Módulo:

Seguridad

Física

Fecha: 11/06/2018

Instructor: Raúl Sánchez Granados PSP

Seguridad Física

• Bibliografía • Protection of Assets Manual

• Physical Security • Capítulos 1 al 12

• Applications• Capítulo 2 High-rise structures: Life Safety and Security

consderations

• Facilities Physical Security Measures guideline

• General Security Risk Assessment guideline

PPS

SEGURIDAD FISICA

DEFINICION DEL PROBLEMA

PROGRAMA DE PREPARACIÓN PARA PRESENTAR EL EXAMEN COMO PROFESIONAL

DE PROTECCIÓN CERTIFICADO

Ing. Raúl Granados Sánchez, PSP

PPS• Proceso complejo

• El Gerente de seguridad debe liderar el proyecto

• Debe de estar alineado con las metas y objetivos de la organización

• Integrar: Personal, tecnología y procedimientos

• Presupuesto, tiempo, Staff, alcances

• Diseño de la solución

Definiciones

• Sistema: Conjunto de productos y/o procesos combinados para lograr una solución a un problema o lograr una meta

• Integración: Combinación de una variedad de componentes ( como personal, procedimientos y tecnología) para formar un sistema

• Enfoque o aproximación de Sistemas (system Approach): Método lógico para resolver un problema en el cual una solución exhaustiva es desarrollada para un problema con diversas dimensiones. • Tres pasos

• Evaluación de la vulnerabilidad

• Implementación de contramedidas

• Evaluación de la efectividad

RISK MANAGEMENT

• “Actividades coordinadas para dirigir y controlar una organización con respecto a los Riesgos” ISO/IEC

2009

• Se apoya en la evaluación de riesgos “Risk Assessment”

• La evaluación de riesgos se apoya en la Evaluación de vulnerabilidad

Riesgo

• La Expectativa de pérdida anual • In certitud de perdida financiera • Variación entre resultados actuales y esperados• Probabilidad de que una perdida ocurra• La posible ocurrencia de un evento indeseable• El resultado del riesgo es una perdida o una perdida de valor• Resultados o eventos adversos que una organización desea

evitar y está en función de la probabilidad de que dicho evento ocurra, su magnitud e inminencia

• La probabilidad de una consecuencia

Tipos de Riesgo

• Riesgo puro• Crimen

• Riesgos naturales

• Normalmente perdida

• Riesgo Dinámico o Especulativo • Derivado de negocios

• Perdidas o ganancia

Risk Assessment

• Es el proceso para definir que tan grande es el riesgo

• Medir o clasificar el riesgo▪ Cuantitativos

▪ Cualitativos

• Heurístico (ad hoc)

• Inductivo

• Deductivo

• Qué Puede salir mal?

• Cuál es la probabilidad de que algo salga mal?

• Cuáles son las consecuencias?

“Se examina el resultado de un ataque exitoso por un adversario, la

probabilidad que este ocurra, como se desarrolla y cuanta gente es

afectada”

Risk Management

• Qué se puede hacer?

• Cuáles son las opciones disponibles?

• Cuáles son las ventajas y desventajas en términos de costos beneficios y riesgo?

• Cuáles son los impactos de las decisiones actuales de la dirección sobre futuras opciones?

Manejo de riesgo - Métodos

• Evitar

• Reducir

• Distribuir

• Transferir

• Asumir

• Fortalecer /Resistir (Site Hardening)

Reducción del riesgo

• Prevenir el ataque• Disuasión

• inteligencia

• Protegerse contra un ataque• Sistemas de protección física (PPS)

• Reducir o mitigar las consecuencias• Pueden ser implementadas antes, durante y después del

evento

Amenaza Consecuencia Vulnerabilidad

Bienes / Assets

• La identificación de bienes incluye asignarle un valor • Criticalidad

• Consecuencia de pérdida

• Severidad

• Priorizar

• Efecto en la organización en caso de pérdida o daño

• Métodos de valuación:

• Valor económico $$$

• Consecuencia

• Políticas

Valuación de bienesEconómico

DIRECTOS

• Costo de un reemplazo temporal

• Costo de reemplazo permanente del bien

• Tiempos muertos

• Perdidas financieras asociadas

• Afectaciones comerciales

• Incremento de primas de seguros

• Deducibles

• Tiempo del personal y dirección empleado

INDIRECTOS

• Mala publicidad

• Perdida de Reputación

• Percepción negativa de los clientes o usuarios

• Gastos adicionales de publicidad o RP

• Baja moral de empleados

TCF• Total Cost Formula

K = (Cp+Ct+Cr+Ci)-(I-a)

• K = Criticalidad, Costo total de pérdida

• Cp: Costo de reemplazo permanente

• Ct: Costo de reemplazo temporal

• Cr: Costo total relacionado

• Ci: Costo total de ingresos

• I: Indemnización disponible

• a: deducible y costos asociados

Valuación de Bienes Consecuencia

• Método cualitativo o cuantitativo

• Rangos de valores

• FEMA

AMENAZAS• Amenazas:

• Relacionadas con Humanos

• Acciones malévolas, malintencionadas, criminales

• Security

• Peligros ( Hazards ):

• Safety

• Eventos accidentales, no intencionales

• Relacionados con la naturaleza

AMENAZAS• Definición de la amenaza se realiza durante la evaluación de

riesgo ( Risk Assessment )

• Tácticas• Engaño• Fuerza• Encubierta ( Stealth )• Combinaciones

• Probabilidad del ataque

• Adversarios

– Internos

– Externos

– Externos coludidos con internos

DBT• Design Basis Threat

• Diseño en base a amenaza

• “El adversario contra el cual la instalación debe ser protegida”

• Tipo de amenaza• Tácticas• Modos de operación• Capacidad

• Número• Armamento• Organización• $$$

• Nivel de amenaza• Motivación

• Ideológica• Financiera• Personal

Amenazas

• Pocas veces la amenaza es única

• Espectro de amenazas• Categorías o clasificación

de las amenazas• Vándalos

• Empleados Descontentos

• Criminales

• Extremistas

• El diseño del PPS deberá estar basado en el espectro de amenazas definido

El DBT debe ser protegido como información sensible *

PROBABILIDAD DE LA AMENAZA

• Probabilidad o Frecuencia

• Datos históricos

• Historia de eventos similares en compañías similares

• Localización geográfica y entorno

• Condiciones políticas y sociales

• Cambios en la economía

• Procedimientos y procesos

• Criminalidad

• Estimaciones Cualitativas: Muy alto, alto, medio, bajo

• Dar por hecho la amenaza

Datos Históricos• Retail

• Estimación de eventos basado en información estadística

• No siempre disponible, organizada o completa• Base de datos completa

• La frecuencia de ocurrencia sugiere la probabilidad de ocurrencia

• Predicciones fiables basadas en datos históricos

Datos Históricos• Base de datos de

registro de incidentes:• Fecha de ocurrencia• Hora del evento• Lugar del evento • Naturaleza del evento• Descripción especifica

del evento• Modo de operación o

forma de ocurrencia• Identificador del evento• Valor de los bienes

afectados

BIENES• Un bien es un recurso que requiere

protección debido a su valor, su importancia para mantener la continuidad del negocio o por la dificultad de conseguir su reemplazo en un periodo de tiempo

• Tangibles

– Edificios, mobiliario, dinero, equipo

• Intangibles

– Procesos, reputación, propiedad intelectual

“Los empleados son los bienes más críticos de una empresa u organización”

Vulnerabilidad

• Vulnerability asessment

• Vulnerability analisys“Proceso para identificar y cuantificar vulnerabilidades”

“Método para identificar puntos débiles de una facilidad, lugar, entidad o persona”

• VulnerabilidadUna debilidad que puede ser aprovechada por el adversario

Vulnerability Assessment

• VA

• Debe ser desarrollado para establecer la base de la efectividad del PPS, basada en las amenazas definidas

• Se repite para verificar la efectividad de las mejoras propuestas

• Se realiza periódicamente para comprobar el desempeño del sistema

VA Team • Esencial para un buen

análisis

• Team Leader• Sistemas de seguridad

• Administración de proyectos

• Miembros• Ingeniero de sistemas

de seguridad

• Experto en respuesta

• Analista de datos

• Operaciones

• Otros especialistas• Cerrajeros

• Legal

• IT

• safety

Objetivos del VA

• Caracterización de la facilidad• Evaluación del PPS

implementado

• Identificar los elementos del PPS • Detección, retraso,

respuesta

• Estimar su desempeño contra las amenazas

• El PPS es descrito por componentes y a nivel de sistema y mediante los medios que las amenazas pueden comprometer o vencer al PPS

• Site Survey

Site Survey • Tour por las

instalaciones

• Planos

• Localización de activos clave

• Operación y producción

• Ubicación de componentes del PPS

• Estados de la facilidad

• Revisión de documentos • Revisiones previas

• Registros

• Bitácoras

• Entrevistas con personal

Testing • Evaluar la efectividad del PPS

• Test funcional• Los elementos o dispositivos funcionan de acuerdo a lo esperado

• Test operacional • Operación o uso correcto del elemento

• Test de desempeño*• Repetición de múltiples pruebas para medir la efectividad o capacidad contra

diferentes amenazas

• *Normalmente realizado en laboratorio u otra facilidad

• Consideraciones temporales • Horario, turnos, vacaciones, feriados, huelgas

Detección

• Descubrimiento de acciones cubiertas o evidentes de acciones del adversario

• Probabilidad de detección de la acción del adversario

• Tiempo requerido para comunicar y evaluar la alarma

Detección• Entry Control

• Throughput (capacidad)

• Aceptación en Falso

• Rechazo en Falso

• Personal • Personal de seguridad en

puestos fijos o en rondines

• Evaluación de la alarma• Validar si la alarma es

verdadera o alarma no deseada. Evaluación primaria

• -Información sobre la amenaza, cuantos, donde, capacidad de fuerza, quien,. Evaluación Secundaria

* La detección no está completa si no hay evaluación

Retraso

• Segunda función del PPS

• Detener o alentar el avance del agresor

• Efectividad medida en minutos o segundos para que la amenaza pueda vencer el elemento

• Barreras

• Chapas y cerraduras

• Elementos activos

• Elementos de respuesta en puestos fijos y posiciones bien protegidas

*Retraso previo a la detección solamente es disuasión

Respuesta

• Prevenir el éxito del ataque

• Interrupción• Arribo de la fuerza de respuesta para detener el avance del agresor

• Despliegue ( Deployment) • Tiempo desde que la fuerza de respuesta recibe el aviso

hasta que está en posición para interrumpir al adversario • Efectividad de la comunicación

• Probabilidad de despliegue correcto

• Tiempo de Despliegue

Aproximaciones del VA• Compliance

• Cumplimiento de políticas o regulaciones

• Presencia de equipo y procedimiento

• Checklists

• Nivel de consecuencia bajo

• Costo Beneficio

• Performance Base• Evaluación de cada elemento

del PPS y como contribuye al desempeño general

• Efectividad global del PPS• Diagrama de secuencia del

adversario

• Análisis del camino del adversario

• Análisis de escenarios

• Análisis de neutralización

• Determinar efectividad del sistema y riesgo

• Desarrollar mejoras

VA

• El resultado final del VA es determinar la efectividad del PPS

• Reporte a la alta dirección• Información clara y no tendenciosa

• Definir situación actual del PPS

• Proponer soluciones o upgrades

• Puede ser formal o informal, oral o escrito

• Distribución limitada del documento

Reporte VA• Descripción de la instalación

• Operaciones o funciones primarias

• Definición de amenazas y bienes

• Descripción general de los componentes del PPS existente

• Vulnerabilidades

• Efectividad del sistema

• Propuesta de mejoras

• Demostrar como las mejoras pueden ayudar al desempeño

• Reforzar el documento con imágenes, planos, gráficas, etc.

Evaluación de Riesgo Risk Assessment

• Qué puede salir mal?

• Cuál es la posibilidad de que algo salga mal?

• Cuales son las consecuencias?

• Determinación del riesgo:• Efectividad del sistema

(VA)

• Amenaza

• Valor del bien

• Decisión sobre el nivel de riesgo

“Conforme la capacidad de la amenaza se incrementa, la

efectividad de los elementos o incluso todo el PPS

disminuye”

Riesgo

R = T x A x V

R= Riesgo Residual

T = Amenaza, ( Definición de amenaza y probabilidad de ataque )

A= Bien a proteger ( Asset )

V= Vulnerabilidad ( Efectividad del Sistema )

Definición del problema

SEGURIDAD FISICA

PRINCIPIOS DE DISEÑO Y CONCEPTOS

PROGRAMA DE PREPARACIÓN PARA PRESENTAR EL EXAMEN COMO PROFESIONAL

DE PROTECCIÓN CERTIFICADO

Ing. Raúl Granados Sánchez, PSP

SEGURIDAD FISICA

Características del PPS

• Protección en Profundo

• Mínima consecuencia por la falla de un componente

• Protección Balanceada

Protección en Profundo

• El agresor, deberá evitar o derrotar una serie de dispositivos de protección en secuencia

• Las medidas pueden ofrecer niveles de efectividad diferente, o requerir diferentes tiempos para superarlos, pero el agresor deberá irlos enfrentando

Protección en Profundo

• Protección por capas• Incrementar el nivel de desconocimiento del sistema al agresor• Requerir mayor nivel de preparación y sofisticación del atacante• Crear pasos que el atacante fallara terminando por abortar la

misión.Mínimo dos sistemas de alarma en alta seguridadCombinación de sistemasLeyes de probabilidad

Protección por capasLayer Protection

• Tipos de capas• Detección

• Retraso|

• Defensa

• Tres capas PrincipalesBarreras de perímetro -

Primera línea de defensa

Paredes exteriores ,pisos, techos

Segunda línea de defensa

Líneas internas

Tercera línea de defensa

Zonas de intervención

Mínima Consecuencia de Falla

• Fallas• Ambientales

• Causadas por el agresor

• Planes y acciones de contingencia • Fuentes de energía alterna ( UPS, Plantas Generadoras,

Baterías )

• Apoyos externos a sistemas ( apoyo de policía local)

Protección Balanceada

• No importa que técnica use el agresor siempre existirán elementos efectivos de protección

• El tiempo mínimo de penetración de los elementos de protección en un sistema balanceado deberá ser el mismo para cada uno de los elementos

• La probabilidad de detección en cada

• Barrera debe ser igual

Protección Balanceada

• Proveer protección adecuada contra todos los tipos de amenazas ( DBT ) en todos los escenarios posibles y mantener un balance con otras consideraciones como costos, seguridad( Safety ), integridad estructural, operaciones.

Criterios de Diseño

• Compliance Base• Feature Criteria

• Selección de elementos de acuerdo para satisfacer requerimientos

• La efectividad es solamente reflejo del cumplimiento de los requerimientos o regulaciones

• Performance Base• Selección de elementos de

acuerdo a su contribución en el sistema

• Medida de la efectividad en conjunto

• El incremento de la efectividad se compara con el costo de l implementación de la mejoras

• Análisis costo Beneficio

“Todo proceso de diseño debe tener criterios para evaluar sus elementos”

Medición de Desempeño

• Detección• Probabilidad de detección• Tiempo para comunicación y evaluación• Frecuencia de alarmas no deseadas

• Retraso• Tiempo para superar obstáculos

• Respuesta• Probabilidad de la correcta comunicación

con la fuerza de respuesta• Tiempo para comunicar• Probabilidad de despliegue • Tiempo de despliegue• Efectividad de la fuerza

Seguridad Física

Procedimientos

Tecnología

Hw

Sw

PPS

Integrado

PRINCIPIOS DE DISEÑO Y CONCEPTOS