¿Cómo sé si la eficacia de seguridad de mi empresa puede inhabilitar las acciones de un adversario?
Una de las grandes preocupaciones de gerentes generales, directores y presidentes es saber si las estrategias implementadas por la empresa de seguridad contratada son realmente eficaces; es decir, la preocupación radica en si las estrategias son suficientes para evitar un evento indeseable al interior de la compañía.
En este post hablamos sobre cómo evaluar la eficacia de seguridad de su empresa con el modelo EASI.
Le puede interesar: ¿Qué es el riesgo en una empresa?
¿Qué es el modelo EASI?
El modelo EASI (Estimate of Adversary Sequence Interruption) es una herramienta importante para saber si su estrategia de seguridad es eficaz. Este modelo es una simple hoja de cálculo, aunque ya existe un software, que ilustra cuantitativamente el efecto que tiene en el sistema cambiar algunos parámetros de seguridad a lo largo de un camino específico.
Para ello, el modelo EASI emplea parámetros como la probabilidad de detección, el tiempo de demora, el tiempo de respuesta y la probabilidad de comunicación para calcular, al final, la probabilidad de detención de un adversario (PI, por su sigla en inglés, probability interruption).
Vale la pena resaltar la gran utilidad de este modelo, sin embargo, solo permite analizar un comportamiento o escenario a la vez. Así, si hay varios escenarios identificados, será necesario, entonces, medir la probabilidad de intención para cada uno de ellos.
Uno de los puntos fuertes de la PI (derivada del modelo EASI) es el hecho de que los valores de la probabilidad de detección (PD) se basan en la disponibilidad o la no disponibilidad de un sensor (o sensores) para estimar las acciones de un adversario.
Pueden estimarse los valores del tiempo de la respuesta (en el marco de la estrategia de seguridad implementada por la empresa de seguridad) mediante simulacros físicos con cronómetro. Estos valores son incluidos en la hoja de cálculo del modelo EASI como la media de los tiempos tomados con su respectiva desviación estándar para cada elemento.
La PI es, entonces, la probabilidad de que las estrategias del sistema de seguridad física implementadas puedan detener las acciones de un adversario antes de que ocurran dichas acciones (robos, sabotajes, etc.). De esta manera, la fórmula usada es la siguiente:
PI = PC * PD
PC: Probabilidad de comunicación con el equipo de seguridad
PD: Probabilidad de detección de un sensor (información dada por el fabricante)
Dicho de otro modo, y teniendo en cuenta la ecuación, el modelo EASI analiza la comunicación de la alarma entre el equipo de seguridad y evalúa su capacidad de respuesta, y, de esta manera, usando el modelo EASI, se determina si el sistema de seguridad física (PSS, por su sigla en inglés) tiene una respuesta suficiente para impedir las acciones del adversario.
Es importante resaltar que la PI es altamente dependiente de las capacidades del adversario, y este hecho es impredecible a priori.
¿Cómo evaluar su eficacia de seguridad con el modelo EASI?
El valor real del modelo EASI no radica en el resultado, sino en la oportunidad de cambiar los datos de entrada con las recomendaciones del equipo de seguridad, y ver qué efecto tiene esto en el resultado. El siguiente caso muestra cuál es su utilidad.
Por ejemplo: Un adversario va a sabotear el centro de cómputo de una empresa. Para lograrlo, el adversario debe penetrar la malla, correr hacia el edificio, forzar la puerta exterior del edificio, correr al centro de cómputo, forzar la puerta interior, rociar agua o poner un dispositivo explosivo en los servidores. Todas estas acciones se registran en la hoja de cálculo del modelo EASI (ver Figura 2.1).
El resultado muestra que la PI es de 0.470. Esta PI es demasiado baja y sugiere que algo debe hacerse para mejorar este resultado.
Si se agrega un sensor de apertura de puerta (exterior) con una probabilidad de detección de 0.9; se fortalece la puerta exterior, de manera que la acción del adversario requiera más tiempo, y se cambia la puerta del centro de cómputo por una puerta blindada con un mismo sensor de apertura, la PI sería 0.9227; un resultado muy satisfactorio (ver figura 2.2). Esto justificaría, por consiguiente, la instalación de estos elementos adicionales en el sistema.
Conclusión
Como puede observar, el modelo EASI es una herramienta estratégica para evaluar la eficacia de seguridad de su empresa. Además de saber qué o cuáles pequeños cambios tienen el poder de mejorar significativamente la seguridad, también puede evaluar si las estrategias implementadas son suficientes o deficientes, lo cual genera más confianza para su empresa.
¿Necesita mejorar la estrategia de seguridad de su empresa? Omnitempus lo puede ayudar. ¡Contáctenos aquí!