TWCI Y LA SEGURIDAD CORPORATIVA
Profesor Jesús De Miguel
1. INTRODUCCIÓN
Podría comenzar haciendo un panegírico de la seguridad, en la medida que esta ha sido y sigue siendo un factor fundamental a considerar, ya sea en su tradicional visión estatocéntrica, ya en su relación con las organizaciones, sean públicas o privadas, pero hoy en día en un entorno nacional e internacional tremendamente complejo e incierto las empresas necesitan más que nunca incorporar la seguridad y la inteligencia a sus procesos, pasando a ser una función transversal que afecta a los diferentes departamentos y/o actividades de la empresa.
Otra cuestión que conviene resaltar en esta introducción es que cuando hablamos de la empresa, en esta palabra incluimos a todo tipo de organizaciones empresariales y evidentemente existen notables diferencias cuando abordamos la seguridad desde una gran corporación que cuando lo hacemos desde una compañía familiar, o más precisamente una pequeña empresa. Esto no quiere decir que las PYMES no deban de prestar atención a la seguridad, al contrario, éstas se ven afectadas de una manera directa y en ocasiones dramática por los riesgos, incluso en ocasiones de manera más significativa que las grandes corporaciones, las cuales cuentan con más y mejores recursos para moverse en la incertidumbre.
Desarrollar todo lo que significa el concepto de la seguridad excede con mucho de lo que pretendo en este breve artículo, el cual se focaliza en la seguridad corporativa u organizacional, y en particular cómo, mediante la aplicación una adecuada herramienta de inteligencia, permite la detección temprana de riesgos de toda índole y, en consecuencia, la anticipación y respuesta temprana a los diferentes desafíos que enfrentan las empresas, especialmente cuando estas tienen que desarrollar su actividad en mercados internacionales y con ello con un mayor grado de incertidumbre, consiguiendo con ello la anticipación, condición sine qua non de un adecuado sistema de seguridad.
2. HABLANDO DE LA SEGURIDAD EN MUNDO EMPRESARIAL
Para abordar la seguridad en el mundo empresarial conviene hacer un rápido recuerdo sobre algunos conceptos básicos sobre ella. En primer lugar, debemos recordar que la supervivencia del objeto a proteger es el fin último de la seguridad.
Pero, ¿qué es lo que define la supervivencia de una empresa? No se trata de establecer las prioridades entre su personal, sus activos, sus resultados económicos, etc., que todos son importantes, mas lo que determina la supervivencia de una organización empresarial es su continuidad de negocio, el cual se refiere a preservar el normal desarrollo de los procedimientos y medidas para garantizar la permanencia de las funciones esenciales de la organización.
Para determinar el alcance de la seguridad deberíamos ser capaces de dar respuestas al menos a estas tres preguntas clave: ¿qué es lo que tengo que proteger? -el objetivo-; ¿de qué/quién lo tengo que proteger? -los riesgos y las amenazas-; y ¿cómo lo tengo que proteger? -estrategias y medios-
Objeto a proteger. El fin último de la seguridad empresarial -superviviencia- es garantizar la continuidad de negocio y para ello se tienen que atender muchos aspectos. Uno de ellos, hoy en día de vital importancia como consecuencia de la interconectividad de las sociedades, es la reputación, entendida esta como el impacto y percepción de nuestra actividad en los diferentes stakeholders. Otro aspecto sobre el que se debe prestar una atención especial es sobre los procesos que conforman la operación empresarial, entendiendo que estos pueden ser afectados tanto de una manera física, como virtual, mediante un uso perverso el ciberespacio; a lo anterior debemos añadir la protección de activos; así como, y no por citarla la última menos importante, las personas, en el convencimiento que desde la dirección corporativa de una empresa existe la obligación de proteger a sus empleados. Lo anterior pone de manifiesto que también en el ámbito empresarial debemos analizar la seguridad desde un enfoque multidimensional.
Determinar aquello que nos puede afectar. Los desafíos a los que se enfrenta una empresa (amenazas y riesgos) pueden tener una dimensión física como es un daño a sus trabajadores, ya se trate de acciones delictivas (secuestro,
extorsión, etc.) como las que está relacionadas con la seguridad en el trabajo (riesgos laborales); las que se dirigen contra bienes inmuebles y muebles, como en el caso anterior, independientemente de su origen (intrusión, incendios, afectaciones por catástrofes naturales, etc.); contra sus activos ya sean económicos o financieros, debiendo protegerlos actividades delictivas como el robo, fraude, etc., ya tenga su origen dentro de la empresa como fuera de ella. Y hoy en día han tomado una importancia creciente la protección contra todo tipo de agresiones desde el ciberespacio; así como el control de las redes sociales desde la que se puede ver afectada de manera notable la reputación y por ello, la comunicación debe estar íntimamente relacionada con la seguridad.
Definir las políticas y estrategias de seguridad y disponer de la organización y los medios adecuados. Se trata con ello de integrar la seguridad como una de las políticas transversales de las empresas que, dirigidas por la alta dirección, infieren en la actividad de los diferentes departamentos de la organización. En este apartado se tendrán en cuenta el diseño de la estrategia de seguridad de la empresa, el plan de continuidad de negocio, los planes de contingencia, incluyendo los que se refiere a la gestión de emergencias y crisis. También se deberán determinar los medios necesarios para proporcionar una seguridad efectiva y eficiente en los diferentes campos de la actividad empresarial.
Una vez que se ha dado respuesta a las tres preguntas mencionadas, se puede decir que tenemos definido el armazón de la seguridad de nuestra organización, el cual determinará el grado de seguridad que se puede alcanzar, puesto que la seguridad plena es imposible, y basándose en él se estará en condiciones de determinar la vulnerabilidad que se puede asumir y en consecuencia habrá quedado definido el “nivel aceptable de inseguridad”. Esto es precisamente uno de los motivos por los que la seguridad es un problema complejo, incluso “perverso”, pues tiene lugar en al marco de la inseguridad, sin disponer normalmente de las todas capacidades necesarias, y en ocasiones ni de las competencias, para solucionarlos.
Una vez analizado como se adaptan los conceptos básicos de la seguridad a las organizaciones empresariales nos adentraremos en la descripción del modelo de seguridad corporativa. Aunque no existe una definición precisa para ella, esta
se entiende como el conjunto de políticas, procedimientos y recursos humanos, organizativos y técnicos destinados a la protección de las personas, de los activos tangibles e intangibles y de la reputación de una organización. Más allá del valor de esta definición, quizás sea más oportuno considerarla como una función, la cual tiene por objeto la identificación, gestión y mitigación, en una fase temprana, de cualquier situación que pueda amenazar la resiliencia y la capacidad de supervivencia de una organización. Desde esta doble perspectiva, se nos permite comprender su objeto, es decir la continuidad de negocio y en consecuencia la supervivencia de la empresa, así como su carácter integral al incluir a todos los elementos -tangibles e intangibles- de la organización.
La seguridad corporativa va más allá de la seguridad física de sus activos, aspecto este que, por otra parte, la vincula con la seguridad privada, incluyendo el análisis y evaluación de los diferentes procesos directivos. Estamos pues ante una función transversal relacionada con diferentes departamentos y áreas de negocio lo cual justifica que se encuentre directamente subordinada a la alta dirección.
La dirección de seguridad corporativa asumirá normalmente los siguientes cometidos generales:
-
- Relacionados con la gestión. Será el primer responsable de los siguientes asuntos:
- Cumplimiento. Más conocido por su equivalente en inglés de “compliance”, se refiere a la gestión orientada al cumplimiento normativo de las empresas. Con ello se trata de vigilar y supervisar la observancia normativa para asegurar el desempeño de las organizaciones dentro de la legalidad y que permitan adoptar las acciones necesarias para evitar o al menos mitigar los riesgos.
- Área de riesgos. La gestión de riesgos, para que sea eficaz, debe tener un carácter preventivo, lo que significa contar con una Inteligencia que permita su identificación, análisis y evaluación; es necesario diseñar una organización para la gestión de riesgos que permita la continuidad de negocio; y disponer de unos planes y procedimientos que deberán ser implementados de manera escalonada y progresiva.
- La protección de todos los activos de la organización, incluida la reputación
- La seguridad de la información, lo que aconseja designar un responsable bajo su directa supervisión de la seguridad de la información y la protección frente a agresiones en el ciberespacio
- Además de lo anterior deberá coordinar y en su caso asesorar en los siguientes campos:
- Relacionados con la gestión. Será el primer responsable de los siguientes asuntos:
- En la actividad de las diferentes unidades de negocio con el objeto de analizar potenciales riesgos y amenazas, e identificar posibles áreas de oportunidad en relación con sus competidores, aliados y asociados, mediante procesos de “due dillegence”
-
- En los diferentes procesos de personal, en particular en los procesos de selección y el ya referido de cumplimiento. En este ámbito de actividad cobra especial importancia la vigilancia del fraude interno.
- La administración y las finanzas son funciones de gran importancia para la continuidad de negocio y en consecuencia se deberán establecer unos mecanismos de control para asegurar su integridad
- En lo que se refiere a los sistemas de información, estableciendo medidas de control (clasificación, difusión, custodia, etc.), tanto en lo que se refiere a la documentación física como a la información en red. Otra actividad esencial es la supervisión de la seguridad de las diferentes plataformas tecnológicas y sistemas de información. Las medidas de ciberseguridad es algo que tiene una importancia creciente, dada su especialización y complejidad, en muchas será preciso externalizar esta función.
3. QUÉ PUEDEN APORTAR LA SOLUCIONES DE INTELIGENCIA A LA SEGURIDAD CORPORATIVA EN UNA PYME
De acuerdo con lo expuesto en el punto anterior la seguridad debe observarse con cuatro diferentes lentes: la del estado o condición a alcanzar y mantener, con esta lente nos centramos en el objeto referente de la seguridad -continuidad de negocio-; la lente de la situación que debe de ser manejada, centrándose en los desafíos que afectan o pueden afectar a los valores e intereses , es decir, deberemos identificar, analizar y evaluar los riesgos y las amenazas a la
seguridad; la de la acción, o mejor conjunto de acciones a desarrollar, o lo que es lo mismo la definición de estrategias y planes, y la aplicación de medios; y la que se corresponde con la función que define la responsabilidad de los actores, entendiendo de este modo a la seguridad como un conjunto de relaciones.
Ilustración 1. Las Cuatro Lentes de la Seguridad
Entendida esta visión ampliada de la seguridad estaremos en mejores condiciones de comprender como puede contribuir a ella la inteligencia. Para ello utilizaremos las dos primeras lentes de las arriba descritas: la que tiene que ver con el objetivo o referente a proteger, y la que atañe a la seguridad como situación para detectar, identificar, analizar y valorar los riesgos y amenazas que pueden afectarla.
Por otra parte, la inteligencia no se limita al ámbito de la seguridad, sino que se trata de una actividad o función básica en los procesos de toma de decisiones que orientan la actividad y en su caso el cambio de toda organización empresarial, como es el caso de la inteligencia competitiva. Todo cambio está normalmente forzado, y siempre condicionado, por el contexto en el que se mueve la organización. Quiere decir, que además de conocer nuestras propias fortalezas y debilidades, se precisa conocer las oportunidades y amenazas que conforman el contexto en el que desarrollamos nuestra actividad, ya nos refiramos al Estado o a una organización empresarial. La inteligencia es pues la herramienta capital que nos va a facilitar la información precisa sobre los procesos internos, así como del contexto externo, permitiendo con ello alcanzar una posición de ventaja en la toma de decisiones.
Centrándonos en la relación de la inteligencia con la seguridad, cabe concluir, a la vista de lo hasta aquí expuesto que no es tarea fácil, sin duda, dar certeza, o al menos reducir la incertidumbre, en entornos tan complejos como los sistemas abiertos, como es el caso de la seguridad en nuestros días, y por ello la Inteligencia también ha tenido y tiene que adaptarse permanentemente a este nuevo y complejo contexto.
La primera consideración en la obtención de la inteligencia -primera lente- es que ésta debe orientarse a la que, a la postre, es su finalidad fundamental, la supervivencia del objeto a proteger: la continuidad de negocio en el caso de las empresas. Se podría afirmar que éste ha sido uno de los principios inmutables en la obtención de inteligencia: el objetivo como foco de la actividad de la inteligencia. Lo que ha cambiado no es tanto el concepto de la “inteligencia centrada en el objetivo”, como acertadamente nos propone Robert M. Clark1, sino la naturaleza del propio objetivo, el que tradicionalmente ha sido un sistema cerrado en el que las interacciones exteriores eran relativamente limitadas, para pasar hoy en día a constituir un sistema abierto, con unos niveles de relaciones mucho más extensos, con organización no lineal, sin responder a un orden jerárquico, y caracterizados por mayor dinamismo. Un sistema en sí mismo complejo.
Desde la lente de la situación para entender la seguridad, ésta se centra sobre los riesgos y las amenazas, lo que requiere a su vez un exhaustivo análisis del contexto.
Los riesgos, de naturaleza y origen muy variables, son también muy numerosos, máxime en el contexto de complejidad e incertidumbre ya descrito, por ello resulta materialmente imposible atender de manera permanente a todos ellos y en consecuencia se trata de priorizar los esfuerzos en base a su impacto sobre el objeto a proteger y la probabilidad de que se materialice. De manera que sobre los más probables y peligrosos será necesario establecer unas medidas permanentes de prevención y respuesta, sobre aquellos que aún siendo de menor probabilidad su impacto sea considerable (umbral de riesgo) se formulan
1 Clark, Robert M. 2017 “Intelligence Analysis. A Target Centric Approach. SAGE. London, UK
planes y o medidas de contingencia, y para el resto se deberán establecer los correspondientes sistemas de alerta (temprana).
Desde la perspectiva del análisis, éste ha tenido que centrarse de una manera más eficiente atendiendo a esta mayor complejidad del objetivo, esto, entre otras consecuencias, ha motivado la necesidad de reconfigurar el tradicional y rígido ciclo de inteligencia, para conformar uno más abierto y dinámico. Pero, además, atendiendo al carácter multidimensional de la seguridad ha motivado a que la inteligencia se haya visto obligada a ampliar sus campos de actuación, lo que ha motivado abrir nuevos conceptos como es el de la Inteligencia Colaborativa, la cual supone compartir el conocimiento apoyándose en las nuevas tecnologías, de manera que se podría decir que la Inteligencia ha pasado de “la información es poder” a “el conocimiento es compartir”. Consecuencia directa de estas dos orientaciones, y posiblemente causa de ellas ha sido el desarrollo exponencial de las nuevas tecnologías, lo que, entre otras cosas, ha alterado la relación entre las diferentes fuentes de Inteligencia, cobrando una importancia creciente las fuentes abiertas (OSINT).
Para ser competitivo en la economía global de nuestros tiempos, debemos aprender a pensar de manera colaborativa e innovadora. Son muchas las organizaciones que desde hace unos años apuestan por el reclutamiento y la retención de talento corporativo, con lo que partimos de la base de que contamos con empresas repletas de talento y de ideas innovadoras que encuentran un terreno propicio en los entornos que favorecen la colaboración, y que por supuesto cuentan con los recursos tecnológicos y la financiación para poder llevar a cabo proyectos ambiciosos.
“The fact that we are different doesn’t mean that one of us is wrong. It just means that there’s a different kind of right” (Faith Jegede)
Conscientes de esta necesidad del mundo empresarial Two Worlds Collaborative Intelligence (TWCI)2 ha desarrollado un modelo de colaboración novedoso y adaptado a las necesidades de los clientes, orientado tanto a las grandes como
2 Empresa española de consultoría en seguridad e inteligencia estratégica, en particular sobre los procesos complejos de la internacionalización, los cuales requieren contar con el más amplio conocimiento posible del contexto exterior para identificar las oportunidades y amenazas, así como disponer de la información oportuna y precisa de los requisitos normativos del país de destino, y todo ello sin olvidar la necesidad de conocer y entender los diferentes modelos culturales.
a las medianas y pequeñas empresas, siendo estas últimas las que tienen mayores dificultades para contar con sus propios equipos de inteligencia. Para ello ha construido una red de colaboradores en diferentes áreas de conocimiento y en distintas regiones del mundo que permite la integración de productos de inteligencia eficientes y competitivos.
Uno de estos productos es el denominado “Sistema de Vigilancia e Inteligencia”, como una de las herramientas más importantes para el desarrollo de nuevos negocios, para con ella acelerar y respaldar la toma de decisiones en proyectos con alta incertidumbre.
Ilustración 2. Sistema de Vigilancia e Inteligencia by TWCI
Aunque se traten de dos conceptos diferenciados son, a su vez, complementarios. Mientras la vigilancia centra su actividad en la identificación de necesidades y monitorización sistemática, organizada y permanente de información relevante para su empresa, la inteligencia se encarga de analizar dicha información para transformarla en conocimiento útil para su organización.
La convergencia de ambas materias conforma el Sistema de Vigilancia e Inteligencia (SVI), el cual consiste en un procedimiento ético y sistemático de recolección, análisis, difusión y comunicación de información estratégica empresarial que tiene como fin último mejorar la toma de decisiones.
Independientemente de qué tipo de dimensión de actuación quiera darse, la vigilancia y la inteligencia como herramienta integrada supondrá varios beneficios para la actividad de la empresa en la medida que contribuye a
disminuir la incertidumbre; a acelerar los proyectos de innovación, identificando socios tecnológicos o comerciales e incentivando actividades cooperativas y colaborativas; a definir las estrategias de innovación y de desarrollo; a reducir la subjetividad e influencia de sesgos cognitivos; reforzar la prevención mediante un sistema de alertas tempranas sobre cambios en el entorno y en cualquier ámbito de interés para la empresa; así como detectar riesgos, entendiendo éstos como amenaza y como oportunidad, así como identificar las debilidades y las fortalezas de la organización.
Se trata de un producto de amplio espectro, cuyas principales áreas de actividad son:
- Ámbito competitivo o corporativo
- Ámbito tecnológico
- Ámbito reputacional
- Ámbito de seguridad
El SVI es aplicable a cualquier tipo de empresa gracias a la capacidad de TWCI de adaptarse a las necesidades concretas de su organización independientemente de su tamaño, sector o zona geográfica.
Incluso si aún posee procesos muy tradicionales, el SVI le ayudará a entender cuáles son las innovaciones más idóneas para ciertas áreas de su empresa, sin tener que pasar por un proceso de “ensayo y error” poco informado. El SVI dará soluciones más viables, acertadas y concretas.
Se trata de un producto que genera valor mediante la realización actividades encaminadas a:
- Vigilancia Digital en Fuentes Abiertas. Escucha social y monitorización en fuentes abiertas de las temáticas de interés definidas en el alcance del servicio.
- Detección de oportunidades. A partir de la monitorización de temáticas destacadas y sub-temáticas, actores de interés y comunidades destacadas
- Sistema de Alertas. Alertas automáticas y generadas por los analistas para identificar impulsores y disparadores de riesgo. Visualizados mediante indicadores
- Modelo de entregable. Posibilidad de ajustar la modalidad de los entregables de acuerdo con las necesidades del cliente
- Presentación de la información. Presencia de indicadores gráficos que reúna los puntos claves en una presentación ejecutiva.
4. CONCLUSIONES
Ilustración 3. El SVI como valor añadido
A la hora de diseñar las políticas y estrategias de seguridad es importante tener presente dos patrones de conducta irrenunciables. El primero es que la seguridad es proactiva y en consecuencia se precisa disponer de las herramientas necesarias para anticiparnos a las situaciones adversas, siendo la principal de ellas la Inteligencia la que ayudará a mantener la ventaja competitiva. Pero asumiendo la necesidad de anticipación a los acontecimientos, también, y no menos importante, se debe fomentar la “cultura de crisis”, es decir la capacidad de tomar decisiones ante acontecimientos no previstos, sin temor al error. Al contrario, el error es una extraordinaria fuente de aprendizaje, mientras que la inacción, característica de la “cultura del miedo”, supone el camino al fracaso. El segundo patrón de conducta es comprender que los procesos de toma de decisiones estratégicas se fundamentan en “hacer lo correcto”, es decir determinar de manera clara el fin y los medios a emplear, mientras que en los niveles más bajos de decisión se trata de “hacer las cosas bien”, pues el camino ya está trazado. En ambos niveles de decisión se requiere
contar con la inteligencia adaptada a la situación y acorde con las necesidades de la organización
La seguridad es algo que no se improvisa, es un área de conocimiento de muy amplio espectro que precisa una gran preparación. Esta es una función básica para cualquier organización, en consecuencia, al igual que a nivel nacional la seguridad es una de las principales políticas de cualquier organización, en una empresa la seguridad debe de estar directamente vinculada a la alta dirección.
La inteligencia es una herramienta irrenunciable para los tomadores de decisiones y hoy en día, atendiendo a la amplitud de campos que abarca y a la propia complejidad del entorno en el que las empresas desarrollan sus actividades la inteligencia colaborativa está cobrando una importancia creciente. De un modo sintético se podría afirmar que ésta es más propia de grupos de trabajo que de grandes masas de personas; que se ve facilitada cuando el objetivo a conseguir o reto a superar se encuentra bien identificado y definido; que requiere una precisa selección de los participantes en el proyecto, con base en sus competencias y habilidades; y debe contar con las herramientas digitales adecuadas para su desarrollo.
El Sistema de Vigilancia e Inteligencia desarrollado por TWCI, y customizado a cualquier empresa, supone un proyecto de gran valor para proteger tanto los elementos tangibles como los intangibles de una organización; para identificar las oportunidades de desarrollo de negocio; y para detectar las señales de alarma que prevengan situaciones no deseadas.