La auditoría de seguridad es un proceso sistemático de revisión o evaluación que tiene como objetivo conocer el grado de cumplimiento que se tiene contra un estándar de seguridad previamente establecido, pudiendo ser realizada por auditores internos o externos.

La principal diferencia es que la evaluación de riesgos, la génesis del programa de seguridad, es el estudio que proporciona como resultado una fotografía, en un determinado momento del tiempo, de los riegos a los que está expuesta la organización. Los pondera dependiendo de lo crítico y probables que sean, establece y enumera las acciones para el correcto manejo de los riesgos, designa responsables y fechas de entrega.

Los estándares, medidas o criterios de seguridad que se evalúan en la auditoría se generan en la evaluación de riesgos.

Recordemos que los riesgos son dinámicos y cambian constantemente, por esta razón las evaluaciones de riesgos deben de ser realizadas con intervalos de tiempo definidos o cuando la organización lo requiera derivado de cambios significativos en los niveles de riesgo.

Referencias para realizar evaluaciones de riesgos:

• ISO 31000 (Risk Management).
• ISO 27000 (Information Security Management).
• Guías de ASIS: Enterprise Security Risk Management (ESRM) y General. Security Risk Assessment Guideline (GSRA).

 
El resultado de la auditoría se puede expresar de diferentes formas, siendo las más comunes la numérica (puntaje o porcentaje), o por medio de gráficos, comúnmente el semáforo con colores verde, naranja y rojo, gráficas de barras, de pastel o la combinación que mejor convenga para hacerlo fácil de interpretar, atractivo visualmente y amigable a todas las audiencias.

Es importante considerar que tanto la evaluación de riesgos como la auditoría deben de ser dirigidas por un profesional de la seguridad con experiencia y asistido por las áreas que éste solicite. El apoyo de la Dirección siempre es indispensable.

Es importante que la seguridad sea considerada como un valor corporativo, un aliado estratégico que viene a facilitar la misión, visión y objetivo del negocio.

Planeación. El área de seguridad determina el objetivo, la fecha, tipo de auditoría, alcance, lista de evidencias que se van a solicitar, personas responsables. Se diseñan o ajustan los formatos que servirán como documentos fuente donde se colectarán los hallazgos. Tiempo: variable dependiendo del tamaño de la organización y de los objetivos de la auditoria.

Anuncio o convocatoria. Se anuncia con tiempo suficiente a las áreas involucradas de la auditoría, calendarización y alcances. Generalmente en el programa de seguridad anual se establece la fecha y se da a conocer a principio de año. Tiempo: prácticamente inmediato, pues se envía por correo electrónico.

Presentación ante el comité responsable el día de la auditoría. De ser necesario se programa junta de para presentar al grupo de áreas involucradas directamente y hacer de su conocimiento los objetivos y el alcance que se persigue en la auditoría (Briefing). De no ser necesario se va directamente a la siguiente fase que es la de la ejecución. Tiempo: 30 a 60 minutos.

Ejecución de la auditoría. Se solicitan las evidencias de los procesos que se van a auditar. Se obtienen los datos que más tarde se convertirán en información. Se realizan las entrevistas y observaciones de campo, caminatas, análisis de bitácoras, estudio de evidencias seleccionadas y toma de fotografías o videos que sirvan también como evidencias y soporte.

Tiempo: Variable, puede ser de 1 día hasta los que sean necesarios, esto dependerá del tamaño de la organización, ubicación geográfica, número de sitios a auditar, distancias, y disponibilidad de recursos materiales y humanos; no es lo mismo auditar una instalación en una ciudad a cincuenta instalaciones en catorce ciudades diferentes.

Procesamiento de los datos. Dependiendo de la cantidad de datos y de tamaño de la organización, por ejemplo: el tiempo para procesar es generalmente de 30 a 45 días para una instalación que tenga de 400 a 600 colaboradores y 40,000 a 60,000 m². Sin embargo, puede variar dependiendo de: la urgencia y recursos destinados a la auditoría.

Contar con procesos automatizados para la alimentación e interpretación de resultados, puede ayudar a tener resultados más rápidos. Se genera el documento con los resultados de la auditoría, el puntaje que se obtuvo apoyado también por gráficos.

Presentación de los resultados. Generalmente de forma presencial de nuevo convocando a las áreas involucradas (de-briefing). Puntuación, resultados críticos, plan de acción, designación de responsables y fechas de cumplimiento. Fechas de control y revisión posterior.

Los tipos más comunes de auditorías:

Las anunciadas o planeadas. En una auditoría planeada, se convoca a los participantes con suficiente tiempo, generalmente se anuncia como parte del programa anual de seguridad y hay que dar tiempo suficiente de anticipación para que las áreas involucradas puedan reunir y organizar las evidencias que se van a solicitar.

No anunciadas o sorpresivas. Ejecutadas con muy poco tiempo de aviso, generalmente se derivan de una grave irregularidad o a solicitud expresa de un área directiva.

Parciales. Solo se audita una o unas áreas que se hayan determinado, son prácticas, ya que se puede auditar todo el programa de seguridad en los cuatro cuatrimestres del año. Hacer una auditoría integral o general puede consumir más tiempo.

Integrales. Son más extensas, pueden llegar a consumir más recursos. Todo va a depender de las necesidades, objetivos específicos que se tengan y tamaño de la organización.

En todos los casos hay que hacer una junta previa al inicio de la auditoría donde se comparten los objetivos, se designa al personal involucrado, se enumera la documentación solicitada, horarios, el sitio donde se llevará a cabo la auditoría y demás requerimientos específicos.

La información obtenida de la auditoría se debe de procesar y después convocar a los involucrados para informar de los resultados, plan de acción, responsables y fechas límite de cumplimiento.

Siempre vamos a trabajar con base en evidencias y registros objetivos (fotografías, correos electrónicos, memorándums, bitácoras, listas de chequeo, archivos, cartas, etc.)

En el supuesto ideal, el proceso de colectar y documentar las evidencias debe de ser un proceso sistemático y organizado que pueda tener a disposición la información en cualquier momento.

En cuanto al tiempo, esta es una variable que dependerá de diferentes factores, siendo los más comunes el tamaño de la organización, la ubicación geográfica, número de sucursales y la complejidad de los procesos.

Por ejemplo, no es el mismo tiempo que se destina en auditar un solo edificio corporativo, a una organización que tenga múltiples ubicaciones a nivel nacional o a una industria establecida en una zona de alto riesgo dominada por el crimen organizado.

Cada caso será diferente, puede durar desde 1 día a los que se determine sean necesarios, dependiendo de los factores anteriormente mencionados. Esto solo para el trabajo de campo, adicionalmente hay que considerar el tiempo de gabinete para procesar y vaciar los resultados y finalmente de 1 a dos horas para exponer los resultados de la auditoria, así como las recomendaciones y plan de acción que se deriven de ésta.

Las auditorías parciales son recomendables, pues se pueden llevar con más detalle, en un menor tiempo. Una auditoría integral puede llegar a consumir bastante tiempo por el alcance que pueda tener, pero generalmente se apoyan en los resultados de las auditorías parciales.

El primer paso es definir qué áreas o procesos vamos a auditar. Definir las preguntas y evidencias específicas para cada proceso. Posteriormente, realizar un check-list, que es la metodología más comúnmente utilizada. Se asigna un valor a cada cuestionamiento dependiendo de la importancia que tengan.

Obtenemos una valoración que nos permite medir. Posteriormente, hay que realizar e implementar un plan de acciones correctivas para subsanar las brechas o “gaps” encontrados. Documentar las acciones correctivas. Por ejemplo:

Control de accesos:
¿Cuenta la instalación con un sistema de acceso automatizado?
¿Se solicita identificación oficial a cada visitante?
¿Se lleva un registro digital o físico donde firme cada visitante?
¿Los registros son legibles?
¿Los visitantes portan un gafete que los identifique?
¿Los visitantes son recibidos y acompañados todo el tiempo por el empleado que visitan?
¿Hay señalamientos que indiquen: prohibido sacar fotografías dentro de las áreas productivas?
¿Hay señalamientos que indiquen: prohibido el ingreso de alcohol y arma?

Control vehicular:
¿Hay un procedimiento documentado de revisión de vehículos?
¿Se capacita a los nuevos guardias sobre este procedimiento?
¿Se revisan los vehículos a la entrada?
¿Se revisan los vehículos a la salida?
¿Se realizan revisiones aleatorias?
¿Se mantiene una bitácora de las revisiones?
¿Existe un procedimiento en caso de encontrar irregularidades?

Marcos de referencia:
ISO19011-2018
ISO 9001 (auditorías de calidad)
Artículos sobre el tema en www.asisonline.org

La metodología que prefiero es una mezcla de las dos ISO´s arriba mencionadas y las metodologías que usé cuando trabajé para empresas de energía que generalmente son propietarias, pero tienen mucho de las ISO´s.

Cada caso es diferente, depende del tipo de negocio, ubicación geográfica, nivel de cultura de seguridad que exista en la organización, así como nivel de compromiso de la dirección con la seguridad, siendo este último determinante para el éxito.

Problema de Valores: En una autoría podemos identificar si la seguridad es realmente un valor para la organización o si no les interesa.

Problemas administrativos. Un error común que comenten las organizaciones es que consideren el área o función de seguridad como un apéndice (generalmente incómodo) de recursos humanos, legal o cualquier otra área que no tiene conocimientos formales de seguridad.

El problema que surge es que estas áreas se dedican la mayor parte de su tiempo a realizar su trabajo y cuando les sobra tiempo (que es raro), lo dedican a la función de seguridad, la cual, en la mayor parte de los casos, les resulta poco conocida.

Problemas conceptuales: Aquí hay una contradicción significativa, la seguridad es una preocupación constante, pero en ocasiones puede ser la que menos recursos tenga asignados. La que más preocupa, pero menos ocupa.

Algunas organizaciones perciben la seguridad como responsabilidad de los guardias y es un gran error, la seguridad es responsabilidad de todos, iniciando en el nivel personal, después organizacional y también permea al ámbito familiar.

De forma muy genérica podría mencionar que estas son las áreas donde se encuentran la mayor parte de hallazgos:

Seguridad física
Desempeño de los guardias (falta de cumplimiento de las consignas).
Procedimientos de acceso (tailgating).
Procedimientos de inspección (no apego a los procedimientos).
Seguridad Perimetral (daños no reportados o no reparados).
Rondines (saltar puntos de registro).
Rotación de personal y falta de capacitación a los nuevos elementos.
Falta de evidencias y/o registros faltantes.

Seguridad en el transporte y distribución
Socios comerciales no certificados en CTPAT.
Instalaciones de socios que no cumplen con los requerimientos CTPAT.
Fallas en los equipos de rastreo.
Paradas no autorizadas en sitios inseguros.
Fugas por mal manejo de la información.
Fallas en el seguimiento de protocolos de actuación en caso de contingencia.

Seguridad electrónica
CCTV (cámaras inactivas, lentes sucios, falta de grabación, falta de mantenimiento preventivo y correctivo).
Alarmas (no conectadas a un monitoreo externo).
GPS y monitoreo (no se ejecutan pruebas de funcionamiento de acuerdo con el protocolo).
Fallas tecnológicas no atendidas.
Falta de evidencias y/o registros faltantes.

Seguridad del personal
Procedimientos de emergencia (desconocidos o no ensayados).
Protección del personal (fallas en protocolos).
Capacitación de seguridad (baja asistencia al programa de concientización de seguridad).

Seguridad de la información
Información personal y privada (accesos no autorizados).

Seguridad como un valor corporativo
Grado de compromiso de la Dirección (si no apoya, entonces remaremos contra corriente).

Ciberseguridad
Acceso a sitios no autorizados o peligrosos.
Infecciones por bajar programas “gratuitos” o introducir memorias USB de terceras personas.
Phishing, ransomware, virus trojanos, malware, robo de passwords, ingeniería social, y demás estafas cibernéticas.

Los controles tienen como objetivo el cumplimiento de tareas específicas. Las áreas a auditar se seleccionan dependiendo del o de los riesgos que estén presentes, y de lo críticos que estos sean. Se recomienda auditar todos los procesos de seguridad, teniendo como objetivo la mejora continua de los mismos, pero siempre tendremos como objetivo primordial los más sensibles o comprometedores.

La mejor forma es calendarizarlos y distribuirlos durante el año. Es necesario partir de la premisa: “La seguridad nos atañe a todos”. Desde hace años el entorno de seguridad en México, y en el mundo, sufre un deterioro creciente. Bajo este criterio, todas las áreas de la empresa se ven involucradas en la seguridad de mayor o menor forma dependiendo de su exposición al riesgo.

Adicionalmente, el criterio para seleccionar un área específica se determinó en la evaluación de riesgo dependiendo si la tarea arrojó un riesgo alto, mediano o bajo.

Establecimos un programa de tareas específicas y ahora lo que vamos a auditar es el cumplimiento de ese programa.

Los controles ya fueron establecidos en la Evaluación de Riesgos, la auditoría mide si se cumplen o no y en qué medida.

Las áreas más comunes en las que podemos establecer procesos de seguridad que posteriormente serán auditados en la mayoría de las organizaciones son las siguientes de forma enunciativa más no limitativa. Cualquier área donde se haya establecido un proceso de control de seguridad.

1. Dirección y protección ejecutiva.
2. Expatriados.
3. Visitantes corporativos de otro país.
4. Traslado y transporte de personal.
5. Legal.
6. Recursos Humanos.
7. Sistemas y ciberseguridad.
8. Relaciones Púbicas.
9. Instalaciones.
10. Operaciones.
11. Producción.
12. Capacitaciones en seguridad.
13. Contratistas de seguridad (guardias, rastreo satelital, custodias, protección ejecutiva, armados, inteligencia,
14. Antecedentes (Background checks).
15. Transportación, suministros y distribución (contratistas externos o propiedad de la empresa).
16. Ventas, agentes de ventas y distribuidores directos.
17. Procedimientos de viajes nacionales y al extranjero.
18. Proveedores y contratistas externos (no de seguridad) (administrativos y operativos).
19. Fuerza de guardias interna.
20. Seguridad física (control de acceso, protección perimetral, iluminación, procesos de acceso y egreso, inspecciones, etc.)

Los controles serán particulares para cada caso, pero el objetivo es generalmente el mismo: manejar adecuadamente los riesgos para minimizar el posible impacto a la organización.

De forma genérica podemos hablar de controles preventivos y de controles correctivos.

Las pruebas documentales son específicas para cada organización y área.

La carga de las pruebas queda del lado de quienes van a ser auditados, se pueden solicitar registros de forma aleatoria, una batería o grupo de una fecha, por ejemplo.

Una lista de verificación (checklist) es la forma más sencilla de recopilar y documentar las evidencias.

Dependiendo del grado de cumplimiento que se obtenga, de los hallazgos y si realmente todo el proceso está aportando valor a la operación de seguridad.

Puede haber controles que se vuelven obsoletos por el cambio en las variables que intervienen, por este hecho es que hay que hacer auditorias anuales y tomar las acciones correctivas.

Si el problema persiste, hay que analizar qué es lo que está sucediendo para poder determinar si el control es adecuado o es debido a otros factores.

No hay resultados típicos, cada caso es particular. Lo que si puede haber es coincidencias por tipo de industria o comercio, por ejemplo, los supermercados van a tener algunos problemas genéricos (robo hormiga, robo por empleados, robo en transporte, farderos, etc.) derivado de esto los controles van a ser similares y posiblemente los resultados también.

Los hallazgos serán el grado de cumplimiento del control que previamente se estableció en la evaluación de riesgos.

Todas las vulnerabilidades que arroje la auditoria deben de ser consideradas, sin embargo, las críticas van a tener una mayor prioridad de ser atendidas a la brevedad, tomando en cuenta los recursos económicos y humanos que pudieran verse involucrados, así como el tiempo de entrega.

Hay que conocer el grado de cumplimiento del proceso auditado, por lo que en el caso de brechas de seguridad se recomienda determinar la causa raíz de la desviación y los factores contribuyentes para tomar las acciones correctivas pertinentes.

En algunos casos puede ser evidente y muy sencilla, en otros habrá que hacer un análisis más profundo, tal vez observaciones o trabajo de campo adicionales, pero en cualquiera que sea el caso se determinarán las acciones correctivas recomendadas a seguir y deben de plasmarse en el documento de entrega de la auditoría.

Un método común y sencillo es en una junta del staff involucrado se exponen los resultados de la auditoría.

Se enumeran las acciones correctivas, todas se categorizan, exponiendo las más críticas primero. Se designa la o las personas responsables, acciones correctivas y fechas límite para el cumplimiento, así como la calendarización para llevar a cabo la o las siguientes revisiones. (Esta acción constituye el informe de seguimiento y es parte integral de la auditoría).

Las que ya hayan sido atendidas se consideran cerradas y las que aún están pendientes se consideran abiertas. En ocasiones, por un tema de presupuesto no se ejecutan las acciones correctivas hasta que se obtienen los recursos necesarios.

Por ejemplo: la iluminación perimetral exterior de una planta no cumple con la cantidad de lúmenes especificada en el programa de seguridad. Posibles problemas: falta de mantenimiento, falta presupuesto, falta de proveedores, lámparas obsoletas y sin refacciones, vandalismo, robo de lámparas, etc.

La falta de presupuesto se puede convertir en un proceso difícil y lento para poder llevar a cabo las recomendaciones correctivas de la auditoría.