Contribución a la Seguridad en el Siglo XXI

Parte II

Seguridad en el Siglo
XXI: Adiós a la escuela
de la intuición
Contramedidas de defensa analíticas
mediante Investigación Operativa
Lic. Juan Moratto

2019
Título:
Seguridad en el Siglo XXI-Adiós a la escuela de la
intuición
Autor:
Juan C. Moratto Esta obra está licenciada bajo la Licencia Creative
Licenciado en Investigación Operativa Commons Atribución – No Comercial – Sin Obra
Ministerio de Defensa. Argentina Derivada 4.0 Internacional. Para ver una copia de
esta licencia, visite
Buenos Aires-República Argentina
http://creativecommons.org/licenses/by-nc-
https://www.linkedin.com/in/juanmoratto/ nd/4.0/.
https://www.juanmoratto.com

2
Contenido

LOS MÉTODOS DE LA PROTECCIÓN FÍSICA ................................................................................... 4

1. ANÁLISIS Y DETERMINACIÓN DE LOS COMPONENTES DE LOS RIESGOS DE SEGURIDAD ............ 4

2. PRESENTACIÓN DE RESULTADOS, LO CUANTITATIVO Y LO CUALITATIVO ................................ 9

3. MARCO DE TRABAJO .......................................................................................................... 11

3.1 Lineamientos analíticos cuantitativos de la seguridad física ............................................. 12

PROCESO DE DISEÑO DE UN SISTEMA DE SEGURIDAD FÍSICA ............................................. 13

4. DESTRABANDO EL TRABALENGUAS .................................................................................... 16

5. Modelo de secuencia del adversario -ASD (Adversary Sequence Diagram) - y Análisis de

Interrupción de Intrusiones -Path Interruption Analysis (PIA)-………………………..………… 18

5.1 MODELO DE SECUENCIA DEL ADVERSARIO O ASD (ADVERSARY SEQUENCE DIAGRAM) ...... 18
5.2 Análisis de Interrupción de Intrusiones o Path Interruption Analysis ................................... 23
5.3 Conclusiones de la aplicación del ASD y del PIA ................................................................ 26

3
 Los métodos de la protección física

1. Análisis y Determinación de los Componentes de los Riesgos de

Seguridad

El riesgo puede definirse, tal como vimos, cuantitativamente mediante la fórmula:

Riesgo = P(A) x [1 – P (E)] x C

Esta fórmula indica que el Riesgo, la contracara de la Seguridad, está definido por tres
variables: la probabilidad de ataque, la efectividad del sistema de seguridad y las
consecuencias de dicho ataque.

Previo a tratar los modelos cuantitativos de la seguridad, se vuelve natural hacerse

varias preguntas: ¿Cómo obtendremos los valores para alimentar la fórmula? Una vez
aplicadas las mismas ¿cuál es su utilidad? ¿Las van a comprender? ¿Por qué no
continuar aplicando conceptos cualitativos, de estimaciones, que resulta más sencillo
para su comprensión?

Estas preguntas, que parecen casi obvias por lo que ya se ha fundamentado, tienen, sin
embargo, raíces muy profundas que no pueden pasarse por alto.

Iré expeditivamente al grano, sin filtro y con la crudeza que amerita nuestra profesión:
la seguridad es vital; cualquier duda implica su derrota, su ineficacia, la destrucción de
activos y la pérdida de vidas humanas. No da lugar a elucubraciones administrativas,
normas que nadie cumple ni exclusión de responsabilidades y menos aún, conceptos
mediáticos de personas, simplemente, no idóneas en la materia.

Así como el único responsable de la seguridad pública es el Ministerio o Secretaría de

Seguridad y los diferentes organismos de seguridad dependientes de ésta, sin
excepción ni excusa, en el caso de los organismos privados y públicos son varios los
sectores responsables de la seguridad organizacional: la gerencia general, la oficina de
recursos humanos, el departamento de seguridad ocupacional (safety), la gerencia de
operaciones y, por supuesto, la gerencia de seguridad (security).

Pasemos, entonces a las respuestas. Los valores para alimentar la fórmula se extraen de
diferentes fuentes. En principio, se deben desglosar los componentes de dicha fórmula:
amenazas, vulnerabilidades y consecuencias. Las tres son completamente diferentes y
sus consecuencias son importantes: como todos los coeficientes están multiplicados
cualquier factor con valor cero dará por resultante, cero. (Young, 2013)

Sin amenazas (amenazas=0), el riesgo es inexistente. Si el o los activos están

extremadamente protegidos frente a las amenazas entonces la vulnerabilidad es “cero”,
y el riesgo tampoco existe y si, aunque se produzca el incidente, tenga vulnerabilidades
imposibles de resolver pero las acciones delictivas no traen consecuencias a la
organización, nuevamente el riesgo será igual a cero.

4
Ahora bien, ¿existe alguna organización cuyo riesgo sea de nulidad absoluta,
totalmente “cero riesgo”? ¿Puede alguien afirmar esto sin que le tiemble el pulso?

En principio, “las amenazas” no existen como tales. Solo tienen significado para una
determinada organización y pueden tomar infinitas formas, son dinámicas en el
tiempo y sus actores también cambian al igual que sus “modus operandi” o formas de
cometer un determinado incidente. Todos los días surgen nuevas modalidades de
amenazas, sobre todo desde el advenimiento de Internet. (Young, 2013)

No me refiero a las nuevas amenazas planteadas por una organización de hackers, un

hacker trasnochado o un empleado enojado. Las amenazas cibernéticas han planteado
una paradoja que distorsionó el concepto de delito, criminológicamente hablando: los
ataques se originan en el ciberespacio (¿Dónde?) y en cualquier momento del día
(¿Cuándo?) por uno o más anónimos (¿Quiénes?). Es decir: no sabemos la fuente del
delito, el momento en que se va a producir ni quiénes lo van a ejecutar. (Garrido,
2012) Por supuesto que esto produce un cambio drástico de paradigma de la
seguridad, ya que si se desconocen estos elementos, básicos en seguridad, puedo
afirmar sin temor a equivocarme que la seguridad pública y la seguridad privada
deben cambiar drásticamente de rumbo.

Podemos apreciar que el ciberdelito no es un problema de hackers sino que es un

nuevo problema de Seguridad que exige una metodología y modelos de solución
particulares. Aunemos este tipo de delitos con los delitos convencionales y se podrá
ver un concepto de amenazas que podrían llamarse “difusas” o “complejas de
determinar”.

Conclusión: se debe analizar cada tipo de amenazas.

Definitivamente no existe una solución única. El que coloca cámaras de seguridad para
vigilar algo, sencillamente está perdiendo el tiempo y el dinero. El organismo que
implementa un control de acceso para limitar el ingreso de personas a determinados
sectores o evitar intrusos en tiempo y lugar determinados, solamente está viendo el
problema de las amenazas a través de un embudo. Es muy probable que se dedique a
controlar el ingreso de personas con sofisticados controles de acceso pero no controle el
egreso de activos valiosos para la organización por otras vías: carga de deshechos,
transporte de materiales para reparación, acciones rutinarias de su propio personal,
áreas de circulación, etc. etc. El sistema es efectivo para impedir ingresos pero
inefectivo para impedir egresos no convencionales (como la mayoría de los actos
delictivos, obviamente).

Por otra parte, las amenazas deben ser modelizadas para responder a la pregunta: ¿son
amenazas probables o posibles? (Graves, Analytical Foundations of Physical Security
System Assessment, 2006)

Que sean probables significa que ya se ha determinado ciertamente la probabilidad de

ocurrencia, o expresado de otra forma: va a ocurrir un incidente pero se desconoce el

5
momento y, en cierta medida, su magnitud. Que sean posibles pertenece al ámbito del
saber popular, es algo intangible o no medible, sin embargo puede estimarse con cierta
certeza que “algo así puede ocurrir”. Esta última es la situación clásica, sin embargo, la
investigación operativa también cuantifica la amenaza de un posible delito, sobre todo
basándose en los conceptos de “tiempo y distancia”, que veremos más adelante
(“tiempo y distancia” o “tiempo y espacio” son las dos magnitudes más importantes en
cualquier organización. Costo, rentabilidad y gerenciamiento son consecuencia de
estos dos factores principales).

¿Cómo se determinan entonces las vulnerabilidades? La vulnerabilidad es cuantificable

ya que ingresa de lleno en el campo de la seguridad. Determinar cuánto de efectivos
resultan ser cada uno de los sistemas de seguridad permite determinar el grado de
vulnerabilidad de una organización.

En este sentido, es posible determinar el grado de vulnerabilidad que tiene un

determinado almacén de materiales: es suficiente con evaluar el sistema de seguridad
implementado (evitando ponderar el sistema tomando cada componente por separado)
(Garcia, 2006) para determinar el grado de “protección” que tiene ese predio.
Estaríamos aquí refiriéndonos a la denominada “seguridad o protección física”.

También podemos evaluar la vulnerabilidad que posee el sistema documental interno,

tanto digitalizado o incorporado dentro de los sistemas informáticos como los
documentos que poseen otras características: convenios, acuerdos, modelos,
prototipos, patentes, poderes, valores (no dinero). En este sentido, recurriríamos a
mediciones determinísticas1 sobre el departamento de recursos humanos y a la
aplicación de medidas cuantificables de la gerencia de seguridad. Ambos dos
combinados entregarían un índice claro de este tipo de activos, lógicamente sin
necesidad de poner una cámara de vigilancia encima del escritorio de cada empleado,
injustificable desde el punto de vista de la seguridad y psiquiatrizable desde el punto
de vista penal.

Y así podríamos seguir con los ejemplos. La vulnerabilidad implica un proceso de

inteligencia2 sobre todas las áreas comprometidas de la empresa. Lo que releve este
proceso de inteligencia llevado a cabo por la gerencia de seguridad lo trataré más
adelante.

La información sobre las consecuencias de un incidente delictivo es sencilla de obtener

dado que la gerencia financiera de la organización conoce claramente y
cuantitativamente el valor del activo dañado o sustraído al momento potencial del
incidente –o del inicio del proceso de análisis, que implica prácticamente lo mismo-.
Vale notar que generalmente no se coloca como ingrediente en el análisis de

1
Un modelo determinista es un modelo matemático donde las mismas entradas o condiciones iniciales producirán
invariablemente las mismas salidas o resultados, no contemplándose la existencia de azar, o incertidumbre en el
proceso modelada mediante dicho modelo.
2
La inteligencia policial tiene como fin la obtención de información que ayude al estado combatir al crimen. Esto
puede representarse en distintas formas, ya sea como espionaje, intervención, seguimientos, etc En este análisis
planteo el concepto de inteligencia basado en la recolección de información con el fin de combatir el delito usando las
técnicas convencionales aprobadas por la UNODC (Naciones Unidas-Oficina contra las drogas y el delito).

6
consecuencias un componente: el “mapa cuantitativo del daño operativo consecuencia
de un incidente”3 , el cual trataré oportunamente.

Las consecuencias operativas pueden ser múltiples y demandan un análisis profundo

de las implicancias de no disponer de cualquiera de los activos sustraídos, dañados o,
peor aún, si hay daños a las personas.

En conclusión: existen múltiples amenazas, vulnerabilidades y consecuencias. Esta

multiplicidad o abanico de posibilidades es cambiante en función del tiempo –la
valoración del riesgo es dinámica, nunca estática- por ello podemos concluir con total
certeza que el ejercicio de la seguridad se centra en comprender los componentes
individuales del riesgo (inteligencia) y cómo, estos componentes, influencian al riesgo
en cada instante de tiempo y en qué medida (metodología analítica). El objetivo, en
consecuencia, es mitigar al riesgo, hacer que la función del riesgo tienda a cero:

R = Riesgo = P(A) x [1 – P (E)] x C  f (seguridad) = lim f (R)  0

O expresado más correctamente el conjunto de inecuaciones a plantear sería

(simplificadamente):

Máx Seguridad = Mín f (P(A) x [1 – P (E)])

Por supuesto que esta es una sobre-simplificación ya que está planteando un modelo
de cálculo denominado “minimax”4, un modelo clásico de seguridad de la
investigación operativa pero que considera algún tipo de confrontación entre el intruso
y el sistema de seguridad. Podemos resumir la problemática a cinco preguntas:

1. ¿Cuál es la posibilidad (potencial) o probabilidad de la ocurrencia de una

determinada amenaza?

2. ¿Cuál es la consecuencia (pérdida) que puede ocurrir asumiendo que el

incidente se produzca?

3. ¿Ameritan una determinada mitigación de las amenazas las consecuencias

evaluadas? Dicho en otros términos, ¿qué impacto causará un incidente dado?

4. ¿Qué métodos de mitigación de riesgos están disponibles? (No me refiero a los

métodos de mitigación “post” como los seguros contratados 5, ya que este

3
Dicho mapa está basado en diagramas denominados de causa-efecto, espina de pescado o Diagrama de Ishikawa,
solo que se anexan valores financieros, operacionales (demoras), costos de las contingencias y demás para establecer
las consecuencias directas e indirectas de un incidente.
4
Este modelo, muy usado en la teoría de juegos (no se refiere a “juegos” de entretenimiento sino a la dinámica
establecida entre dos adversarios) es un método de decisión para minimizar la pérdida máxima esperada en una
interacción dada con un adversario –en este caso el o los delincuentes-, con información perfecta (indicando ausencia
de factores no previstos o no aceptados en la situación bajo análisis. En este punto difiere del método matemático
Monte Carlo.)
5
Sin embargo, he visto, en tratados de seguridad muy serios que una de las técnicas de mitigación, llamada de
“derivación” o “distribución del riesgo” se recurre a los seguros cuando en realidad pertenecen a decisiones puramente
financieras y que nada tienen que ver con seguridad.

7
 punto no pertenece a las áreas de seguridad, sino de las políticas financieras de
la organización).

5. ¿Puede la organización solventar los mecanismos de mitigación o existen

opciones modelizadas para gestionar el riesgo asociado a una determinada
amenaza? (Modelización de óptimos y sub-óptimos6).

6
Representan todos los resultados del modelo planteado que no optimizan las inecuaciones de máximo ni de mínimo,
implica un costo asociado (de activos) que resulta mayor al óptimo o un grado de eficiencia menor. No debe emplearse
bajo la terminología vulgar, nunca un sub-optimo es descartable, sino todo lo contrario: puede resultar ser la mejor
estrategia.

8
 2. Presentación de Resultados, lo cuantitativo y lo cualitativo

Como puede verse en el punto 5 del párrafo anterior, queda definida la función de
modelización cuantitativa de alternativas. Esta modelización determinará una o más
soluciones óptimas y una o más soluciones sub-óptimas para una determinada
combinación de factores. Dicha modelización se mantendrá en la medida en que siga
vigente en el tiempo una condición de riesgo estable, una variante de “ceteris paribus”
en donde todos los factores concomitantes se equilibren de tal forma que la ecuación
del riesgo siga manteniéndose bajo control.

El párrafo anterior cobra validez en contextos de relativa estabilidad socio-económica.

Los tres factores determinantes del riesgo pueden mantenerse en equilibrio bajo
determinadas circunstancias lo que no impide que resulten engañosos bajo ciertos
cambios.

Estos cambios pueden resultar compensatorios entre sí. Esta compensabilidad puede
darse por multiplicidad de factores, siendo los más comunes (positivos o negativos a la
seguridad):

 Desplazamiento del delito (situacional, por modus operandi, por re-

estructuración de bandas organizadas, por desplazamiento de objetivos
delictivos, por incorporación de miembros de otras nacionalidades con otros
métodos y costumbres, etc.).

 Avances tecnológicos para la prevención delictiva.

 Intensificación de las políticas públicas de seguridad (o reducción de las

políticas existentes).

 Cambios legales sobre la ley penal(imputabilidad, aumento de las penas,

despenalización, etc.)

 Respuesta positiva o negativa de la organización frente al riesgo (técnicas de

mitigación, desplazamiento de las vulnerabilidades, reforzamiento de las
contramedidas de defensa, minimización de las consecuencias, etc.)

 Respuesta positiva o negativa de otras organizaciones (en caso de parques

industriales, por ejemplo, donde puede existir cooperativismo respecto de la
interacción en seguridad de las empresas linderas o vecinas o del mismo rubro).

 Acciones de los medios de comunicación (Criminología mediática)

9
Me interesa aclarar un punto crítico acerca que la alta dirección quiere respuestas
concretas tipo costo-beneficio y no una expresión probabilística o matemática que
plantee la seguridad desde un ángulo cuantitativo.

En este sentido, un CEO o un gerente general entiende perfectamente datos

cuantitativos, es habitual en su trabajo interpretar un EBITDA7 o un Análisis de
Resultados8 o cualquier tabla de análisis financiero.

Lo que quiero expresar es no montarse en “idealizaciones”, “conceptos míticos” o

cualquier otra mística ajena al mundo real: si un CEO no entiende conceptos
expresados mediante cifras quiere decir que es alguien sentado en la silla de un CEO
usurpando su puesto –posiblemente alguien que pasaba por allí y, como estaba
cansado, se sentó en ese despacho- o la empresa eligió al ejecutivo equivocado.

La seguridad cuantitativa y exacta es una necesidad por dos razones claves: las
amenazas resultan cada vez más complejas y sofisticadas y, por otra parte, se
demandan métodos de seguridad proporcionales al riesgo desde el punto de vista
costo-beneficio.

Quizá para sorpresa del lector, este último principio básico y fundamental es el que rige todas
las operaciones del Departamento de Seguridad más grande del mundo: el DHS o Department
of Homeland Security (Departamento de Seguridad Nacional de los Estados Unidos) que reúne
a la CIA, al Servicio Secreto, al FEMA, al Departamento de Defensa y docenas de otras agencias
de seguridad, incluyendo al FBI, todas las políticas de seguridad que se apliquen al delito
interno de los Estados Unidos o al terrorismo global deben estar encuadradas en un contexto
costo-beneficio.

Por ello, debemos abandonar forzosamente el pensamiento que sugiere que en

seguridad existe una división entre la visión científica o técnica del riesgo y la visión
práctica del riesgo. No existen rótulos para el especialista en seguridad. Todo le es útil,
su flexibilidad y adaptabilidad le permite al especialista ocupar ese rol en cualquier
organización.

Son muchos los profesionales experimentados en seguridad que conocen las técnicas
de gestión de riesgos pero que carecen de una formación metodológica o cuantitativa y,
por otra parte, muchos otros profesionales están formados en métodos cuantitativos de
análisis de riesgos de seguridad careciendo del conocimiento práctico de las técnicas a
aplicar.

La investigación operativa integra ambas visiones: la cuantitativa y el criterio, la

información y la decisión cuantitativa.

7 1
El EBITDA es un indicador financiero, acrónimo del inglés earnings before interest, taxes, depreciation, and
amortization (beneficio antes de intereses, impuestos, depreciaciones y amortizaciones), es decir, el beneficio bruto de
explotación calculado antes de la deducibilidad de los gastos financieros.
8
El análisis del resultadoobtenido por un determinado fondo es un proceso que se desarrolla en dos etapas. Primero,
se compara la rentabilidad del fondo respecto a su índice de referencia. Luego, se analiza los métodos utilizados por
los gestores para llegar a ese resultado.

10
Como desde un primer momento se la aplicó a actividades centradas en inteligencia y
operaciones militares y luego a inteligencia dirigida a la seguridad, se apoya en ambos
pilares: la obtención continua de datos y la aplicación de métodos lo más precisos
posibles para procesar dichos datos y obtener una respuesta útil, coherente y
distribuible. La Seguridad se encuadra dentro de este último concepto tomando el
carácter de disciplina académica, con principios y métodos propios.

3. Marco de Trabajo

La norma ISO 73 indica que el riesgo, expresado en términos corrientes, es todo aquello
que plantea incertidumbre sobre los objetivos que se persiguen y, también, ya sabemos
que la Investigación Operativa emplea cualquier método a su alcance para resolver los
problemas de seguridad –o mitigar hasta su mínima expresión, al riesgo-, con lo cual
podemos observar dos elementos contrapuestos que permiten el planteo de modelos
de seguridad, ya que el objetivo de la misma no es ni más ni menos que impedir el
delito.

Por un lado, el delincuente busca:

1) Asegurar el éxito del delito (asegurar el éxito)

2) Proteger su identidad (no ser identificado)
3) Facilitar su propia huida (no ser atrapado)

Este modelo conductual se repite en la mayor parte de incidentes.

A su vez, la seguridad, que busca proteger los activos, bloquea mediante contra-
medidas de defensa el accionar delictivo estableciendo cuatro instancias o fases,
llamadas “las 4 D’s”:

1) Disuadir al delincuente de cometer el incidente (Disuadir)

2) Detectar la presencia de un delincuente con la mayor anticipación posible (Detectar)

3) En caso de que el delincuente haya intrusionado en un área protegida: demorar su

accionar el mayor tiempo posible (Demorar)

4) En última instancia detener el accionar empleando algún mecanismo –esto último se

refiere a “detener su accionar” no necesariamente a quien lo produce-. (Detener)

Desde el 9/11 (Ataque a las Torres Gemelas y Guerra Global al Terrorismo) se

establece una cuarta fase: si no es posible detener el accionar del delincuente se
procede a “suprimirlo”, refiriéndose en este caso a anular al delincuente mismo debido
a que no es posible bajo cualquier medio razonable detener su accionar.

11
Queda así definido con claridad el marco de trabajo donde se encuadran los principios
fundamentales de la Seguridad. A partir de este momento se hace posible comenzar el
desarrollo de los diferentes métodos analíticos aplicados más adecuados para cada
situación.

3.1 Lineamientos analíticos cuantitativos de la seguridad física

El propósito principal de un sistema de seguridad física consiste en la protección de

uno o más activos. Estos activos pueden incluir recursos, personal, dependencias y
edificios y otros objetos de valor. La identificación de los activos está directamente
vinculado con las “consecuencias” antes mencionadas9 , y su determinación permite
definir el alcance del sistema de seguridad; en otros términos: que no sea ni excesivo ni
insuficiente.

Tal como hemos visto, la protección de activos dentro del contexto de la seguridad
física conlleva la elaboración de “el mapa cuantitativo del daño operativo consecuencia
de un incidente”, ya que las consecuencias sobre el funcionamiento de la organización
empresa son inevitables.

El proceso lógico general para un sistema de protección física es el siguiente:

Identificar al Activo

9
Un activo que es pasible de un incidente delictivo pero que no acarrea daños a la organización no se incluye dentro
del concepto de consecuencias con cierta valorización ya que resultaría en una pérdida de tiempo y un desvío del
análisis.

12
 Identificar
Amenazas

Decidir,
Evaluación de
Implementar,
Amenazas
Monitorear

Identificar y Identificar formas

evaluar las de mitigar el
alternativas riesgo

Identificar las
restricciones
(generalmente
presupuestarias)

Proceso de Diseño de un sistema de Seguridad Física

Nota: este es un modelo simplificado a los efectos de facilitar la interpretación del proceso;
existen otros modelos de aplicación altamente probados por su eficacia, los cuales no invalidan el
presentado

Los problemas de decisiones convencionales bajo condiciones de incertidumbre

requieren una medición específica de la probabilidad sobre el σ-algebra (sigma-
álgebra) [es una familia de subconjuntos de la variable X representada por Σ no vacía
de subconjuntos de X. Estos sistemas de cálculo son muy importantes en análisis
matemático y en teoría de la probabilidad, Σ es una familia de subconjuntos que
cumplen diversas propiedades que, prácticamente, definen subconjuntos “medibles”]
(Graves, Analytical Foundations of Physical Security System Assessment, 2006), lo que
significa que aquí la componente intuitiva no tratada algebraicamente carece de
fundamento y, en consecuencia, como ya lo han demostrado infinitas aplicaciones de la
seguridad, su efectividad es impredecible: como ejemplo, basta indicar cuántas
organizaciones fueron víctimas reiteradas veces de delito a pesar de contar con una
cobertura de seguridad provista por reconocidas empresas internacionales de
seguridad. La razón es evidente: la solución no fue analítica.

En general, los riesgos se evalúan con mayor precisión por sus cualidades físicas
relevantes vinculadas con las leyes naturales. Tales leyes describen cómo estas
cantidades cambian en función de parámetros dependientes del tipo de escenario. Los
parámetros están vinculados con la distancia y el tiempo. La variación del riesgo en
función de dichos parámetros ofrece un amplio abanico de alternativas.

13
Por ejemplo, para evaluar la vulnerabilidad de un edificio con respecto a determinados
ataques con explosivos, se aplican técnicas de simulación haciendo variar distancia y
tiempo generando una distribución probabilística (como producto de esa simulación)
que se ajuste a todos los escenarios posibles (todos implica el 100% de las posibilidades
con una magnitud limitante, el riesgo. Inicia y termina la simulación cuando las
consecuencias son iguales a “cero”, riesgo = 0).

La ecuación debe explicitar el vínculo entre la distancia de la fuente de la explosión con

respecto al blanco y la cantidad de explosivo de la carga transportada, vinculado en
contraposición con la estructura del edificio, la cual también puede variar y generar así
un modelo tridimensional.

Este ejemplo puede parecer inverosímil, pero es habitual en construcciones militares y

gubernamentales en zonas de conflicto y en la construcción de edificios de seguridad
(bancos, empresas de contenedores, empresas dedicadas al arrendamiento de cajas de
seguridad, bancos, etc.). Como ejemplo, basta el asalto con explosivos a la sede de
Prosegur en Paraguay donde robaron u$s 40.000.000.- empleado un camión con
explosivos detonado a distancia “cero”, o distancia de colisión. 10

Dentro de toda ecuación de seguridad física se debe determinar qué tipo de

vinculación tienen los parámetros con las variables aleatorias: lineal11 o no lineales12.

Por ejemplo, si analizamos la posibilidad de colisión tanto de un vehículo o de una

onda expansiva veremos que tiene características no lineales o exponenciales, el gráfico
sería el siguiente:

10
https://www.lanacion.com.ar/el-mundo/robo-millones-prosegur-ciudad-del-este-boveda-nid2016262

11
En geometría analítica y álgebra elemental, una función lineal es una función polinómica de primer grado, es decir,
una función cuya representación en el plano cartesiano es una línea recta.
12
En matemáticas, los sistemas no lineales representan sistemas cuyo comportamiento no es expresable como la
suma de los comportamientos de sus descriptores

14
Y la ecuación es:

Energía cinética = ½ mv2

Cualquier parámetro elevado a una potencia, como la velocidad elevada al cuadrado

en la fórmula básica, indicará una relación tipo exponencial que debe tomarse en
cuenta de manera inmediata de parte del analista, al elaborar una contramedida de
defensa.

La seguridad física es un concepto extremadamente amplio, abarca tanto el robo en

supermercados, en tiendas o en oficinas, como así también los ciberdelitos de toda
índole (desde el grooming hasta el hackeo de bases de datos bancarias), el robo de
documentación, los atentados, y todo aquello que perjudique intencionalmente a los
activos de toda organización: información, personas y bienes. El principio clave para
gestionar la seguridad física reside en modelizar la situación.

Expresado más técnicamente: identificar las cantidades/volúmenes/intensidad físicas

que condicionan los riesgos de seguridad es clave para comprender y mitigar las
amenazas. Una vez que dichas magnitudes fueron identificadas, el paso siguiente es
examinar su sensibilidad (variación porcentual de cambio) o cómo escalan
(linealmente, exponencialmente, logarítmicamente) con relación a ese cambio los
parámetros dependientes del escenario en cuestión. (Management, 2005)

Un ejemplo podría ser un robo a una empresa: si tiene éxito puede ser que roben
activos valiosos, pero durante un breve tiempo debido a los sistemas de detección que
se activen en consecuencia. La resultante puede ser el robo de n computadoras. Sin
embargo, si los delincuentes ingresaron en banda (como un grupo grande de personas)
y el sistema se disparó instantáneamente puede ocurrir que en venganza, prendan
fuego al lugar destruyéndolo completamente.

La destrucción no ocurrió por causa de la voluntad destructiva de un delincuente, no

hay que buscarla allí, sino en el error de diseño del sistema de seguridad que al
dispararse antes de tiempo condicionó una respuesta no deseada.

Los métodos más usados para el diseño de sistemas de seguridad están basados en la
contraposición inicial de intereses, veamos algunos modelos analíticos en uso:

1. Si se trata de evaluar distintas alternativas de diseños de sistemas de seguridad

física con diferentes estructuras de costo-beneficio, se dispone de la técnica de
análisis de optimización lineal: aplicación de programación lineal o método
simplex.

2. Si se trata de evaluar diferentes tecnologías en diferentes modelos sin comparar

costo-beneficio sino efectividad, se puede aplicar OODA iterativo o, también,
programación dinámica (sobre todo si existe alguna componente temporal o

15
 secuencial).

3. En caso de instalaciones de infraestructura crítica (energía, represas, oleoductos,

gasoductos, hospitales, etc.), se deben aplicar tanto modelos lineales como
exponenciales ya que las distribuciones probabilísticas obedecen a diferentes
parámetros con variaciones tanto lineales como no lineales. Es usual aplicar las
denominadas “cadenas de Markov” para este tipo de situaciones. ((NISA),
2004)

4. Si se trata de evaluar una denominada “secuencia de adversario o secuencia de

intrusión” (que veremos más adelante por su importancia), se aplica una
combinación de: secuencia PERT, modelo de viajante y análisis estocástico.

Estos métodos no excluyen ni el criterio, ni la intuición, ni la experiencia y, ni siquiera

el análisis financiero. Todos deben aunarse para dar una solución al problema de
seguridad planteado en cada instancia de análisis.

4. Destrabando el Trabalenguas

No escapa al lector inteligente darse cuenta que cuando una ciencia como la
seguridad debe valerse de múltiples ciencias auxiliares para poder consolidar
modelos de contramedidas de defensa efectivas y eficientes, significa que se
está ante un problema, al menos complejo o en todo caso tan dinámico, que no
admite soluciones estáticas y vigentes, digamos por 3 o 10 años, y que podamos
aplicarlas como “recetas de la abuela”.

A pesar de ello, muchos nos hacen creer que esto no es así, sobre todo los medios de
difusión, los funcionarios públicos improvisados y los opinólogos que todo lo saben.

En mi carrera profesional encontré desde dueños de empresas manufactureras (¡!) que

indicaban dónde se debía colocar una cámara de videovigilancia y dónde no,
funcionarios que decían qué calle convenía vigilar en un área de una ciudad sin haber
estado siquiera una noche parado en cualquier esquina de esa calle hasta el punto que
un gobernador indicara qué elementos interconectar en un sistema de alarmas de
grado 3 (criticidad media-alta) entre dos pisos de oficinas linderos entre sí –ignorando,
llanamente, las casi infinitas prestaciones de una alarma de grado 3-. 13

Esto es así porque todo un estamento social se ha dedicado a vulgarizar, simplificar y

banalizar cualquier acción preventiva, protectora o disuasoria de la seguridad debido a
que “expresaba sus términos en castellano”. Me refiero con esto que “cualquiera”
entiende que es “robar”, “romper”, “intrusionar”, “conectar”, “sabotear” y así,

13
Categorización bajo normativas europeas EN50131

16
cualquier otra cosa. Pero solo entiende palabras, no entiende profundamente los
conceptos y secuencias metodológicas aplicadas dentro de un contexto determinado,
generalmente descontextualiza el término.

Es como por saber qué significa la palabra “bisturí”, pretender que ya se es cirujano.

La seguridad física en particular, a diferencia de las otras que son mucho más
complejas, se ha “commoditizado”14: es suficiente con comprar un kit de algo
(cámaras), contratar un electricista para que las instale y….listo! Ya tengo seguridad.
Insólito e interesante a la vez.

Hemos escrito más de 40 páginas hablando de seguridad y un electricista en 2 horas ya

“brindó” seguridad sin haber siquiera leído estas notas o, al menos, un poco el código
penal: prácticamente todo incidente delictivo termina en tribunales. ¿Cuánto redujo
ese estamento social el riesgo, desde que un electricista –aclaro que no tengo nada en
contra de tan ilustres herederos de Thomas Edison- instaló las cámaras de seguridad?
Nada.

¿Cuánto redujo la potencialidad de robo en una empresa la colocación de una o más

alarmas? Nada. ¿Cuánto descendió la posibilidad de sabotaje la colocación de equipos
de control de acceso? Nada.

El incidente de seguridad no se resuelve con un dispositivo electrónico atornillado a la

pared. En ese sentido, la seguridad (security) es muy similar a la prevención de
accidentes de la otra seguridad, la seguridad industrial u ocupacional (safety) que
requiere de departamentos completos para la implementación de las normas ISO.

14
Un commodity es cualquier mercancía destinada a uso comercial. Al hablar de mercancía, generalmente se hace
énfasis en productos genéricos, básicos, y sin mayor diferenciación entre sus variedades, se ignoran, prácticamente
sus características particulares (maíz, trigo, hierro, cámaras de vigilancia, alarmas, puertas, y así sucesivamente).

17
 5. Modelo de secuencia del adversario -ASD (Adversary Sequence Diagram) - y
Análisis de Interrupción de Intrusiones -Path Interruption Analysis (PIA)-

Estos dos métodos, el ASD y el PIA, son parte de todo sistema de protección física:
representan el tablero básico de trabajo sobre el que se desarrollan las posibles
situaciones de delitos y las contramedidas de defensa contra los potenciales
delincuentes. Están presentados en su versión más básica ya que el análisis de datos
puede llevar estos modelos a un alto grado de elaboración representando con total
exactitud múltiples posibilidades de intrusión y múltiples posibilidades de respuesta.

5.1 Modelo de secuencia del adversario -ASD (Adversary Sequence Diagram)-

En primera instancia, el ASD se emplea como fundamento al PIA15.

El diagrama ASD modela gráficamente un sistema de protección de seguridad física a

una planta, edificio o construcción dada, con activos de valor en su interior y ayuda a
evaluar la efectividad de dicho sistema, tal como fue diseñado, para esa estructura en
particular. Determina el camino más vulnerable en dicho emplazamiento a la vez de
representar una evaluación completa de las amenazas.

El origen de estos modelos y métodos es básicamente militar/policial y son

multivariados, es decir, diversas alternativas de intrusión/ataque operando
simultáneamente y con tácticas diferentes. En las aplicaciones civiles la elaboración de
estos modelos no requiere ser extremadamente sofisticada ya que un ataque semejante
tiene una probabilidad muy baja, exceptuando, lógicamente aquellos emplazamientos
que se encuentran en zonas de conflicto y, sobre todo, con problemas de combate
asimétricos (terrorismo, guerrilla, subversión, revueltas sociales, objetos de mucho
valor, entidades bancarias, centros de datos informatizados, etc.).

Para simplificar consideraré un modelo de un paso único y explicaré los pasos para su
diseño.

Objetivo: se debe detectar a los delincuentes y se deberá recibir una señal de alarma. La
fuerza de respuesta que recibe la alarma tiene tiempo suficiente para verificar la
validez de la alarma, iniciar una respuesta e interrumpir las acciones del o de los
delincuentes antes de que puedan concretar sus objetivos.

15
No se puede realizar un análisis de interrupción de irrupciones si no se dispone primero de un modelo de secuencia
del adversario

18
 Área limitada

Área protegida
Camino 1
111
Área controlada dentro del
edificio

Sala controlada

Zona de destino del o

de los delincuentes
(donde se encuentran
los activos a afectar

Camino 2
1o 22

En la gráfica anterior pueden verse, a modo figurativo, sólo dos caminos posibles, el
Camino 1 se basa en sabotear diferentes lugares predeterminados de acceso mientras el
Camino 2 atraviesa las barreras mediante algún tipo de combinación tecnológica hasta
llegar a la zona de destino.

No se plantea necesariamente que la estructura edilicia esté vacía, puede estar con
personal, con visitantes, con contratistas, etc. y para acceder hasta el lugar deseado los
delincuentes pueden utilizar cualquier tipo de táctica: ocultamiento, engaño, coacción,
secuestro, homicidios, en fin, cualquier medio imaginable e inimaginable pero factible
para lograr sus fines.

Si observamos estructuras edilicias más veraces o con mayor grado de sofisticación

podrían verse así:

19
Modelo de una estructura teórica para fines de ejercicios tácticos policiales y militares

Modelo real de un depósito de material radioactivo custodiado por personal militar

(Modelo de emplazamiento real confidencial)

20
En el siguiente gráfico satelital pueden observarse dos posibles vías de ingreso y egreso
de un emplazamiento (Modelo de emplazamiento real confidencial) en este caso realizado por
“insiders” y no por intrusos ajenos a la organización (Felicia Durán, 2006)

Los tres pasos básicos para crear un ASD para un emplazamiento determinado
incluyen:

1. Modelizar el emplazamiento separándolo en áreas adyacentes físicamente por

una capa de protección que controle de alguna forma el movimiento entre las
diferentes áreas.

2. Definir los elementos del camino que deban atravesarse para definir las áreas
adyacentes.

3. Asignar la probabilidad de detección (Pd) y los tiempos de demora (Td) para

cada uno de los elementos del camino y de las áreas físicas.

Así puede esquematizarse la gráfica:

21
 Off Site Área Exterior

Limited Area Área Limitante

Protected Area Área Protegida
Niveles de 
Protección Controlled Room Sala Controlada

Habitación/Compartimiento/Recinto
Target Enclosure
del Objetivo

Target Objetivo propiamente dicho

Niveles de protección entre áreas adyacentes (zonas marcadas en color gris)

El nivel de protección entre el “Recinto del Objetivo” y el “Objetivo propiamente

dicho” es un conjunto de elementos del camino analizado denominados “elementos de
ubicación del objetivo”. Estos elementos son los que van a definirse analíticamente
para describir la detección y la demora asociada con cada uno de ellos para acceder al
objetivo.

Los “elementos” del objetivo no tienen una distancia asociada entre ellos.

En función de este gráfico pueden comenzar a estudiarse analíticamente sus

componentes y relaciones. La cantidad de elementos incluidos en ASD determinará el
volumen del análisis cuantitativo a realizar: ¿Los elementos que separan dos áreas,
tienen iguales nivel de protección? ¿Estos elementos tienen iguales relaciones de
efectividad? ¿Tienen igual capacidad de detección y de demora e iguales características
secuenciales de detección con demora simultáneamente? ¿Cómo reaccionan todos los
elementos frente a un incidente con caminos tomados simultáneamente? ¿Cómo

22
responde el sistema de comunicación (factor tiempo) frente a uno o varios caminos
simultáneos para producir una respuesta de seguridad?

El objetivo de la Investigación Operativa no reside solamente en responder estas

preguntas sino en diseñar un conjunto de elementos óptimos que combinen dos
variables: máxima capacidad de detección, demora, aunado a un tiempo de respuesta
mínimo, con un mínimo de elementos componentes. Estos problemas se resuelven por
una combinación de simulación por computadora usando variables tanto
determinísticas (tiempo, demora) como probabilísticas (P(x) de detección) con métodos
de programación denominados “Simplex”.

No puede dejarse de lado en el análisis el tipo de delito que se evaluó en una escala de
factibilidad: sabotaje, vandalismo, robo, robo múltiple, robo y secuestro, y demás. Por ejemplo,
en el caso de robo se analizan los caminos de entrada y de salida mientras que en una situación
de sabotaje solo se analizan los caminos de entrada (no necesariamente iguales a los de robo) y
en el caso de delito interno de parte de un empleado (insider) se analizan los tramos de
circulación interna, que muchas veces no coinciden con los caminos analizados para robo o
sabotaje ya que los “insiders” tienen permisos de acceso –biométricos, con tarjeta o
convencionales con llaves.

Un proyecto de seguridad sin un ASD resulta ser una solución insuficiente para el
problema a resolver, toda solución a implementar no será completa o total. Podemos
decir que una solución de seguridad sin análisis es una “solución negligente” y como
tal, presenta vulnerabilidades conocidas por los diseñadores pero no analizadas y
resueltas por algún motivo en particular.

Y aquí entramos en el terreno de las pericias forenses en seguridad: si existe un

mecanismo para modelizar el sistema de seguridad física de un determinado lugar,
todo incidente que se produzca tiene una alta carga de “negligencia” o “mala praxis
profesional” ya que se omitió el paso fundamental y básico de análisis: el modelo de
detección-demora-respuesta-anulación queda impugnado en su totalidad a menos que
se pruebe un método de irrupción no previsto bajo ninguna circunstancia o imposible
de predecir bajo los modelos disponibles.

Por ello, el tema es muy delicado desde el punto legal quedando repartida la
responsabilidad de un incidente entre quien realizó la acción con intención de causar
un robo (el delincuente) y aquél que facilitó la acción (el especialista en seguridad). Un
tema a meditar.

5.2 Análisis de Interrupción de Intrusiones -Path Interruption Analysis-

Este método de análisis permite evaluar el desempeño de un determinado modelo de

sistema de protección física, algo que en el mundo de la seguridad “intuitiva” es
técnicamente “imposible”. La clave es que los sistemas de seguridad instrumentados
en base a un diseño no analítico, parten de un concepto de “endurecimiento de
objetivo” (que veremos más adelante) suponiendo que la superposición de capas de

23
protección a un banco, por ejemplo, o a una fábrica o depósito son suficientes o
factibles como para impedir un incidente.

La realidad demuestra que esto no es así, por ello el método PIA se vuelve una
herramienta imprescindible para interrumpir cualquier incidente/intrusión en
cualquier etapa de las contramedidas de seguridad instaladas.

En otros términos: no se trata de evaluar la dificultad de un determinado camino sino

de determinar cuál es la probabilidad de interceptar al delincuente antes que logre
completar sus objetivos.

Toda medida de seguridad incluye: detección, demora y respuesta; el camino elegido

por el delincuente le garantiza llegar a su objetivo, para ello se elabora la magnitud
denominada “probabilidad de interrupción” o P1, la cual supera técnicamente a la
mínima probabilidad de detección en el camino elegido o la demora mínima a imponer
en dicho camino, que son dos magnitudes muy usadas en forma intuitiva y que han
demostrado ser ineficaces. En realidad son eficaces a nivel político o comercial para
“vender” ideas, estrategias y dispositivos electromecánicos pero no para interrumpir el
avance de uno o más delincuentes por uno o más caminos de intrusión.

Plantearé una situación de sabotaje elaborada por un camino determinado (no caminos
múltiples o ataques múltiples) a fines ilustrativos para desarrollar el esquema base del
análisis del modelo que pretende maximizar P1:

Elemento/Área Componente de Demora Componente de Detección

Alambrada perimetral
Área Protegida
Puerta Exterior 1
Interior del edificio
Superficie 2 (Pared)
Área vital
Destrucción de la bomba
hidráulica (objetivo
propuesto)
Estructura de la alambrada
Tiempo requerido para
cruzar el área
Puerta blindada
Tiempo requerido para
atravesarlo
Estructura y resistencia de
la pared
Tiempo requerido para
cruzar el área
Tiempo requerido para
sabotear el objetivo
propuesto
Sensor de vibración de la
alambrada
Guardias de seguridad
Sensores de vibración y de
apertura de puerta
Guardias de seguridad
Detección de ruido de
rotura por parte del
personal trabajando en el
emplazamiento
El personal de seguridad
detecta intrusión por las
cámaras de monitoreo
Pérdida de la bomba
hidráulica

Conociendo la secuencia de acciones que el delincuente trata de realizar podemos

superponer los tiempos vinculados al sistema de protección física con los tiempos

24
requeridos al delincuente para llevar a cabo su acción para determinar si la respuesta
en cada instancia pueden interrumpir la acción antes que se concrete:

Modelo temporal de un emplazamiento simple (depósito de material radiactivo) considerando un

solo camino de intrusión

Si leemos de izquierda a derecha, el eje horizontal representa el eje de tiempos y el eje

vertical representa las diferentes etapas tanto del sistema de seguridad física (PPS)
como del avance del intruso desde el comienzo de su accionar hasta que lo termina.

Los 4 puntos color naranja representan las oportunidades de detección.

“First Sensing” es la primera alarma que se dispara en razón de la intrusión y envía

una comunicación (a guardias, central de alarmas, de monitoreo, policía o unidad
militar). El tiempo de la primera detección está representado por T0 en el gráfico.

“Detection Time” o tiempo de detección es el tiempo requerido para completar dicha

función, la representamos por Ta y es extremadamente importante como analizaré más
adelante.

“Response Force Time” es el tiempo para completar la función de respuesta, o tiempo

requerido para que la fuerza de respuesta se coordine, prepare, desplace y despliegue
para interrumpir las acciones del intruso. Está muy vinculado con el detection time.

Una variable temporal importante es T1 que representa el momento en que el intruso

es interrumpido en su accionar.

Claramente, para que el sistema de protección física se considere efectivo T1 debe

ocurrir antes de Tc; también es claro que la primera detección debe producirse lo
antes posible y T0, Ta y T1 deben estar lo más próxima al extremo izquierdo de la
gráfica.

25
Así, el mínimo tiempo de demora será la resultante de todos los componentes a lo
largo de cada uno de los caminos pre-analizados en el ASD:

Todos estos análisis son cuantitativos y demandan análisis determinísticos (distancias,

barreras físicas), estocásticos16 (sistemas de detección y demora), de los sistemas de
integración de comunicaciones (recepción y respuesta, de tipo determinístico) para
determinar el grado de efectividad del sistema. El grado de efectividad implica que el
riesgo tiende a minimizarse y por lo tanto la seguridad tiende a maximizarse.

Se obtiene un modelo de máximos (seguridad) y mínimos (riesgos) con lo cual

podemos aplicar cualquiera de los métodos de cálculo antes mencionados. Estos
cálculos pueden ser tan elaborados como el emplazamiento lo requiera (o la valuación
de las consecuencias lo indique). Es clave tener en cuenta que la probabilidad de
interrupción es sólo uno de los componentes de la probabilidad de efectividad del
sistema total de seguridad física, requiriéndose otros modelos complementarios que
veremos más adelante.

Diseño del
Sistema de
Seguridad Física
Análisis de (proyectivo) o
Interrupción de Evaluación del
Intrusiones o PIA Sistema de
Seguridad Física
Modelo de (pericial)
secuencia del
adversario o ASD

Valuación o
valoración de
las
consecuencias

5.3 Conclusiones de la aplicación del ASD y del PIA

Puede observarse, por un lado, la contraposición clásica entre seguridad y riesgo y por
otro, la aplicación del análisis cualitativo en modelos de maximización y minimización.

16
Un proceso estocástico es aquel cuyo comportamiento no es determinista, en la medida en que el subsiguiente
estado del sistema se determina tanto por las acciones predecibles del proceso como por elementos aleatorios

26
Estos dos conceptos permiten el diseño técnico de un sistema de seguridad física y,
simultáneamente, la evaluación de un sistema existente mediante peritajes de
seguridad fundamentados científicamente.

Lo que he expresado consolida el concepto que la Investigación Operativa requiere de

otras ciencias auxiliares para componer los resultados buscados. No debe pasarse por
alto el “modus operandi” de la actividad delincuencial organizada o no, para filtrar los
casos de riesgo “cero” a fin de no producir datos en exceso que no conduzcan sino a
malgastar la inversión destinada a la protección de activos.

Queda claro que la evaluación de un determinado sistema de protección de activos

físicos se simplifica enormemente, no dando lugar a falsas interpretaciones y
detectando los puntos de mejora con rapidez y efectividad. Toda mejora es
cuantificable y permite introducirla dentro del modelo aumentando el grado de
protección.

En diseño de proyectos, tanto el ASD como el PIA son herramientas fundamentales:

cuando el especialista en seguridad comienza a trabajar dispone de un plano y a partir
de allí, comienza su trabajo de traza de caminos con valores que luego serán
ponderados para determinar la efectividad de su proyecto.

En el área forense, avanza un paso más adelante que el estudio criminalístico ya que
introduce el concepto de la contraparte al poner en evidencia si el sistema de seguridad
estuvo diseñado para entorpecer el delito o para favorecerlo –así sea negligentemente-
además de aportar datos valiosos tácticos y estratégicos del o de los adversarios.

El tema forense lo trataré especialmente ya que veremos el concepto de “falsa

seguridad” o una “falsa percepción de la seguridad” con consecuencias graves sobre la
seguridad pública, la seguridad privada con un nuevo enfoque jurídico aportante a la
escena del delito.

Como ejemplo, podemos plantear una incógnita ampliamente conocida en el mundo

político y de la seguridad pública: ¿Es verdad que el modelo de protección de activos
denominado de “tolerancia cero” ejecutado por el entonces alcalde de Nueva York
Rudolph Giuliani, brindaba “Riesgo = 0” o en realidad generaba un campo propicio
para la aparición de nuevas formas delictivas, inclusive más complejas y peores,
aumentando el riesgo de delito?

El estudio analítico de un modelo, como el de “tolerancia cero” determinará, como

imaginará el lector, un diagnostico incuestionable.

27
Bibliografía

(NISA), N. N. (2004). Evaluating a security system (Path Analysis). Department of

Energy EEUU.

(UNODC), O. d. (2019). Análisis de los datos sobre delitos registrados e informados al

sistema de estadísticas de la Oficina de Naciones Unidas para la Droga y el Delito
(UNODC). ONU.

Aven, T. Risk Analysis-Assessing Uncertainties beyond expected values and

Probabilities. Universidad de Stavanger, Noruega: John Wiley & Sons, LTD.

Durán, F. A. (2005). Probabilistic Basis and Assessment Methodology for Effectiveness

of Protecting Nuclear Materials. Albuquerque, New Mexico, EEUU: Security Systems
Analysis Sandia National Laboratories.

Felicia Durán, D. D. (2006). Modeling and simulation of insider adversary scenarios.

Albuquerque, New Mexico EEUU: Sandia National Laboratories & University of Texas -
Austin.

Garcia, M. L. (2006). The Design and Evaluation of Physical Protection Systems.

Butterworth-Heinemann.

Garrido, V. (2012). Perfiles Criminales. Madrid: Editor digital: epl.

Graves, G. H. (2006). Analytical Foundations of Physical Security System Assessment.

Office of Graduate Studies of TExas A&M University.

https://www.lanacion.com.ar/el-mundo/robo-millones-prosegur-ciudad-del-este-boveda-
nid2016262

Management, F.-F. E. (2005). Risk Assessment Guide to Mitigate Potential Terrorist

Attacks. FEMA USA Government.

Snell, M. (2004). International Training Course on The Physical Portection of Nuclear

Facilities and Materials. El Paso, Texas, EEUU: Sandia Group, Inc.

Young, C. S. (2013). Metrics and Methods for Security Risk Management. Burlington,
MA EEUU: Syngress-Elsevier.

28