Tener al enemigo en casa. Esta frase resume el peligro que supone la llamada amenaza interna para las organizaciones. Un problema que preocupa, y mucho, a todo tipo de compañías, pero que es especialmente perjudicial cuando se trata de infraestructuras críticas por su posible impacto en la sociedad. Acciones como el espionaje, el sabotaje o, incluso, el terrorismo son muy complejos de combatir cuando quienes los cometen son los propios empleados. Son grandes riesgos a evitar, pero la cuestión es saber cómo.
Para darle respuesta, la Fundación Borredá, con la colaboración del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), presentó el 28 de noviembre (el día que se celebraba el 7º Congreso PIC), en Madrid, el Estudio sobre la amenaza interna en el ámbito de las infraestructuras críticas. Un documento de acciones y propuestas concretas que permitirían hacer frente a las amenazas internas con mayores garantías.
“La Fundación Borredá ha contado con la colaboración de 60 responsables de seguridad y enlace de operadores críticos para la elaboración del estudio”, explicó Ana Borredá, presidenta de dicha entidad, al comienzo de la jornada. Pero el encuentro también tenía por objetivo proporcionar “un espacio para ofrecer soluciones para las infraestructuras críticas por parte de los socios protectores de la Fundación Borredá y los patrocinadores”.
Amenaza interna
Para establecer el contexto del estudio, César Álvarez, coordinador de proyectos de la Fundación Borredá, explicó que “existe una preocupación en el Ministerio del Interior desde hace tiempo sobre la amenaza interna, y en alguna ocasión se han elaborado planes o procedimientos; pero querían mejorar y por ello pidieron ayuda de la Fundación”.
El estudio define la amenaza interna como aquella “que procede de los empleados propios o personal interno que, movidos por cualquier motivación, producen o colaboran con otros en la producción deliberada de daños en la organización”. Aunque existen otras posibles formas de suponer una amenaza desde dentro, como por ejemplo los empleados negligentes, el documento solo se centra en el ataque deliberado, según aclaró Álvarez.
Uno de los principales obstáculos que plantea de inicio la protección frente a trabajadores malintencionados –también llamados insiders– es la configuración o interpretación normativa actual. De ahí que el estudio haga un análisis de la situación, pero sobre todo jurídico, de la amenaza interna. “La incongruencia normativa, la pérdida del foco del legislador, incurre en contradicciones, como cuando exige que los operadores mantengan la seguridad y, a la vez, establezca algunos requisitos de transparencias incompatibles con la protección de la organización”, lamentó el coordinador de proyectos de la Fundación Borredá.
Según los datos del estudio, el 20 por ciento de los responsables de seguridad y enlace considera que el riesgo de que personal interno o de proveedores ataque a los activos de la compañía es “alta”. Mientras, un 40 por ciento lo considera un riesgo “medio” y en la misma proporción “bajo”. Sin embargo, el 75 por ciento no realiza oficialmente ninguna comprobación sobre la probidad de sus propios empleados, especialmente de sus antecedentes penales (porcentaje que asciende al 82 por ciento cuando se trata de verificar la honradez de los trabajadores de los proveedores).
La razón aducida por la mitad de los operadores para no llevar a cabo esas comprobaciones es “la inexistencia de una regulación que las facilite”. Para el otro 50 por ciento, el motivo es la indefinición de roles y responsabilidades entre los distintos departamentos de la empresa. A pesar de esa disparidad, el 87 por ciento considera necesario disponer de un instrumento jurídico habilitante para efectuar comprobaciones del personal.
Son solo algunos de los datos que recoge el estudio de la Fundación Borredá, que ya indican que una de las medidas necesarias es ahondar en la normativa. De ahí que otra parte esencial del documento se dedique al análisis del marco jurídico. Lo primero a considerar, apuntó Álvarez, es que “la responsabilidad de la protección es de los propietarios y del Estado”. De hecho, la Ley sobre Protección de las Infraestructuras Críticas (Ley PIC) indica que si no se implantan medidas para paliar la amenaza interna “puede haber una responsabilidad incluso penal por no haber ejercido control sobre los empleados, con la particularidad de que es la empresa la que debe probar el cumplimiento del deber de diligencia”, sostuvo.
Otra serie de normas, como puede ser la Ley de Seguridad Privada, facultan “de manera transversal” a los directores de seguridad para hacer las comprobaciones necesarias acerca de las personas que acceden a zonas sensibles para la organización.
El estudio interpreta también algunos ejemplos de sentencias del Tribunal Europeo de Derechos Humanos o del Tribunal Constitucional, además del Estatuto de los Trabajadores y otras normas, para llegar a la conclusión de que es posible conocer los antecedentes penales de los trabajadores con fines de prevención de delitos en el ámbito de las infraestructuras críticas. “Desde la Fundación defendemos que es lícito supeditar la eficacia de un contrato a que el trabajador supere ciertos exámenes o pruebas de aptitud”.
Para finalizar, Álvarez enumeró las conclusiones del estudio, entre las que destacan la necesidad de reformar la Ley PIC, la creación de una norma específica por parte del Ministerio del Interior que defina procedimientos para verificaciones o que el CNPIC elabore una guía de buenas prácticas para abordar la amenaza interna en los operadores críticos.
Estudio sobre la Amenaza Interna en el Ámbito de las Infraestructuras Críticas
Con el objetivo de analizar y aportar soluciones a las amenazas internas de los operadores críticos, la Fundación Borredá ha elaborado el “Estudios Sobre la Amenaza Interna en el Ámbito de las Infraestructuras Críticas”. Para ello ha contado con la colaboración de 60 responsables de Seguridad y Enlace de otros tantos operadores, que mediante sus respuestas han permitido dibujar el estado de la situación.
Asimismo, el documento incorpora algunas consideraciones jurídicas y de orden práctico, que permiten formular interesantes conclusiones y recomendaciones para orientar la acción de las autoridades respecto a este tema. Una de las conclusiones a las que ha llegado el estudio es que la mitigación de este riesgo precisa de una acción conjunta de la Administración y los operadores. El problema de las amenazas pasa, concluye el estudio, por la implantación de medidas de seguridad y modificaciones normativas.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo un resumen de este artículo.
¿Quieres leer el artículo completo?
Archivado en: