA MEDIDA)
Análisis de riesgos
Ing. Raúl Iván Bustos Ladino
103. Módulo físico
Seguridad al interior de la Empresa
Política de seguridad
No es una descripción técnica de mecanismos, ni una
expresión legal que involucre sanciones a conductas de
los empleados, es más bien una descripción de los
que deseamos proteger y el por qué de ello, pues cada
política de seguridad es una invitación a cada uno de
los miembros a reconocer sus principales activos.
Ing. Raúl Iván Bustos Ladino
104. Módulo físico
Seguridad al interior de la Empresa
Política de seguridad
¿Para qué?
Ing. Raúl Iván Bustos Ladino
105. Módulo físico
Seguridad al interior de la Empresa
Política de seguridad
¿Qué es una política?
Ing. Raúl Iván Bustos Ladino
106. Módulo físico
Seguridad al interior de la Empresa
Elementos de una política de seguridad
Alcance y ámbito de la Política de Seguridad: En este punto se
debe detallar si la política es global, para toda la empresa, o si
está delimitada para determinados departamentos o personas.
Objetivos general y específicos: CONTINUIDAD DEL NEGOCIO
Responsabilidades y Organización de la Seguridad de la
Información: Se establecerá una estructura de responsables para
la toma de decisiones respecto a inversiones, seguimiento y
aseguramiento del cumplimiento de lo recogido en las políticas.
Así mismo, puede establecerse la composición de un Comité
para la toma de decisiones conjuntas en materia de seguridad.
Ing. Raúl Iván Bustos Ladino
107. Módulo físico
Seguridad al interior de la Empresa
Elementos de una política de seguridad
Control de la información: Se indicarán las
pautas para asegurar el buen uso de la
información. Una buena práctica puede ser
establecer una guía de clasificación de la
información en función de su contenido y/o
grado de confidencialidad. A cada nivel (por
ejemplo: información de uso interno,
confidencial, reservada), se le dotarán de
diferentes medidas de seguridad en cada una
de sus fases de tratamiento (creación,
distribución, eliminación…)
Ing. Raúl Iván Bustos Ladino
108. Módulo físico
Seguridad al interior de la Empresa
Elementos de una política de seguridad
Seguridad del personal: Se especificarán las medidas de
seguridad a tomar en relación al personal de la organización
desde su incorporación en la que deberían firmarse acuerdos y
clausulas de confidencialidad, uso de los sistemas, etc, pasando
por su permanencia en la empresa, en la que deberá establecerse
un programa de formación y concienciación en Seguridad de la
Información hasta la finalización de la relación laboral donde se
detallarán las medidas para asegurar la devolución del
equipamiento (móviles, portátiles, etc…) que hayan sido cedidos
al empleado para su desarrollo de actividades en la empresa y la
eliminación de autorizaciones de acceso.
Ing. Raúl Iván Bustos Ladino
109. Módulo físico
Seguridad al interior de la Empresa
Elementos de una política de seguridad
Seguridad Seguridad de equipos
de área (físico y lógico)
Definición de
violaciones y sanciones Seguridad
por no cumplir con las de usuario
políticas
Ing. Raúl Iván Bustos Ladino
110. Módulo físico
Seguridad al interior de la Empresa
Política de seguridad
La política de seguridad es una “declaración de principios” y, por lo
tanto, es la guía sobre la que se cimentarán los principios para
asegurar la Seguridad de la Información de nuestras
organizaciones.
A partir de esta política, deberán desarrollarse otras guías o
procedimientos más específicos que detallen más ampliamente lo
establecido en nuestra política.
Ing. Raúl Iván Bustos Ladino
111. Módulo físico
Seguridad al interior de la Empresa
Política de seguridad
Ejemplo: En la política se indicará que los
usuarios deberán tomar medidas para
proteger sus cuentas de usuarios, pero será
necesario desarrollar más profundamente un
procedimiento que detalle los usos
permitidos y no permitidos de los recursos
informáticos en los que se les den, por
ejemplo, buenas prácticas para la
composición de contraseñas, qué uso deben
hacer del correo electrónico o cómo debe ser
utilizado Internet.
Ing. Raúl Iván Bustos Ladino
112. Módulo físico
Seguridad al interior de la Empresa
Etapas en el desarrollo de una política de
seguridad
Ing. Raúl Iván Bustos Ladino
113. Módulo físico
Seguridad al interior de la Empresa
Sugerencias para tener en cuenta al momento
de formular una política de seguridad
Realizar un análisis de riesgos
Reunirse con los departamentos dueños de los recursos, ya que
ellos poseen la experiencia y son la principal fuente para establecer
el alcance y definir las violaciones a las políticas.
Comunicar a todo el personal involucrado sobre el desarrollo de las
políticas, incluyendo los beneficios y riesgos relacionados con los
recursos y bienes, y sus elementos de seguridad.
Ing. Raúl Iván Bustos Ladino
114. Módulo físico
Seguridad al interior de la Empresa
Sugerencias para tener en cuenta al momento
de formular una política de seguridad
Identificar quién tiene la autoridad para tomar decisiones en cada
departamento, pues son ellos los interesados en salvaguardar los
activos críticos su área.
Monitorear periódicamente los procedimientos y operaciones de la
empresa, de forma tal, que ante cambios las políticas puedan
actualizarse oportunamente.
Detallar explícita y concretamente el alcance de las políticas con el
propósito de evitar situaciones de tensión al momento de establecer
los mecanismos de seguridad que respondan a las políticas trazadas.
Ing. Raúl Iván Bustos Ladino