Podríamos definir seguridad como la condición alcanzada cuando determinada información, material, personal, actividades e instalaciones están protegidas contra actos hostiles, en especial el espionaje, sabotaje, subversión, terrorismo y crimen organizado, así como contra pérdidas o revelaciones no autorizadas.
Para que una organización alcance una determinada condición de seguridad se deben implementar una serie de medidas de seguridad física en las instalaciones, en los sistemas de información y comunicaciones y en el personal. El problema es que, hoy en día, las amenazas a las que deben enfrentarse son cada vez más sofisticadas y afectan a distintas áreas. Este hecho obliga a las empresas a adaptarse rápidamente a esos cambios y a buscar formas de prevenirlas y hacerles frente de la manera más eficiente.
Pues bien, todas estas medidas de seguridad pueden resultar ineficaces si previamente no se han llevado a cabo una serie de análisis desde el punto de vista de inteligencia en apoyo a la seguridad. Estas pueden resumirse en cuatro grupos de preguntas importantes sobre la protección de la información y del conocimiento de una organización:
- ¿Qué debe proteger nuestra organización? Los desarrollos I+D, información sensible, datos de clientes y proveedores, patentes, ofertas de licitación, instalaciones críticas, etc.
- ¿Cuáles son nuestros competidores? ¿Qué intentan descubrir sobre nosotros? ¿Y por qué?
- ¿Cómo están tratando de hacerlo? ¿Qué capacidades tienen? ¿Aplican un enfoque técnico o están intentando sobornar a nuestros empleados?
- ¿Qué podemos hacer y qué estamos haciendo para reducir sus posibilidades de obtenerlo? ¿Qué tácticas legítimas de denegación y engaño podríamos emplear para salvaguardar nuestra información? ¿Y nuestras patentes? ¿Y nuestros desarrollos de I+D?
Si no somos capaces de dar respuesta a las dos primeras preguntas de manera clara y precisa, seremos incapaces de responder a las dos últimas. En este caso, el resultado sería que nuestra organización estaría adoptando medidas de seguridad ineficaces para su protección.
Por eso, es importante el apoyo de la inteligencia para analizar e identificar quién, cuándo, cómo, dónde y por qué está intentando acceder a la información clave de la empresa. Ello nos daría las claves precisas para implementar las medidas de seguridad adecuadas y evitar revelaciones intencionadas o accidentales.
Apoyo a la seguridad
La inteligencia, entendida en sentido amplio, trata sobre la creación de conocimiento y la reducción de la incertidumbre para apoyar en los procesos de toma de decisiones y en la elaboración de los planes de cualquier organización. Su fin último es buscar la anticipación. Es decir, inteligencia, mediante sus procesos asociados de obtención y análisis de la información, pretende incrementar las probabilidades de éxito de una organización, independientemente de su tipo. Si es un ejército, mediante la identificación de las intenciones y capacidades del adversario proporcionará los productos necesarios para facilitar su derrota. Si es una empresa, los productos irán orientados al apoyo en la expansión del negocio, identificando las capacidades e intenciones del competidor, así como las necesidades del mercado y el consumidor.
Cuando hablamos de inteligencia en apoyo de la seguridad, esta se denomina contrainteligencia. El hecho de que este término se asocie popularmente con el contraespionaje provoca un rechazo que impide ver lo que de verdad puede aportar a la organización, sobre todo cuando hablamos de empresas privadas.
Actualmente, la mayoría de los departamentos de Seguridad aplican un enfoque muy reactivo. Es decir, están muy focalizados en la implementación de medidas de seguridad, pero sin que exista una evaluación correcta de su eficacia contra las amenazas debido al desconocimiento que se tiene de sus capacidades e intenciones. A esta situación hay que sumar que el avance de las tecnologías de la información ha convertido el ciberespacio en un dominio donde las actividades individuales, colectivas, de negocios, etcétera, están continuamente expuestas a distintas amenazas. Su influencia en el mundo físico se materializa mediante actos delictivos como sabotajes, robos, espionajes y otras actividades disruptivas.
Todas las medidas de seguridad pueden resultar ineficaces si previamente no se han llevado a cabo una serie de análisis desde el punto de vista de inteligencia en apoyo a la seguridad
Sin embargo, es habitual que muchos departamentos de seguridad mantengan todavía un enfoque casi exclusivo en la seguridad física, sin que exista una coordinación con los departamentos de ciberseguridad. Y a la inversa.
Esto provoca que, cuando se identifican capacidades y procedimientos de actuación (por ejemplo, de la ciberdelincuencia) y se adoptan las correspondientes medidas de seguridad, en muchas ocasiones se trate de soluciones parciales. A esas alturas, aparte de que el daño ya estaría hecho, los ciberdelincuentes ya habrán mutado y evolucionado hacia otro tipo de vectores de ataque. Es decir, vamos siempre detrás en la carrera.
La solución pasa por buscar la anticipación y la coordinación entre los diferentes departamentos involucrados en la seguridad de una organización. Se trata de analizar las amenazas de manera profunda y en los trescientos sesenta grados. Es aquí precisamente donde la inteligencia, en sentido amplio, puede ayudar con sus procesos y procedimientos y, por supuesto, con su personal cualificado.
El personal de inteligencia tiene que estar formado para ser capaz de identificar las necesidades de información e inteligencia del decisor al que sirve y planificar y gestionar la obtención de información. Una vez conseguida tendrá que evaluarla, integrarla con otras informaciones, analizarla e interpretarla para difundir un producto de inteligencia preciso, oportuno, fiable y, a ser posible, predictivo. Además, debe tener un conocimiento profundo de su organización, su estructura, sus procesos y los objetivos que persigue.
Sinergias positivas
Muchas empresas tienen sus propios departamentos de Seguridad internos, bien sea propios o contratados; pero ¿cómo puede ayudar y complementar la inteligencia eficazmente este departamento? Aunque inicialmente el trabajo de los analistas de inteligencia pueda estar ligado a la seguridad corporativa, a medida que sus funciones se integran en la organización su trabajo puede ser indispensable para otras áreas como: reputación de marca, análisis de las cadenas de suministro internas y externas, análisis geopolíticos que afecten a operaciones de la compañía en el extranjero, verificación de datos, investigación de fusiones, compras o relaciones con proveedores críticos.
Pongamos, por ejemplo, los planes de expansión de una empresa en un determinado país o su intención de lanzar un producto X en un determinado contexto. Es el analista quien obtendrá la información necesaria para que los responsables de negocio o el jefe de operaciones reciban un producto fiable y predictivo sobre su viabilidad o no.
La información es poder y cuanto más sepamos de lo que rodea a nuestra empresa, de sus amenazas y riesgos, mayor será nuestra probabilidad de éxito
El departamento de Seguridad de una organización debe de tener las capacidades necesarias para reaccionar de inmediato ante un determinado problema. Distribuir información sobre una amenaza materializada o un problema cuando ya ha estallado es altamente ineficaz para la empresa y para el decisor. De ahí radica la importancia de incorporar personal capacitado para realizar análisis predictivos sobre las posibles brechas de seguridad y anticiparse a ellas para garantizar la estabilidad y prosperidad de la organización.
El personal de inteligencia puede elaborar productos predictivos e indicadores que faciliten la identificación de posibles amenazas y riesgos a los que se enfrenta la empresa antes de que se materialicen. Esto supone un valor añadido para reaccionar de manera más efectiva en caso de manifestarse. Quizá por ello, el futuro está llamado a implementar programas de inteligencia aumentada (augmented intelligence programs), una combinación de inteligencia humana y artificial que ofrecerá a los analistas información precisa en tiempo real potenciando así los programas de seguridad.
Por ahora, y por lo menos a corto y medio plazo, la incorporación de analistas formados en inteligencia a los equipos permitirá crear una correcta arquitectura de seguridad en las organizaciones. Las decisiones deben basarse en hechos, no en intuiciones, porque la enorme cantidad de información que hoy en día está a nuestro alcance puede llegar a intoxicarnos y confundirnos. Y es muy difícil intentar controlar lo que no consigues entender. Por ese motivo, los analistas deben obtener la información, diferenciar cuál es válida y veraz y cuál no, analizarla y elaborar un producto de inteligencia que permita al decisor entender y actuar en la dirección más adecuada.