Analizar los escenarios de crímenes derivados de acciones delictivas que se llevan a cabo sobre los activos de información de la organización, en búsqueda de pistas que conlleven a determinar quién llevo a cabo tal acción;  y lo que es más importante, determinar la secuencia de hechos que permitan corregir y blindar los accesos, a fin de minimizar los eventos que se manifiesten.