Resumen realizado por Profesores del Capítulo ASIS 215 del material de los Autores del

Manual de Protección de Activos sobre el Tema SEGURIDAD FÍSICA exclusivamente para ser
utilizado como material en préstamo de biblioteca por estudiantes de los grupos de estudio
CEPI del Capítulo ASIS 215. Ha sido Traducido y Adaptado como soporte para la Preparación
de los exámenes de certificación CPP y PSP. No sustituye a los libros requeridos para la
preparación del PSP. Prohibida su reproducción o prestamo a terceros en todo en parte.

Resumen realizado por Profesores del Capítulo ASIS 215 del material de los Autores del
Manual de Protección de Activos sobre el Tema SEGURIDAD FÍSICA exclusivamente para ser
utilizado como material en préstamo de biblioteca por estudiantes de los grupos de estudio
CEPI del Capítulo ASIS 215. Ha sido Traducido y Adaptado como soporte para la Preparación
de los exámenes de certificación CPP y PSP. No sustituye a los libros requeridos para la
preparación del PSP. Prohibida su reproducción o préstamo a terceros en todo en parte.

Hasta esta etapa del tratamiento de los temas de la Seguridad Fisica, se han establecido los
objetivos del sistema de protección física y se ha desarrollado un diseño nuevo o actualizado.
El siguiente paso es analizar cuán efectivo será el diseño en el cumplimiento de los objetivos.
Este capítulo examina el proceso de análisis, la evaluación del PPS en comparación con las
amenazas y el valor de los activos (no el análisis de riesgo global, que también se lleva a cabo).
La evaluación de riesgos se describe en el capítulo 1, Definición del Problema.

El análisis evalúa si las personas, los procedimientos y la tecnología del PPS están logrando las
funciones de detección, demora y respuesta del PPS. Esta evaluación, también llamada estudio
del sitio o evaluación de la vulnerabilidad, puede ser cualitativa o cuantitativa.

El análisis cualitativo se utiliza en evaluaciones de aplicaciones de menor seguridad. Tales

instalaciones tienen una menor consecuencia por pérdida de activos y pueden soportar mejor
la pérdida o el daño de un activo. Ejemplos incluyen una tienda de retail, edificios de
departamentos, pequeños negocios y restoranes. Algunos sitios tienen una combinación de
activos, lo que requiere que el diseñador del PPS provea una mayor protección a los activos
críticos y menor protección a los otros activos. Otras restricciones también pueden afectar el
diseño del sistema de protección. Por ejemplo, a pesar de lo trágico de los tiroteos en las
escuelas, no sería adecuado convertir las escuelas en campamentos armados con muchas
capas de seguridad que los rodeen. El diseño e implementación del sistema depende en gran
medida de los objetivos y las limitaciones de la instalación.

Para activos con una consecuencia de pérdida inaceptablemente alta, es necesario llevar a
cabo un análisis cuantitativo riguroso, incluso si la probabilidad de ataque es baja. Los sitios
que cumplen con esta descripción incluyen plantas comerciales de energía nuclear, prisiones y
algunas instalaciones de gobierno o instalaciones militares. En algunos casos, la categoría
incluiría también los museos, las refinerías, los servicios públicos, aeropuertos, centros de
telecomunicaciones y grandes complejos industriales. Estos son sitios en que la pérdida o el
daño de algunos activos pueden tener grandes consecuencias –pérdida de muchas vidas,
pérdida de piezas culturales o históricas irremplazables, daño al medioambiente o
comprometer la seguridad nacional. La estrategia de respuesta para estos activos es
usualmente una respuesta inmediata en el sitio. Un análisis cuantitativo sólo se justifica si los
activos necesitan de este nivel de protección y están disponibles las medidas de desempeño
para los componentes del sistema.

El análisis del PPS provee dos beneficios clave:

• Establece los supuestos bajos los cuales se formó el diseño.

• Relaciona el desempeño del sistema a la amenazas y los activos, lo que hace posible una
decisión de costo-beneficio.

Más allá de si se utiliza un análisis cualitativo o cuantitativo, la apropiada aplicación de los

conceptos y principios descritos en los capítulos anteriores asegurará la protección efectiva de
los activos en una instalación. Un principio clave del análisis es que se debe establecer una
línea de base inicial en primer lugar; luego se consideran mejoras si la línea de base muestra
que el PPS no cumple con las metas y objetivos.

Un PPS es una configuración compleja de los elementos de detección, demora y respuesta.

Analizarlos muestra las deficiencias del sistema, ayuda a evaluar las mejoras y facilita
comparaciones del tipo costo versus efectividad. Uno puede analizar un sistema de protección
existente o un diseño de sistema propuesto. Un sistema de protección existente debiese ser
revisado y actualizado periódicamente para tomar en cuenta los avances en el hardware y los
sistemas de protección, así como en los nuevos procesos, funciones o activos de la instalación.
Más aún, circunstancias cambiantes (tales como una escalada en las amenazas) exigen
cambios al diseño del PPS en el tiempo. Reanálisis periódicos permiten medir el efecto de estas
condiciones cambiantes.

11.2 VISIÓN GENERAL DEL ANÁLISIS

Dos enfoques básicos de análisis se utilizan en la evaluación de vulnerabilidades (VA) – basados

en cumplimiento y basados en desempeño. Los enfoques basados en cumplimientos dependen
de la conformidad con las políticas o regulaciones específicas; la medida de este análisis es la
presencia de los equipos y procedimientos especificados. Los enfoques basados en el
desempeño, por otra parte, evalúan como opera cada elemento del PPS y en qué contribuye a
la efectividad global del sistema. Como se discutió en el Capítulo 1, Definición del Problema, el
uso de sistemas basados en el cumplimiento (o basados en características) sólo es efectivo
contra amenazas menores, cuando los activos tienen una baja consecuencia de pérdida o
cuando los análisis de costo-beneficio muestran que las medidas de protección física no son la
alternativa más rentable de administración del riesgo. Un análisis basado en el cumplimiento
es más fácil de realizar debido a que la medida de la efectividad del sistema es la presencia del
equipo, los procedimientos y las personas prescritas en un PPS. El análisis consiste en una
revisión de la instalación en conformidad a los requisitos de cumplimiento, el uso de listas de
verificación para documentar la presencia o ausencia de componentes, y un informe de las
deficiencias que indican que la instalación está fuera de cumplimiento. El informe VA resume
estos hallazgos y la instalación hace mejoras de acuerdo a la política de la empresa.

A pesar que las técnicas de análisis cualitativas y cuantitativas se discuten separadamente,

ambos enfoques se pueden utilizar en un análisis basado en el desempeño; el aspecto
exclusivo del análisis cuantitativo es el uso de medidas numéricas para los componentes del
PPS. Incluso, un análisis cuantitativo tiene aspectos cualitativos, pero mediante el uso de
medidas de desempeño cuantitativas en los elementos del PPS, particularmente de hardware,
se puede eliminar gran parte de la subjetividad de los enfoques basados en el cumplimiento y
de los análisis cualitativos. Un enfoque cuantitativo no es aplicable a todas las instalaciones,
pero sin duda lo es para activos críticos o únicos, y desde los ataques del 11/9 hay un mayor
interés en aplicar este enfoque a infraestructuras críticas o activos de seguridad nacional.

Los análisis cualitativos debiesen estar basados en la aplicación de los primeros principios de
seguridad física para verificar la efectividad de los elementos de protección instalados
(equipos, personas y procedimientos). Algunos de los principios más críticos se revisan más
abajo. La efectividad del sistema es el resultado de la implementación apropiada de los
siguientes principios:

• Detectar un ataque adversario mientras hay suficiente tiempo para responder como se
desea (detección oportuna). Los elementos de detección son mejores al inicio de la ruta,
mientras que los de demora son mejores después. Si la detección ocurre en el activo, el PPS
está fundamentalmente defectuoso.

• Proveer una evaluación de alarmas oportuna y precisa para distinguir entre intrusiones
válidas y alarmas no deseadas. La frecuencia de alarmas no deseadas debe ser baja para
mantener una efectividad alta del sistema. La mejor técnica de evaluación de alarma es el uso
rápido y automático de la visualización de video mostrando el sensor que originó la alarma.

• Comunicar la información de una alarma a la fuerza de respuesta en forma oportuna o

registrar toda la información requerida para una respuesta-después-del-evento.

• Establecer medidas de desempeño para cada función del PPS –detección, demora y
respuesta- para cada categoría o nivel de amenaza definido. Las estimaciones deben ser
realizadas considerando todos los estados de la instalación, tales como mal tiempo,
condiciones de operación variables y emergencias.

• Asegurar que la detección ocurra antes que la demora. La detección no está completa sin la
evaluación, y la demora anterior o sin detección no contribuye a la efectividad global del
sistema.

• Demorar al adversario lo suficiente para registrar la alarma o para una respuesta inmediata
para interrumpir al adversario.

• Utilizar la protección en profundidad (múltiples capas). La protección en profundidad

permite más oportunidades para derrotar al adversario, requiere más planificación y habilidad
del adversario y evita puntos únicos de fallo (un ejemplo de un punto único de fallo es la
presencia de una sola capa, con una debilidad aprovechable). En esencia, si existe una
debilidad en la capa, la capa es vulnerable y requerirá de mejoras.

• Asegurar una protección equilibrada. La protección equilibrada verifica que todas las rutas
al activo tienen aproximadamente la misma efectividad. El equilibrio debiese ser mantenido en
cada capa y bajo todos los estados de la instalación. Si no hay equilibrio, la efectividad del
sistema se reducirá.

• Enfrentar y neutralizar a los adversarios, utilizando la fuerza si corresponde.

• Realizar análisis de rutas y de escenarios y usar herramientas de análisis para predecir la

efectividad del sistema, utilizando como medida del desempeño global sólo la interrupción, o
en combinación con la neutralización. Existen muchas rutas a una instalación y la más
vulnerable es aquella con la menor efectividad. Por lo tanto, el análisis caracteriza la
efectividad global de un sistema para detectar, demorar, interrumpir y neutralizar la amenaza
definida a través de todas las rutas posibles.

El análisis cuantitativo también aplica estos principios, pero usa estimaciones numéricas, tales
como probabilidad y tiempos de demora o respuesta, para representar su aplicación. Aunque
este enfoque es más objetivo, no es matemáticamente riguroso. Sin embargo, caracterizando
la tecnología, probándola con estándares estadísticos sigue siendo la mejor técnica para
evaluar objetivamente los sistemas y elementos de seguridad. El proceso de prueba permite
recolectar datos al considerar técnicas de ataque (caminando, arrastrándose, desviando,
engañando, etc.) y los efectos del clima, instalación, operación y mantenimiento del
dispositivo. Las pruebas entregan información sobre la expectativa del mejor desempeño de
un dispositivo dado para una amenaza dada, y sirve como base para la aplicación de factores
de degradación utilizados en los análisis de VA.

11.3 HERRAMIENTAS DE ANÁLISIS

Varias herramientas se pueden utilizar en el análisis de un PPS. Algunas están basadas en

software, mientras que otras son simples métodos de lápiz y papel. Una sencilla herramienta
informática de análisis de rutas se encuentra disponible en
http://www.elsevierdirect.com/companion.jsp?ISBN=9780750683524. Muchas de las grandes
empresas cuentan con herramientas de software propio que ayudan en la recopilación de
información y documentación de VA y automatizan el proceso de análisis. La clave para el uso
de herramientas de análisis es entender que son sólo herramientas –el análisis aún depende
de la correcta interpretación de los datos por el equipo de VA. No es suficiente comprar o
desarrollar una herramienta de software y luego descansar en ella para los resultados. Es
imperativo que las personas con conocimientos interpreten los resultados de la herramienta y
saquen las conclusiones apropiadas. Además de los software comerciales complejos (y muchas
veces muy costosos) para recopilación y análisis de datos de seguridad, también existen
modelos de simulación simples para captar y representar aspectos de seguridad física en una
instalación. Las herramientas de investigación usadas para apoyar el análisis incluyen el análisis
de línea de tiempo (la secuencia de acciones que han sido descritas por testigos o evidencia de
apoyo) o software de gestión de investigación que permite que la información de un incidente
se ingrese en un sistema compartido por los investigadores.

Este capítulo se enfoca en dos herramientas que apoyan el análisis –CARVER + Shock y
Diagramas de Secuencia del Adversario (ASD de ahora en adelante, por sus siglas en inglés).
CARVER es una herramienta de focalización originalmente desarrollada por el gobierno de
Estados Unidos durante la Segunda Guerra Mundial. Un ASD –una representación funcional de
una instalación y la ubicación de sus activos– es una ayuda en el análisis de ruta. Cualquiera de
ellas, o ambas, pueden ser utilizadas en un análisis. La elección es a menudo una cuestión de
políticas de la empresa o del dominio de algunas de las dos técnicas. Las listas de verificación,
herramientas de análisis cualitativo utilizadas comúnmente, fueron descritas anteriormente en
el Capítulo 1, Definición del Problema.

11.3.1 ANÁLISIS CUALITATIVO – CARVER

Como se mencionó anteriormente, CARVER fue desarrollado por el gobierno de Estados

Unidos como una herramienta de focalización. Era proporcionada por la Oficina de Servicios
Estratégicos (Office of Strategic Services, predecesora de la CIA) a grupos de resistencia detrás
de las líneas del enemigo para seleccionar los mejores blancos para un ataque. En 2003 fue
desclasificada y desde entonces ha gozado de un resurgimiento en su uso. CARVER es un
acrónimo para los siguientes seis atributos utilizados para evaluar el atractivo de un blanco
para un ataque (Food and Drug Administration, 2007, p.2):

• Criticidad: una medida de los impactos económicos y en salud pública de un ataque.

• Accesibilidad: la habilidad para acceder y salir físicamente del blanco.

• Recuperabilidad: la habilidad de un sistema para recuperarse de un ataque.

• Vulnerabilidad: qué tan fácil es llevar a cabo un ataque.

• Efecto: cuál sería la pérdida directa por un ataque medida según las pérdidas de
producción.

• Reconocimiento24: que tan fácil es identificar el blanco.

Una herramienta CARVER modificada evalúa un séptimo atributo, la combinación de impactos

en salud, económicos y psicológicos de un ataque, o los atributos de conmoción de un blanco,
considerado a nivel nacional (Food and Drug Administration, 2007, p. 7).

CARVER aplica un proceso de múltiples pasos para evaluar subjetivamente un activo como un
blanco de ataque de un adversario, desde la perspectiva del adversario. Las medidas incluyen
el establecimiento de escenarios e hipótesis, la reunión de un equipo de expertos, la
descripción del sistema a ser evaluado, y la asignación de puntaje al séptimo atributo (Food
and Drug Administration, pp 3-4). La herramienta puede ser usada cuando se realiza una VA,
puesto que rápidamente ayuda a determinar los activos que pueden ser atractivos para un
adversario. Sin embargo, de acuerdo a Cummings et al. (2006):

CARVER funciona mejor cuando se comparan los activos que comparten una misma misión, o
se encuentran en la misma infraestructura, de otra manera no hace mucho. Los resultados
netos simplistas de CARVER pierden información valiosa acerca de los resultados individuales,
y la implementación de CARVER está llena de decisiones subjetivas que pueden producir
resultados inconsistentes. Por último, al cambiar los criterios anteriores, uno debe hacerlo con
cuidado, de una manera que evite la doble contabilización cuando se suman las puntuaciones.
Además, el uso de un enfoque basado en escenarios tiene algunos inconvenientes, como se
describió en el Capítulo 1.

11.3.2 ANÁLISIS BASADO EN EL DESEMPEÑO

Al llevar a cabo, ya sea un análisis cualitativo o cuantitativo, basado en el desempeño, se utiliza

el mismo proceso de seis pasos. Los pasos son los siguientes:

1. Crear un diagrama de secuencia de adversario (ASD) para todas las ubicaciones de los
activos.

2. Llevar a cabo un análisis de ruta.

3. Realizar un análisis de escenarios.

4. Completar un análisis de neutralización, si corresponde.

5. Determinar la efectividad del sistema.

6. Si la efectividad del sistema (o riesgo) no es aceptable, desarrollar y analizar mejoras.

Como se describió en el Capítulo 10, Respuesta, interrupción es definida como la llegada de

personal de respuesta a un determinado lugar para detener el avance del adversario. La
interrupción puede conducir a la neutralización. La neutralización es la derrota de los
adversarios por el personal de respuesta en un encuentro cara a cara. La probabilidad de
interrupción (PI) y la probabilidad de neutralización (PN) son las medidas de desempeño
utilizadas para estos elementos. Estas probabilidades son tratadas como variables
independientes cuando la amenaza definida selecciona una ruta para aprovechar las
vulnerabilidades en un PPS y está dispuesta a encontrarse con el personal de respuesta. En
este caso, la efectividad del sistema de protección física (PE de ahora en adelante, por sus
siglas en inglés) se calcula con la siguiente fórmula:

PE = PI x PN

Algunos adversarios pueden no ser violentos y se rendirán al ser confrontados con cualquier
respuesta inmediata; por lo tanto, el PN no es un factor. En otros casos, no hay una respuesta
inmediata, entonces el PN puede no ser una medida útil de la efectividad del sistema. Bajo
estas condiciones, la PE es igual a la PI. Si se quiere, una instalación puede también evaluar un
PPS utilizando el riesgo como indicador, aunque este método es más comúnmente usado en la
evaluación de riesgo y no en la evaluación de vulnerabilidades. La ecuación de riesgo fue
descrita con algún detalle en el Capítulo 1, Definición del Problema.

En un análisis cualitativo basado en el desempeño, uno utiliza indicadores como alto, medio y
bajo para representar interrupción, neutralización y efectividad del sistema. Estos valores son
considerados por el equipo de VA utilizando estimaciones de desempeño de los componentes
y la aplicación de los principios de seguridad descritos anteriormente.

11.3.3 PROCESO DE ANÁLISIS

Esta sección describe los procesos de análisis basados en desempeño a un alto nivel y describe
cómo se pueden usar las técnicas cualitativas o cuantitativas para evaluaciones basadas en
desempeño. Los principios y modelos de análisis y evaluación utilizados aquí están basados en
la existencia de rutas de un adversario hacia un activo. La ruta de un adversario es una serie
ordenada de acciones en contra de una instalación, la que, de completarse, resulta en un robo,
sabotaje o cualquier otro resultado malévolo exitoso. El análisis de insiders es similar, pero
elimina algunas capas de protección debido a su acceso autorizado a algunas áreas de la
instalación, a lo menos.

Un diagrama de secuencia de adversario (ASD) es una representación funcional de un PPS en

una instalación que se usa para describir los elementos específicos de protección presentes.
Ilustra las rutas que el adversario puede seguir para lograr el sabotaje o robo. Puesto que un
análisis de rutas determina si un sistema tiene suficiente detección y demora para lograr
interrumpir, se realiza primero. El análisis de rutas utiliza medidas de desempeño estimadas,
basada en las herramientas y tácticas de la amenaza definida, para predecir debilidades en el
PPS a lo largo de todas las rutas creíbles del adversario hacia la instalación. Este paso se facilita
al usar un ASD de la instalación para su análisis.

Para un PPS específico y una amenaza específica, se puede determinar la ruta más vulnerable
(la ruta con la menor probabilidad de interrupción, o PI). Al utilizar la PI como una medida de
vulnerabilidad de la ruta, se pueden comparar múltiples rutas y estimar la vulnerabilidad
global del PPS. El analista puede construir una ASD manualmente utilizando lápiz y papel o
crear una electrónica con herramientas de software.

Hay tres pasos básicos en la creación de una ASD para un sitio específico:

• Describir la instalación separándola en áreas físicas adyacentes

• Definir capas de protección y los elementos de la ruta entre áreas adyacentes

• Registrar la detección y los valores de demora para cada elemento de la ruta

Una descripción más detallada de la creación y uso de una ASD se entrega en Garcia (2008, pp.
283-288). Se debe tener cuidado al crear una ASD. Mientras que la técnica parece simple,
puede ser difícil dibujar una ASD debido a la superposición de las capas y a los puntos de
entrada desconocidos o no descubiertos, tales como escotillas en el techo, un ascensor al
penthouse, u otros sitios no detectados cuando uno no ve la instalación en capas concéntricas.
El mayor error es seguir una sola ruta desde fuera del sitio hacia la ubicación del objetivo y
sólo realizar un análisis de esa ruta. Este enfoque obviamente no considera todas las rutas
hacia la instalación. El mejor método para crear una ASD es caminar o conducir alrededor del
área exterior y luego repetir lo mismo al interior. Esto se complementa con el uso de dibujos
del sitio que muestran la distribución del sitio y detalles específicos de los edificios al interior.

La ASD representa áreas adyacentes de una instalación utilizando rectángulos concéntricos y

modela un PPS al identificar capas de protección entre áreas adyacentes. La primera capa es
siempre fuera del sitio (v.gr. fuera de los terrenos de la instalación), y la última capa es siempre
el activo. Cada capa de protección consiste de un número de elementos de la ruta (path
elements, PEs de ahora en adelante, por sus siglas en inglés) los que son los elementos básicos
de construcción de un PPS. Un punto clave al desarrollar una ASD es que debe ser creada para
cada activo (ubicación de un blanco), a menos que los activos estén ubicados en el mismo
lugar. En instalaciones complejas, varios activos críticos pueden requerir de protección, y se
debe desarrollar una ASD para cada ubicación.

Una vez que se ha creado una ASD, el analista asigna probabilidades de detección y evaluación,
tiempos de demora para cada elemento del PPS bajo diferentes estados de la instalación, y
cualquier nota adicional para cada elemento de la ruta. Los valores registrados son las
estimaciones entregadas por los expertos en materias específicas del equipo de VA, como el
resultado de su evaluación. Estas estimaciones incluyen la probabilidad del tiempo de
comunicación y del equipo de la fuerza de respuesta, cuando hay una respuesta inmediata.
Este es el paso inicial en el análisis de ruta. Se pueden modelar tanto los segmentos de las
rutas de acceso como de salida. El segmento de acceso va desde el exterior de la instalación
hasta el activo, y el segmento de la ruta de salida va desde el activo de vuelta hacia el exterior.
Un elemento dado en la ruta puede ser atravesado una vez, ya sea al entrar o salir; o dos
veces, al entrar y en la dirección opuesta al salir. El adversario intenta en forma secuencial
derrotar al menos un elemento en cada capa de protección mientras atraviesa la ruta a través
de la instalación hacia el activo. El ASD representa todas las rutas del adversario a un activo: las
rutas que no son creíbles son identificadas en el análisis de escenario (sección siguiente).
Mientras que sólo algunas rutas son creíbles para amenazas específicas, se recomienda
representar el PPS completo en la ASD. Esto provee de un buen sistema de documentación,
permite replicar los análisis más rápido si aumentan las amenazas y facilita el análisis de
sensibilidad (cuán bien se desempeña el diseño frente a amenazas mayores o menores). Esta
simple mirada funcional, también proporciona información adicional sobre rutas creíbles del
adversario, las que pueden no ser advertidas si se han omitido algunos elementos de la ruta.

Para el análisis de sabotaje sólo se evalúan las rutas de acceso, y el supuesto es que los
elementos de la ruta serán atravesados sólo en una dirección. Esto es porque un acto de
sabotaje exitoso sólo requiere estar cerca del activo el tiempo suficiente para causar daño; no
requiere que un adversario salga de la instalación. Para el análisis de robos, los elementos de la
ruta son atravesados dos veces –al entrar y al salir de la instalación. Cuando sólo se consideran
rutas de acceso, el número total de rutas es el producto del número de elementos de
protección en cada capa. Cuando se evalúan ambas rutas, de acceso y salida, el número total
de rutas es el cuadrado del número de rutas de acceso.

El análisis de rutas se usa para proporcionar una visión general de cuán robusto es el PPS – si el
sistema tiene muchas rutas débiles o sólo unas pocas. Al estudiar las potenciales rutas del
adversario y las estimaciones de desempeño para los elementos de la ruta, el analista puede
rápidamente determinar cuán efectivo es el PPS y dónde están las vulnerabilidades. Por
ejemplo, si no hay detección a lo largo de la ruta hasta el activo, esto es revelado rápidamente.
Los análisis de ruta también identifican elementos de desempeño para múltiples rutas del
adversario. Esta información entrega datos sobre puntos débiles comunes a lo largo de las
rutas que requieren de detección o de demora adicional para apoyar a las fuerzas de
respuesta. Durante el análisis de ruta, el supuesto es que la interrupción y neutralización
ocurrirá a tiempo para proteger al activo, aunque la estrategia de respuesta real depende del
activo. Por ejemplo, si un activo es blanco de sabotaje utilizando una estrategia de negación, la
respuesta debe ocurrir no más tarde que en el activo; los blancos de robos pueden usar una
estrategia de contención. Cuando una instalación tiene distribuidos múltiples activos que son
blancos de diferentes objetivos de ataque del adversario (sabotaje y robo) la respuesta debe
estar cuidadosamente planeada para apoyar ambos objetivos de protección. El objetivo clave
de un análisis de ruta es evaluar el PPS de una instalación a un alto nivel y determinar cuán
bien protegidos están los activos en todo momento.

La revisión de la ASD durante el análisis de ruta también puede revelar si el PPS es equilibrado
o no. Para cada capa de protección, la detección y demora proporcionadas por los elementos
de la ruta deben estar equilibradas. Examinar los valores globales de detección y demora
puede mostrar rápidamente los elementos o capas desequilibradas que serán preferidas por
las rutas de los adversarios. Verificar el equilibro a lo largo de las capas de protección, también
ayudará a saber si se requiere mejoras. Si una capa ya está equilibrada, las mejoras deben ser
aplicadas a cada elemento de protección para mantener el equilibrio. Si una capa no está
equilibrada, las mejoras se deben aplicar de manera que lleven la capa al equilibrio.

Probablemente habrá al menos dos ASD para cada objetivo –una para cada estado de la
instalación, día/noche o abierto/cerrado. Dependiendo de los otros estados de la instalación,
se pueden necesitar más ASD. Ejemplo de otros estados de la instalación que merecen ser
considerados incluyen los cambios en los turnos de los empleados, cambios en los turnos de la
fuerza de guardias, incendios y otras emergencias, fallas de energía, mal tiempo, sensores y
modos de acceso durante horas operacionales. Este proceso no es tan oneroso como suena.
Una vez que se realizó una ASD para un activo específico, las revisiones siguientes sólo deben
incorporar los cambios desde una estado de la instalación al siguiente. El análisis es
usualmente más expedito haciendo varias copias de la ASD original y luego modificando sólo
los elementos de la ruta que cambiaron. Una vez que estas diferencias son entendidas, es
simplemente cosa de describirlas en un párrafo corto en el reporte de VA. El análisis de los
estados de las instalaciones debería enfatizar las vulnerabilidades de rutas adicionales en este
momento.

El desarrollo de una ASD también puede revelar si un sistema de protección es equilibrado.

Para cada capa de protección la detección y demora proporcionados por los elementos de la
ruta deben estar equilibrados. Revisar los valores de detección y demora pueden mostrar
rápidamente los elementos o capas desequilibradas que serán preferidos por las rutas de los
adversarios. Verificar el equilibro a lo largo de las capas de protección también ayudará a saber
si se requiere de mejoras. Si una capa que necesita mejoras ya está equilibrada, las mejoras
deben ser aplicadas a cada elemento de protección para mantener el equilibrio. Si una capa no
está equilibrada, las mejoras se deben aplicar de manera que lleven a la capa al equilibrio.

Análisis de Escenario

El análisis del ASD identificará las rutas con el PI más bajo, lo que es el punto de partida para el
desarrollo y análisis de escenario. Un análisis de escenario se conduce para determinar si un
sistema tiene vulnerabilidades que pueden ser aprovechadas por adversarios utilizando
diversas tácticas, lo que resulta en menor efectividad del PPS. Algunas instalaciones usan el
análisis de escenario como substituto de una amenaza definida, en la que proponen ataques,
luego deciden qué equipos o capacidades se requieren para tener éxito. Esta es otra opción,
pero puede llevar a algunos vacíos en el análisis. Analizar el PPS utilizando amenazas definidas
y análisis de rutas, y luego generar escenarios mirando las rutas débiles, es el enfoque
preferido para estar seguros que no serán descartadas las rutas creíbles. Utilizando el
escenario, se desarrolla una descripción de tarea por tarea o de capa por capa. Esta
descripción debiese ser lo suficientemente detallada para proporcionar una línea de tiempo
del escenario y la suficiente información para que se puedan realizar estimaciones de
desempeño para detección, evaluación, comunicación, demora y respuesta.

En este punto el analista reduce todas las rutas posibles a aquellas más creíbles. Las rutas
pueden ser descartadas de la combinación final debido a un número de razones tácticas. Por
ejemplo, una ruta que parece muy débil (bajo PI) al usar elementos de medidas de desempeño
puede no ser tan creíble, porque hay un gran número de personal de respuesta en el otro lado
de la puerta con la menor demora. En otra instancia, el adversario podría usar una puerta de
entrada, en vez de otra, porque está ubicada en un esquina aislada de la instalación, a pesar
que ambas puertas tienen la misma demora. En realidad, un adversario escogería la puerta
que entrega la mayor posibilidad de una entrada exitosa, asumiendo tiempos de demora
similares. Por supuesto, algunas rutas serán eliminadas, porque el adversario no tiene el
equipo o la capacidad para atacar algunos elementos de protección (por ejemplo, paredes
gruesas y sólo herramientas de mano).

Una vez que el análisis de ruta está completo, comienza el análisis de escenario. Los pasos para
conducir un análisis de escenario son los siguientes:

• Desarrollar ataques y tácticas diseñados para aprovechar rutas débiles. Considere ataques
durante diferentes estados de la instalación utilizando las amenazas definidas y la capacidad.

• Modifique estimaciones de desempeño para elementos de ruta utilizando estas tácticas o

bajo estos estados.

• Documente los supuestos utilizados y los resultados del análisis de escenario.

El análisis de escenario se ayuda mediante la creación de líneas de tiempo de las tareas del
adversario y los desempeños asociados a los elementos de la ruta a lo largo de ella. El análisis
de escenario considera tácticas específicas a lo largo de la ruta, así como los ataques al propio
PPS o a la fuerza de respuesta. Estas tácticas incluyen robo, fuerza y engaño, y pueden ser
usadas individualmente o en combinación durante un escenario. Por ejemplo, un equipo de VA
puede determinar qué adversarios pueden fácilmente bloquear las comunicaciones de radio
en una instalación. Los ensayos de evaluación indican que, en promedio, se requiere de un
período adicional de cinco minutos para que la fuerza de respuesta se comunique utilizando
medios alternativos durante ataques de interferencia. Este tiempo se añadiría al tiempo de
respuesta usado en el análisis de ruta para evaluar cómo cambia la PI. Otros ataques al sistema
pueden incluir interferencia con la transmisión de alarmas, inhabilitar el centro de monitoreo
de alarmas o apuntar luces brillantes a las cámaras. Ejemplos de ataques a la fuerza de
respuesta pueden incluir ataques abiertos o encubiertos a patrullas, desvíos o emboscadas
durante el despliegue. Otros aspectos del análisis de escenario incluyen considerar qué
herramientas existen en el sitio u otro equipamiento que pueda ser usado por el adversario
para apoyar su ataque. Por ejemplo, en la instalación pueden haber montacargas, explosivos,
sopletes, escaleras portátiles o herramientas eléctricas. En este caso, el adversario no tendría
que traer estos equipos, y el análisis de escenario debiese agregar la adquisición de estos
elementos a las tareas que el adversario debe completar para tener éxito.

Además de los tiempos de las tareas del adversario, los tiempos de respuesta inmediata
también deben ser determinados, si corresponde. El tiempo de respuesta depende de los
tiempos y procedimientos específicos de cada ataque, pero una idea general de cuánto
personal de la fuerza de respuesta llegará al área y en qué intervalos es efectivo un primer
paso en los tiempos de respuesta. El tiempo para que la información de evaluación de alarma
sea retransmitida a la fuerza de respuesta está incluido en los tiempos de repuesta. También
debe ser considerada la habilidad de la fuerza de respuesta para aproximarse desde variadas
ubicaciones, tales como posiciones iniciales, en tránsito y desde las posiciones de despliegue.

Si la táctica de un adversario es eliminar a la fuerza de respuesta, se desarrollan escenarios en

los que el ataque comienza asaltándolos. Porque la PI calcula la posibilidad de llegar de la
fuerza de respuesta, y en este caso la confrontación con el adversario es segura, la PE es igual
a la probabilidad de que la fuerza de respuesta gane la confrontación (la que es la PN). Es
importante que el analista durante esta etapa del análisis, trabaje en la respuesta en conjunto
con los expertos en la materia del equipo de VA, de manera que se consideren las rutas de
ataque más creíbles y las tácticas más realistas. Como resultado de este análisis, se realizan
modificaciones al modelo de ruta que muestran cambios en los valores de desempeño que
reflejan estos ataques más realistas. Esta etapa del análisis amplia el análisis de ruta para
considerar ataques en dispositivos del PPS o en la fuerza de respuesta, además de ataques
directos al activo.

El análisis de escenarios también considera la respuesta a ataques a múltiples activos

distribuidos en la instalación. Si la instalación tiene activos que son blanco de robo y sabotaje,
la respuesta a ataques debe ser cuidadosamente considerada. Durante las etapas tempranas
de un ataque puede no ser aparente cuál activo es el blanco del ataque. En estos casos, el
equipo de respuesta puede tener que esperar hasta que esto se aclare, o bien debe haber el
suficiente personal de respuesta para implementar tanto estrategias de negación como de
contención. Durante los análisis de escenarios, estos ataques y las respuestas pueden ser
considerados, y se puede evaluar la habilidad para proteger a todos los activos bajo varios
tipos de ataques. Este es un buen ejemplo del uso de guiones gráficos (storyboards) de
respuesta o tablas de arena (sand tables) (herramientas de representación, descritas más
adelante), las que pueden ser usadas para mostrar las inadecuaciones de la respuesta a
múltiples ataques simultáneos o diferentes ataques individuales, incluyendo robo y sabotaje.
Además, los análisis de escenario pueden considerar la efectividad de la neutralización de una
respuesta inmediata en varios puntos a lo largo de la ruta del adversario. En este caso, se
asume que ha ocurrido la interrupción, y que la meta es que la instalación sepa cuánto
personal de respuesta puede llegar a un punto específico en la ruta y su efectividad después
de llegar a este punto. Este análisis proporciona información adicional sobre las
vulnerabilidades del sistema y las mejoras potenciales al PPS global, especialmente las tácticas
de respuesta.
En la mayoría de las instalaciones, sólo se considera un equipo de amenaza; sin embargo, en
algunas instalaciones de alta seguridad, es muy probable que el adversario se divida en
múltiples equipos, cada uno con una tarea distinta. Un equipo probablemente estará dedicado
a atacar el activo. Una tabla de tareas de escenario y de tiempos de tareas puede ser
completada para cada equipo, pero es más directo completar una línea de tiempo sólo para el
equipo de ataque al activo, con los efectos de los otros equipos incluidos en los valores de
detección o evaluación o disminuir la efectividad de la respuesta. Es poco probable que
escenarios de fuerza como estos sean usados durante la VA de una instalación industrial.

Como en el análisis de rutas, un aspecto importante del análisis de escenario es considerar los
diferentes estados operativos en la instalación o próximos al activo. Hay generalmente al
menos dos estados de la instalación –abierta y cerrada. Por ejemplo, una puerta puede ser
dejada abierta durante la operación de día, pero dejada cerrada en la noche. Un buen análisis
incluirá escenarios prediciendo el desempeño bajo ambas condiciones. Incluso para
instalaciones que operan 24/7 puede haber diferencias durante los turnos, y estas deben ser
analizadas para verificar que la protección está equilibrada durante todos los turnos. Además
de las diferencias entre abierto y cerrado, pueden haber otros estados operativos predecibles
en una instalación, incluyendo emergencias ocupacionales, actividades de mantenimiento, mal
tiempo (particularmente para componentes exteriores del PPS) y cortes de energía. Cada uno
de estos estados puede representar un nuevo conjunto de vulnerabilidades para el activo, el
PPS o los guardias de seguridad.

Como parte de un análisis de escenario, se hace un esfuerzo para identificar los peores casos
de ataque. Aunque el análisis no está limitado a estas situaciones, estas son muy útiles, porque
ellas definen los ataques de adversarios que ponen a prueba los límites de la efectividad del
PPS. El análisis de los peores escenarios es usado generalmente en análisis de neutralización,
puesto que predice la más baja efectividad de respuesta. Aunque es importante determinar los
peores escenarios, otros escenarios menos severos, pero más creíbles, también son creados y
evaluados. Estos escenarios se usan luego en los análisis de ruta para calcular la PI y también
para estimar la PN, que es el otro término que se requiere para establecer la PE.

Estimar la Neutralización

Después de que se han determinado las rutas débiles y los escenarios de ataques adecuados,
se puede realizar un análisis de neutralización. Esta parte del análisis sólo se realiza en
instalaciones donde hay una respuesta inmediata que resulta en una confrontación cara a cara
con los adversarios. La neutralización puede tomar muchas formas, que van desde la presencia
al uso de fuerza letal (v.gr. el uso legal de la fuerza25). El análisis de neutralización proporciona
información sobre cuán efectiva es la respuesta bajo diferentes escenarios de ataque y es una
medida de la capacidad, idoneidad, entrenamiento y tácticas de la fuerza de respuesta. Este
análisis asume que la interrupción ha ocurrido. Si la amenaza definida para un activo o
instalación incluye adversarios que usarán la fuerza para prevenir que la fuerza de respuesta
los interrumpa o neutralice, el análisis debiese considerar el resultado probable de un
enfrentamiento físico. Este análisis puede usar técnicas cuantitativas o cualitativas. En muchas
instalaciones de alta seguridad, se usan simulaciones computacionales para predecir
cuantitativamente la probabilidad de neutralizar adversarios violentos después de
interrumpirlos. Para otras instalaciones, la PN puede ser estimada sobre la base de los
registros de respuestas exitosas a incidentes de seguridad o en ejercicios de simulación. En un
análisis cualitativo se puede determinar el bando que tiene la ventaja –en número, armas,
destrezas, tácticas y otras áreas– y asignarle una probabilidad alta, media o baja.

Otros Análisis

Además de las herramientas de análisis descritas anteriormente, otras herramientas pueden

ser útiles cuando se analiza el PPS de una instalación. Estas incluyen el modelado de efectos de
explosión, guiones gráficos de respuesta y tablas de arena. Muchos sitios están especialmente
preocupados por la amenaza de autos-bomba u otros artefactos explosivos en puntos críticos
en la instalación. En estos casos, puede ser útil proporcionar un análisis de los efectos de tal
dispositivo en estas estructuras. Hay disponibles en el mercado un número de herramientas de
modelado de explosión, para apoyar esta parte del análisis. Si bien algunos no son
extremadamente robustos, ellos permiten una simple aproximación a los daños de una
explosión en edificios utilizando estándares de construcción. Generalmente las entradas
(inputs) son simples e incluyen el trazado de la construcción, la construcción de edificios, el
tamaño y la ubicación de la carga explosiva y el terreno circundante. El resultado (output) es
un gráfico que muestra una aproximación de los daños de la explosión. Estas imágenes y los
supuestos de apoyo pueden ser incluidos en el informe final de VA.

Otra herramienta útil, particularmente durante el análisis de escenarios, es el guión gráfico de

la respuesta. Un guión gráfico (storyboard), similar a una serie de paneles de dibujos
animados, ilustra dónde está la fuerza de respuesta y los adversarios a intervalos periódicos.
Por ejemplo, el primer panel podría comenzar en tiempo cero y muestra la ubicación de cada
grupo; luego, cada 30 o 60 segundos se puede tomar una “instantánea”. Por medio de esta
técnica se puede obtener información para lograr respuestas más rápidas y más eficaces. La
creación de un guión gráfico de respuesta permite que el analista y los expertos tácticos
tengan una idea de cuánto le tomará a la fuerza de respuesta para llegar a un encuentro físico
con el adversario y qué tácticas son las apropiadas en las diferentes etapas de un ataque y
respuesta. A menudo, el guión gráfico de respuesta se utiliza para el análisis de neutralización
y para el desarrollo de escenarios. Una herramienta similar es la tabla de arena, en la que la
fuerza de respuesta y los adversarios se muestran usando soldados de juguete, los que se
mueven para mostrar las diferentes aproximaciones y tácticas. Estas se encuentran
generalmente en instalaciones militares y otras instalaciones de activos críticos.

11.4 CALCULAR LA EFECTIVIDAD DEL SISTEMA

En este punto se puede calcular la efectividad del PPS, utilizando las estimaciones cualitativas y
cuantitativas descritas más arriba. De cualquier manera, la eficacia del sistema se puede
representar utilizando únicamente la PI (como en el caso de una respuesta tardía usando la
revisión del video e investigación, cuando la mera presencia de una respuesta inmediata
llevará a un adversario lejos, o cuando un adversario se rendirá si es interrumpido), o mediante
el uso de ambos PI y PN (en los sitios en donde una respuesta inmediata va a confrontar
físicamente al adversario). Si sólo se utiliza la PI, el análisis consistirá del análisis de ruta y del
desarrollo de escenarios para apoyar la estimación de la efectividad del sistema. Cuando se
utilizan tanto la interrupción como la neutralización, la efectividad del sistema es el producto
de la PI y la PN. En un análisis cuantitativo, los dos términos son multiplicados para establecer
la efectividad del sistema, en un análisis cualitativo, los dos términos se combinan para
representar el estado global de la efectividad del sistema. Al igual que en una multiplicación
matemática, si un término es bajo, el otro término decrecerá a ese nivel, aún si es muy alto.
Por ejemplo, si la PI es alta y la PN baja, la PE será baja. En general, la PE no puede ser mayor
que el menor de los dos valores y esta es una buena guía para un análisis cualitativo (por
ejemplo, 0,9 x 0,2 = 0,18. Incluso si el producto se redondea a la décima más cercana, todavía
es el menor de los dos números). La PE se calcula para cada categoría de amenaza, dado que
se espera que el mismo sistema tendrá un desempeño variable para diferentes amenazas.

11.4.1 ANÁLISIS DE MEJORAS

Si el análisis de línea de base del PPS muestra que el sistema no cumple sus objetivos de
protección, y por lo tanto es vulnerable, el equipo de VA puede sugerir mejoras para enfrentar
las vulnerabilidades. Usualmente, estas mejoras no son recomendaciones técnicas específicas,
sino mejoras funcionales que se pueden lograr aumentando el desempeño en ciertos lugares.
Estas recomendaciones se pasan al equipo de diseño de mejoras para apoyar la selección de
las mejoras apropiadas. Por ejemplo, el equipo puede sugerir una PD mejorada en un cierto
punto o que una demora adicional en un activo aumente la PE. En estos casos, el análisis
asume un desempeño funcional mejorado sin identificar el sensor específico o el dispositivo de
barrera, aun cuando el equipo de evaluación cree que esta es una meta alcanzable. Las
opciones de mejoras generalmente consideran la interacción entre la detección, demora y las
características de respuesta, así como los efectos operacionales, ciclo de vida, costos de
desempeño, costos de oportunidad, puntos únicos de fallo, confiabilidad, calidad y el
mantenimiento del sistema de seguridad.

Luego, el análisis se repite utilizando estos incrementos en el desempeño para estimar el

incremento global en la habilidad del sistema para alcanzar sus objetivos. Estos resultados (los
que se convierten en nuevos requerimientos del sistema para el diseño de mejoras) pueden
proporcionar a los diseñadores del sistema de seguridad, quién determinará qué equipamiento
específico o qué otras mejoras proporcionarán el desempeño requerido. Estos detalles
específicos de diseño generalmente se abordan en una actividad subsiguiente a la VA, a
menudo capturada en un proyecto de diseño conceptual o fase. Una vez que el análisis está
completo, es importante presentar claramente tanto la línea de base como los análisis de
mejoras, para establecer la necesidad de mejoras y mostrar el retorno de la inversión en
mejoras.

El análisis de mejoras es también el momento apropiado para considerar y evaluar la

efectividad de los planes de contingencia y del equipo. Los planes de contingencia se usan por
varias razones, incluyendo cuando el equipamiento del PPS está en reparaciones o cuando los
impactos (costo, plazos, operaciones, aceptabilidad) del equipamiento del PPS requerido para
cumplir los objetivos de protección se consideran demasiado grandes. Por ejemplo, si un
centro no puede permitirse el lujo de cumplir con los objetivos de protección de todas las
amenazas en todo momento, los procedimientos temporales o equipos portátiles podrían
aplicarse durante períodos de alerta máxima. Cuando los planes de contingencia son parte de
los planes de protección de seguridad en condiciones de amenaza elevadas, deben ser
evaluados utilizando estimaciones de desempeño y herramientas de análisis para asegurarse
de que funcionará como debe.

11.5 RESUMEN

Este capítulo describió el análisis del PPS utilizando técnicas tanto cuantitativas como
cualitativas. Además, el análisis del PPS puede ser basado en cumplimiento o basado en
desempeño. Los enfoques basados en el cumplimiento dependen de la conformidad con las
políticas y reglamentos específicos; el indicador para este análisis es la presencia de los
equipamientos y procedimientos que se especifican. Los enfoques basados en desempeño, por
otra parte, evalúan cómo cada elemento del PPS opera y en qué contribuye a la eficacia global
del sistema. El análisis debe basarse en la aplicación de los principios básicos de la seguridad
física para comprobar la eficacia de los elementos de protección instalados (equipamiento,
personal y procedimientos). La efectividad del sistema es el resultado de la correcta aplicación
de estos principios de seguridad.

Se describen dos herramientas de análisis, CARVER y diagramas de secuencia de adversario, y

se explicó la técnica de análisis de ruta. El capítulo describe el uso de la interrupción, la
neutralización, y mide la eficacia del sistema para establecer una línea de base, y se examinó el
uso de un análisis de mejoras.