Parte II
Seguridad en el Siglo
XXI: Adiós a la escuela
de la intuición
Contramedidas de defensa analíticas
mediante Investigación Operativa
Lic. Juan Moratto
2019
Título:
Seguridad en el Siglo XXI-Adiós a la escuela de la
intuición
Autor:
Juan C. Moratto Esta obra está licenciada bajo la Licencia Creative
Licenciado en Investigación Operativa Commons Atribución – No Comercial – Sin Obra
Ministerio de Defensa. Argentina Derivada 4.0 Internacional. Para ver una copia de
esta licencia, visite
Buenos Aires-República Argentina
http://creativecommons.org/licenses/by-nc-
https://www.linkedin.com/in/juanmoratto/ nd/4.0/.
https://www.juanmoratto.com
2
Contenido
5.1 MODELO DE SECUENCIA DEL ADVERSARIO O ASD (ADVERSARY SEQUENCE DIAGRAM) ...... 18
5.2 Análisis de Interrupción de Intrusiones o Path Interruption Analysis ................................... 23
5.3 Conclusiones de la aplicación del ASD y del PIA ................................................................ 26
3
Los métodos de la protección física
Esta fórmula indica que el Riesgo, la contracara de la Seguridad, está definido por tres
variables: la probabilidad de ataque, la efectividad del sistema de seguridad y las
consecuencias de dicho ataque.
Estas preguntas, que parecen casi obvias por lo que ya se ha fundamentado, tienen, sin
embargo, raíces muy profundas que no pueden pasarse por alto.
Iré expeditivamente al grano, sin filtro y con la crudeza que amerita nuestra profesión:
la seguridad es vital; cualquier duda implica su derrota, su ineficacia, la destrucción de
activos y la pérdida de vidas humanas. No da lugar a elucubraciones administrativas,
normas que nadie cumple ni exclusión de responsabilidades y menos aún, conceptos
mediáticos de personas, simplemente, no idóneas en la materia.
Pasemos, entonces a las respuestas. Los valores para alimentar la fórmula se extraen de
diferentes fuentes. En principio, se deben desglosar los componentes de dicha fórmula:
amenazas, vulnerabilidades y consecuencias. Las tres son completamente diferentes y
sus consecuencias son importantes: como todos los coeficientes están multiplicados
cualquier factor con valor cero dará por resultante, cero. (Young, 2013)
4
Ahora bien, ¿existe alguna organización cuyo riesgo sea de nulidad absoluta,
totalmente “cero riesgo”? ¿Puede alguien afirmar esto sin que le tiemble el pulso?
En principio, “las amenazas” no existen como tales. Solo tienen significado para una
determinada organización y pueden tomar infinitas formas, son dinámicas en el
tiempo y sus actores también cambian al igual que sus “modus operandi” o formas de
cometer un determinado incidente. Todos los días surgen nuevas modalidades de
amenazas, sobre todo desde el advenimiento de Internet. (Young, 2013)
Definitivamente no existe una solución única. El que coloca cámaras de seguridad para
vigilar algo, sencillamente está perdiendo el tiempo y el dinero. El organismo que
implementa un control de acceso para limitar el ingreso de personas a determinados
sectores o evitar intrusos en tiempo y lugar determinados, solamente está viendo el
problema de las amenazas a través de un embudo. Es muy probable que se dedique a
controlar el ingreso de personas con sofisticados controles de acceso pero no controle el
egreso de activos valiosos para la organización por otras vías: carga de deshechos,
transporte de materiales para reparación, acciones rutinarias de su propio personal,
áreas de circulación, etc. etc. El sistema es efectivo para impedir ingresos pero
inefectivo para impedir egresos no convencionales (como la mayoría de los actos
delictivos, obviamente).
Por otra parte, las amenazas deben ser modelizadas para responder a la pregunta: ¿son
amenazas probables o posibles? (Graves, Analytical Foundations of Physical Security
System Assessment, 2006)
5
momento y, en cierta medida, su magnitud. Que sean posibles pertenece al ámbito del
saber popular, es algo intangible o no medible, sin embargo puede estimarse con cierta
certeza que “algo así puede ocurrir”. Esta última es la situación clásica, sin embargo, la
investigación operativa también cuantifica la amenaza de un posible delito, sobre todo
basándose en los conceptos de “tiempo y distancia”, que veremos más adelante
(“tiempo y distancia” o “tiempo y espacio” son las dos magnitudes más importantes en
cualquier organización. Costo, rentabilidad y gerenciamiento son consecuencia de
estos dos factores principales).
1
Un modelo determinista es un modelo matemático donde las mismas entradas o condiciones iniciales producirán
invariablemente las mismas salidas o resultados, no contemplándose la existencia de azar, o incertidumbre en el
proceso modelada mediante dicho modelo.
2
La inteligencia policial tiene como fin la obtención de información que ayude al estado combatir al crimen. Esto
puede representarse en distintas formas, ya sea como espionaje, intervención, seguimientos, etc En este análisis
planteo el concepto de inteligencia basado en la recolección de información con el fin de combatir el delito usando las
técnicas convencionales aprobadas por la UNODC (Naciones Unidas-Oficina contra las drogas y el delito).
6
consecuencias un componente: el “mapa cuantitativo del daño operativo consecuencia
de un incidente”3 , el cual trataré oportunamente.
Por supuesto que esta es una sobre-simplificación ya que está planteando un modelo
de cálculo denominado “minimax”4, un modelo clásico de seguridad de la
investigación operativa pero que considera algún tipo de confrontación entre el intruso
y el sistema de seguridad. Podemos resumir la problemática a cinco preguntas:
3
Dicho mapa está basado en diagramas denominados de causa-efecto, espina de pescado o Diagrama de Ishikawa,
solo que se anexan valores financieros, operacionales (demoras), costos de las contingencias y demás para establecer
las consecuencias directas e indirectas de un incidente.
4
Este modelo, muy usado en la teoría de juegos (no se refiere a “juegos” de entretenimiento sino a la dinámica
establecida entre dos adversarios) es un método de decisión para minimizar la pérdida máxima esperada en una
interacción dada con un adversario –en este caso el o los delincuentes-, con información perfecta (indicando ausencia
de factores no previstos o no aceptados en la situación bajo análisis. En este punto difiere del método matemático
Monte Carlo.)
5
Sin embargo, he visto, en tratados de seguridad muy serios que una de las técnicas de mitigación, llamada de
“derivación” o “distribución del riesgo” se recurre a los seguros cuando en realidad pertenecen a decisiones puramente
financieras y que nada tienen que ver con seguridad.
7
punto no pertenece a las áreas de seguridad, sino de las políticas financieras de
la organización).
6
Representan todos los resultados del modelo planteado que no optimizan las inecuaciones de máximo ni de mínimo,
implica un costo asociado (de activos) que resulta mayor al óptimo o un grado de eficiencia menor. No debe emplearse
bajo la terminología vulgar, nunca un sub-optimo es descartable, sino todo lo contrario: puede resultar ser la mejor
estrategia.
8
2. Presentación de Resultados, lo cuantitativo y lo cualitativo
Como puede verse en el punto 5 del párrafo anterior, queda definida la función de
modelización cuantitativa de alternativas. Esta modelización determinará una o más
soluciones óptimas y una o más soluciones sub-óptimas para una determinada
combinación de factores. Dicha modelización se mantendrá en la medida en que siga
vigente en el tiempo una condición de riesgo estable, una variante de “ceteris paribus”
en donde todos los factores concomitantes se equilibren de tal forma que la ecuación
del riesgo siga manteniéndose bajo control.
Estos cambios pueden resultar compensatorios entre sí. Esta compensabilidad puede
darse por multiplicidad de factores, siendo los más comunes (positivos o negativos a la
seguridad):
9
Me interesa aclarar un punto crítico acerca que la alta dirección quiere respuestas
concretas tipo costo-beneficio y no una expresión probabilística o matemática que
plantee la seguridad desde un ángulo cuantitativo.
La seguridad cuantitativa y exacta es una necesidad por dos razones claves: las
amenazas resultan cada vez más complejas y sofisticadas y, por otra parte, se
demandan métodos de seguridad proporcionales al riesgo desde el punto de vista
costo-beneficio.
Quizá para sorpresa del lector, este último principio básico y fundamental es el que rige todas
las operaciones del Departamento de Seguridad más grande del mundo: el DHS o Department
of Homeland Security (Departamento de Seguridad Nacional de los Estados Unidos) que reúne
a la CIA, al Servicio Secreto, al FEMA, al Departamento de Defensa y docenas de otras agencias
de seguridad, incluyendo al FBI, todas las políticas de seguridad que se apliquen al delito
interno de los Estados Unidos o al terrorismo global deben estar encuadradas en un contexto
costo-beneficio.
Son muchos los profesionales experimentados en seguridad que conocen las técnicas
de gestión de riesgos pero que carecen de una formación metodológica o cuantitativa y,
por otra parte, muchos otros profesionales están formados en métodos cuantitativos de
análisis de riesgos de seguridad careciendo del conocimiento práctico de las técnicas a
aplicar.
7 1
El EBITDA es un indicador financiero, acrónimo del inglés earnings before interest, taxes, depreciation, and
amortization (beneficio antes de intereses, impuestos, depreciaciones y amortizaciones), es decir, el beneficio bruto de
explotación calculado antes de la deducibilidad de los gastos financieros.
8
El análisis del resultadoobtenido por un determinado fondo es un proceso que se desarrolla en dos etapas. Primero,
se compara la rentabilidad del fondo respecto a su índice de referencia. Luego, se analiza los métodos utilizados por
los gestores para llegar a ese resultado.
10
Como desde un primer momento se la aplicó a actividades centradas en inteligencia y
operaciones militares y luego a inteligencia dirigida a la seguridad, se apoya en ambos
pilares: la obtención continua de datos y la aplicación de métodos lo más precisos
posibles para procesar dichos datos y obtener una respuesta útil, coherente y
distribuible. La Seguridad se encuadra dentro de este último concepto tomando el
carácter de disciplina académica, con principios y métodos propios.
3. Marco de Trabajo
La norma ISO 73 indica que el riesgo, expresado en términos corrientes, es todo aquello
que plantea incertidumbre sobre los objetivos que se persiguen y, también, ya sabemos
que la Investigación Operativa emplea cualquier método a su alcance para resolver los
problemas de seguridad –o mitigar hasta su mínima expresión, al riesgo-, con lo cual
podemos observar dos elementos contrapuestos que permiten el planteo de modelos
de seguridad, ya que el objetivo de la misma no es ni más ni menos que impedir el
delito.
A su vez, la seguridad, que busca proteger los activos, bloquea mediante contra-
medidas de defensa el accionar delictivo estableciendo cuatro instancias o fases,
llamadas “las 4 D’s”:
11
Queda así definido con claridad el marco de trabajo donde se encuadran los principios
fundamentales de la Seguridad. A partir de este momento se hace posible comenzar el
desarrollo de los diferentes métodos analíticos aplicados más adecuados para cada
situación.
Tal como hemos visto, la protección de activos dentro del contexto de la seguridad
física conlleva la elaboración de “el mapa cuantitativo del daño operativo consecuencia
de un incidente”, ya que las consecuencias sobre el funcionamiento de la organización
empresa son inevitables.
Identificar al Activo
9
Un activo que es pasible de un incidente delictivo pero que no acarrea daños a la organización no se incluye dentro
del concepto de consecuencias con cierta valorización ya que resultaría en una pérdida de tiempo y un desvío del
análisis.
12
Identificar
Amenazas
Decidir,
Evaluación de
Implementar,
Amenazas
Monitorear
Identificar las
restricciones
(generalmente
presupuestarias)
Nota: este es un modelo simplificado a los efectos de facilitar la interpretación del proceso;
existen otros modelos de aplicación altamente probados por su eficacia, los cuales no invalidan el
presentado
En general, los riesgos se evalúan con mayor precisión por sus cualidades físicas
relevantes vinculadas con las leyes naturales. Tales leyes describen cómo estas
cantidades cambian en función de parámetros dependientes del tipo de escenario. Los
parámetros están vinculados con la distancia y el tiempo. La variación del riesgo en
función de dichos parámetros ofrece un amplio abanico de alternativas.
13
Por ejemplo, para evaluar la vulnerabilidad de un edificio con respecto a determinados
ataques con explosivos, se aplican técnicas de simulación haciendo variar distancia y
tiempo generando una distribución probabilística (como producto de esa simulación)
que se ajuste a todos los escenarios posibles (todos implica el 100% de las posibilidades
con una magnitud limitante, el riesgo. Inicia y termina la simulación cuando las
consecuencias son iguales a “cero”, riesgo = 0).
10
https://www.lanacion.com.ar/el-mundo/robo-millones-prosegur-ciudad-del-este-boveda-nid2016262
11
En geometría analítica y álgebra elemental, una función lineal es una función polinómica de primer grado, es decir,
una función cuya representación en el plano cartesiano es una línea recta.
12
En matemáticas, los sistemas no lineales representan sistemas cuyo comportamiento no es expresable como la
suma de los comportamientos de sus descriptores
14
Y la ecuación es:
Un ejemplo podría ser un robo a una empresa: si tiene éxito puede ser que roben
activos valiosos, pero durante un breve tiempo debido a los sistemas de detección que
se activen en consecuencia. La resultante puede ser el robo de n computadoras. Sin
embargo, si los delincuentes ingresaron en banda (como un grupo grande de personas)
y el sistema se disparó instantáneamente puede ocurrir que en venganza, prendan
fuego al lugar destruyéndolo completamente.
Los métodos más usados para el diseño de sistemas de seguridad están basados en la
contraposición inicial de intereses, veamos algunos modelos analíticos en uso:
15
secuencial).
4. Destrabando el Trabalenguas
No escapa al lector inteligente darse cuenta que cuando una ciencia como la
seguridad debe valerse de múltiples ciencias auxiliares para poder consolidar
modelos de contramedidas de defensa efectivas y eficientes, significa que se
está ante un problema, al menos complejo o en todo caso tan dinámico, que no
admite soluciones estáticas y vigentes, digamos por 3 o 10 años, y que podamos
aplicarlas como “recetas de la abuela”.
A pesar de ello, muchos nos hacen creer que esto no es así, sobre todo los medios de
difusión, los funcionarios públicos improvisados y los opinólogos que todo lo saben.
13
Categorización bajo normativas europeas EN50131
16
cualquier otra cosa. Pero solo entiende palabras, no entiende profundamente los
conceptos y secuencias metodológicas aplicadas dentro de un contexto determinado,
generalmente descontextualiza el término.
Es como por saber qué significa la palabra “bisturí”, pretender que ya se es cirujano.
La seguridad física en particular, a diferencia de las otras que son mucho más
complejas, se ha “commoditizado”14: es suficiente con comprar un kit de algo
(cámaras), contratar un electricista para que las instale y….listo! Ya tengo seguridad.
Insólito e interesante a la vez.
14
Un commodity es cualquier mercancía destinada a uso comercial. Al hablar de mercancía, generalmente se hace
énfasis en productos genéricos, básicos, y sin mayor diferenciación entre sus variedades, se ignoran, prácticamente
sus características particulares (maíz, trigo, hierro, cámaras de vigilancia, alarmas, puertas, y así sucesivamente).
17
5. Modelo de secuencia del adversario -ASD (Adversary Sequence Diagram) - y
Análisis de Interrupción de Intrusiones -Path Interruption Analysis (PIA)-
Estos dos métodos, el ASD y el PIA, son parte de todo sistema de protección física:
representan el tablero básico de trabajo sobre el que se desarrollan las posibles
situaciones de delitos y las contramedidas de defensa contra los potenciales
delincuentes. Están presentados en su versión más básica ya que el análisis de datos
puede llevar estos modelos a un alto grado de elaboración representando con total
exactitud múltiples posibilidades de intrusión y múltiples posibilidades de respuesta.
Para simplificar consideraré un modelo de un paso único y explicaré los pasos para su
diseño.
Objetivo: se debe detectar a los delincuentes y se deberá recibir una señal de alarma. La
fuerza de respuesta que recibe la alarma tiene tiempo suficiente para verificar la
validez de la alarma, iniciar una respuesta e interrumpir las acciones del o de los
delincuentes antes de que puedan concretar sus objetivos.
15
No se puede realizar un análisis de interrupción de irrupciones si no se dispone primero de un modelo de secuencia
del adversario
18
Área limitada
Área protegida
Camino 1
111
Área controlada dentro del
edificio
Sala controlada
Camino 2
1o 22
En la gráfica anterior pueden verse, a modo figurativo, sólo dos caminos posibles, el
Camino 1 se basa en sabotear diferentes lugares predeterminados de acceso mientras el
Camino 2 atraviesa las barreras mediante algún tipo de combinación tecnológica hasta
llegar a la zona de destino.
No se plantea necesariamente que la estructura edilicia esté vacía, puede estar con
personal, con visitantes, con contratistas, etc. y para acceder hasta el lugar deseado los
delincuentes pueden utilizar cualquier tipo de táctica: ocultamiento, engaño, coacción,
secuestro, homicidios, en fin, cualquier medio imaginable e inimaginable pero factible
para lograr sus fines.
19
Modelo de una estructura teórica para fines de ejercicios tácticos policiales y militares
20
En el siguiente gráfico satelital pueden observarse dos posibles vías de ingreso y egreso
de un emplazamiento (Modelo de emplazamiento real confidencial) en este caso realizado por
“insiders” y no por intrusos ajenos a la organización (Felicia Durán, 2006)
Los tres pasos básicos para crear un ASD para un emplazamiento determinado
incluyen:
2. Definir los elementos del camino que deban atravesarse para definir las áreas
adyacentes.
21
Off Site Área Exterior
Limited Area Área Limitante
Protected Area Área Protegida
Niveles de
Protección Controlled Room Sala Controlada
Habitación/Compartimiento/Recinto
Target Enclosure
del Objetivo
Target Objetivo propiamente dicho
Los “elementos” del objetivo no tienen una distancia asociada entre ellos.
22
responde el sistema de comunicación (factor tiempo) frente a uno o varios caminos
simultáneos para producir una respuesta de seguridad?
No puede dejarse de lado en el análisis el tipo de delito que se evaluó en una escala de
factibilidad: sabotaje, vandalismo, robo, robo múltiple, robo y secuestro, y demás. Por ejemplo,
en el caso de robo se analizan los caminos de entrada y de salida mientras que en una situación
de sabotaje solo se analizan los caminos de entrada (no necesariamente iguales a los de robo) y
en el caso de delito interno de parte de un empleado (insider) se analizan los tramos de
circulación interna, que muchas veces no coinciden con los caminos analizados para robo o
sabotaje ya que los “insiders” tienen permisos de acceso –biométricos, con tarjeta o
convencionales con llaves.
Un proyecto de seguridad sin un ASD resulta ser una solución insuficiente para el
problema a resolver, toda solución a implementar no será completa o total. Podemos
decir que una solución de seguridad sin análisis es una “solución negligente” y como
tal, presenta vulnerabilidades conocidas por los diseñadores pero no analizadas y
resueltas por algún motivo en particular.
Por ello, el tema es muy delicado desde el punto legal quedando repartida la
responsabilidad de un incidente entre quien realizó la acción con intención de causar
un robo (el delincuente) y aquél que facilitó la acción (el especialista en seguridad). Un
tema a meditar.
23
protección a un banco, por ejemplo, o a una fábrica o depósito son suficientes o
factibles como para impedir un incidente.
La realidad demuestra que esto no es así, por ello el método PIA se vuelve una
herramienta imprescindible para interrumpir cualquier incidente/intrusión en
cualquier etapa de las contramedidas de seguridad instaladas.
Plantearé una situación de sabotaje elaborada por un camino determinado (no caminos
múltiples o ataques múltiples) a fines ilustrativos para desarrollar el esquema base del
análisis del modelo que pretende maximizar P1:
24
requeridos al delincuente para llevar a cabo su acción para determinar si la respuesta
en cada instancia pueden interrumpir la acción antes que se concrete:
25
Así, el mínimo tiempo de demora será la resultante de todos los componentes a lo
largo de cada uno de los caminos pre-analizados en el ASD:
Diseño del
Sistema de
Seguridad Física
Análisis de (proyectivo) o
Interrupción de Evaluación del
Intrusiones o PIA Sistema de
Seguridad Física
Modelo de (pericial)
secuencia del
adversario o ASD
Valuación o
valoración de
las
consecuencias
Puede observarse, por un lado, la contraposición clásica entre seguridad y riesgo y por
otro, la aplicación del análisis cualitativo en modelos de maximización y minimización.
16
Un proceso estocástico es aquel cuyo comportamiento no es determinista, en la medida en que el subsiguiente
estado del sistema se determina tanto por las acciones predecibles del proceso como por elementos aleatorios
26
Estos dos conceptos permiten el diseño técnico de un sistema de seguridad física y,
simultáneamente, la evaluación de un sistema existente mediante peritajes de
seguridad fundamentados científicamente.
En el área forense, avanza un paso más adelante que el estudio criminalístico ya que
introduce el concepto de la contraparte al poner en evidencia si el sistema de seguridad
estuvo diseñado para entorpecer el delito o para favorecerlo –así sea negligentemente-
además de aportar datos valiosos tácticos y estratégicos del o de los adversarios.
27
Bibliografía
https://www.lanacion.com.ar/el-mundo/robo-millones-prosegur-ciudad-del-este-boveda-
nid2016262
Young, C. S. (2013). Metrics and Methods for Security Risk Management. Burlington,
MA EEUU: Syngress-Elsevier.
28