Contribución a la Seguridad en el Siglo XXI Parte II Seguridad en el Siglo XXI: Adiós a la escuela de la intuición Contramedidas de defensa analíticas mediante Investigación Operativa Lic. Juan Moratto 2019 Título: Seguridad en el Siglo XXI-Adiós a la escuela de la intuición Autor: Juan C. Moratto Licenciado en Investigación Operativa Ministerio de Defensa. Argentina Buenos Aires-República Argentina https://www.linkedin.com/in/juanmoratto/ https://www.juanmoratto.com Esta obra está licenciada bajo la Licencia Creative Commons Atribución – No Comercial – Sin Obra Derivada 4.0 Internacional. Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by-ncnd/4.0/. 2 Contenido LOS MÉTODOS DE LA PROTECCIÓN FÍSICA ................................................................................... 4 1. ANÁLISIS Y DETERMINACIÓN DE LOS COMPONENTES DE LOS RIESGOS DE SEGURIDAD ............ 4 2. PRESENTACIÓN DE RESULTADOS, LO CUANTITATIVO Y LO CUALITATIVO ................................ 9 3. MARCO DE TRABAJO .......................................................................................................... 11 3.1 Lineamientos analíticos cuantitativos de la seguridad física ............................................. 12 PROCESO DE DISEÑO DE UN SISTEMA DE SEGURIDAD FÍSICA ............................................. 13 4. DESTRABANDO EL TRABALENGUAS .................................................................................... 16 5. Modelo de secuencia del adversario -ASD (Adversary Sequence Diagram) - y Análisis de Interrupción de Intrusiones -Path Interruption Analysis (PIA)-………………………..………… 18 5.1 MODELO DE SECUENCIA DEL ADVERSARIO O ASD (ADVERSARY SEQUENCE DIAGRAM) ...... 18 5.2 Análisis de Interrupción de Intrusiones o Path Interruption Analysis ................................... 23 5.3 Conclusiones de la aplicación del ASD y del PIA ................................................................ 26 3 Los métodos de la protección física 1. Análisis y Determinación de los Componentes de los Riesgos de Seguridad El riesgo puede definirse, tal como vimos, cuantitativamente mediante la fórmula: Riesgo = P(A) x [1 – P (E)] x C Esta fórmula indica que el Riesgo, la contracara de la Seguridad, está definido por tres variables: la probabilidad de ataque, la efectividad del sistema de seguridad y las consecuencias de dicho ataque. Previo a tratar los modelos cuantitativos de la seguridad, se vuelve natural hacerse varias preguntas: ¿Cómo obtendremos los valores para alimentar la fórmula? Una vez aplicadas las mismas ¿cuál es su utilidad? ¿Las van a comprender? ¿Por qué no continuar aplicando conceptos cualitativos, de estimaciones, que resulta más sencillo para su comprensión? Estas preguntas, que parecen casi obvias por lo que ya se ha fundamentado, tienen, sin embargo, raíces muy profundas que no pueden pasarse por alto. Iré expeditivamente al grano, sin filtro y con la crudeza que amerita nuestra profesión: la seguridad es vital; cualquier duda implica su derrota, su ineficacia, la destrucción de activos y la pérdida de vidas humanas. No da lugar a elucubraciones administrativas, normas que nadie cumple ni exclusión de responsabilidades y menos aún, conceptos mediáticos de personas, simplemente, no idóneas en la materia. Así como el único responsable de la seguridad pública es el Ministerio o Secretaría de Seguridad y los diferentes organismos de seguridad dependientes de ésta, sin excepción ni excusa, en el caso de los organismos privados y públicos son varios los sectores responsables de la seguridad organizacional: la gerencia general, la oficina de recursos humanos, el departamento de seguridad ocupacional (safety), la gerencia de operaciones y, por supuesto, la gerencia de seguridad (security). Pasemos, entonces a las respuestas. Los valores para alimentar la fórmula se extraen de diferentes fuentes. En principio, se deben desglosar los componentes de dicha fórmula: amenazas, vulnerabilidades y consecuencias. Las tres son completamente diferentes y sus consecuencias son importantes: como todos los coeficientes están multiplicados cualquier factor con valor cero dará por resultante, cero. (Young, 2013) Sin amenazas (amenazas=0), el riesgo es inexistente. Si el o los activos están extremadamente protegidos frente a las amenazas entonces la vulnerabilidad es “cero”, y el riesgo tampoco existe y si, aunque se produzca el incidente, tenga vulnerabilidades imposibles de resolver pero las acciones delictivas no traen consecuencias a la organización, nuevamente el riesgo será igual a cero. 4 Ahora bien, ¿existe alguna organización cuyo riesgo sea de nulidad absoluta, totalmente “cero riesgo”? ¿Puede alguien afirmar esto sin que le tiemble el pulso? En principio, “las amenazas” no existen como tales. Solo tienen significado para una determinada organización y pueden tomar infinitas formas, son dinámicas en el tiempo y sus actores también cambian al igual que sus “modus operandi” o formas de cometer un determinado incidente. Todos los días surgen nuevas modalidades de amenazas, sobre todo desde el advenimiento de Internet. (Young, 2013) No me refiero a las nuevas amenazas planteadas por una organización de hackers, un hacker trasnochado o un empleado enojado. Las amenazas cibernéticas han planteado una paradoja que distorsionó el concepto de delito, criminológicamente hablando: los ataques se originan en el ciberespacio (¿Dónde?) y en cualquier momento del día (¿Cuándo?) por uno o más anónimos (¿Quiénes?). Es decir: no sabemos la fuente del delito, el momento en que se va a producir ni quiénes lo van a ejecutar. (Garrido, 2012) Por supuesto que esto produce un cambio drástico de paradigma de la seguridad, ya que si se desconocen estos elementos, básicos en seguridad, puedo afirmar sin temor a equivocarme que la seguridad pública y la seguridad privada deben cambiar drásticamente de rumbo. Podemos apreciar que el ciberdelito no es un problema de hackers sino que es un nuevo problema de Seguridad que exige una metodología y modelos de solución particulares. Aunemos este tipo de delitos con los delitos convencionales y se podrá ver un concepto de amenazas que podrían llamarse “difusas” o “complejas de determinar”. Conclusión: se debe analizar cada tipo de amenazas. Definitivamente no existe una solución única. El que coloca cámaras de seguridad para vigilar algo, sencillamente está perdiendo el tiempo y el dinero. El organismo que implementa un control de acceso para limitar el ingreso de personas a determinados sectores o evitar intrusos en tiempo y lugar determinados, solamente está viendo el problema de las amenazas a través de un embudo. Es muy probable que se dedique a controlar el ingreso de personas con sofisticados controles de acceso pero no controle el egreso de activos valiosos para la organización por otras vías: carga de deshechos, transporte de materiales para reparación, acciones rutinarias de su propio personal, áreas de circulación, etc. etc. El sistema es efectivo para impedir ingresos pero inefectivo para impedir egresos no convencionales (como la mayoría de los actos delictivos, obviamente). Por otra parte, las amenazas deben ser modelizadas para responder a la pregunta: ¿son amenazas probables o posibles? (Graves, Analytical Foundations of Physical Security System Assessment, 2006) Que sean probables significa que ya se ha determinado ciertamente la probabilidad de ocurrencia, o expresado de otra forma: va a ocurrir un incidente pero se desconoce el 5 momento y, en cierta medida, su magnitud. Que sean posibles pertenece al ámbito del saber popular, es algo intangible o no medible, sin embargo puede estimarse con cierta certeza que “algo así puede ocurrir”. Esta última es la situación clásica, sin embargo, la investigación operativa también cuantifica la amenaza de un posible delito, sobre todo basándose en los conceptos de “tiempo y distancia”, que veremos más adelante (“tiempo y distancia” o “tiempo y espacio” son las dos magnitudes más importantes en cualquier organización. Costo, rentabilidad y gerenciamiento son consecuencia de estos dos factores principales). ¿Cómo se determinan entonces las vulnerabilidades? La vulnerabilidad es cuantificable ya que ingresa de lleno en el campo de la seguridad. Determinar cuánto de efectivos resultan ser cada uno de los sistemas de seguridad permite determinar el grado de vulnerabilidad de una organización. En este sentido, es posible determinar el grado de vulnerabilidad que tiene un determinado almacén de materiales: es suficiente con evaluar el sistema de seguridad implementado (evitando ponderar el sistema tomando cada componente por separado) (Garcia, 2006) para determinar el grado de “protección” que tiene ese predio. Estaríamos aquí refiriéndonos a la denominada “seguridad o protección física”. También podemos evaluar la vulnerabilidad que posee el sistema documental interno, tanto digitalizado o incorporado dentro de los sistemas informáticos como los documentos que poseen otras características: convenios, acuerdos, modelos, prototipos, patentes, poderes, valores (no dinero). En este sentido, recurriríamos a mediciones determinísticas1 sobre el departamento de recursos humanos y a la aplicación de medidas cuantificables de la gerencia de seguridad. Ambos dos combinados entregarían un índice claro de este tipo de activos, lógicamente sin necesidad de poner una cámara de vigilancia encima del escritorio de cada empleado, injustificable desde el punto de vista de la seguridad y psiquiatrizable desde el punto de vista penal. Y así podríamos seguir con los ejemplos. La vulnerabilidad implica un proceso de inteligencia2 sobre todas las áreas comprometidas de la empresa. Lo que releve este proceso de inteligencia llevado a cabo por la gerencia de seguridad lo trataré más adelante. La información sobre las consecuencias de un incidente delictivo es sencilla de obtener dado que la gerencia financiera de la organización conoce claramente y cuantitativamente el valor del activo dañado o sustraído al momento potencial del incidente –o del inicio del proceso de análisis, que implica prácticamente lo mismo-. Vale notar que generalmente no se coloca como ingrediente en el análisis de 1 Un modelo determinista es un modelo matemático donde las mismas entradas o condiciones iniciales producirán invariablemente las mismas salidas o resultados, no contemplándose la existencia de azar, o incertidumbre en el proceso modelada mediante dicho modelo. 2 La inteligencia policial tiene como fin la obtención de información que ayude al estado combatir al crimen. Esto puede representarse en distintas formas, ya sea como espionaje, intervención, seguimientos, etc En este análisis planteo el concepto de inteligencia basado en la recolección de información con el fin de combatir el delito usando las técnicas convencionales aprobadas por la UNODC (Naciones Unidas-Oficina contra las drogas y el delito). 6 consecuencias un componente: el “mapa cuantitativo del daño operativo consecuencia de un incidente”3 , el cual trataré oportunamente. Las consecuencias operativas pueden ser múltiples y demandan un análisis profundo de las implicancias de no disponer de cualquiera de los activos sustraídos, dañados o, peor aún, si hay daños a las personas. En conclusión: existen múltiples amenazas, vulnerabilidades y consecuencias. Esta multiplicidad o abanico de posibilidades es cambiante en función del tiempo –la valoración del riesgo es dinámica, nunca estática- por ello podemos concluir con total certeza que el ejercicio de la seguridad se centra en comprender los componentes individuales del riesgo (inteligencia) y cómo, estos componentes, influencian al riesgo en cada instante de tiempo y en qué medida (metodología analítica). El objetivo, en consecuencia, es mitigar al riesgo, hacer que la función del riesgo tienda a cero: R = Riesgo = P(A) x [1 – P (E)] x C f (seguridad) = lim f (R) 0 O expresado más correctamente el conjunto de inecuaciones a plantear sería (simplificadamente): Máx Seguridad = Mín f (P(A) x [1 – P (E)]) Por supuesto que esta es una sobre-simplificación ya que está planteando un modelo de cálculo denominado “minimax”4, un modelo clásico de seguridad de la investigación operativa pero que considera algún tipo de confrontación entre el intruso y el sistema de seguridad. Podemos resumir la problemática a cinco preguntas: 1. ¿Cuál es la posibilidad (potencial) o probabilidad de la ocurrencia de una determinada amenaza? 2. ¿Cuál es la consecuencia (pérdida) que puede ocurrir asumiendo que el incidente se produzca? 3. ¿Ameritan una determinada mitigación de las amenazas las consecuencias evaluadas? Dicho en otros términos, ¿qué impacto causará un incidente dado? 4. ¿Qué métodos de mitigación de riesgos están disponibles? (No me refiero a los métodos de mitigación “post” como los seguros contratados 5, ya que este 3 Dicho mapa está basado en diagramas denominados de causa-efecto, espina de pescado o Diagrama de Ishikawa, solo que se anexan valores financieros, operacionales (demoras), costos de las contingencias y demás para establecer las consecuencias directas e indirectas de un incidente. 4 Este modelo, muy usado en la teoría de juegos (no se refiere a “juegos” de entretenimiento sino a la dinámica establecida entre dos adversarios) es un método de decisión para minimizar la pérdida máxima esperada en una interacción dada con un adversario –en este caso el o los delincuentes-, con información perfecta (indicando ausencia de factores no previstos o no aceptados en la situación bajo análisis. En este punto difiere del método matemático Monte Carlo.) 5 Sin embargo, he visto, en tratados de seguridad muy serios que una de las técnicas de mitigación, llamada de “derivación” o “distribución del riesgo” se recurre a los seguros cuando en realidad pertenecen a decisiones puramente financieras y que nada tienen que ver con seguridad. 7 punto no pertenece a las áreas de seguridad, sino de las políticas financieras de la organización). 5. ¿Puede la organización solventar los mecanismos de mitigación o existen opciones modelizadas para gestionar el riesgo asociado a una determinada amenaza? (Modelización de óptimos y sub-óptimos6). 6 Representan todos los resultados del modelo planteado que no optimizan las inecuaciones de máximo ni de mínimo, implica un costo asociado (de activos) que resulta mayor al óptimo o un grado de eficiencia menor. No debe emplearse bajo la terminología vulgar, nunca un sub-optimo es descartable, sino todo lo contrario: puede resultar ser la mejor estrategia. 8 2. Presentación de Resultados, lo cuantitativo y lo cualitativo Como puede verse en el punto 5 del párrafo anterior, queda definida la función de modelización cuantitativa de alternativas. Esta modelización determinará una o más soluciones óptimas y una o más soluciones sub-óptimas para una determinada combinación de factores. Dicha modelización se mantendrá en la medida en que siga vigente en el tiempo una condición de riesgo estable, una variante de “ceteris paribus” en donde todos los factores concomitantes se equilibren de tal forma que la ecuación del riesgo siga manteniéndose bajo control. El párrafo anterior cobra validez en contextos de relativa estabilidad socio-económica. Los tres factores determinantes del riesgo pueden mantenerse en equilibrio bajo determinadas circunstancias lo que no impide que resulten engañosos bajo ciertos cambios. Estos cambios pueden resultar compensatorios entre sí. Esta compensabilidad puede darse por multiplicidad de factores, siendo los más comunes (positivos o negativos a la seguridad): Desplazamiento del delito (situacional, por modus operandi, por reestructuración de bandas organizadas, por desplazamiento de objetivos delictivos, por incorporación de miembros de otras nacionalidades con otros métodos y costumbres, etc.). Avances tecnológicos para la prevención delictiva. Intensificación de las políticas públicas de seguridad (o reducción de las políticas existentes). Cambios legales sobre la ley penal(imputabilidad, aumento de las penas, despenalización, etc.) Respuesta positiva o negativa de la organización frente al riesgo (técnicas de mitigación, desplazamiento de las vulnerabilidades, reforzamiento de las contramedidas de defensa, minimización de las consecuencias, etc.) Respuesta positiva o negativa de otras organizaciones (en caso de parques industriales, por ejemplo, donde puede existir cooperativismo respecto de la interacción en seguridad de las empresas linderas o vecinas o del mismo rubro). Acciones de los medios de comunicación (Criminología mediática) 9 Me interesa aclarar un punto crítico acerca que la alta dirección quiere respuestas concretas tipo costo-beneficio y no una expresión probabilística o matemática que plantee la seguridad desde un ángulo cuantitativo. En este sentido, un CEO o un gerente general entiende perfectamente datos cuantitativos, es habitual en su trabajo interpretar un EBITDA7 o un Análisis de Resultados8 o cualquier tabla de análisis financiero. Lo que quiero expresar es no montarse en “idealizaciones”, “conceptos míticos” o cualquier otra mística ajena al mundo real: si un CEO no entiende conceptos expresados mediante cifras quiere decir que es alguien sentado en la silla de un CEO usurpando su puesto –posiblemente alguien que pasaba por allí y, como estaba cansado, se sentó en ese despacho- o la empresa eligió al ejecutivo equivocado. La seguridad cuantitativa y exacta es una necesidad por dos razones claves: las amenazas resultan cada vez más complejas y sofisticadas y, por otra parte, se demandan métodos de seguridad proporcionales al riesgo desde el punto de vista costo-beneficio. Quizá para sorpresa del lector, este último principio básico y fundamental es el que rige todas las operaciones del Departamento de Seguridad más grande del mundo: el DHS o Department of Homeland Security (Departamento de Seguridad Nacional de los Estados Unidos) que reúne a la CIA, al Servicio Secreto, al FEMA, al Departamento de Defensa y docenas de otras agencias de seguridad, incluyendo al FBI, todas las políticas de seguridad que se apliquen al delito interno de los Estados Unidos o al terrorismo global deben estar encuadradas en un contexto costo-beneficio. Por ello, debemos abandonar forzosamente el pensamiento que sugiere que en seguridad existe una división entre la visión científica o técnica del riesgo y la visión práctica del riesgo. No existen rótulos para el especialista en seguridad. Todo le es útil, su flexibilidad y adaptabilidad le permite al especialista ocupar ese rol en cualquier organización. Son muchos los profesionales experimentados en seguridad que conocen las técnicas de gestión de riesgos pero que carecen de una formación metodológica o cuantitativa y, por otra parte, muchos otros profesionales están formados en métodos cuantitativos de análisis de riesgos de seguridad careciendo del conocimiento práctico de las técnicas a aplicar. La investigación operativa integra ambas visiones: la cuantitativa y el criterio, la información y la decisión cuantitativa. 7 1 El EBITDA es un indicador financiero, acrónimo del inglés earnings before interest, taxes, depreciation, and amortization (beneficio antes de intereses, impuestos, depreciaciones y amortizaciones), es decir, el beneficio bruto de explotación calculado antes de la deducibilidad de los gastos financieros. 8 El análisis del resultadoobtenido por un determinado fondo es un proceso que se desarrolla en dos etapas. Primero, se compara la rentabilidad del fondo respecto a su índice de referencia. Luego, se analiza los métodos utilizados por los gestores para llegar a ese resultado. 10 Como desde un primer momento se la aplicó a actividades centradas en inteligencia y operaciones militares y luego a inteligencia dirigida a la seguridad, se apoya en ambos pilares: la obtención continua de datos y la aplicación de métodos lo más precisos posibles para procesar dichos datos y obtener una respuesta útil, coherente y distribuible. La Seguridad se encuadra dentro de este último concepto tomando el carácter de disciplina académica, con principios y métodos propios. 3. Marco de Trabajo La norma ISO 73 indica que el riesgo, expresado en términos corrientes, es todo aquello que plantea incertidumbre sobre los objetivos que se persiguen y, también, ya sabemos que la Investigación Operativa emplea cualquier método a su alcance para resolver los problemas de seguridad –o mitigar hasta su mínima expresión, al riesgo-, con lo cual podemos observar dos elementos contrapuestos que permiten el planteo de modelos de seguridad, ya que el objetivo de la misma no es ni más ni menos que impedir el delito. Por un lado, el delincuente busca: 1) Asegurar el éxito del delito (asegurar el éxito) 2) Proteger su identidad (no ser identificado) 3) Facilitar su propia huida (no ser atrapado) Este modelo conductual se repite en la mayor parte de incidentes. A su vez, la seguridad, que busca proteger los activos, bloquea mediante contramedidas de defensa el accionar delictivo estableciendo cuatro instancias o fases, llamadas “las 4 D’s”: 1) Disuadir al delincuente de cometer el incidente (Disuadir) 2) Detectar la presencia de un delincuente con la mayor anticipación posible (Detectar) 3) En caso de que el delincuente haya intrusionado en un área protegida: demorar su accionar el mayor tiempo posible (Demorar) 4) En última instancia detener el accionar empleando algún mecanismo –esto último se refiere a “detener su accionar” no necesariamente a quien lo produce-. (Detener) Desde el 9/11 (Ataque a las Torres Gemelas y Guerra Global al Terrorismo) se establece una cuarta fase: si no es posible detener el accionar del delincuente se procede a “suprimirlo”, refiriéndose en este caso a anular al delincuente mismo debido a que no es posible bajo cualquier medio razonable detener su accionar. 11 Queda así definido con claridad el marco de trabajo donde se encuadran los principios fundamentales de la Seguridad. A partir de este momento se hace posible comenzar el desarrollo de los diferentes métodos analíticos aplicados más adecuados para cada situación. 3.1 Lineamientos analíticos cuantitativos de la seguridad física El propósito principal de un sistema de seguridad física consiste en la protección de uno o más activos. Estos activos pueden incluir recursos, personal, dependencias y edificios y otros objetos de valor. La identificación de los activos está directamente vinculado con las “consecuencias” antes mencionadas9 , y su determinación permite definir el alcance del sistema de seguridad; en otros términos: que no sea ni excesivo ni insuficiente. Tal como hemos visto, la protección de activos dentro del contexto de la seguridad física conlleva la elaboración de “el mapa cuantitativo del daño operativo consecuencia de un incidente”, ya que las consecuencias sobre el funcionamiento de la organización empresa son inevitables. El proceso lógico general para un sistema de protección física es el siguiente: Identificar al Activo 9 Un activo que es pasible de un incidente delictivo pero que no acarrea daños a la organización no se incluye dentro del concepto de consecuencias con cierta valorización ya que resultaría en una pérdida de tiempo y un desvío del análisis. 12 Identificar Amenazas Decidir, Implementar, Monitorear Evaluación de Amenazas Identificar y evaluar las alternativas Identificar formas de mitigar el riesgo Identificar las restricciones (generalmente presupuestarias) Proceso de Diseño de un sistema de Seguridad Física Nota: este es un modelo simplificado a los efectos de facilitar la interpretación del proceso; existen otros modelos de aplicación altamente probados por su eficacia, los cuales no invalidan el presentado Los problemas de decisiones convencionales bajo condiciones de incertidumbre requieren una medición específica de la probabilidad sobre el σ-algebra (sigmaálgebra) [es una familia de subconjuntos de la variable X representada por Σ no vacía de subconjuntos de X. Estos sistemas de cálculo son muy importantes en análisis matemático y en teoría de la probabilidad, Σ es una familia de subconjuntos que cumplen diversas propiedades que, prácticamente, definen subconjuntos “medibles”] (Graves, Analytical Foundations of Physical Security System Assessment, 2006), lo que significa que aquí la componente intuitiva no tratada algebraicamente carece de fundamento y, en consecuencia, como ya lo han demostrado infinitas aplicaciones de la seguridad, su efectividad es impredecible: como ejemplo, basta indicar cuántas organizaciones fueron víctimas reiteradas veces de delito a pesar de contar con una cobertura de seguridad provista por reconocidas empresas internacionales de seguridad. La razón es evidente: la solución no fue analítica. En general, los riesgos se evalúan con mayor precisión por sus cualidades físicas relevantes vinculadas con las leyes naturales. Tales leyes describen cómo estas cantidades cambian en función de parámetros dependientes del tipo de escenario. Los parámetros están vinculados con la distancia y el tiempo. La variación del riesgo en función de dichos parámetros ofrece un amplio abanico de alternativas. 13 Por ejemplo, para evaluar la vulnerabilidad de un edificio con respecto a determinados ataques con explosivos, se aplican técnicas de simulación haciendo variar distancia y tiempo generando una distribución probabilística (como producto de esa simulación) que se ajuste a todos los escenarios posibles (todos implica el 100% de las posibilidades con una magnitud limitante, el riesgo. Inicia y termina la simulación cuando las consecuencias son iguales a “cero”, riesgo = 0). La ecuación debe explicitar el vínculo entre la distancia de la fuente de la explosión con respecto al blanco y la cantidad de explosivo de la carga transportada, vinculado en contraposición con la estructura del edificio, la cual también puede variar y generar así un modelo tridimensional. Este ejemplo puede parecer inverosímil, pero es habitual en construcciones militares y gubernamentales en zonas de conflicto y en la construcción de edificios de seguridad (bancos, empresas de contenedores, empresas dedicadas al arrendamiento de cajas de seguridad, bancos, etc.). Como ejemplo, basta el asalto con explosivos a la sede de Prosegur en Paraguay donde robaron u$s 40.000.000.- empleado un camión con explosivos detonado a distancia “cero”, o distancia de colisión. 10 Dentro de toda ecuación de seguridad física se debe determinar qué tipo de vinculación tienen los parámetros con las variables aleatorias: lineal11 o no lineales12. Por ejemplo, si analizamos la posibilidad de colisión tanto de un vehículo o de una onda expansiva veremos que tiene características no lineales o exponenciales, el gráfico sería el siguiente: 10 https://www.lanacion.com.ar/el-mundo/robo-millones-prosegur-ciudad-del-este-boveda-nid2016262 11 En geometría analítica y álgebra elemental, una función lineal es una función polinómica de primer grado, es decir, una función cuya representación en el plano cartesiano es una línea recta. 12 En matemáticas, los sistemas no lineales representan sistemas cuyo comportamiento no es expresable como la suma de los comportamientos de sus descriptores 14 Y la ecuación es: Energía cinética = ½ mv2 Cualquier parámetro elevado a una potencia, como la velocidad elevada al cuadrado en la fórmula básica, indicará una relación tipo exponencial que debe tomarse en cuenta de manera inmediata de parte del analista, al elaborar una contramedida de defensa. La seguridad física es un concepto extremadamente amplio, abarca tanto el robo en supermercados, en tiendas o en oficinas, como así también los ciberdelitos de toda índole (desde el grooming hasta el hackeo de bases de datos bancarias), el robo de documentación, los atentados, y todo aquello que perjudique intencionalmente a los activos de toda organización: información, personas y bienes. El principio clave para gestionar la seguridad física reside en modelizar la situación. Expresado más técnicamente: identificar las cantidades/volúmenes/intensidad físicas que condicionan los riesgos de seguridad es clave para comprender y mitigar las amenazas. Una vez que dichas magnitudes fueron identificadas, el paso siguiente es examinar su sensibilidad (variación porcentual de cambio) o cómo escalan (linealmente, exponencialmente, logarítmicamente) con relación a ese cambio los parámetros dependientes del escenario en cuestión. (Management, 2005) Un ejemplo podría ser un robo a una empresa: si tiene éxito puede ser que roben activos valiosos, pero durante un breve tiempo debido a los sistemas de detección que se activen en consecuencia. La resultante puede ser el robo de n computadoras. Sin embargo, si los delincuentes ingresaron en banda (como un grupo grande de personas) y el sistema se disparó instantáneamente puede ocurrir que en venganza, prendan fuego al lugar destruyéndolo completamente. La destrucción no ocurrió por causa de la voluntad destructiva de un delincuente, no hay que buscarla allí, sino en el error de diseño del sistema de seguridad que al dispararse antes de tiempo condicionó una respuesta no deseada. Los métodos más usados para el diseño de sistemas de seguridad están basados en la contraposición inicial de intereses, veamos algunos modelos analíticos en uso: 1. Si se trata de evaluar distintas alternativas de diseños de sistemas de seguridad física con diferentes estructuras de costo-beneficio, se dispone de la técnica de análisis de optimización lineal: aplicación de programación lineal o método simplex. 2. Si se trata de evaluar diferentes tecnologías en diferentes modelos sin comparar costo-beneficio sino efectividad, se puede aplicar OODA iterativo o, también, programación dinámica (sobre todo si existe alguna componente temporal o 15 secuencial). 3. En caso de instalaciones de infraestructura crítica (energía, represas, oleoductos, gasoductos, hospitales, etc.), se deben aplicar tanto modelos lineales como exponenciales ya que las distribuciones probabilísticas obedecen a diferentes parámetros con variaciones tanto lineales como no lineales. Es usual aplicar las denominadas “cadenas de Markov” para este tipo de situaciones. ((NISA), 2004) 4. Si se trata de evaluar una denominada “secuencia de adversario o secuencia de intrusión” (que veremos más adelante por su importancia), se aplica una combinación de: secuencia PERT, modelo de viajante y análisis estocástico. Estos métodos no excluyen ni el criterio, ni la intuición, ni la experiencia y, ni siquiera el análisis financiero. Todos deben aunarse para dar una solución al problema de seguridad planteado en cada instancia de análisis. 4. Destrabando el Trabalenguas No escapa al lector inteligente darse cuenta que cuando una ciencia como la seguridad debe valerse de múltiples ciencias auxiliares para poder consolidar modelos de contramedidas de defensa efectivas y eficientes, significa que se está ante un problema, al menos complejo o en todo caso tan dinámico, que no admite soluciones estáticas y vigentes, digamos por 3 o 10 años, y que podamos aplicarlas como “recetas de la abuela”. A pesar de ello, muchos nos hacen creer que esto no es así, sobre todo los medios de difusión, los funcionarios públicos improvisados y los opinólogos que todo lo saben. En mi carrera profesional encontré desde dueños de empresas manufactureras (¡!) que indicaban dónde se debía colocar una cámara de videovigilancia y dónde no, funcionarios que decían qué calle convenía vigilar en un área de una ciudad sin haber estado siquiera una noche parado en cualquier esquina de esa calle hasta el punto que un gobernador indicara qué elementos interconectar en un sistema de alarmas de grado 3 (criticidad media-alta) entre dos pisos de oficinas linderos entre sí –ignorando, llanamente, las casi infinitas prestaciones de una alarma de grado 3-. 13 Esto es así porque todo un estamento social se ha dedicado a vulgarizar, simplificar y banalizar cualquier acción preventiva, protectora o disuasoria de la seguridad debido a que “expresaba sus términos en castellano”. Me refiero con esto que “cualquiera” entiende que es “robar”, “romper”, “intrusionar”, “conectar”, “sabotear” y así, 13 Categorización bajo normativas europeas EN50131 16 cualquier otra cosa. Pero solo entiende palabras, no entiende profundamente los conceptos y secuencias metodológicas aplicadas dentro de un contexto determinado, generalmente descontextualiza el término. Es como por saber qué significa la palabra “bisturí”, pretender que ya se es cirujano. La seguridad física en particular, a diferencia de las otras que son mucho más complejas, se ha “commoditizado”14: es suficiente con comprar un kit de algo (cámaras), contratar un electricista para que las instale y….listo! Ya tengo seguridad. Insólito e interesante a la vez. Hemos escrito más de 40 páginas hablando de seguridad y un electricista en 2 horas ya “brindó” seguridad sin haber siquiera leído estas notas o, al menos, un poco el código penal: prácticamente todo incidente delictivo termina en tribunales. ¿Cuánto redujo ese estamento social el riesgo, desde que un electricista –aclaro que no tengo nada en contra de tan ilustres herederos de Thomas Edison- instaló las cámaras de seguridad? Nada. ¿Cuánto redujo la potencialidad de robo en una empresa la colocación de una o más alarmas? Nada. ¿Cuánto descendió la posibilidad de sabotaje la colocación de equipos de control de acceso? Nada. El incidente de seguridad no se resuelve con un dispositivo electrónico atornillado a la pared. En ese sentido, la seguridad (security) es muy similar a la prevención de accidentes de la otra seguridad, la seguridad industrial u ocupacional (safety) que requiere de departamentos completos para la implementación de las normas ISO. 14 Un commodity es cualquier mercancía destinada a uso comercial. Al hablar de mercancía, generalmente se hace énfasis en productos genéricos, básicos, y sin mayor diferenciación entre sus variedades, se ignoran, prácticamente sus características particulares (maíz, trigo, hierro, cámaras de vigilancia, alarmas, puertas, y así sucesivamente). 17 5. Modelo de secuencia del adversario -ASD (Adversary Sequence Diagram) - y Análisis de Interrupción de Intrusiones -Path Interruption Analysis (PIA)- Estos dos métodos, el ASD y el PIA, son parte de todo sistema de protección física: representan el tablero básico de trabajo sobre el que se desarrollan las posibles situaciones de delitos y las contramedidas de defensa contra los potenciales delincuentes. Están presentados en su versión más básica ya que el análisis de datos puede llevar estos modelos a un alto grado de elaboración representando con total exactitud múltiples posibilidades de intrusión y múltiples posibilidades de respuesta. 5.1 Modelo de secuencia del adversario -ASD (Adversary Sequence Diagram)En primera instancia, el ASD se emplea como fundamento al PIA15. El diagrama ASD modela gráficamente un sistema de protección de seguridad física a una planta, edificio o construcción dada, con activos de valor en su interior y ayuda a evaluar la efectividad de dicho sistema, tal como fue diseñado, para esa estructura en particular. Determina el camino más vulnerable en dicho emplazamiento a la vez de representar una evaluación completa de las amenazas. El origen de estos modelos y métodos es básicamente militar/policial y son multivariados, es decir, diversas alternativas de intrusión/ataque operando simultáneamente y con tácticas diferentes. En las aplicaciones civiles la elaboración de estos modelos no requiere ser extremadamente sofisticada ya que un ataque semejante tiene una probabilidad muy baja, exceptuando, lógicamente aquellos emplazamientos que se encuentran en zonas de conflicto y, sobre todo, con problemas de combate asimétricos (terrorismo, guerrilla, subversión, revueltas sociales, objetos de mucho valor, entidades bancarias, centros de datos informatizados, etc.). Para simplificar consideraré un modelo de un paso único y explicaré los pasos para su diseño. Objetivo: se debe detectar a los delincuentes y se deberá recibir una señal de alarma. La fuerza de respuesta que recibe la alarma tiene tiempo suficiente para verificar la validez de la alarma, iniciar una respuesta e interrumpir las acciones del o de los delincuentes antes de que puedan concretar sus objetivos. 15 No se puede realizar un análisis de interrupción de irrupciones si no se dispone primero de un modelo de secuencia del adversario 18 Área limitada Área protegida Camino 1 111 Área controlada dentro del edificio Sala controlada Zona de destino del o de los delincuentes (donde se encuentran los activos a afectar Camino 2 1o 22 En la gráfica anterior pueden verse, a modo figurativo, sólo dos caminos posibles, el Camino 1 se basa en sabotear diferentes lugares predeterminados de acceso mientras el Camino 2 atraviesa las barreras mediante algún tipo de combinación tecnológica hasta llegar a la zona de destino. No se plantea necesariamente que la estructura edilicia esté vacía, puede estar con personal, con visitantes, con contratistas, etc. y para acceder hasta el lugar deseado los delincuentes pueden utilizar cualquier tipo de táctica: ocultamiento, engaño, coacción, secuestro, homicidios, en fin, cualquier medio imaginable e inimaginable pero factible para lograr sus fines. Si observamos estructuras edilicias más veraces o con mayor grado de sofisticación podrían verse así: 19 Modelo de una estructura teórica para fines de ejercicios tácticos policiales y militares Modelo real de un depósito de material radioactivo custodiado por personal militar (Modelo de emplazamiento real confidencial) 20 En el siguiente gráfico satelital pueden observarse dos posibles vías de ingreso y egreso de un emplazamiento (Modelo de emplazamiento real confidencial) en este caso realizado por “insiders” y no por intrusos ajenos a la organización (Felicia Durán, 2006) Los tres pasos básicos para crear un ASD para un emplazamiento determinado incluyen: 1. Modelizar el emplazamiento separándolo en áreas adyacentes físicamente por una capa de protección que controle de alguna forma el movimiento entre las diferentes áreas. 2. Definir los elementos del camino que deban atravesarse para definir las áreas adyacentes. 3. Asignar la probabilidad de detección (Pd) y los tiempos de demora (Td) para cada uno de los elementos del camino y de las áreas físicas. Así puede esquematizarse la gráfica: 21 Off Site Área Exterior Limited Area Área Limitante Protected Area Área Protegida Controlled Room Sala Controlada Target Enclosure Habitación/Compartimiento/Recinto del Objetivo Target Objetivo propiamente dicho Niveles de Protección Niveles de protección entre áreas adyacentes (zonas marcadas en color gris) El nivel de protección entre el “Recinto del Objetivo” y el “Objetivo propiamente dicho” es un conjunto de elementos del camino analizado denominados “elementos de ubicación del objetivo”. Estos elementos son los que van a definirse analíticamente para describir la detección y la demora asociada con cada uno de ellos para acceder al objetivo. Los “elementos” del objetivo no tienen una distancia asociada entre ellos. En función de este gráfico pueden comenzar a estudiarse analíticamente sus componentes y relaciones. La cantidad de elementos incluidos en ASD determinará el volumen del análisis cuantitativo a realizar: ¿Los elementos que separan dos áreas, tienen iguales nivel de protección? ¿Estos elementos tienen iguales relaciones de efectividad? ¿Tienen igual capacidad de detección y de demora e iguales características secuenciales de detección con demora simultáneamente? ¿Cómo reaccionan todos los elementos frente a un incidente con caminos tomados simultáneamente? ¿Cómo 22 responde el sistema de comunicación (factor tiempo) frente a uno o varios caminos simultáneos para producir una respuesta de seguridad? El objetivo de la Investigación Operativa no reside solamente en responder estas preguntas sino en diseñar un conjunto de elementos óptimos que combinen dos variables: máxima capacidad de detección, demora, aunado a un tiempo de respuesta mínimo, con un mínimo de elementos componentes. Estos problemas se resuelven por una combinación de simulación por computadora usando variables tanto determinísticas (tiempo, demora) como probabilísticas (P(x) de detección) con métodos de programación denominados “Simplex”. No puede dejarse de lado en el análisis el tipo de delito que se evaluó en una escala de factibilidad: sabotaje, vandalismo, robo, robo múltiple, robo y secuestro, y demás. Por ejemplo, en el caso de robo se analizan los caminos de entrada y de salida mientras que en una situación de sabotaje solo se analizan los caminos de entrada (no necesariamente iguales a los de robo) y en el caso de delito interno de parte de un empleado (insider) se analizan los tramos de circulación interna, que muchas veces no coinciden con los caminos analizados para robo o sabotaje ya que los “insiders” tienen permisos de acceso –biométricos, con tarjeta o convencionales con llaves. Un proyecto de seguridad sin un ASD resulta ser una solución insuficiente para el problema a resolver, toda solución a implementar no será completa o total. Podemos decir que una solución de seguridad sin análisis es una “solución negligente” y como tal, presenta vulnerabilidades conocidas por los diseñadores pero no analizadas y resueltas por algún motivo en particular. Y aquí entramos en el terreno de las pericias forenses en seguridad: si existe un mecanismo para modelizar el sistema de seguridad física de un determinado lugar, todo incidente que se produzca tiene una alta carga de “negligencia” o “mala praxis profesional” ya que se omitió el paso fundamental y básico de análisis: el modelo de detección-demora-respuesta-anulación queda impugnado en su totalidad a menos que se pruebe un método de irrupción no previsto bajo ninguna circunstancia o imposible de predecir bajo los modelos disponibles. Por ello, el tema es muy delicado desde el punto legal quedando repartida la responsabilidad de un incidente entre quien realizó la acción con intención de causar un robo (el delincuente) y aquél que facilitó la acción (el especialista en seguridad). Un tema a meditar. 5.2 Análisis de Interrupción de Intrusiones -Path Interruption AnalysisEste método de análisis permite evaluar el desempeño de un determinado modelo de sistema de protección física, algo que en el mundo de la seguridad “intuitiva” es técnicamente “imposible”. La clave es que los sistemas de seguridad instrumentados en base a un diseño no analítico, parten de un concepto de “endurecimiento de objetivo” (que veremos más adelante) suponiendo que la superposición de capas de 23 protección a un banco, por ejemplo, o a una fábrica o depósito son suficientes o factibles como para impedir un incidente. La realidad demuestra que esto no es así, por ello el método PIA se vuelve una herramienta imprescindible para interrumpir cualquier incidente/intrusión en cualquier etapa de las contramedidas de seguridad instaladas. En otros términos: no se trata de evaluar la dificultad de un determinado camino sino de determinar cuál es la probabilidad de interceptar al delincuente antes que logre completar sus objetivos. Toda medida de seguridad incluye: detección, demora y respuesta; el camino elegido por el delincuente le garantiza llegar a su objetivo, para ello se elabora la magnitud denominada “probabilidad de interrupción” o P1, la cual supera técnicamente a la mínima probabilidad de detección en el camino elegido o la demora mínima a imponer en dicho camino, que son dos magnitudes muy usadas en forma intuitiva y que han demostrado ser ineficaces. En realidad son eficaces a nivel político o comercial para “vender” ideas, estrategias y dispositivos electromecánicos pero no para interrumpir el avance de uno o más delincuentes por uno o más caminos de intrusión. Plantearé una situación de sabotaje elaborada por un camino determinado (no caminos múltiples o ataques múltiples) a fines ilustrativos para desarrollar el esquema base del análisis del modelo que pretende maximizar P1: Elemento/Área Alambrada perimetral Componente de Demora Estructura de la alambrada Área Protegida Tiempo requerido para cruzar el área Puerta blindada Puerta Exterior 1 Interior del edificio Superficie 2 (Pared) Tiempo requerido para atravesarlo Estructura y resistencia de la pared Área vital Tiempo requerido para cruzar el área Destrucción de la bomba hidráulica (objetivo propuesto) Tiempo requerido para sabotear el objetivo propuesto Componente de Detección Sensor de vibración de la alambrada Guardias de seguridad Sensores de vibración y de apertura de puerta Guardias de seguridad Detección de ruido de rotura por parte del personal trabajando en el emplazamiento El personal de seguridad detecta intrusión por las cámaras de monitoreo Pérdida de la bomba hidráulica Conociendo la secuencia de acciones que el delincuente trata de realizar podemos superponer los tiempos vinculados al sistema de protección física con los tiempos 24 requeridos al delincuente para llevar a cabo su acción para determinar si la respuesta en cada instancia pueden interrumpir la acción antes que se concrete: Modelo temporal de un emplazamiento simple (depósito de material radiactivo) considerando un solo camino de intrusión Si leemos de izquierda a derecha, el eje horizontal representa el eje de tiempos y el eje vertical representa las diferentes etapas tanto del sistema de seguridad física (PPS) como del avance del intruso desde el comienzo de su accionar hasta que lo termina. Los 4 puntos color naranja representan las oportunidades de detección. “First Sensing” es la primera alarma que se dispara en razón de la intrusión y envía una comunicación (a guardias, central de alarmas, de monitoreo, policía o unidad militar). El tiempo de la primera detección está representado por T0 en el gráfico. “Detection Time” o tiempo de detección es el tiempo requerido para completar dicha función, la representamos por Ta y es extremadamente importante como analizaré más adelante. “Response Force Time” es el tiempo para completar la función de respuesta, o tiempo requerido para que la fuerza de respuesta se coordine, prepare, desplace y despliegue para interrumpir las acciones del intruso. Está muy vinculado con el detection time. Una variable temporal importante es T1 que representa el momento en que el intruso es interrumpido en su accionar. Claramente, para que el sistema de protección física se considere efectivo T1 debe ocurrir antes de Tc; también es claro que la primera detección debe producirse lo antes posible y T0, Ta y T1 deben estar lo más próxima al extremo izquierdo de la gráfica. 25 Así, el mínimo tiempo de demora será la resultante de todos los componentes a lo largo de cada uno de los caminos pre-analizados en el ASD: Todos estos análisis son cuantitativos y demandan análisis determinísticos (distancias, barreras físicas), estocásticos16 (sistemas de detección y demora), de los sistemas de integración de comunicaciones (recepción y respuesta, de tipo determinístico) para determinar el grado de efectividad del sistema. El grado de efectividad implica que el riesgo tiende a minimizarse y por lo tanto la seguridad tiende a maximizarse. Se obtiene un modelo de máximos (seguridad) y mínimos (riesgos) con lo cual podemos aplicar cualquiera de los métodos de cálculo antes mencionados. Estos cálculos pueden ser tan elaborados como el emplazamiento lo requiera (o la valuación de las consecuencias lo indique). Es clave tener en cuenta que la probabilidad de interrupción es sólo uno de los componentes de la probabilidad de efectividad del sistema total de seguridad física, requiriéndose otros modelos complementarios que veremos más adelante. Análisis de Interrupción de Intrusiones o PIA Modelo de secuencia del adversario o ASD Diseño del Sistema de Seguridad Física (proyectivo) o Evaluación del Sistema de Seguridad Física (pericial) Valuación o valoración de las consecuencias 5.3 Conclusiones de la aplicación del ASD y del PIA Puede observarse, por un lado, la contraposición clásica entre seguridad y riesgo y por otro, la aplicación del análisis cualitativo en modelos de maximización y minimización. 16 Un proceso estocástico es aquel cuyo comportamiento no es determinista, en la medida en que el subsiguiente estado del sistema se determina tanto por las acciones predecibles del proceso como por elementos aleatorios 26 Estos dos conceptos permiten el diseño técnico de un sistema de seguridad física y, simultáneamente, la evaluación de un sistema existente mediante peritajes de seguridad fundamentados científicamente. Lo que he expresado consolida el concepto que la Investigación Operativa requiere de otras ciencias auxiliares para componer los resultados buscados. No debe pasarse por alto el “modus operandi” de la actividad delincuencial organizada o no, para filtrar los casos de riesgo “cero” a fin de no producir datos en exceso que no conduzcan sino a malgastar la inversión destinada a la protección de activos. Queda claro que la evaluación de un determinado sistema de protección de activos físicos se simplifica enormemente, no dando lugar a falsas interpretaciones y detectando los puntos de mejora con rapidez y efectividad. Toda mejora es cuantificable y permite introducirla dentro del modelo aumentando el grado de protección. En diseño de proyectos, tanto el ASD como el PIA son herramientas fundamentales: cuando el especialista en seguridad comienza a trabajar dispone de un plano y a partir de allí, comienza su trabajo de traza de caminos con valores que luego serán ponderados para determinar la efectividad de su proyecto. En el área forense, avanza un paso más adelante que el estudio criminalístico ya que introduce el concepto de la contraparte al poner en evidencia si el sistema de seguridad estuvo diseñado para entorpecer el delito o para favorecerlo –así sea negligentementeademás de aportar datos valiosos tácticos y estratégicos del o de los adversarios. El tema forense lo trataré especialmente ya que veremos el concepto de “falsa seguridad” o una “falsa percepción de la seguridad” con consecuencias graves sobre la seguridad pública, la seguridad privada con un nuevo enfoque jurídico aportante a la escena del delito. Como ejemplo, podemos plantear una incógnita ampliamente conocida en el mundo político y de la seguridad pública: ¿Es verdad que el modelo de protección de activos denominado de “tolerancia cero” ejecutado por el entonces alcalde de Nueva York Rudolph Giuliani, brindaba “Riesgo = 0” o en realidad generaba un campo propicio para la aparición de nuevas formas delictivas, inclusive más complejas y peores, aumentando el riesgo de delito? El estudio analítico de un modelo, como el de “tolerancia cero” determinará, como imaginará el lector, un diagnostico incuestionable. 27 Bibliografía (NISA), N. N. (2004). Evaluating a security system (Path Analysis). Department of Energy EEUU. (UNODC), O. d. (2019). Análisis de los datos sobre delitos registrados e informados al sistema de estadísticas de la Oficina de Naciones Unidas para la Droga y el Delito (UNODC). ONU. Aven, T. Risk Analysis-Assessing Uncertainties beyond expected values and Probabilities. Universidad de Stavanger, Noruega: John Wiley & Sons, LTD. Durán, F. A. (2005). Probabilistic Basis and Assessment Methodology for Effectiveness of Protecting Nuclear Materials. Albuquerque, New Mexico, EEUU: Security Systems Analysis Sandia National Laboratories. Felicia Durán, D. D. (2006). Modeling and simulation of insider adversary scenarios. Albuquerque, New Mexico EEUU: Sandia National Laboratories & University of Texas Austin. Garcia, M. L. (2006). The Design and Evaluation of Physical Protection Systems. Butterworth-Heinemann. Garrido, V. (2012). Perfiles Criminales. Madrid: Editor digital: epl. Graves, G. H. (2006). Analytical Foundations of Physical Security System Assessment. Office of Graduate Studies of TExas A&M University. https://www.lanacion.com.ar/el-mundo/robo-millones-prosegur-ciudad-del-este-bovedanid2016262 Management, F.-F. E. (2005). Risk Assessment Guide to Mitigate Potential Terrorist Attacks. FEMA USA Government. Snell, M. (2004). International Training Course on The Physical Portection of Nuclear Facilities and Materials. El Paso, Texas, EEUU: Sandia Group, Inc. Young, C. S. (2013). Metrics and Methods for Security Risk Management. Burlington, MA EEUU: Syngress-Elsevier. 28