Cuando se habla de cualquier concepto, lo primero es dejar claro de qué hablamos. En este caso vamos a entender por inteligencia un producto obtenido tras aplicar técnicas de análisis a la información de manera que resulte útil al decisor a la hora de tomar sus decisiones con el menor nivel de incertidumbre posible, siguiendo el ciclo de inteligencia.
De acuerdo con la definición anterior, la inteligencia proporciona la información necesaria en tiempo y forma para que las personas puedan tomar decisiones informadas, lo que nos lleva a considerar que otorga a las organizaciones “superioridad informativa”.
¿Y qué entendemos por superioridad informativa? En un entorno como en el que actualmente desarrollan su actividad todas las organizaciones –volátil, incierto, complejo y ambiguo, denominado entorno VUCA–, entendemos por superioridad informativa un conocimiento profundo del entorno, tanto externo como interno, en el que nuestra organización desarrolla sus actividades; un conocimiento completo y exhaustivo que nos va a permitir tomar decisiones con la mejor información disponible.
De acuerdo a la norma ISO 31000:2018 Gestión del riesgo–Directrices, “las organizaciones de todos los tipos y tamaños se enfrentan a factores e influencias externas e internas que hacen incierto si lograrán sus objetivos”. Además, “la gestión del riesgo considera los contextos externo e interno de la organización, incluido el comportamiento humano y los factores culturales”.
La citada ISO 31000 define el riesgo como “el efecto de la incertidumbre sobre los objetivos” y, a su vez, el efecto como “una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas”.
Según la ISO 31000, el propósito de la gestión del riesgo es la creación y la protección del valor, y se basa en los siguientes principios: integrada, estructurada y exhaustiva, adaptada, inclusiva, dinámica, mejor información disponible, factores humanos y culturales y mejora continua.
Como podemos ver, uno de los principios de la gestión del riesgo es la mejor información disponible. La citada norma matiza en este sentido que “las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas pertinentes”. Por lo tanto, estamos hablando de superioridad informativa, de inteligencia.
Gestión de riesgos
Seguridad no es otra cosa que gestionar riesgos. Para que las empresas puedan alcanzar sus objetivos de negocio, lo primero es garantizar la supervivencia de la propia organización; este debe ser su primer propósito. Por consiguiente, la principal necesidad de cualquier entidad es asegurar la continuidad de sus operaciones, y para ello necesita garantizar la seguridad de todos sus activos –tanto tangibles como intangibles–.
Para gestionar riesgos necesitamos conocer el contexto externo e interno de la organización, el comportamiento humano y los factores culturales. Todo ello, con el concepto de “mejor información disponible”. Por lo tanto, para gestionar riesgos necesitamos superioridad informativa, inteligencia.
De acuerdo con ello, si la seguridad es gestionar riesgos, la inteligencia es uno de los pilares de la seguridad. Los otros tres son la tecnología, las personas y los procedimientos.
Así, la tecnología, las herramientas, son un elemento clave para el desarrollo de una actividad o proceso. Desde el principio de los tiempos el hombre ha usado siempre herramientas y las ha ido mejorando para aumentar la eficacia y eficiencia de su trabajo; hemos evolucionado desde el hacha de sílex hasta el último nuevo artilugio tecnológico que aparece cada día en el mercado. En este momento, la seguridad está evolucionando hacia el uso de tecnologías innovadoras e incluso disruptivas, como pueden ser el blockchain, el Big Data, la Inteligencia Artificial y la robótica.
En cuanto a las personas, son un elemento imprescindible en cualquier actividad o proceso. Sin ellas no es posible realizar ninguna de estas dos cosas, por muy automatizadas que estén. La intervención humana ha sido necesaria en algún momento de su ciclo de vida. Por lo tanto, también las personas son un elemento clave de la seguridad.
Para cerrar el círculo nos hace falta planificación y metodología; son necesarios procedimientos que establezcan las reglas y la forma en la que las personas van a utilizar tanto la información de inteligencia como las herramientas, la tecnología de la que disponen para llevar a cabo aquellas actividades y los procesos necesarios para garantizar la seguridad de una organización.
Seguridad proactiva
La inteligencia es clave a la hora de cambiar el actual modelo de seguridad reactiva a un modelo de seguridad proactiva, una seguridad con foco en la anticipación. Una organización no puede esperar a recibir el golpe para intentar reaccionar, ya que siempre llegará tarde. Tiene que tomar la iniciativa, sobre todo en aquellos campos en los se juega su supervivencia. En un entorno VUCA como el actual es muy útil disponer de la capacidad de anticipación que nos proporciona la inteligencia.
Por otra parte, la propia inteligencia nos va a permitir también mejorar la tasa de retorno de la inversión en seguridad, ya que podremos anticiparnos y ajustar el despliegue de nuestros recursos –que siempre son finitos– de acuerdo con la amenaza real de cada momento. La superioridad informativa nos va a facilitar la toma de decisiones informadas a la hora diseñar nuestra protección y de acometer las inversiones en seguridad, ajustándolas a las necesidades reales de nuestra organización de acuerdo al nivel de amenaza y de riesgo al que estemos expuestos en cada momento. Todo esto nos va a permitir ser innovadores, flexibles y ágiles para adaptarnos a los nuevos escenarios y riesgos, los cuales han dejado de ser estáticos y han pasado a ser dinámicos y complejos.
Lo anterior nos lleva a un modelo de “Empresa de Seguridad 2.0” en el que la protección del valor pasa por el uso prioritario de la inteligencia y la tecnología, sin olvidarnos por supuesto de las personas y los procedimientos, los otros dos pilares de la seguridad.
No es posible pretender dar respuesta a las necesidades actuales de seguridad con un modelo del siglo pasado que no se haya adaptado a la realidad derivada de los nuevos escenarios, de las nuevas amenazas, de un mundo global e interconectado y sin separación entre el mundo físico y el ciberespacio. No es posible continuar aplicando un modelo de seguridad reactivo; hay que avanzar hacia un modelo proactivo que sea capaz de anticiparse a las amenazas presentes y futuras, para las que debemos estar preparados. Y este cambio no puede producirse sin la inteligencia.