POLITICA CRIMINAL

Análisis

Introducción

Vivimos en un entorno cambiante y globalizado. Desde el punto de vista de la seguridad global, y por tanto de la gestión del riesgo, el entorno es además hostil, tanto para las instituciones públicas como las privadas. Los Estados tienen sus intereses y, aunque en ocasiones sean compartidos, la razón de Estado a veces prevalece sobre ese espacio común. Bien se trate de países tradicionalmente hostiles, bien de socios o aliados, lo cierto es que los Estados tienen intereses en su territorio y en el de la competencia o aparentemente neutral, y que dichos intereses se hallan expuestos a riesgos originados y presentes en todas las ubicaciones posibles, incluido el ciberespacio. En el ámbito privado ocurre algo parecido: las empresas, y en especial las grandes corporaciones, tienen sus activos repartidos por todo el mundo, expuestos a todo tipo de amenazas, algunas de ellas derivadas de la propia movilidad de dichos activos y amenazas. El enfrentamiento de un catálogo de amenazas llamémosle tradicional con el repertorio de activos que hoy día Estados y compañías poseen en todo el mundo, convierte la gestión de la seguridad global en un auténtico reto.

Hoy día, esa “multinacionalidad” de las amenazas se combina con la de los activos, obligando a realizar un análisis más complejo que los ya de por sí complicados análisis sectoriales centrados en los sistemas de información, en los bienes inmuebles, medioambiente incluido, o en aquellos intangibles cada vez más determinantes en la sociedad de la comunicación y de la percepción en que vivimos. Las dependencias entre amenazas y activos son elementos de estudio obligado en un mundo en el que las fronteras de todo tipo son muy difusas. La denegación de servicio en un sistema de información posiblemente comience con una intrusión, y no necesariamente informática. Un fallo en el control de accesos físicos de una compañía puede provocar una fuga de información en soporte papel o digital, tan dañina a efectos de confidencialidad como la que tendría lugar mediante un “troyano” introducido por un hacker. Un centro de proceso de datos debe ser un área tan segura como el vehículo que transporta habitualmente al consejero delegado de una gran corporación. Hay muchas clases de soportes de información vital para la empresa, y todos precisan una protección eficaz para garantizar la confidencialidad, la integridad y la disponibilidad de esa información.

En estos tiempos en los que la piratería en el Océano Índico campa por sus respetos y pone en jaque a la seguridad global de los Estados, estamos viendo cómo cualquier empleado de cualquier compañía, y no necesariamente de alto nivel jerárquico, puede convertirse en un grave problema de seguridad. La probabilidad de que una amenaza se materialice aprovechando la vulnerabilidad de toda persona, no es cuestión de nómina. El caso de la piratería en el Índico es muy ilustrativo de la relatividad de los enfoques tradicionales: el secuestro de unos empleados y de unos activos pertenecientes a una empresa privada se convierte en toda una crisis para un Estado. Entonces… ¿dónde comienza y termina la privacidad de los activos, al menos en cuestión de su seguridad?

Hoy día, en un análisis de riesgo global hay que prestar atención a muchas variables. Tengamos presente que la criticidad de un activo no deriva sólo de su estatus, sino de sus dependencias con relación a los demás, sean de la empresa o del Estado. Dejemos la piratería marítima y pensemos en las infraestructuras críticas de un Estado: en centrales energéticas, mercados financieros, centrales de telecomunicaciones y de transporte como aeropuertos, estaciones de metro y terminales de trenes y autobuses, centrales de control y distribución de agua, gas y electricidad, refinerías de petróleo… El 80% de ellas son de titularidad privada. Entonces, ¿a quién compete su seguridad? Sin duda, al ámbito privado y también al público. La gestión global de intereses obliga a la gestión global de los riesgos para lograr también una seguridad realmente global.

El mundo público y privado necesitan de gestiones sinérgicas. Las empresas y los Estados, los activos y las amenazas, las nuevas tecnologías y la diversificación de mercados… se benefician de oportunidades globalizadas y también abren nuevos frentes que proteger. Los avances tecnológicos han propiciado más herramientas de trabajo, pero también un grado de incertidumbre añadido. Los actores públicos y privados deben dotarse de una armadura eficaz que les permita operar en ambientes de incertidumbre con el mayor grado posible de seguridad. El entorno cambiante, globalizado y hostil tiene capacidad de explotar vulnerabilidades, provocando situaciones de crisis y de emergencia. Es imperativa la convergencia entre actores, entre disciplinas, ente metodologías y entre herramientas.

El entorno de seguridad

Los catálogos tradicionales de amenazas deben ser revisados a la luz de la vida actual. Los actores públicos y privados se hayan sujetos a amenazas que, según qué activo y sus particulares circunstancias, se traducirán en un riesgo mayor o menor.

Tanto el Estado como las empresas se hallan bajo la exposición de estos vectores de seguridad:

• Las agresiones de todo tipo contra el personal, tenga el nivel que tenga en la empresa o en la institución, como el asesinato, el secuestro, la extorsión y el chantaje, todas enfocadas en la libertad personal, con origen en la delincuencia común, el terrorismo o el crimen organizado.

• La competencia con otras empresas o con otros Estados, en especial las actividades de Inteligencia, y en general la actuación lesiva para los intereses propios desde terceras partes (competidores, proveedores, clientes, accionistas, socios, aliados críticos…).

• Con independencia del grado de sofisticación tecnológica pública o privada, actividades voluntarias y fortuitas, internas y externas, dirigidas contra instalaciones y soportes de información, sean tecnológicos o no, que supongan pérdida o destrucción de información; aquí entran las acciones de hacking amateur y profesional, y la adquisición o mantenimiento inapropiados de medios tecnológicos que almacenan, procesan y trasvasan la información.

• Las perturbaciones de índole social, política y económica de aquellas regiones de interés actual y futuro.

• La conflictividad laboral vinculada a los recursos humanos durante el ciclo completo de la vida laboral de todo empleado, con independencia de su nivel, es una amenaza clave y ejemplo del carácter transversal de la seguridad.

• Las operaciones esenciales vinculadas al mantenimiento de las instalaciones y de sus contenidos son críticas, y no deben permanecer ajenas a las consideraciones de seguridad.

• Las acciones delictivas dirigidas contra bienes en forma de atracos, robos, hurtos, fraudes, falsificaciones de moneda o de información, e incluso el vandalismo.

• Las acciones de la naturaleza, unas más previsibles que otras: incendios, catástrofes y otros acontecimientos que puedan originar destrucciones o inhabilitaciones masivas de forma temporal o permanente de todo tipo de recursos. Piénsese en la pandemia de gripe actual y en su agresividad simplemente en términos de capacidad de contagio como causa de ausencias laborales prolongadas en procesos críticos para toda organización, sea pública o privada.

• Las actividades voluntarias o fortuitas, provenientes del interior o del exterior del ámbito a proteger, que puedan constituir una agresión al medioambiente.

• Las actuaciones específicas o generales que puedan afectar al valor cada vez mayor de los activos intangibles (credibilidad, reputación, solvencia de la marca…), originando daños severos o irreparables. Las entidades públicas y privadas, en materia de seguridad global, deben actuar con sentido de la responsabilidad social, cuestión de especial relevancia y con influencia creciente en todo resultado final.

Que el Estado o una empresa sea capaz de afrontar con éxito la gestión de riesgos exige, por tanto, conocerse muy bien a sí mismo y conocer muy bien el entorno donde opera. Esto significa ser capaz de mirar hacia dentro, de vigilar el perímetro –cada vez más difuso– y también de observar y analizar lo que ocurre al otro lado.

Una metodología

Todo está inventado. O casi todo, porque una relectura de lo mucho escrito sobre gestión de riesgos permite hacerse una composición acerca de lo que hay, del gap existente con las necesidades actuales y del camino a recorrer en la dirección adecuada. La dirección adecuada… ¿para qué? Para poder realizar un análisis de riesgos realmente convergente y global.

El objetivo último de toda metodología de seguridad es múltiple: concienciar a los responsables de la seguridad (la alta dirección de una empresa, los gobiernos) y a los responsables directos de los activos acerca de la existencia de riesgos y la necesidad de proteger aquéllos; disponer de un marco teórico y sistemático que permita detectar amenazas, activos y riesgos asociados, para poder evitar o mitigar sus efectos; final y opcionalmente, lograr certificaciones que acrediten un nivel aceptable de seguridad de la organización o del proceso en cuestión.

El abanico de disciplinas de seguridad es enorme, y algunas de ellas son auténticas decanas en el campus de la seguridad. Todas utilizan un repertorio más o menos extenso de metodologías, en la mayor parte de los casos adaptadas a los riesgos que pretenden gestionar. En unos casos, se centran más en las amenazas y, en otros, sobre los activos. Por esta razón, encontrar una metodología de amplio espectro que

...