Seguridad en el Siglo XXI Parte II

Anuncio
Contribución a la Seguridad en el Siglo XXI
Parte II
Seguridad en el Siglo
XXI: Adiós a la escuela
de la intuición
Contramedidas de defensa analíticas
mediante Investigación Operativa
Lic. Juan Moratto
2019
Título:
Seguridad en el Siglo XXI-Adiós a la escuela de la
intuición
Autor:
Juan C. Moratto
Licenciado en Investigación Operativa
Ministerio de Defensa. Argentina
Buenos Aires-República Argentina
https://www.linkedin.com/in/juanmoratto/
https://www.juanmoratto.com
Esta obra está licenciada bajo la Licencia Creative
Commons Atribución – No Comercial – Sin Obra
Derivada 4.0 Internacional. Para ver una copia de
esta licencia, visite
http://creativecommons.org/licenses/by-ncnd/4.0/.
2
Contenido
LOS MÉTODOS DE LA PROTECCIÓN FÍSICA ................................................................................... 4
1. ANÁLISIS Y DETERMINACIÓN DE LOS COMPONENTES DE LOS RIESGOS DE SEGURIDAD ............ 4
2. PRESENTACIÓN DE RESULTADOS, LO CUANTITATIVO Y LO CUALITATIVO ................................ 9
3. MARCO DE TRABAJO .......................................................................................................... 11
3.1 Lineamientos analíticos cuantitativos de la seguridad física ............................................. 12
PROCESO DE DISEÑO DE UN SISTEMA DE SEGURIDAD FÍSICA ............................................. 13
4. DESTRABANDO EL TRABALENGUAS .................................................................................... 16
5. Modelo de secuencia del adversario -ASD (Adversary Sequence Diagram) - y Análisis de
Interrupción de Intrusiones -Path Interruption Analysis (PIA)-………………………..………… 18
5.1 MODELO DE SECUENCIA DEL ADVERSARIO O ASD (ADVERSARY SEQUENCE DIAGRAM) ...... 18
5.2 Análisis de Interrupción de Intrusiones o Path Interruption Analysis ................................... 23
5.3 Conclusiones de la aplicación del ASD y del PIA ................................................................ 26
3
Los métodos de la protección física
1. Análisis y Determinación de los Componentes de los Riesgos de
Seguridad
El riesgo puede definirse, tal como vimos, cuantitativamente mediante la fórmula:
Riesgo = P(A) x [1 – P (E)] x C
Esta fórmula indica que el Riesgo, la contracara de la Seguridad, está definido por tres
variables: la probabilidad de ataque, la efectividad del sistema de seguridad y las
consecuencias de dicho ataque.
Previo a tratar los modelos cuantitativos de la seguridad, se vuelve natural hacerse
varias preguntas: ¿Cómo obtendremos los valores para alimentar la fórmula? Una vez
aplicadas las mismas ¿cuál es su utilidad? ¿Las van a comprender? ¿Por qué no
continuar aplicando conceptos cualitativos, de estimaciones, que resulta más sencillo
para su comprensión?
Estas preguntas, que parecen casi obvias por lo que ya se ha fundamentado, tienen, sin
embargo, raíces muy profundas que no pueden pasarse por alto.
Iré expeditivamente al grano, sin filtro y con la crudeza que amerita nuestra profesión:
la seguridad es vital; cualquier duda implica su derrota, su ineficacia, la destrucción de
activos y la pérdida de vidas humanas. No da lugar a elucubraciones administrativas,
normas que nadie cumple ni exclusión de responsabilidades y menos aún, conceptos
mediáticos de personas, simplemente, no idóneas en la materia.
Así como el único responsable de la seguridad pública es el Ministerio o Secretaría de
Seguridad y los diferentes organismos de seguridad dependientes de ésta, sin
excepción ni excusa, en el caso de los organismos privados y públicos son varios los
sectores responsables de la seguridad organizacional: la gerencia general, la oficina de
recursos humanos, el departamento de seguridad ocupacional (safety), la gerencia de
operaciones y, por supuesto, la gerencia de seguridad (security).
Pasemos, entonces a las respuestas. Los valores para alimentar la fórmula se extraen de
diferentes fuentes. En principio, se deben desglosar los componentes de dicha fórmula:
amenazas, vulnerabilidades y consecuencias. Las tres son completamente diferentes y
sus consecuencias son importantes: como todos los coeficientes están multiplicados
cualquier factor con valor cero dará por resultante, cero. (Young, 2013)
Sin amenazas (amenazas=0), el riesgo es inexistente. Si el o los activos están
extremadamente protegidos frente a las amenazas entonces la vulnerabilidad es “cero”,
y el riesgo tampoco existe y si, aunque se produzca el incidente, tenga vulnerabilidades
imposibles de resolver pero las acciones delictivas no traen consecuencias a la
organización, nuevamente el riesgo será igual a cero.
4
Ahora bien, ¿existe alguna organización cuyo riesgo sea de nulidad absoluta,
totalmente “cero riesgo”? ¿Puede alguien afirmar esto sin que le tiemble el pulso?
En principio, “las amenazas” no existen como tales. Solo tienen significado para una
determinada organización y pueden tomar infinitas formas, son dinámicas en el
tiempo y sus actores también cambian al igual que sus “modus operandi” o formas de
cometer un determinado incidente. Todos los días surgen nuevas modalidades de
amenazas, sobre todo desde el advenimiento de Internet. (Young, 2013)
No me refiero a las nuevas amenazas planteadas por una organización de hackers, un
hacker trasnochado o un empleado enojado. Las amenazas cibernéticas han planteado
una paradoja que distorsionó el concepto de delito, criminológicamente hablando: los
ataques se originan en el ciberespacio (¿Dónde?) y en cualquier momento del día
(¿Cuándo?) por uno o más anónimos (¿Quiénes?). Es decir: no sabemos la fuente del
delito, el momento en que se va a producir ni quiénes lo van a ejecutar. (Garrido,
2012) Por supuesto que esto produce un cambio drástico de paradigma de la
seguridad, ya que si se desconocen estos elementos, básicos en seguridad, puedo
afirmar sin temor a equivocarme que la seguridad pública y la seguridad privada
deben cambiar drásticamente de rumbo.
Podemos apreciar que el ciberdelito no es un problema de hackers sino que es un
nuevo problema de Seguridad que exige una metodología y modelos de solución
particulares. Aunemos este tipo de delitos con los delitos convencionales y se podrá
ver un concepto de amenazas que podrían llamarse “difusas” o “complejas de
determinar”.
Conclusión: se debe analizar cada tipo de amenazas.
Definitivamente no existe una solución única. El que coloca cámaras de seguridad para
vigilar algo, sencillamente está perdiendo el tiempo y el dinero. El organismo que
implementa un control de acceso para limitar el ingreso de personas a determinados
sectores o evitar intrusos en tiempo y lugar determinados, solamente está viendo el
problema de las amenazas a través de un embudo. Es muy probable que se dedique a
controlar el ingreso de personas con sofisticados controles de acceso pero no controle el
egreso de activos valiosos para la organización por otras vías: carga de deshechos,
transporte de materiales para reparación, acciones rutinarias de su propio personal,
áreas de circulación, etc. etc. El sistema es efectivo para impedir ingresos pero
inefectivo para impedir egresos no convencionales (como la mayoría de los actos
delictivos, obviamente).
Por otra parte, las amenazas deben ser modelizadas para responder a la pregunta: ¿son
amenazas probables o posibles? (Graves, Analytical Foundations of Physical Security
System Assessment, 2006)
Que sean probables significa que ya se ha determinado ciertamente la probabilidad de
ocurrencia, o expresado de otra forma: va a ocurrir un incidente pero se desconoce el
5
momento y, en cierta medida, su magnitud. Que sean posibles pertenece al ámbito del
saber popular, es algo intangible o no medible, sin embargo puede estimarse con cierta
certeza que “algo así puede ocurrir”. Esta última es la situación clásica, sin embargo, la
investigación operativa también cuantifica la amenaza de un posible delito, sobre todo
basándose en los conceptos de “tiempo y distancia”, que veremos más adelante
(“tiempo y distancia” o “tiempo y espacio” son las dos magnitudes más importantes en
cualquier organización. Costo, rentabilidad y gerenciamiento son consecuencia de
estos dos factores principales).
¿Cómo se determinan entonces las vulnerabilidades? La vulnerabilidad es cuantificable
ya que ingresa de lleno en el campo de la seguridad. Determinar cuánto de efectivos
resultan ser cada uno de los sistemas de seguridad permite determinar el grado de
vulnerabilidad de una organización.
En este sentido, es posible determinar el grado de vulnerabilidad que tiene un
determinado almacén de materiales: es suficiente con evaluar el sistema de seguridad
implementado (evitando ponderar el sistema tomando cada componente por separado)
(Garcia, 2006) para determinar el grado de “protección” que tiene ese predio.
Estaríamos aquí refiriéndonos a la denominada “seguridad o protección física”.
También podemos evaluar la vulnerabilidad que posee el sistema documental interno,
tanto digitalizado o incorporado dentro de los sistemas informáticos como los
documentos que poseen otras características: convenios, acuerdos, modelos,
prototipos, patentes, poderes, valores (no dinero). En este sentido, recurriríamos a
mediciones determinísticas1 sobre el departamento de recursos humanos y a la
aplicación de medidas cuantificables de la gerencia de seguridad. Ambos dos
combinados entregarían un índice claro de este tipo de activos, lógicamente sin
necesidad de poner una cámara de vigilancia encima del escritorio de cada empleado,
injustificable desde el punto de vista de la seguridad y psiquiatrizable desde el punto
de vista penal.
Y así podríamos seguir con los ejemplos. La vulnerabilidad implica un proceso de
inteligencia2 sobre todas las áreas comprometidas de la empresa. Lo que releve este
proceso de inteligencia llevado a cabo por la gerencia de seguridad lo trataré más
adelante.
La información sobre las consecuencias de un incidente delictivo es sencilla de obtener
dado que la gerencia financiera de la organización conoce claramente y
cuantitativamente el valor del activo dañado o sustraído al momento potencial del
incidente –o del inicio del proceso de análisis, que implica prácticamente lo mismo-.
Vale notar que generalmente no se coloca como ingrediente en el análisis de
1
Un modelo determinista es un modelo matemático donde las mismas entradas o condiciones iniciales producirán
invariablemente las mismas salidas o resultados, no contemplándose la existencia de azar, o incertidumbre en el
proceso modelada mediante dicho modelo.
2
La inteligencia policial tiene como fin la obtención de información que ayude al estado combatir al crimen. Esto
puede representarse en distintas formas, ya sea como espionaje, intervención, seguimientos, etc En este análisis
planteo el concepto de inteligencia basado en la recolección de información con el fin de combatir el delito usando las
técnicas convencionales aprobadas por la UNODC (Naciones Unidas-Oficina contra las drogas y el delito).
6
consecuencias un componente: el “mapa cuantitativo del daño operativo consecuencia
de un incidente”3 , el cual trataré oportunamente.
Las consecuencias operativas pueden ser múltiples y demandan un análisis profundo
de las implicancias de no disponer de cualquiera de los activos sustraídos, dañados o,
peor aún, si hay daños a las personas.
En conclusión: existen múltiples amenazas, vulnerabilidades y consecuencias. Esta
multiplicidad o abanico de posibilidades es cambiante en función del tiempo –la
valoración del riesgo es dinámica, nunca estática- por ello podemos concluir con total
certeza que el ejercicio de la seguridad se centra en comprender los componentes
individuales del riesgo (inteligencia) y cómo, estos componentes, influencian al riesgo
en cada instante de tiempo y en qué medida (metodología analítica). El objetivo, en
consecuencia, es mitigar al riesgo, hacer que la función del riesgo tienda a cero:
R = Riesgo = P(A) x [1 – P (E)] x C  f (seguridad) = lim f (R)  0
O expresado más correctamente el conjunto de inecuaciones a plantear sería
(simplificadamente):
Máx Seguridad = Mín f (P(A) x [1 – P (E)])
Por supuesto que esta es una sobre-simplificación ya que está planteando un modelo
de cálculo denominado “minimax”4, un modelo clásico de seguridad de la
investigación operativa pero que considera algún tipo de confrontación entre el intruso
y el sistema de seguridad. Podemos resumir la problemática a cinco preguntas:
1. ¿Cuál es la posibilidad (potencial) o probabilidad de la ocurrencia de una
determinada amenaza?
2. ¿Cuál es la consecuencia (pérdida) que puede ocurrir asumiendo que el
incidente se produzca?
3. ¿Ameritan una determinada mitigación de las amenazas las consecuencias
evaluadas? Dicho en otros términos, ¿qué impacto causará un incidente dado?
4.
¿Qué métodos de mitigación de riesgos están disponibles? (No me refiero a los
métodos de mitigación “post” como los seguros contratados 5, ya que este
3
Dicho mapa está basado en diagramas denominados de causa-efecto, espina de pescado o Diagrama de Ishikawa,
solo que se anexan valores financieros, operacionales (demoras), costos de las contingencias y demás para establecer
las consecuencias directas e indirectas de un incidente.
4
Este modelo, muy usado en la teoría de juegos (no se refiere a “juegos” de entretenimiento sino a la dinámica
establecida entre dos adversarios) es un método de decisión para minimizar la pérdida máxima esperada en una
interacción dada con un adversario –en este caso el o los delincuentes-, con información perfecta (indicando ausencia
de factores no previstos o no aceptados en la situación bajo análisis. En este punto difiere del método matemático
Monte Carlo.)
5
Sin embargo, he visto, en tratados de seguridad muy serios que una de las técnicas de mitigación, llamada de
“derivación” o “distribución del riesgo” se recurre a los seguros cuando en realidad pertenecen a decisiones puramente
financieras y que nada tienen que ver con seguridad.
7
punto no pertenece a las áreas de seguridad, sino de las políticas financieras de
la organización).
5. ¿Puede la organización solventar los mecanismos de mitigación o existen
opciones modelizadas para gestionar el riesgo asociado a una determinada
amenaza? (Modelización de óptimos y sub-óptimos6).
6
Representan todos los resultados del modelo planteado que no optimizan las inecuaciones de máximo ni de mínimo,
implica un costo asociado (de activos) que resulta mayor al óptimo o un grado de eficiencia menor. No debe emplearse
bajo la terminología vulgar, nunca un sub-optimo es descartable, sino todo lo contrario: puede resultar ser la mejor
estrategia.
8
2. Presentación de Resultados, lo cuantitativo y lo cualitativo
Como puede verse en el punto 5 del párrafo anterior, queda definida la función de
modelización cuantitativa de alternativas. Esta modelización determinará una o más
soluciones óptimas y una o más soluciones sub-óptimas para una determinada
combinación de factores. Dicha modelización se mantendrá en la medida en que siga
vigente en el tiempo una condición de riesgo estable, una variante de “ceteris paribus”
en donde todos los factores concomitantes se equilibren de tal forma que la ecuación
del riesgo siga manteniéndose bajo control.
El párrafo anterior cobra validez en contextos de relativa estabilidad socio-económica.
Los tres factores determinantes del riesgo pueden mantenerse en equilibrio bajo
determinadas circunstancias lo que no impide que resulten engañosos bajo ciertos
cambios.
Estos cambios pueden resultar compensatorios entre sí. Esta compensabilidad puede
darse por multiplicidad de factores, siendo los más comunes (positivos o negativos a la
seguridad):

Desplazamiento del delito (situacional, por modus operandi, por reestructuración de bandas organizadas, por desplazamiento de objetivos
delictivos, por incorporación de miembros de otras nacionalidades con otros
métodos y costumbres, etc.).

Avances tecnológicos para la prevención delictiva.

Intensificación de las políticas públicas de seguridad (o reducción de las
políticas existentes).

Cambios legales sobre la ley penal(imputabilidad, aumento de las penas,
despenalización, etc.)

Respuesta positiva o negativa de la organización frente al riesgo (técnicas de
mitigación, desplazamiento de las vulnerabilidades, reforzamiento de las
contramedidas de defensa, minimización de las consecuencias, etc.)

Respuesta positiva o negativa de otras organizaciones (en caso de parques
industriales, por ejemplo, donde puede existir cooperativismo respecto de la
interacción en seguridad de las empresas linderas o vecinas o del mismo rubro).

Acciones de los medios de comunicación (Criminología mediática)
9
Me interesa aclarar un punto crítico acerca que la alta dirección quiere respuestas
concretas tipo costo-beneficio y no una expresión probabilística o matemática que
plantee la seguridad desde un ángulo cuantitativo.
En este sentido, un CEO o un gerente general entiende perfectamente datos
cuantitativos, es habitual en su trabajo interpretar un EBITDA7 o un Análisis de
Resultados8 o cualquier tabla de análisis financiero.
Lo que quiero expresar es no montarse en “idealizaciones”, “conceptos míticos” o
cualquier otra mística ajena al mundo real: si un CEO no entiende conceptos
expresados mediante cifras quiere decir que es alguien sentado en la silla de un CEO
usurpando su puesto –posiblemente alguien que pasaba por allí y, como estaba
cansado, se sentó en ese despacho- o la empresa eligió al ejecutivo equivocado.
La seguridad cuantitativa y exacta es una necesidad por dos razones claves: las
amenazas resultan cada vez más complejas y sofisticadas y, por otra parte, se
demandan métodos de seguridad proporcionales al riesgo desde el punto de vista
costo-beneficio.
Quizá para sorpresa del lector, este último principio básico y fundamental es el que rige todas
las operaciones del Departamento de Seguridad más grande del mundo: el DHS o Department
of Homeland Security (Departamento de Seguridad Nacional de los Estados Unidos) que reúne
a la CIA, al Servicio Secreto, al FEMA, al Departamento de Defensa y docenas de otras agencias
de seguridad, incluyendo al FBI, todas las políticas de seguridad que se apliquen al delito
interno de los Estados Unidos o al terrorismo global deben estar encuadradas en un contexto
costo-beneficio.
Por ello, debemos abandonar forzosamente el pensamiento que sugiere que en
seguridad existe una división entre la visión científica o técnica del riesgo y la visión
práctica del riesgo. No existen rótulos para el especialista en seguridad. Todo le es útil,
su flexibilidad y adaptabilidad le permite al especialista ocupar ese rol en cualquier
organización.
Son muchos los profesionales experimentados en seguridad que conocen las técnicas
de gestión de riesgos pero que carecen de una formación metodológica o cuantitativa y,
por otra parte, muchos otros profesionales están formados en métodos cuantitativos de
análisis de riesgos de seguridad careciendo del conocimiento práctico de las técnicas a
aplicar.
La investigación operativa integra ambas visiones: la cuantitativa y el criterio, la
información y la decisión cuantitativa.
7
1
El EBITDA es un indicador financiero, acrónimo del inglés earnings before interest, taxes, depreciation, and
amortization (beneficio antes de intereses, impuestos, depreciaciones y amortizaciones), es decir, el beneficio bruto de
explotación calculado antes de la deducibilidad de los gastos financieros.
8
El análisis del resultadoobtenido por un determinado fondo es un proceso que se desarrolla en dos etapas. Primero,
se compara la rentabilidad del fondo respecto a su índice de referencia. Luego, se analiza los métodos utilizados por
los gestores para llegar a ese resultado.
10
Como desde un primer momento se la aplicó a actividades centradas en inteligencia y
operaciones militares y luego a inteligencia dirigida a la seguridad, se apoya en ambos
pilares: la obtención continua de datos y la aplicación de métodos lo más precisos
posibles para procesar dichos datos y obtener una respuesta útil, coherente y
distribuible. La Seguridad se encuadra dentro de este último concepto tomando el
carácter de disciplina académica, con principios y métodos propios.
3. Marco de Trabajo
La norma ISO 73 indica que el riesgo, expresado en términos corrientes, es todo aquello
que plantea incertidumbre sobre los objetivos que se persiguen y, también, ya sabemos
que la Investigación Operativa emplea cualquier método a su alcance para resolver los
problemas de seguridad –o mitigar hasta su mínima expresión, al riesgo-, con lo cual
podemos observar dos elementos contrapuestos que permiten el planteo de modelos
de seguridad, ya que el objetivo de la misma no es ni más ni menos que impedir el
delito.
Por un lado, el delincuente busca:
1) Asegurar el éxito del delito (asegurar el éxito)
2) Proteger su identidad (no ser identificado)
3) Facilitar su propia huida (no ser atrapado)
Este modelo conductual se repite en la mayor parte de incidentes.
A su vez, la seguridad, que busca proteger los activos, bloquea mediante contramedidas de defensa el accionar delictivo estableciendo cuatro instancias o fases,
llamadas “las 4 D’s”:
1) Disuadir al delincuente de cometer el incidente (Disuadir)
2) Detectar la presencia de un delincuente con la mayor anticipación posible (Detectar)
3) En caso de que el delincuente haya intrusionado en un área protegida: demorar su
accionar el mayor tiempo posible (Demorar)
4) En última instancia detener el accionar empleando algún mecanismo –esto último se
refiere a “detener su accionar” no necesariamente a quien lo produce-. (Detener)
Desde el 9/11 (Ataque a las Torres Gemelas y Guerra Global al Terrorismo) se
establece una cuarta fase: si no es posible detener el accionar del delincuente se
procede a “suprimirlo”, refiriéndose en este caso a anular al delincuente mismo debido
a que no es posible bajo cualquier medio razonable detener su accionar.
11
Queda así definido con claridad el marco de trabajo donde se encuadran los principios
fundamentales de la Seguridad. A partir de este momento se hace posible comenzar el
desarrollo de los diferentes métodos analíticos aplicados más adecuados para cada
situación.
3.1 Lineamientos analíticos cuantitativos de la seguridad física
El propósito principal de un sistema de seguridad física consiste en la protección de
uno o más activos. Estos activos pueden incluir recursos, personal, dependencias y
edificios y otros objetos de valor. La identificación de los activos está directamente
vinculado con las “consecuencias” antes mencionadas9 , y su determinación permite
definir el alcance del sistema de seguridad; en otros términos: que no sea ni excesivo ni
insuficiente.
Tal como hemos visto, la protección de activos dentro del contexto de la seguridad
física conlleva la elaboración de “el mapa cuantitativo del daño operativo consecuencia
de un incidente”, ya que las consecuencias sobre el funcionamiento de la organización
empresa son inevitables.
El proceso lógico general para un sistema de protección física es el siguiente:
Identificar al Activo
9
Un activo que es pasible de un incidente delictivo pero que no acarrea daños a la organización no se incluye dentro
del concepto de consecuencias con cierta valorización ya que resultaría en una pérdida de tiempo y un desvío del
análisis.
12
Identificar
Amenazas
Decidir,
Implementar,
Monitorear
Evaluación de
Amenazas
Identificar y
evaluar las
alternativas
Identificar formas
de mitigar el
riesgo
Identificar las
restricciones
(generalmente
presupuestarias)
Proceso de Diseño de un sistema de Seguridad Física
Nota: este es un modelo simplificado a los efectos de facilitar la interpretación del proceso;
existen otros modelos de aplicación altamente probados por su eficacia, los cuales no invalidan el
presentado
Los problemas de decisiones convencionales bajo condiciones de incertidumbre
requieren una medición específica de la probabilidad sobre el σ-algebra (sigmaálgebra) [es una familia de subconjuntos de la variable X representada por Σ no vacía
de subconjuntos de X. Estos sistemas de cálculo son muy importantes en análisis
matemático y en teoría de la probabilidad, Σ es una familia de subconjuntos que
cumplen diversas propiedades que, prácticamente, definen subconjuntos “medibles”]
(Graves, Analytical Foundations of Physical Security System Assessment, 2006), lo que
significa que aquí la componente intuitiva no tratada algebraicamente carece de
fundamento y, en consecuencia, como ya lo han demostrado infinitas aplicaciones de la
seguridad, su efectividad es impredecible: como ejemplo, basta indicar cuántas
organizaciones fueron víctimas reiteradas veces de delito a pesar de contar con una
cobertura de seguridad provista por reconocidas empresas internacionales de
seguridad. La razón es evidente: la solución no fue analítica.
En general, los riesgos se evalúan con mayor precisión por sus cualidades físicas
relevantes vinculadas con las leyes naturales. Tales leyes describen cómo estas
cantidades cambian en función de parámetros dependientes del tipo de escenario. Los
parámetros están vinculados con la distancia y el tiempo. La variación del riesgo en
función de dichos parámetros ofrece un amplio abanico de alternativas.
13
Por ejemplo, para evaluar la vulnerabilidad de un edificio con respecto a determinados
ataques con explosivos, se aplican técnicas de simulación haciendo variar distancia y
tiempo generando una distribución probabilística (como producto de esa simulación)
que se ajuste a todos los escenarios posibles (todos implica el 100% de las posibilidades
con una magnitud limitante, el riesgo. Inicia y termina la simulación cuando las
consecuencias son iguales a “cero”, riesgo = 0).
La ecuación debe explicitar el vínculo entre la distancia de la fuente de la explosión con
respecto al blanco y la cantidad de explosivo de la carga transportada, vinculado en
contraposición con la estructura del edificio, la cual también puede variar y generar así
un modelo tridimensional.
Este ejemplo puede parecer inverosímil, pero es habitual en construcciones militares y
gubernamentales en zonas de conflicto y en la construcción de edificios de seguridad
(bancos, empresas de contenedores, empresas dedicadas al arrendamiento de cajas de
seguridad, bancos, etc.). Como ejemplo, basta el asalto con explosivos a la sede de
Prosegur en Paraguay donde robaron u$s 40.000.000.- empleado un camión con
explosivos detonado a distancia “cero”, o distancia de colisión. 10
Dentro de toda ecuación de seguridad física se debe determinar qué tipo de
vinculación tienen los parámetros con las variables aleatorias: lineal11 o no lineales12.
Por ejemplo, si analizamos la posibilidad de colisión tanto de un vehículo o de una
onda expansiva veremos que tiene características no lineales o exponenciales, el gráfico
sería el siguiente:
10
https://www.lanacion.com.ar/el-mundo/robo-millones-prosegur-ciudad-del-este-boveda-nid2016262
11
En geometría analítica y álgebra elemental, una función lineal es una función polinómica de primer grado, es decir,
una función cuya representación en el plano cartesiano es una línea recta.
12
En matemáticas, los sistemas no lineales representan sistemas cuyo comportamiento no es expresable como la
suma de los comportamientos de sus descriptores
14
Y la ecuación es:
Energía cinética = ½ mv2
Cualquier parámetro elevado a una potencia, como la velocidad elevada al cuadrado
en la fórmula básica, indicará una relación tipo exponencial que debe tomarse en
cuenta de manera inmediata de parte del analista, al elaborar una contramedida de
defensa.
La seguridad física es un concepto extremadamente amplio, abarca tanto el robo en
supermercados, en tiendas o en oficinas, como así también los ciberdelitos de toda
índole (desde el grooming hasta el hackeo de bases de datos bancarias), el robo de
documentación, los atentados, y todo aquello que perjudique intencionalmente a los
activos de toda organización: información, personas y bienes. El principio clave para
gestionar la seguridad física reside en modelizar la situación.
Expresado más técnicamente: identificar las cantidades/volúmenes/intensidad físicas
que condicionan los riesgos de seguridad es clave para comprender y mitigar las
amenazas. Una vez que dichas magnitudes fueron identificadas, el paso siguiente es
examinar su sensibilidad (variación porcentual de cambio) o cómo escalan
(linealmente, exponencialmente, logarítmicamente) con relación a ese cambio los
parámetros dependientes del escenario en cuestión. (Management, 2005)
Un ejemplo podría ser un robo a una empresa: si tiene éxito puede ser que roben
activos valiosos, pero durante un breve tiempo debido a los sistemas de detección que
se activen en consecuencia. La resultante puede ser el robo de n computadoras. Sin
embargo, si los delincuentes ingresaron en banda (como un grupo grande de personas)
y el sistema se disparó instantáneamente puede ocurrir que en venganza, prendan
fuego al lugar destruyéndolo completamente.
La destrucción no ocurrió por causa de la voluntad destructiva de un delincuente, no
hay que buscarla allí, sino en el error de diseño del sistema de seguridad que al
dispararse antes de tiempo condicionó una respuesta no deseada.
Los métodos más usados para el diseño de sistemas de seguridad están basados en la
contraposición inicial de intereses, veamos algunos modelos analíticos en uso:
1. Si se trata de evaluar distintas alternativas de diseños de sistemas de seguridad
física con diferentes estructuras de costo-beneficio, se dispone de la técnica de
análisis de optimización lineal: aplicación de programación lineal o método
simplex.
2. Si se trata de evaluar diferentes tecnologías en diferentes modelos sin comparar
costo-beneficio sino efectividad, se puede aplicar OODA iterativo o, también,
programación dinámica (sobre todo si existe alguna componente temporal o
15
secuencial).
3. En caso de instalaciones de infraestructura crítica (energía, represas, oleoductos,
gasoductos, hospitales, etc.), se deben aplicar tanto modelos lineales como
exponenciales ya que las distribuciones probabilísticas obedecen a diferentes
parámetros con variaciones tanto lineales como no lineales. Es usual aplicar las
denominadas “cadenas de Markov” para este tipo de situaciones. ((NISA),
2004)
4. Si se trata de evaluar una denominada “secuencia de adversario o secuencia de
intrusión” (que veremos más adelante por su importancia), se aplica una
combinación de: secuencia PERT, modelo de viajante y análisis estocástico.
Estos métodos no excluyen ni el criterio, ni la intuición, ni la experiencia y, ni siquiera
el análisis financiero. Todos deben aunarse para dar una solución al problema de
seguridad planteado en cada instancia de análisis.
4. Destrabando el Trabalenguas
No escapa al lector inteligente darse cuenta que cuando una ciencia como la
seguridad debe valerse de múltiples ciencias auxiliares para poder consolidar
modelos de contramedidas de defensa efectivas y eficientes, significa que se
está ante un problema, al menos complejo o en todo caso tan dinámico, que no
admite soluciones estáticas y vigentes, digamos por 3 o 10 años, y que podamos
aplicarlas como “recetas de la abuela”.
A pesar de ello, muchos nos hacen creer que esto no es así, sobre todo los medios de
difusión, los funcionarios públicos improvisados y los opinólogos que todo lo saben.
En mi carrera profesional encontré desde dueños de empresas manufactureras (¡!) que
indicaban dónde se debía colocar una cámara de videovigilancia y dónde no,
funcionarios que decían qué calle convenía vigilar en un área de una ciudad sin haber
estado siquiera una noche parado en cualquier esquina de esa calle hasta el punto que
un gobernador indicara qué elementos interconectar en un sistema de alarmas de
grado 3 (criticidad media-alta) entre dos pisos de oficinas linderos entre sí –ignorando,
llanamente, las casi infinitas prestaciones de una alarma de grado 3-. 13
Esto es así porque todo un estamento social se ha dedicado a vulgarizar, simplificar y
banalizar cualquier acción preventiva, protectora o disuasoria de la seguridad debido a
que “expresaba sus términos en castellano”. Me refiero con esto que “cualquiera”
entiende que es “robar”, “romper”, “intrusionar”, “conectar”, “sabotear” y así,
13
Categorización bajo normativas europeas EN50131
16
cualquier otra cosa. Pero solo entiende palabras, no entiende profundamente los
conceptos y secuencias metodológicas aplicadas dentro de un contexto determinado,
generalmente descontextualiza el término.
Es como por saber qué significa la palabra “bisturí”, pretender que ya se es cirujano.
La seguridad física en particular, a diferencia de las otras que son mucho más
complejas, se ha “commoditizado”14: es suficiente con comprar un kit de algo
(cámaras), contratar un electricista para que las instale y….listo! Ya tengo seguridad.
Insólito e interesante a la vez.
Hemos escrito más de 40 páginas hablando de seguridad y un electricista en 2 horas ya
“brindó” seguridad sin haber siquiera leído estas notas o, al menos, un poco el código
penal: prácticamente todo incidente delictivo termina en tribunales. ¿Cuánto redujo
ese estamento social el riesgo, desde que un electricista –aclaro que no tengo nada en
contra de tan ilustres herederos de Thomas Edison- instaló las cámaras de seguridad?
Nada.
¿Cuánto redujo la potencialidad de robo en una empresa la colocación de una o más
alarmas? Nada. ¿Cuánto descendió la posibilidad de sabotaje la colocación de equipos
de control de acceso? Nada.
El incidente de seguridad no se resuelve con un dispositivo electrónico atornillado a la
pared. En ese sentido, la seguridad (security) es muy similar a la prevención de
accidentes de la otra seguridad, la seguridad industrial u ocupacional (safety) que
requiere de departamentos completos para la implementación de las normas ISO.
14
Un commodity es cualquier mercancía destinada a uso comercial. Al hablar de mercancía, generalmente se hace
énfasis en productos genéricos, básicos, y sin mayor diferenciación entre sus variedades, se ignoran, prácticamente
sus características particulares (maíz, trigo, hierro, cámaras de vigilancia, alarmas, puertas, y así sucesivamente).
17
5.
Modelo de secuencia del adversario -ASD (Adversary Sequence Diagram) - y
Análisis de Interrupción de Intrusiones -Path Interruption Analysis (PIA)-
Estos dos métodos, el ASD y el PIA, son parte de todo sistema de protección física:
representan el tablero básico de trabajo sobre el que se desarrollan las posibles
situaciones de delitos y las contramedidas de defensa contra los potenciales
delincuentes. Están presentados en su versión más básica ya que el análisis de datos
puede llevar estos modelos a un alto grado de elaboración representando con total
exactitud múltiples posibilidades de intrusión y múltiples posibilidades de respuesta.
5.1 Modelo de secuencia del adversario -ASD (Adversary Sequence Diagram)En primera instancia, el ASD se emplea como fundamento al PIA15.
El diagrama ASD modela gráficamente un sistema de protección de seguridad física a
una planta, edificio o construcción dada, con activos de valor en su interior y ayuda a
evaluar la efectividad de dicho sistema, tal como fue diseñado, para esa estructura en
particular. Determina el camino más vulnerable en dicho emplazamiento a la vez de
representar una evaluación completa de las amenazas.
El origen de estos modelos y métodos es básicamente militar/policial y son
multivariados, es decir, diversas alternativas de intrusión/ataque operando
simultáneamente y con tácticas diferentes. En las aplicaciones civiles la elaboración de
estos modelos no requiere ser extremadamente sofisticada ya que un ataque semejante
tiene una probabilidad muy baja, exceptuando, lógicamente aquellos emplazamientos
que se encuentran en zonas de conflicto y, sobre todo, con problemas de combate
asimétricos (terrorismo, guerrilla, subversión, revueltas sociales, objetos de mucho
valor, entidades bancarias, centros de datos informatizados, etc.).
Para simplificar consideraré un modelo de un paso único y explicaré los pasos para su
diseño.
Objetivo: se debe detectar a los delincuentes y se deberá recibir una señal de alarma. La
fuerza de respuesta que recibe la alarma tiene tiempo suficiente para verificar la
validez de la alarma, iniciar una respuesta e interrumpir las acciones del o de los
delincuentes antes de que puedan concretar sus objetivos.
15
No se puede realizar un análisis de interrupción de irrupciones si no se dispone primero de un modelo de secuencia
del adversario
18
Área limitada
Área protegida
Camino 1
111
Área controlada dentro del
edificio
Sala controlada
Zona de destino del o
de los delincuentes
(donde se encuentran
los activos a afectar
Camino 2
1o 22
En la gráfica anterior pueden verse, a modo figurativo, sólo dos caminos posibles, el
Camino 1 se basa en sabotear diferentes lugares predeterminados de acceso mientras el
Camino 2 atraviesa las barreras mediante algún tipo de combinación tecnológica hasta
llegar a la zona de destino.
No se plantea necesariamente que la estructura edilicia esté vacía, puede estar con
personal, con visitantes, con contratistas, etc. y para acceder hasta el lugar deseado los
delincuentes pueden utilizar cualquier tipo de táctica: ocultamiento, engaño, coacción,
secuestro, homicidios, en fin, cualquier medio imaginable e inimaginable pero factible
para lograr sus fines.
Si observamos estructuras edilicias más veraces o con mayor grado de sofisticación
podrían verse así:
19
Modelo de una estructura teórica para fines de ejercicios tácticos policiales y militares
Modelo real de un depósito de material radioactivo custodiado por personal militar
(Modelo de emplazamiento real confidencial)
20
En el siguiente gráfico satelital pueden observarse dos posibles vías de ingreso y egreso
de un emplazamiento (Modelo de emplazamiento real confidencial) en este caso realizado por
“insiders” y no por intrusos ajenos a la organización (Felicia Durán, 2006)
Los tres pasos básicos para crear un ASD para un emplazamiento determinado
incluyen:
1. Modelizar el emplazamiento separándolo en áreas adyacentes físicamente por
una capa de protección que controle de alguna forma el movimiento entre las
diferentes áreas.
2. Definir los elementos del camino que deban atravesarse para definir las áreas
adyacentes.
3. Asignar la probabilidad de detección (Pd) y los tiempos de demora (Td) para
cada uno de los elementos del camino y de las áreas físicas.
Así puede esquematizarse la gráfica:
21
Off Site
Área Exterior
Limited Area
Área Limitante
Protected Area
Área Protegida
Controlled Room
Sala Controlada
Target Enclosure
Habitación/Compartimiento/Recinto
del Objetivo
Target
Objetivo propiamente dicho


Niveles de
Protección



Niveles de protección entre áreas adyacentes (zonas marcadas en color gris)
El nivel de protección entre el “Recinto del Objetivo” y el “Objetivo propiamente
dicho” es un conjunto de elementos del camino analizado denominados “elementos de
ubicación del objetivo”. Estos elementos son los que van a definirse analíticamente
para describir la detección y la demora asociada con cada uno de ellos para acceder al
objetivo.
Los “elementos” del objetivo no tienen una distancia asociada entre ellos.
En función de este gráfico pueden comenzar a estudiarse analíticamente sus
componentes y relaciones. La cantidad de elementos incluidos en ASD determinará el
volumen del análisis cuantitativo a realizar: ¿Los elementos que separan dos áreas,
tienen iguales nivel de protección? ¿Estos elementos tienen iguales relaciones de
efectividad? ¿Tienen igual capacidad de detección y de demora e iguales características
secuenciales de detección con demora simultáneamente? ¿Cómo reaccionan todos los
elementos frente a un incidente con caminos tomados simultáneamente? ¿Cómo
22
responde el sistema de comunicación (factor tiempo) frente a uno o varios caminos
simultáneos para producir una respuesta de seguridad?
El objetivo de la Investigación Operativa no reside solamente en responder estas
preguntas sino en diseñar un conjunto de elementos óptimos que combinen dos
variables: máxima capacidad de detección, demora, aunado a un tiempo de respuesta
mínimo, con un mínimo de elementos componentes. Estos problemas se resuelven por
una combinación de simulación por computadora usando variables tanto
determinísticas (tiempo, demora) como probabilísticas (P(x) de detección) con métodos
de programación denominados “Simplex”.
No puede dejarse de lado en el análisis el tipo de delito que se evaluó en una escala de
factibilidad: sabotaje, vandalismo, robo, robo múltiple, robo y secuestro, y demás. Por ejemplo,
en el caso de robo se analizan los caminos de entrada y de salida mientras que en una situación
de sabotaje solo se analizan los caminos de entrada (no necesariamente iguales a los de robo) y
en el caso de delito interno de parte de un empleado (insider) se analizan los tramos de
circulación interna, que muchas veces no coinciden con los caminos analizados para robo o
sabotaje ya que los “insiders” tienen permisos de acceso –biométricos, con tarjeta o
convencionales con llaves.
Un proyecto de seguridad sin un ASD resulta ser una solución insuficiente para el
problema a resolver, toda solución a implementar no será completa o total. Podemos
decir que una solución de seguridad sin análisis es una “solución negligente” y como
tal, presenta vulnerabilidades conocidas por los diseñadores pero no analizadas y
resueltas por algún motivo en particular.
Y aquí entramos en el terreno de las pericias forenses en seguridad: si existe un
mecanismo para modelizar el sistema de seguridad física de un determinado lugar,
todo incidente que se produzca tiene una alta carga de “negligencia” o “mala praxis
profesional” ya que se omitió el paso fundamental y básico de análisis: el modelo de
detección-demora-respuesta-anulación queda impugnado en su totalidad a menos que
se pruebe un método de irrupción no previsto bajo ninguna circunstancia o imposible
de predecir bajo los modelos disponibles.
Por ello, el tema es muy delicado desde el punto legal quedando repartida la
responsabilidad de un incidente entre quien realizó la acción con intención de causar
un robo (el delincuente) y aquél que facilitó la acción (el especialista en seguridad). Un
tema a meditar.
5.2 Análisis de Interrupción de Intrusiones -Path Interruption AnalysisEste método de análisis permite evaluar el desempeño de un determinado modelo de
sistema de protección física, algo que en el mundo de la seguridad “intuitiva” es
técnicamente “imposible”. La clave es que los sistemas de seguridad instrumentados
en base a un diseño no analítico, parten de un concepto de “endurecimiento de
objetivo” (que veremos más adelante) suponiendo que la superposición de capas de
23
protección a un banco, por ejemplo, o a una fábrica o depósito son suficientes o
factibles como para impedir un incidente.
La realidad demuestra que esto no es así, por ello el método PIA se vuelve una
herramienta imprescindible para interrumpir cualquier incidente/intrusión en
cualquier etapa de las contramedidas de seguridad instaladas.
En otros términos: no se trata de evaluar la dificultad de un determinado camino sino
de determinar cuál es la probabilidad de interceptar al delincuente antes que logre
completar sus objetivos.
Toda medida de seguridad incluye: detección, demora y respuesta; el camino elegido
por el delincuente le garantiza llegar a su objetivo, para ello se elabora la magnitud
denominada “probabilidad de interrupción” o P1, la cual supera técnicamente a la
mínima probabilidad de detección en el camino elegido o la demora mínima a imponer
en dicho camino, que son dos magnitudes muy usadas en forma intuitiva y que han
demostrado ser ineficaces. En realidad son eficaces a nivel político o comercial para
“vender” ideas, estrategias y dispositivos electromecánicos pero no para interrumpir el
avance de uno o más delincuentes por uno o más caminos de intrusión.
Plantearé una situación de sabotaje elaborada por un camino determinado (no caminos
múltiples o ataques múltiples) a fines ilustrativos para desarrollar el esquema base del
análisis del modelo que pretende maximizar P1:
Elemento/Área
Alambrada perimetral
Componente de Demora
Estructura de la alambrada
Área Protegida
Tiempo requerido para
cruzar el área
Puerta blindada
Puerta Exterior 1
Interior del edificio
Superficie 2 (Pared)
Tiempo requerido para
atravesarlo
Estructura y resistencia de
la pared
Área vital
Tiempo requerido para
cruzar el área
Destrucción de la bomba
hidráulica (objetivo
propuesto)
Tiempo requerido para
sabotear el objetivo
propuesto
Componente de Detección
Sensor de vibración de la
alambrada
Guardias de seguridad
Sensores de vibración y de
apertura de puerta
Guardias de seguridad
Detección de ruido de
rotura por parte del
personal trabajando en el
emplazamiento
El personal de seguridad
detecta intrusión por las
cámaras de monitoreo
Pérdida de la bomba
hidráulica
Conociendo la secuencia de acciones que el delincuente trata de realizar podemos
superponer los tiempos vinculados al sistema de protección física con los tiempos
24
requeridos al delincuente para llevar a cabo su acción para determinar si la respuesta
en cada instancia pueden interrumpir la acción antes que se concrete:
Modelo temporal de un emplazamiento simple (depósito de material radiactivo) considerando un
solo camino de intrusión
Si leemos de izquierda a derecha, el eje horizontal representa el eje de tiempos y el eje
vertical representa las diferentes etapas tanto del sistema de seguridad física (PPS)
como del avance del intruso desde el comienzo de su accionar hasta que lo termina.
Los 4 puntos color naranja representan las oportunidades de detección.
“First Sensing” es la primera alarma que se dispara en razón de la intrusión y envía
una comunicación (a guardias, central de alarmas, de monitoreo, policía o unidad
militar). El tiempo de la primera detección está representado por T0 en el gráfico.
“Detection Time” o tiempo de detección es el tiempo requerido para completar dicha
función, la representamos por Ta y es extremadamente importante como analizaré más
adelante.
“Response Force Time” es el tiempo para completar la función de respuesta, o tiempo
requerido para que la fuerza de respuesta se coordine, prepare, desplace y despliegue
para interrumpir las acciones del intruso. Está muy vinculado con el detection time.
Una variable temporal importante es T1 que representa el momento en que el intruso
es interrumpido en su accionar.
Claramente, para que el sistema de protección física se considere efectivo T1 debe
ocurrir antes de Tc; también es claro que la primera detección debe producirse lo
antes posible y T0, Ta y T1 deben estar lo más próxima al extremo izquierdo de la
gráfica.
25
Así, el mínimo tiempo de demora será la resultante de todos los componentes a lo
largo de cada uno de los caminos pre-analizados en el ASD:
Todos estos análisis son cuantitativos y demandan análisis determinísticos (distancias,
barreras físicas), estocásticos16 (sistemas de detección y demora), de los sistemas de
integración de comunicaciones (recepción y respuesta, de tipo determinístico) para
determinar el grado de efectividad del sistema. El grado de efectividad implica que el
riesgo tiende a minimizarse y por lo tanto la seguridad tiende a maximizarse.
Se obtiene un modelo de máximos (seguridad) y mínimos (riesgos) con lo cual
podemos aplicar cualquiera de los métodos de cálculo antes mencionados. Estos
cálculos pueden ser tan elaborados como el emplazamiento lo requiera (o la valuación
de las consecuencias lo indique). Es clave tener en cuenta que la probabilidad de
interrupción es sólo uno de los componentes de la probabilidad de efectividad del
sistema total de seguridad física, requiriéndose otros modelos complementarios que
veremos más adelante.
Análisis de
Interrupción de
Intrusiones o PIA
Modelo de
secuencia del
adversario o ASD
Diseño del
Sistema de
Seguridad Física
(proyectivo) o
Evaluación del
Sistema de
Seguridad Física
(pericial)
Valuación o
valoración de
las
consecuencias
5.3 Conclusiones de la aplicación del ASD y del PIA
Puede observarse, por un lado, la contraposición clásica entre seguridad y riesgo y por
otro, la aplicación del análisis cualitativo en modelos de maximización y minimización.
16
Un proceso estocástico es aquel cuyo comportamiento no es determinista, en la medida en que el subsiguiente
estado del sistema se determina tanto por las acciones predecibles del proceso como por elementos aleatorios
26
Estos dos conceptos permiten el diseño técnico de un sistema de seguridad física y,
simultáneamente, la evaluación de un sistema existente mediante peritajes de
seguridad fundamentados científicamente.
Lo que he expresado consolida el concepto que la Investigación Operativa requiere de
otras ciencias auxiliares para componer los resultados buscados. No debe pasarse por
alto el “modus operandi” de la actividad delincuencial organizada o no, para filtrar los
casos de riesgo “cero” a fin de no producir datos en exceso que no conduzcan sino a
malgastar la inversión destinada a la protección de activos.
Queda claro que la evaluación de un determinado sistema de protección de activos
físicos se simplifica enormemente, no dando lugar a falsas interpretaciones y
detectando los puntos de mejora con rapidez y efectividad. Toda mejora es
cuantificable y permite introducirla dentro del modelo aumentando el grado de
protección.
En diseño de proyectos, tanto el ASD como el PIA son herramientas fundamentales:
cuando el especialista en seguridad comienza a trabajar dispone de un plano y a partir
de allí, comienza su trabajo de traza de caminos con valores que luego serán
ponderados para determinar la efectividad de su proyecto.
En el área forense, avanza un paso más adelante que el estudio criminalístico ya que
introduce el concepto de la contraparte al poner en evidencia si el sistema de seguridad
estuvo diseñado para entorpecer el delito o para favorecerlo –así sea negligentementeademás de aportar datos valiosos tácticos y estratégicos del o de los adversarios.
El tema forense lo trataré especialmente ya que veremos el concepto de “falsa
seguridad” o una “falsa percepción de la seguridad” con consecuencias graves sobre la
seguridad pública, la seguridad privada con un nuevo enfoque jurídico aportante a la
escena del delito.
Como ejemplo, podemos plantear una incógnita ampliamente conocida en el mundo
político y de la seguridad pública: ¿Es verdad que el modelo de protección de activos
denominado de “tolerancia cero” ejecutado por el entonces alcalde de Nueva York
Rudolph Giuliani, brindaba “Riesgo = 0” o en realidad generaba un campo propicio
para la aparición de nuevas formas delictivas, inclusive más complejas y peores,
aumentando el riesgo de delito?
El estudio analítico de un modelo, como el de “tolerancia cero” determinará, como
imaginará el lector, un diagnostico incuestionable.
27
Bibliografía
(NISA), N. N. (2004). Evaluating a security system (Path Analysis). Department of
Energy EEUU.
(UNODC), O. d. (2019). Análisis de los datos sobre delitos registrados e informados al
sistema de estadísticas de la Oficina de Naciones Unidas para la Droga y el Delito
(UNODC). ONU.
Aven, T. Risk Analysis-Assessing Uncertainties beyond expected values and
Probabilities. Universidad de Stavanger, Noruega: John Wiley & Sons, LTD.
Durán, F. A. (2005). Probabilistic Basis and Assessment Methodology for Effectiveness
of Protecting Nuclear Materials. Albuquerque, New Mexico, EEUU: Security Systems
Analysis Sandia National Laboratories.
Felicia Durán, D. D. (2006). Modeling and simulation of insider adversary scenarios.
Albuquerque, New Mexico EEUU: Sandia National Laboratories & University of Texas Austin.
Garcia, M. L. (2006). The Design and Evaluation of Physical Protection Systems.
Butterworth-Heinemann.
Garrido, V. (2012). Perfiles Criminales. Madrid: Editor digital: epl.
Graves, G. H. (2006). Analytical Foundations of Physical Security System Assessment.
Office of Graduate Studies of TExas A&M University.
https://www.lanacion.com.ar/el-mundo/robo-millones-prosegur-ciudad-del-este-bovedanid2016262
Management, F.-F. E. (2005). Risk Assessment Guide to Mitigate Potential Terrorist
Attacks. FEMA USA Government.
Snell, M. (2004). International Training Course on The Physical Portection of Nuclear
Facilities and Materials. El Paso, Texas, EEUU: Sandia Group, Inc.
Young, C. S. (2013). Metrics and Methods for Security Risk Management. Burlington,
MA EEUU: Syngress-Elsevier.
28
Descargar