LINEAMIENTOS, COMPONENTES Y REQUISITOS GENERALES PARA LA

IMPLEMENTACIÓN DE UN PLAN DE SEGURIDAD FÍSICA, EN LAS INSTALACIONES

DE LA EMPRESA COOPERATIVA DE AHORROS AVALCOOP EN MAO
LINEAMIENTOS, COMPONENTES Y REQUISITOS GENERALES
PARA LA IMPLEMENTACIÓN DE UN PLAN DE SEGURIDAD FÍSICA,
EN INSTALACIONES DE LA EMPRESA COOPERATIVA DE AHORROS
AVALCOOP.

RESUMEN

Teniendo en cuenta que Avalcoop (Cooperativa de ahorros avalcoop) es una empresa que cuenta con una
estructura orgánica plenamente establecida, con procesos definidos y sus procedimientos
estandarizados, es de carácter imperativo precisar y documentar los lineamientos para un plan de
seguridad física, que garantice la continuidad de negocio y minimice la probabilidad de la materialización
de riesgos.

En el presente ensayo se documentan aquellos elementos y lineamientos requeridos para la

implementación de un plan de seguridad física en la Cooperativa, incluyendo conceptos y definiciones
con relación a la seguridad física, componentes físicos, procedimientos de seguridad, tecnología a
emplear, roles y responsabilidades de las partes involucradas, metodología para la gestión de riesgos e
indicadores que permitan evaluar la efectividad identificando vulnerabilidades para así determinar
acciones de mejora.

Esta guía establece los parámetros anteriormente descritos teniendo en cuenta las buenas prácticas para
la adecuada gestión del riesgo, a partir de la clasificación de activos de alto valor para la organización,
identificación y análisis de causas, y gestión de vulnerabilidades.

Por otro lado, se establecen indicadores y herramientas de medición que permitan a la organización
conocer la efectividad de la implementación del plan de seguridad física que haya sido adoptado.

PALABRAS CLAVES

Seguridad: Cualidad de seguro. Servicio encargado de la seguridad de una persona, de una empresa, de
un edificio, etc. (Real Academia Española, 2019).Por otra parte, en lo que se relaciona directamente con
seguridad física, se hace referencia al conjunto de mecanismos y acciones que buscan la detección y
prevención de riesgos, con el fin de proteger algún recurso o bien material (Universidad de Valencia, s.f.).

Riesgo: Contingencia o proximidad de un daño. Riesgo que sufre una empresa derivado de la posibilidad

de fallos en su propio funcionamiento. (Real Academia Española, 2019). Eventualidades potenciales contra
la infraestructura física que pueden afectar negativamente la continuidad de negocio en una empresa

(Grupo Atlas de Seguridad Integral, 2018).

Amenaza: Dicho de algo malo o dañino. Presentarse como inminente para alguien o algo. (Real Academia
Española, 2019).

Vulnerabilidad: Cualidad de vulnerable. Debilidad o fallo. Que puede ser herido o recibir lesión, física o

moralmente. (Real Academia Española, 2019). En términos de seguridad física a instalaciones, se refiere a

debilidad o fallo en la infraestructura o en los mecanismos de seguridad y control que pueden afectar los

procesos de la organización (RINCON, 2011).

Control: Comprobación, inspección, fiscalización, intervención. Regulación, manual o automática, sobre

un sistema. (Real Academia Española, 2019). Procedimientos, elementos y componentes que ayudan a

prevenir la materialización de riesgos de seguridad física (Niles, 2004).

Planeación: Acción y efecto de planear (trazar un plan). Hacer planes o proyectos. (Real

Academia Española, 2019). Relacionado con la seguridad física se hace referencia a la hoja de ruta a seguir

para la implementación de estrategias que fortalezcan los procedimientos de seguridad física e

instalaciones.

Estrategia: Arte, traza para dirigir un asunto. En un proceso regulable, conjunto de las reglas que aseguran
una decisión óptima en cada momento. (Real Academia Española, 2019)

Gestión: Llevar adelante una iniciativa o un proyecto. Ocuparse de la administración, organización y

funcionamiento de una empresa, actividad económica u organismo. (Real Academia Española, 2019). En
términos de seguridad física y del entorno, se toma como base lo dispuesto en la IEC NTC ISO 27001:2013,
(Control, seguridad física y del entorno). Prevenir el acceso físico no autorizado, el daño y la interferencia
a la información y a las instalaciones de procesamiento de información de la organización (ICONTEC,
2013).
 TABLA DE CONTENIDO

INTRODUCCIÓN .............................................................................................................................................
1
PLANTEAMIENTO DEL PROBLEMA ................................................................................................................
2
ALCANCE ....................................................................................................................................................
3
LINEAMIENTOS, COMPONENTES Y REQUISITOS GENERALES ....................................................................... 3
POLÍTICAS GENERALES ..............................................................................................................................
3
SEGURIDAD FÍSICA Y DEL ENTORNO .........................................................................................................
4
ÁREAS SEGURAS: ...................................................................................................................................
4
PERÍMETROS DE SEGURIDAD DE INSTALACIONES: ...............................................................................
4
CONTROLES DE ACCESO FÍSICO: ............................................................................................................
7
SEGURIDAD EN OFICINAS E INSTALACIONES: .......................................................................................
9
SEGURIDAD EN EL CABLEADO: ............................................................................................................
10
PROTECCIÓN UBICACIÓN DE EQUIPOS: ..............................................................................................
11
MANTENIMIENTO A INFRAESTRUCTURA: ...........................................................................................
11
SEGURIDAD CONTRA AMENAZAS EXTERNAS Y AMBIENTALES: .......................................................... 11
PARTES INVOLUCRADAS Y RESPONSABILIDADES ........................................................................................
14
METODOLOGÍA PARA LA GESTIÓN DE RIESGOS.......................................................................................... 19
FASES PARA LA GESTIÓN DE RIESGOS ASOCIADOS A LA SEGURIDAD FÍSICA EN AVALCOOP ...................
20
IDENTIFICACIÓN DE RIESGOS: .............................................................................................................
20
 DEFINICIÓN DE LA GESTIÓN: ...............................................................................................................
21
GESTIÓN DE RIESGOS: .........................................................................................................................
21
MEDICIÓN DE RESULTADOS DE LA GESTIÓN: ......................................................................................
22
CIERRE: ................................................................................................................................................
22
POSIBLES AMENAZAS A LA SEGURIDAD FÍSICA .......................................................................................
22
ANÁLISIS DE CAUSAS ...............................................................................................................................
23
CONCLUSIONES ...........................................................................................................................................
25
 1

INTRODUCCIÓN

La seguridad física tiene como foco principal identificar y analizar de las amenazas y riesgos a los que se
enfrentan o pueden llegar a versen involucradas instalaciones, bienes, personas, procesos y servicios de
una organización, es por esto que lo que se enuncia en el presente documento está encaminado a la
implementación de procesos y procedimientos que tiendan a prevenir, o limitar la materialización de
posibles riesgos a costa del aprovechamiento de las vulnerabilidades en las instalaciones o componentes
de la empresa.

Avalcoop es una cooperativa multiactiva que realiza actividades de las demás entidades de esta naturaleza,
financieras y fondos de personas, donde se hace referencia a empresas dedicadas a la distribución de
fondos sin ánimo de lucro, teniendo entre sus asociados empresas dedicadas a la compra de bienes y
servicios, actividades de los fondos de empleados, fondos mutuos de inversión y sociedades mutuales. Por
otra parte, presta sus servicios administrativos a empresas clientes en temas relacionados con la gestión
de talento humano, gestión contable y financiera, gestión de infraestructura (mantenimiento locativo) y
gestión de compras.

La empresa cuenta con una estructura orgánica definida, enmarcada en sus procesos, los cuales se enfocan
principalmente en la satisfacción del cliente y sus asociados.

En contexto con lo anterior, el proceso para la elaboración de un Plan de Seguridad Física en las
instalaciones de la Cooperativa Avalcoop en Mao, se enfatiza en función de las necesidades, expectativas,
activos, misión y objetivos de la empresa, a los cuales se les debe garantizar la integridad y seguridad,
alineándose al cumplimiento de la las leyes y normatividad vigente, y aplicando estándares de
normalización que certifican diferentes de gestión.

Los lineamientos, componentes y requisitos para la implementación del plan de seguridad física en
mención, se realizan aplicando la metodología estratégica basada en el Planear, Hacer Verificar y Actuar o
ciclo PHVA, teniendo como aspectos relevantes buenas prácticas para la adecuada evaluación y gestión
del riesgo, a partir de la clasificación de activos de alto valor para la organización, identificación y análisis
de causas, gestión de vulnerabilidades e indicadores de desempeño del plan de seguridad.

La pretensión en general del presente escrito es suministrar a la organización una herramienta que sirva
como guía para la implementación de un plan de seguridad física en las instalaciones de la Cooperativa de
Trabajadores de Avalcoop.
 1

PLANTEAMIENTO DEL PROBLEMA

¿Es importante garantizar la seguridad física en las instalaciones y activos de la Cooperativa Avalcoop para
así procurar el normal desarrollo de los procesos y disminuir la probabilidad de materialización de riesgos
en la organización?

El continuo flujo de personal a las instalaciones de la organización, el grado de importancia de los activos
allí contenidos, la necesidad de garantizar la continuidad del negocio y la satisfacción de los clientes, en
concordancia con los riesgos físicos, ambientales y del entorno hacen necesario establecer políticas
efectivas y claras que se enfoquen en garantizar la integridad y seguridad física de las instalaciones de la
Cooperativa Avalcoop” en la cuidad de Mao.

ALCANCE

Lo contenido en el presente documento tendrá como objetivo de implementación los procesos

gerenciales, misionales y de soporte de la organización, todos los funcionarios que ingresen y pernocten
al interior de la organización y terceros que requieran el ingreso a las instalaciones físicas de la entidad,
quienes estarán comprometidos con el cumplimiento a las políticas dispuestas este documento.

LINEAMIENTOS, COMPONENTES Y REQUISITOS GENERALES

POLÍTICAS GENERALES

Cada área que involucre procesamientos de información de acuerdo a la clasificación establecidos por la
entidad, deberá procurar la existencia de protecciones físicas o áreas de seguridad (paredes, cubículos,
puertas con controles de acceso, recepcionistas, personal de seguridad calificado, cámaras de seguridad,
CCTV, y demás considerados pertinentes); las cuales deberían garantizar la solvencia de necesidades de
seguridad referente a controles de entradas físicos, seguridad al interior de oficinas, pasillos, puntos
muertos, personal, infraestructura tecnológica, mobiliario y demás activos en pro de la protección contra
amenazas externas y ambientales.
 1

Es imperativo que Avalcoop cuente con áreas o perímetros de seguridad en los sitios donde se hallen
instalados equipamiento para el suministro de energía eléctrica, centros de procesamiento de información,
archivos de información física y gestión documental, y cualquier otra zona considerada crítica para
garantizar la continuidad de negocio o que pueda afectar significativamente la organización.

SEGURIDAD FÍSICA Y DEL ENTORNO

Tomando como base el Anexo A, de la Norma NTC ISO IEC 27001:2013, dominio de control A.11, y todos
sus controles contenidos allí, cuyo objetivo principal es “Prevenir el acceso físico no autorizado, el daño y
la interferencia a la información y a las instalaciones de procesamiento de información de la organización”
(ICONTEC, 2013), se establecen los siguientes lineamientos de seguridad a cumplir en el plan de seguridad
física en Coopava:

ÁREAS SEGURAS: Son los espacios físicos donde es procesada o almacenada

información de carácter crítico para la organización, o que en su defecto su nivel de riesgo sea elevado y
en caso de materialización afecte significativamente la continuidad de los procesos en Coopava.

Áreas seguras pueden ser consideradas las siguientes:

• Centro de cómputo o cuarto de equipos de red y servidores.

• Cuartos intermedios de cableado y comunicación.

• Archivo central de gestión documental.

• Cuartos de transferencia y respaldo de energía (plantas eléctricas y UPS).

• Departamento comercial y de cartera.

• Oficinas de despacho (Gerencia y Secretaria General).

• Centro de monitoreo de CCTV.

PERÍMETROS DE SEGURIDAD DE INSTALACIONES: “El sitio escogido para colocar los sistemas de

información, equipos de cómputo y comunicaciones, deben estar protegidos por barreras y controles físicos,

para evitar intrusión física, inundaciones, y otro tipo de amenazas que afecten su normal operación. El

tamaño del área será determinado por la cantidad de hardware necesitado para el procesamiento y

almacenamiento de la información. Los requerimientos de tipo ambiental deben ser especificados por los

diferentes fabricantes de los equipos. Las medidas de seguridad que se deban tomar, dependerán
 1

directamente del valor de los activos de información, su nivel de confidencialidad, y los valores requeridos

de disponibilidad. Todos los sitios en donde se encuentren sistemas de procesamiento informático o de

almacenamiento, deben ser protegidos de accesos no autorizados, utilizando tecnologías de autenticación,

monitoreo y registro de entradas y salidas” (BSI Group, 1999).

Considerando la infraestructura de la Cooperativa y la capacidad legal de la organización, las instalaciones

cuentan con una única recepción principal de ingreso al edificio la cual deberá contar mínimo con
torniquetes de acceso que operen mediante acceso biométrico o por tecnología RFID1 con tarjetas de
proximidad. En el caso de acceso de visitantes o terceros a las instalaciones debe existir un sistema de
información para el control de visitantes, que permita verificar la veracidad de los documentos de
identidad mediante lectura de código de barras. Los visitantes deberán estar acompañados de manera
constante por parte del funcionario o funcionarios de Avalcoop a quien se le atribuya la responsabilidad
de la permanencia de los mismos en la empresa.

En los centros de cómputo, cuartos de equipos o de cableado y los centros de monitoreo de CCTV2 deberá
estar rigurosamente restringido el acceso, aplicando controles de acceso biométrico y con cerradura de
seguridad, donde únicamente el personal encargado de la administración del componente tecnológico
tendrán acceso a los mismos, o en su defecto el personal autorizado por la alta dirección, lo cual deberá
quedar documentado y justificado mediante documento o formato controlado.

En el archivo central de gestión documental se implementan controles que garanticen la integridad de la

información y documentación allí contenida. Este perímetro deberá contar como mínimo detectores de
humo, extintores y aire acondicionado. El acceso a esta área debe estar limitado únicamente al personal
en cargos de gestión documental o quien la alta dirección designe para ello, contando con la misma
metodología y mecanismos de acceso que para las áreas de tecnología.

Considerando la criticidad e importancia del departamento comercial de cartera, se contará con los
mismos controles de acceso que en los perímetros de seguridad descritos anteriormente, pero
adicionalmente se deben prever controles de seguridad perimetral especial en redes, donde se realizará
segmentación en la red de datos, la cual deberá estar separada física y lógicamente del resto del edificio,
garantizando así que desde esta área no se pueda acceder a los demás recursos de red en el edificio y
viceversa.

Las oficinas de despacho más importante deberán estar totalmente cubiertas, con cerraduras de seguridad
las cuales deben estar cerradas bajo llave en horario no laboral, así como también es imperativo el
monitoreo de estas áreas mediante cámaras de video vigilancia.

CONTROLES DE ACCESO FÍSICO: Una vez definidos los perímetros de seguridad, y sus características
es necesario protegerlos con mecanismos de control de acceso, donde Coopava deberá implementar
mínimo los siguientes controles:
 1

• CONTROL BIOMÉTRICO Y RFID: En las zonas como el ingreso principal,

centros de cómputo y comunicaciones, archivo, departamento de cartera, se deberá establecer como

mínimo control de acceso biométrico o en su defecto detectores de proximidad con tarjetas RFID, de
acuerdo a las capacidades logísticas de la organización.
• CERRADURAS DE SEGURIDAD: Absolutamente todas aquellas áreas de

ingreso que cuenten con puerta deben tener cerraduras de seguridad, donde el responsable de cada
dependencia deberá portar las llaves de acceso. El personal de seguridad deberá tener copia de cada llave
en caso de ser requeridas.
• DISPOSITIVOS DETECTORES DE METALES: Con el fin de evitar el ingreso de

elementos que se consideren potencialmente peligrosos como: armas de fuego, armas corto

punzantes, objetos contundentes, entre otros, el personal de seguridad deberá hacer registro a

personas y bolsos con dispositivos detectores de metales.

• SISTEMA DE INFORMACIÓN PARA EL CONTROL DE VISITANTES:

Avalcoop deberá contar con un sistema de información para el control de visitantes, el cual ha de contener
como mínimo con las siguientes características:
- Ingreso para la administración mediante credenciales de usuario empresarial.

- Herramienta de Inteligencia BI (Business Intelligence) (SINNEXUS, 2019).

- Almacenamiento y datos en servidor.

- Lectura de código de barras.

- Formularios de captura de datos de visitantes.

Para operar este sistema de información se deberá contar con un funcionario, que no debe ser el personal
de seguridad que realiza los registros físicos a personas y elementos.
• DOCUMENTOS DE IDENTIFICACIÓN: El porte del carnet de identificación debe ser en un

lugar visible, debiendo ser de obligatorio uso al ingreso y dentro de las instalaciones de la empresa, este

documento es personal e intransferible, en caso de pérdida se debe informar al área de recursos humanos,

adjuntando la denuncia de la pérdida del mismo. En el caso del personal externo se deberá suministrar el

documento de identidad para el respectivo registro en el sistema de control de visitantes.

 1

• ORIENTADORES DE VIGILANCIA Y SEGURIDAD: Deben contar como

mínimo con el siguiente perfil: Poseer capacitación certificada y formación por escuela de seguridad
privada, conocimiento en el manejo de armas de fuego de corto alcance, y nociones básicas de defensa
personal; por otro lado deberá poseer habilidades comunicativas toda vez que tendrán contacto continuo
con el personal de empleados y terceros, tener sentido de la responsabilidad, contar con habilidades de
trabajo en equipo y la capacidad de seguir instrucciones, gozar de buen estado físico, teniendo en cuenta
que se trata de un trabajo activo.
• CONTROL DE ACCESO VEHICULAR: Todos los vehículos que ingresan a las

instalaciones deben ser revisados por parte del personal de seguridad del edificio, para los vehículos de
visitantes se debe elevar el requerimiento a la gerencia con validación del personal de seguridad, con el fin
de verificar disponibilidad de parqueadero.
• ENTRADA Y SALIDA DE BIENES O ACTIVOS: Para la salida de bienes de

propiedad de la empresa, deben estar autorizados con anterioridad por parte de la administración, y debe
ser puesto en conocimiento con anterioridad al personal de vigilancia de la empresa. En el caso de ingreso
de elementos se debe disponer de calcomanías adhesivas para los elementos ingresados debiendo quedar
registrados en el sistema de control de visitantes. Adicional a esto, y con ocasión a lo dispuesto por la
Superintendencia de Vigilancia y Seguridad Privada, es necesario que adicional al registro que se realiza en
el sistema de información también que registro en la minuta de servicio el ingreso o salida de bienes o
activos.

SEGURIDAD EN OFICINAS E INSTALACIONES: Cuando se han implementados los

controles de acceso físico se deben establecer requisitos mínimos de seguridad en los recintos
administrativos, oficinas e instalaciones en general así:

• Todo ingreso de visitantes o terceros a las instalaciones deberá ser solicitado previamente

a la Administración, donde se indique el motivo del ingreso, en caso de ser autorizado se debe informar

oportunamente al personal de seguridad del edificio el ingreso de dicho personal.

• Los visitantes o el personal externo deberá portar permanente en un lugar visible la ficha

de visitante que le ha sido suministrada al ser registrado en la recepción y este documento deberá ser

devuelto en el momento de la salida.

 1

• Está absolutamente prohibido el porte de cualquier tipo de arma de fuego, corto punzante

o contundente, para lo cual se realizarán revisiones al ingreso de las instalaciones a todo el personal por

parte de la vigilancia del edificio.

• Los puestos de trabajo de cada una de las oficinas deben permanecer ordenados, limpios

y sin documentos cuando no se esté trabajando en ellos, o en ausencia de los empleados, con el fin de

impedir el acceso no autorizado, manipulación o pérdida de la información.

• Se deben implementar controles de la red en los equipos de cómputo que se encuentren

en el dominio de red de la empresa, que no permitan mostrar el escritorio de los equipos de cómputo, que

bloquen automáticamente la sesión del usuario cuando sea prolongada la inactividad del equipo y que

restrinja el almacenamiento local de información.

• Con el fin de garantizar la continuidad laboral de los funcionarios y evitar la pérdida

repentina de información a causa de interrupciones en el fluido eléctrico, se debe revisar periódicamente

que los equipos de cómputo estén conectados a los tomacorrientes de la energía regulada del edificio.

• El edifico debe contar con sistemas de control de incendios que tengan como mínimo con

alarma sonora, detectores de humo y aspersores de líquido, gas, espuma o el agente supresor de incendios

que se considere pertinente aplicar dependiendo el área de posible ocurrencia y los equipos, elementos o

infraestructura allí contenidos.

• En cada piso, incluyendo salas de capacitación, salas de juntas, áreas de trabajo, centros

de cómputo, pasillos y demás áreas deben estar ubicados extintores, de acuerdo a lo dispuesto en las

normas emitidas por la NFPA (National Fire Protection Association)3.

3NFPA (National Fire Protection Association): es una asociación sin fines de lucro con reconocimiento a nivel mundial que se dedica a desarrollar
códigos y normas de protección contra incendios y seguridad humana, brindar datos técnicos sobre el problema del fuego y los incendios, así
como consejos para la prevención y protección de los mismos (NFPA JOURNAL LATINOAMERICANO, 2014).
 1

• Todas las zonas del edificio deben contar con la señalización respectiva, demarcando las

rutas de evacuación, y salidas de emergencia, así mismo, en cada piso debe existir un plano visible donde

se resalte la ubicación actual de la persona. Las escaleras deberán estar demarcadas con cintas

fluorescentes.

SEGURIDAD EN EL CABLEADO: Las instalaciones de cableado deberán cumplir con la normatividad

vigente establecida para tal fin, teniendo en consideración aspectos de seguridad y disponibilidad. Para
ello se debe tener en cuenta las normas RETILAP4 y RETIE5, procurando de esta manera la separación de la
red eléctrica de la de datos, con el fin de evitar interferencia en las comunicaciones.

Los nodos o centros de interconexión y gabinetes para equipos de comunicaciones deben estar
resguardados bajo llave, con controles de acceso efectivos y bajo el control del personal encargado de la
administración de la infraestructura tecnológica de la empresa. Los equipos intermedios de comunicación
(conmutadores y enrutadores), deben tener protección de aire acondicionado para un adecuado control
de la temperatura.

PROTECCIÓN UBICACIÓN DE EQUIPOS: Las áreas críticas con relación a la

protección de equipos son “centro de cómputo y centro de monitoreo CCTV” los cuales deberán contar
como mínimo con “sistemas de respaldo de energía, controles de temperatura, controles de acceso, copias
de respaldo de información,” y demás controles que se consideren con la finalidad
de procurar una protección adecuada de equipos.

MANTENIMIENTO A INFRAESTRUCTURA: Coopava deberá contar con una

dependencia que realice mantenimiento a instalaciones en lo que respecta a (mantenimiento a

infraestructura eléctrica, de cableado, sanitaria, y mobiliario), de no ser así, es necesario prever recursos
para la realización de contratos con empresas externas que realicen este tipo de mantenimientos que
garanticen un óptimo estado de las instalaciones.

SEGURIDAD CONTRA AMENAZAS EXTERNAS Y AMBIENTALES: Se debería

implementar mecanismos y procedimientos que impidan o minimicen la ocurrencia de desastres naturales,

ataques maliciosos o accidentes. El control de los factores ambientales de origen interno y/o externo
permite garantizar el correcto funcionamiento de los equipos de procesamiento y minimizar las
interrupciones de servicio. (Gupta, 2012). En consecuencia a lo anterior, es necesario implementar
controles contra amenazas externas y ambientales, la Cooperativa de ahorros debe considerar los
siguientes controles:
 1

• Se deben establecer puntos estratégicos dentro de las instalaciones de Coopava, con el fin

de ubicar efectiva y eficazmente los sistemas de alarma, los cuales pueden variar en diferentes tipos de

acuerdo a la necesidad (sensores de movimiento, de calor, de contacto (a puerta cerrada) y similares,

barreras de rayos láser, sensores de presión, sensores táctiles, sensores de vibración entre otros). La

aplicación de este control será de considerable importancia su aplicación, donde se debe considerar

aspectos como disponibilidad presupuestal, dimensionamiento del sistema, objetividad y tipo de

tecnología.

• Es imperativo contar con un sistema de detección y extinción de incendios automatizados

que incluya como mínimo (detectores de humo, rociadores automáticos y sistema de alarma).

• No se permitirá, bajo ninguna circunstancia comer, beber o fumar dentro de los recintos

de procesamiento de información de Coopava.

• Un Circuito Cerrado de Televisión (CCTV), funge como uno de los componentes más

importantes en un Plan de Seguridad Física e Instalaciones, toda vez que este tipo de sistemas simula ser

los ojos de la organización en cuanto a seguridad. En el marco de cualquier sistema complejo de Seguridad,

un CCTV (Circuito Cerrado de Televisión), se constituye como un elemento indispensable para el mismo.

Tradicionalmente el CCTV se ha visto como la herramienta ideal para proceder a una evaluación y

comprobación rápida de una incidencia detectada por un dispositivo anti-intrusión. Pero la función de

“comprobación” o de “detección de presencia”, solo es una de las múltiples ventajas de la integración de

un CCTV en un Sistema de Seguridad (Navarro, 2019).

• La disposición adecuada de los equipos de computación y componente tecnológico en

general es crucial en el marco de la seguridad a instalaciones. Se debe procurar una buena ubicación de

los equipos, aislándolos de posibles amenazas como el fuego, explosivos, líquidos, corrosión, vibración, y

vandalismo, entre otros. Los equipos que se encuentran en el centro de procesamiento de datos deben
 1

estar protegidos con mecanismos de control de niveles de temperatura y con el aislamiento respectivo

especializado de acuerdo a su criticidad.

• Avalcoop deberá contar con “sistemas de protección puesta a tierra” 5 y protección contra

descargas eléctricas en el edificio.

• El personal de coordinación de seguridad y salud en el trabajo deberá elaborar y socializar

con todo el personal de Avalcoop un Plan de Emergencias, en caso de presentarse eventualidades como

(incendios, terremotos, inundaciones, atentados) y demás hechos negativos que se pudieran ocasionar

graves daños a la infraestructura de las instalaciones, al personal o los procesos de la organización.

• Se debe contar con una brigada de emergencias, debidamente organizada, capacitada y

equipada, con personal capacitado para responder ante cualquier crisis o eventualidad. Esta brigada debe

estar liderada por el coordinador de brigadas, que en lo posible deberá ser el responsable del Sistema de

Gestión de Seguridad y Salud en el trabajo; esta brigada la deben componer los diferentes grupos de

operaciones clasificados en evacuación y rescate, primeros auxilios y control de incendios. La empresa

deberá coordinar y suministrar capacitación continua al personal que integra la brigada de emergencias.

PARTES INVOLUCRADAS Y RESPONSABILIDADES

GERENCIA GENERAL: La alta dirección tiene el deber de demostrar liderazgo y compromiso frente al “Plan
de Seguridad Física” en la Cooperativa apropiándose de las siguientes responsabilidades:

• Definir el alcance que tendrá el “Plan de Seguridad Física”, contemplando

procesos, procedimientos, cargos, partes interesadas y aspectos de ubicación geográfica.

 1

• Asegurar que se establezcan las políticas generales y los objetivos del “Plan de Seguridad

Física”, procurando que estos se alineen con la dirección estratégica de la organización y procesos de la

misma.

• Propender que los recursos necesarios para el “Plan de Seguridad Física” en

Coopava se encuentren disponibles.

• Comunicar a todos los funcionarios y clientes externos la importancia de la

“Seguridad Física”, los controles, su finalidad y la responsabilidad de cada uno de estos.

• Apoyar y dirigir a los clientes internos y externos, para contribuir al óptimo desempeño

del “Plan de Seguridad Física” en la Cooperativa de ahorros Avalcoop.

• Respetar las leyes y normatividad vigente

• Las demás funciones que por su naturaleza corresponda a la Gerencia General en el

sentido de la toma de decisiones.

Considerando las funciones y responsabilidades que en el presente ensayo se designan a la alta dirección,
estas son tomadas con base en el decreto 1072 del 2015 (Por medio del cual se expide el Decreto Único
Reglamentario del Sector Trabajo), de acuerdo a lo enunciado en el
Articulo 2.2.4.6.8 (Obligaciones de los empleadores) (Ministerio de Trabajo, 2015). Considerando que el
plan de seguridad física en Coopava se encuentra directamente relacionado con las políticas, procesos y
procedimientos del Sistema de Gestión de Seguridad y Salud en el Trabajo, es pertinente enunciar que en
la Norma Internacional ISO/DIS 45001 (Sistemas de gestión de la seguridad y salud en el trabajo. Requisitos
con orientación para su uso), Numeral 5, de (Liderazgo y participación de las trabajadores), se disponen
los compromisos por parte de la alta dirección y los demás trabajadores de la empresa (Organismo
Internacional de Normalización, 2018).

DEPARTAMENTO DE SEGURIDAD: El departamento de seguridad es un eslabón de gran importancia para

la implementación del “Plan de Seguridad Física” en Avalcoop, toda vez que será el encargado de
supervisar, administrar y controlar todos los mecanismos de ingresos, saludadas y permanencia de
personas, objetos y elementos al interior y alrededor de las instalaciones, valiéndose de los diferentes
recursos logísticos y tecnológicos disponibles para tal fin. Dentro de sus responsabilidades se contemplan
las siguientes:

• Realizar el registro y revisión del tanto del personal interno y externo como los vehículos

que salen e ingresan a las instalaciones de la organización.

 1

• Brindar orientación y/o acompañamiento según corresponda, al personal externo o

visitantes que ingresen a las instalaciones.

 13

Realizar revistas periódicas en las partes interna, externa y alrededores de Avalcoop, con
el fin de verificar que no haya personas, objetos o elementos sospechosos que generen algún tipo de
riesgo para las instalaciones o el personal que pernocta en estas.
• Monitorear el Circuito Cerrado de Televisión “CCTV”, verificando el adecuado

funcionamiento de cada una de las cámaras y supervisando que todas las grabaciones queden

debidamente almacenadas en el sistema de grabación y almacenamiento.

• Informar de carácter inmediato a la Gerencia General sobre cualquier novedad relevante

que se llegue a presentar con relación a violaciones de seguridad, ingresos o salidas no autorizadas,

mantenimientos del sistema CCTV, y demás aspectos que deba tener conocimiento la alta Dirección.

• Respetar las leyes y normatividad vigente.

Las demás funciones que por su naturaleza corresponda al Departamento de

Seguridad en el sentido garantizar la seguridad física del personal y las instalaciones.

DEPERTAMENTO DE SISTEMAS: En manos del Departamento de Sistemas esta la administración, control y

mantenimiento de todo el componente tecnológico de la organización, así como la aplicación de las
restricciones aplicación de controles de seguridad a nivel de TIC´S en Coopava y entre las responsabilidades
de este departamento se encuentran las siguientes:

• Realizar mantenimientos preventivos y correctivos a los equipos de cómputo de la

organización, a los servidores, dispositivos de red y demás componentes de la infraestructura tecnológica

de la empresa.

• Garantizar el monitoreo y funcionamiento adecuado de los sistemas de respaldo de

información, sistemas de respaldo energético, y canal de datos de la organización.

Atender los diferentes requerimientos técnicos que se relacionen con soporte de la

infraestructura tecnológica de la empresa, solicitada por parte de todos los funcionarios de Coopava que
así lo requieran.
• Realizar monitoreo y revisión constante de los sistemas de protección de equipos y de

refrigeración, especialmente en el cuarto de equipos y centro de cómputo.

 14

• Implementar los controles y restricciones que se consideren pertinentes en el

componente tecnológico que así lo determine la Gerencia General en coordinación con el

Analista de Seguridad de la Información.

• Soporte y mantenimiento de Sistemas de Información.

• Respetar las leyes y normatividad vigente.

• Las demás funciones que por su naturaleza corresponda al Departamento de Sistemas en

el sentido la administración, mantenimiento y supervisión la infraestructura tecnológica de Coopava.

SEGURIDAD Y SALUD EN EL TRABAJO: se involucrarán los aspectos de Seguridad y Salud en el Trabajo, al

conjunto de sistemas de gestión, procesos, procedimientos y decisiones en la empresa cumpliendo con la
normatividad vigente y las siguientes responsabilidades.

• Procurar el cuidado integral de su salud de todo el personal.

• Verificar y Suministrar información clara, veraz y completa sobre el estado de salud de

todo el personal.

• Dar cumplimiento a las normas, reglamentos e instrucciones del Sistema de Gestión de la

Seguridad y Salud en el Trabajo de la empresa;

• Informar oportunamente al empleador o contratante acerca de los peligros y

riesgos latentes en el sitio de trabajo.

Incentivar la participación en las actividades de capacitación en seguridad y salud

en el trabajo definido en el plan de capacitación del SG–SST.

• Participar y contribuir al cumplimiento de los objetivos del Sistema de Gestión de la

Seguridad y Salud en el Trabajo SG-SST.

• Coordinar, capacitar y retroalimentar de manera permanente al personal que conforma

la brigada de emergencias.
 15

ANALISTA DE SEGURIDAD DE LA INFORMACIÓN:

El cargo de Analista de Seguridad de la Información no es de obligatoria implementación, sin embargo, es

sugerido como buena práctica para el desempeño adecuado del “Plan de Seguridad Física” en Coopava,
teniendo en consideración a la disponibilidad de recursos para la implementación de dicho cargo.

Su función principal es la de implementar, promover y mantener un Sistema de Gestión de Seguridad de

la Información de acuerdo a la NTC ISO IEC 27001:2013.

GRUPO DE MANTENIMIENTO: Se debe contar con el personal de mantenimiento a instalaciones, el cual

contribuye con la minimización de riesgos en torno a la seguridad contra amenazas externas y ambientales
y la preservación de la infraestructura física de la empresa.

Dentro de sus principales funciones se encuentran las siguientes:

• Atender todos los requerimientos técnicos solicitados por parte de los funcionarios de la

empresa en lo que compete a: (instalaciones eléctricas, cableado estructurado, estructura arquitectónica,

mobiliario, gabinetes, puertas, ventanas, techos, plomería, entre otros).

• Elaborar cronograma de mantenimiento preventivos a las instalaciones, y cumplir lo allí

programado.

Informar a la Gerencia General de manera oportuna las novedades que se

consideren deba ser de su conocimiento, con el fin de realizar los trámites correspondientes y la adecuada
gestión de recursos.
• Respetar las leyes y normatividad vigente.

• Las demás funciones que por su naturaleza corresponda al Grupo de

Mantenimiento en lo que respecta al mantenimiento a instalaciones.

 16

METODOLOGÍA PARA LA GESTIÓN DE RIESGOS

“La gestión Integral del riesgo empresarial consiste, básicamente, en detectar oportunamente los diversos

riesgos que pueden afectar a la empresa para, de esta forma, generar estrategias que se anticipen a ellos,

con el objetivo de convertirlos en oportunidades de rentabilidad para la empresa.” (ISOTools EXCELLENCE,

2015).

Teniendo en cuenta el concepto general para la Gestión Integral del Riesgo la Cooperativa define
claramente la administración del riesgo, lo cual es considerado como aspecto imprescindible para el
desarrollo secuencial y sistemático donde se plantean las fases de Identificación, Definición, Gestión,
Medición y Cierre, cuyo objetivo es el de proporcionar las directrices para las Gestión de Riesgos asociados
a la seguridad física y de instalaciones en Coopava, considerando los siguientes objetivos:

• Establecer los lineamientos para identificar, describir, calificar, evaluar y priorizar el

tratamiento de los riesgos que puedan afectar la seguridad física y de instalaciones de Coopava.

• Identificar los parámetros que se deben tener en cuenta para definir acciones de

tratamiento que permitan disminuir la probabilidad de ocurrencia de los riesgos y disminuir su impacto.

Hacer seguimiento a la ejecución de las acciones planificadas y revisar su eficacia.

FASES PARA LA GESTIÓN DE RIESGOS ASOCIADOS A LA SEGURIDAD FÍSICA EN

AVALCOOP

Estas fases se desarrollan de acuerdo con los parámetros que se disponen tanto en los aspectos generales
como específicos del presente documento, de la siguiente manera:

IDENTIFICACIÓN DE RIESGOS: en esta fase el objetivo es hacer una adecuada identificación y

descripción de los riesgos de la empresa, de procesos o Individuales, de forma que se facilite el desarrollo
de las siguientes fases. Como aspectos relevantes se han estandarizado factores y agentes generadores
(en relación con las causas o vulnerabilidades), incluye la identificación de situaciones de materialización
para cada riesgo, la identificación de controles de detección tanto de riesgos materializados como de
 17

efectos y la estandarización de los efectos. Con la estandarización de factores, agentes generadores y

efectos se pretende que la labor de describir un riesgo sea mucho más práctica y asertiva.

Una herramienta sugerida para la identificación de riesgos es el “mapa de calor” donde se de manera
gráfica ubicando los riesgos en un cuadrante, dependiendo de la probabilidad de ocurrencia de
determinado riesgo y el impacto cuantitativo o cualitativo que se produce en caso de que se materialice
el riesgo, teniendo en cuenta siempre riesgos. A continuación, se muestra en ejemplo de aplicación en
Coopava:
 18

MAPA DE CALOR RIESGOS AVALCOOP (Ejemplo):

Autoría propia

1. Daños por tormentas.

2. Ciberataque o robo de información.

3. Accesos no autorizados.

4. Averías de equipos de cómputo.

5. Colapso de Estructuras.

DEFINICIÓN DE LA GESTIÓN: Incluye el análisis antes la aplicación de controles, la valoración de

controles y el análisis después de estos, con el fin de priorizar los riesgos para su tratamiento.

De esta forma se dan las herramientas para la formulación de planes de tratamiento coherentes con las
causas y consecuencias más relevantes y permiten obtener un panorama global de la empresa con el fin
de formular planes que impacten de forma significativa la gestión.

GESTIÓN DE RIESGOS: En esta fase se aprueban o desaprueban las acciones ejecutadas de los planes
de tratamiento, se realiza el registro de las materializaciones de los riesgos identificados, la gestión de los
“Eventos Potenciales a Evaluar”, para determinar si a partir de estos, se pueden identificar nuevos riesgos
y actualizar los ya identificados.

Esto significa, que permanentemente se debe gestionar la información en la herramienta tecnológica

dispuesta para ello, lo cual, servirá posteriormente como insumo para la realización del informe de gestión
riesgo de seguridad física, tanto trimestral como anual.

MEDICIÓN DE RESULTADOS DE LA GESTIÓN: Con base en la información registrada en resultados de

gestión de los riesgos, se miden los resultados en términos de la gestión la seguridad. Muestra aspectos
como riesgos materializados, la medición de la disminución y el aumento del nivel de riesgos con su
respectivo análisis y la medición del desempeño de los planes de tratamiento de los riesgos de seguridad.
 19

CIERRE: En esta fase se consolidan los resultados semestrales y se incluye la generación y análisis de
situaciones específicas que contribuyan a fortalecer los activos de Avalcoop en términos del conocimiento
en Riesgos y se describen las Lecciones Aprendidas.

POSIBLES AMENAZAS A LA SEGURIDAD FÍSICA

En el momento que sea realizado un análisis de la seguridad física de las instalaciones, se deben tener en
cuenta todos los elementos de riesgo, sean físicos, geográficos o ambientales que puedan verse reflejados
en una amenaza hacia la seguridad física, para lo cual se hace necesario realizar un estudio profundo de
todas las amenazas generadas, toda vez que la confidencialidad, integridad y accesibilidad de la empresa
puede encontrarse en riesgo con respecto el entorno físico y por lo cual debe ser protegida.

Algunos ejemplos de riesgos que pueden llegar a afectar seguridad física son los siguientes:
• Interrupción a los servicios informáticos.

• Daños físicos

• Revelación no autorizada de la información.

• Robos físicos (confidencialidad, integridad y accesibilidad)

• Emergencias.

• Desastres Naturales: (Terremotos, Inundaciones, Tormentas, Descargas eléctricas, Rayos)

• Producidos por el Hombre: (explosiones, empleados inconformes, accesos no

autorizados, ciber delincuentes, error del funcionario, incendios intencionales).

ANÁLISIS DE CAUSAS

Para el análisis y priorización de causas se sugiere la herramienta “Diagrama de Pareto”, sin embargo, la
organización puede emplear la herramienta que se estime conveniente, siempre y cuando se identifique
la causa raíz para ser tratada.
El “Diagrama de Pareto” es una gráfica en donde se organizan diversas clasificaciones de datos por orden
descendente, de izquierda a derecha por medio de barras sencillas después de haber reunido los datos
para calificar las causas. De modo que se pueda asignar un orden de prioridades. (Sales, 2013)
 20

ANÁLISIS DE CAUSAS AVALCOOP, DIAGRAMA PARETO (Ejemplo)

Autoría propia

• Una vez completado el “análisis de Pareto”, se determinan las causas que se encuentran en el

rango de 80% o menos, las cuales se resaltan en color amarillo.

• En procura de simplificar el análisis de Pareto, se omite la obligación de elaborar la gráfica, por

cuanto la instrucción anterior permite determinar claramente cuáles son los pocos vitales.

• Cada persona que participa en la priorización de causas, solo puede votar tres (3) veces por el total

de causas relacionadas, aplicando la escala de calificación (1 bajo - 5 medio - 10 alto)

 21

CONCLUSIONES
La seguridad física en una organización es un importante factor que sin duda debe ser gestionada
adecuadamente, toda vez que es imperativo resguardar y proteger los diferentes activos de la empresa,
con el fin de poder lograr los objetivos estratégicos y misionales en función de la satisfacción de los clientes
internos, externos y partes interesadas.

Si bien es cierto, la naturaleza de los procesos y la infraestructura de la Cooperativa se encuentran

plenamente definidos y analizados en su contexto general, por lo que se infiere la importante necesidad
de la protección de los activos de la organización, para lo cual es importante contar con políticas,
lineamientos y requisitos que permitan adoptar un plan de seguridad física en las instalaciones de
Avalcoop, sin embargo, en el presente documento se han tomado como referenciación diferentes fuentes
y normas a que complementan todos los aspectos de seguridad física a instalaciones, que deben ser
tenidos en cuenta en el momento de la implementación de estos lineamientos, componentes y requisitos
en la empresa.

El uso y aplicación de la tecnología y recursos humanos calificados aporta significativamente al

establecimiento de controles efectivos de seguridad física, ya que esto reduce de manera importante la
probabilidad de materialización de riesgos o eventos que puedan afectar la organización y permite
identificar amenazas para así ser tratadas de la manera más adecuada. La importancia del uso de la
tecnología obedece a la transformación y modernización de los procesos organizacionales, donde día a día
es más evidente la dependencia tecnológica en una empresa; sin embargo, el recurso humano calificado y
competente complementa el control tecnológico y se convierte en la contingencia con la que Coopava
contara de primera mano en lo que a la seguridad física se refiere.

Por otro lado, es fundamental el compromiso de cada una de las partes involucradas en el desarrollo de
un plan de seguridad física, partiendo desde el compromiso de la alta gerencia en el sentido del
aseguramiento de los recursos requeridos para este fin, hasta el cumplimiento de las políticas,
compromisos, tareas y lineamientos que le competen a cada uno de los involucrados y empleados de la
empresa en general.
 22

En toda implementación de un proceso organizacional, procedimiento o plan es importante traer a

consideración e incluir metodologías para la gestión de riesgos donde de manera metódica se establezcan
herramientas y etapas para su identificación, definición gestión y medición de los mismos, toda vez que en
cualquier organización existirán amenazas latentes que afecten negativamente la empresa. Es por esto
que en Coopava se justifica claramente la implementación de un plan de seguridad física, alineado a la
normatividad y reglamentación vigente, y estrechamente relacionado con los procesos y procedimientos
aplicados en el cumplimiento del Sistema de Gestión de Seguridad y Salud en el Trabajo.