En el sector de la Seguridad se dan muchas circunstancias en las que es fundamental auditar, de alguna forma, el estado de la Seguridad de un edificio, de un centro comercial, de un museo, de una fábrica, etc. Las razones son múltiples: adquisición de nuevos activos por parte de una empresa, necesidad de replantear la estrategia de Seguridad de un departamento, la llegada de un nuevo director de Seguridad, etc.
No es menos importante la necesidad de auditar la «salud» de un Sistema de Seguridad de forma periódica, para comprobar el cumplimiento de procedimientos ya establecidos, o el grado de funcionamiento de los Sistemas de Seguridad ya implantados. Esto es especialmente importante en los casos de haberse implantado un sistema de gestión basado en la mejora continua, como los que son acordes a la normativa ISO 31000.
En este artículo estamos utilizando el término «Sistema de Seguridad» en su significado más amplio, es decir, considerando como parte del Sistema no solo las medidas técnicas dispuestas (Detección de Intrusión, Barreras físicas, CCTV, equipamiento de control de accesos, Centralización, etc.), sino también la dotación de vigilantes, los procedimientos existentes, etc.
Un caso muy concreto de esta necesidad se da en la legislación aplicable a los Operadores Críticos, que deben revisar sus Planes de Protección Específicos cada dos años, revisión que debiera incluir, para ser útil realmente, la comprobación de la eficacia del Sistema de Seguridad que les da soporte.
Cómo
Lógicamente hay diferentes tipos de auditorías de Seguridad.
Según el diccionario de la RAE, en su primera acepción, el significado de Auditoría es: «Revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse».
Esta definición, que creemos absolutamente aplicable en la actividad que describimos plantea un «quid» importante: las reglas o criterios objetivos contra los que evaluar el cumplimiento, en este caso, del Sistema de Seguridad.
Hay casos en que lo que se audita es el cumplimiento, como hemos visto, de procedimientos o planes determinados; en estos casos esos procedimientos son las «reglas» contra las que confrontar el Sistema.
Existen reglamentaciones precisas de determinados establecimientos que presentan la obligación de determinadas prestaciones de su Sistema de Seguridad. Es el caso de establecimientos obligados por la legislación de Seguridad, puertos afectados por el código ISPS, centrales nucleares, aeropuertos, etc. En estos casos las auditorías inspeccionan el cumplimiento de las reglas que les son aplicables.
En otros casos, por ejemplo en grandes empresas, es susceptible de auditarse el cumplimiento de los reglamentos internos ya sea de medidas técnicas o de procedimientos, como en cadenas de tiendas o de franquicias.
Estas auditorías respecto de reglas establecidas son más evidentes y fáciles de entender. En la figura 1 se presenta el esquema de este tipo de auditorías.
Los resultados de estas auditorías deben reflejar al menos dos capítulos en sus resultados:
- Deficiencias encontradas respecto de las reglas a cumplir.
- Propuesta de soluciones (evaluadas económicamente y planificadas).
Auditorías sin reglas de referencia
Cuando no se dispone de estos referentes o reglas contra las que contrastar el estado y las prestaciones, las auditorías en general, y en particular las de sistemas de Seguridad, resultan más interesantes: en estos casos, el «cómo» es más complejo.
En el esquema de la figura 2 se presenta la metodología que desde Cuevavaliente ponemos en práctica en todos los casos en los que no estamos contrastando el sistema frente a reglas conocidas.
Para este tipo de auditorías es de vital importancia la fase del Análisis de Riesgos. En ella se incluye la identificación de los riesgos y la propuesta de medidas ideales para contrarrestarlos. En Cuevavaliente utilizamos la metodología incluida en nuestra aplicación GR2Sec, basada en la normativa ISO 31000 y en la AS/NZS 4360 (y Magerit II cuando se incluyen riesgos de ciberseguridad). Esto permite plantear unas reglas ideales, allá donde no existen otras basadas en normativa o legislación a aplicar.
Obviamente esto implica que los resultados de esta fase han de ser validados por el propietario de las instalaciones a auditar para que haya consenso en cuanto al objetivo ideal de Seguridad a conseguir, y contra el que contrastar las medidas de Seguridad existentes.
Es también interesante considerar el contenido de la fase de «Inspección del Sistema de Seguridad actual», tanto para su contraste con reglas existentes o con las derivadas del Análisis de Riesgos GR2Sec.
En nuestra experiencia, este análisis ha de incluir lo descrito al principio del artículo: Medidas Técnicas y Operativas, y además ha de tener en cuenta no solo la existencia de dichas medidas sino, sobre todo, su estado funcional.
En el análisis de las Medidas Técnicas es muy apropiada la utilización de un análisis similar al de la metodología CMM (Cobit Maturity Model) utilizado para la Ciberseguridad, que permite medir la madurez de las medidas de Seguridad según seis niveles, de 0 a 5: Inexistente, Inicial, definido, repetible, gestionado y optimizado. Esta metodología Cuevavaliente Ingenieros la ha adaptado a las medidas de Seguridad «físicas» (Sistemas de Seguridad, Vigilancia, Procedimientos, etc.).
En esta adecuación se han considerado, como criterios de evaluación de madurez de los sistemas, los siguientes aspectos:
- Cobertura de los medios técnicos (si cubren y en qué porcentaje el área o perímetro sobre la que actúan).
- Grado de efectividad considerando tecnologías actuales y nivel esperado del delincuente tipo.
- Estado de obsolescencia de las tecnologías utilizadas.
- Capacidad de mantenimiento actual y futuro.
- Actualidad de los procedimientos de operación.
- Grado de conocimiento de esos procedimientos por parte del personal de vigilancia.
- Otros parámetros relacionados con la calidad de los servicios recibidos, ya sean de mantenimiento o de vigilancia, por ejemplo.
El resultado en este tipo de Auditorías de Seguridad debe aportar:
- Resultados del Análisis de Riesgos con la situación actual (riesgo residual presente).
- Juicio sobre el estado de eficacia de las medidas actuales.
- Propuesta de criterios de tratamiento de los riesgos actuales.
- Propuesta de soluciones (evaluadas económicamente y planificadas).
- Resultado teórico del Análisis de Riesgos tras la adopción de las medidas propuestas (riesgo residual futuro).
Auditorías en proceso de mejora continúa
Los procesos de mejora continua de riesgos de Seguridad presentan modelos muy similares. El propuesto por Cuevavaliente, basado en el de la ISO 31000, sigue el siguiente modelo figura 3.
Como herramienta fundamental de todo proceso de mejora continua, las auditorías permiten establecer una hoja de ruta inicial y comprobar que las acciones llevadas a cabo siguen esa línea trazada.
Independencia
Finalmente, creemos que es muy importante destacar que la labor de Auditoría de Sistemas de Seguridad debe realizarse de la forma más independiente posible. Es decir, auditar un Sistema de Seguridad por empresas que puedan tener intereses en la dotación de los medios a complementar (instalaciones de equipos, comercialización de determinados elementos, prestación de servicios de vigilancia) presenta sin duda posibles conflictos de interés, que comprometan la veracidad del informe de Auditoría.
Esta es la razón por la que la actividad de Auditorías de Seguridad es uno de los servicios más apreciados por nuestros clientes.
Enrique Bilbao Lázaro. Cuevavaliente Ingenieros.
