Seguridad de la informacion

Seguridad e Inteligencia Económica

¿Qué tiene que ver la seguridad con la inteligencia económica? En anteriores artículos hemos ido desgranando los diferentes pasos de los procesos de Inteligencia. Empezamos con ¿por qué Inteligencia Económica? con el testimonio del Prefecto Rémy Pautrat; pasamos a desglosar las bases teóricas y metodológicas de la Inteligencia desde su pilar básico, la vigilancia. Posteriormente pormenorizamos un ejemplo concreto de cómo llevar a cabo un tipo de vigilancia, la vigilancia de la competencia (o vigilancia competitiva) porque entendemos que es uno de los ejemplos más útiles para las empresas en estos momentos de crisis.

Y  aquí es donde entra la seguridad; en el proceso perteneciente a la Inteligencia posterior a la obtención de Valor Añadido desde la recolecta, análisis y difusión de información relevante para la toma de decisiones (es decir, posterior a la vigilancia). En resumen, en el diagrama de Gantt del flujo de la información, la seguridad va después de la vigilancia. Pero no olvidemos, la vigilancia es inteligencia y la seguridad es inteligencia. Ambas forman parte de esta apasionante disciplina.

Inteligencia económica implica recolectar información sobre el entorno; ya sea competencia, mercado, clientes, etc. Pero siempre de forma ética y legal (…)

Pero debemos decir que la seguridad que concibe la Inteligencia para sí misma no es la que está al uso. Es una seguridad global en cuanto a la utilización de la información. Y por ser global tiene en cuenta (entre otros) los siguientes aspectos:

  • Seguridad para evitar el acceso a la información a personas no habilitadas para ello. En este punto, hablaremos de seguridad perimetral, sistemas de vigilancia y política interna de seguridad.
  • Seguridad en la transferencia de información entre miembros habilitados de la organización. Vemos que los términos “miembros habilitados” no implica obligatoriamente PERTENENCIA a la organización. Pueden ser miembros habilitados clientes, proveedores, distribuidores, partners, personas pertenecientes a la administración o a grupos de interés, etc. ¿Quiere decir, esto, que todos ellos tienen acceso a TODA LA INFORMACIÓN? En absoluto, para cada una de estas tipologías de actor relevante a la organización debe existir un grado de confidencialidad o tipo de habilitación. Es decir, cada grupo tiene acceso a un tipo de información y no al resto. La política interna de seguridad también se debe encargar de definir cada necesidad tipo, cada punto de acceso tipo por tipología de actor, cada sistema de verificación de la estanqueidad de de la información por punto de acceso y por tipología de actor. En la seguridad de la transferencia de información confluyen varias disciplinas:
    • Seguridad informática.
    • Seguridad humana (se puede dejar escapar información en un bar o padecer acciones de ingeniería social).
    • Seguridad RRHH (asegurar la contratación de personal exento de riesgo).
    • Seguridad de la E-Reputación y vigilancia social (evitar los comprometimientos en medios sociales o actos de vandalismo hacia la marca).
  • Seguridad empresarial en la protección del patrimonio intangible de la organización. Consiste en detectar malas prácticas de competidores, de grupos de presión, de ex empleados descontentos, de ex clientes, ex proveedores, ex distribuidores. Vamos, cualquier práctica desleal perjudicial para la empresa. Unos ejemplos concretos: gestión de crisis (detección de tendencias en cuanto a deformación de la información relevante a la marca con el fin de crear argumentaciones ad hoc y así evitar el menoscabo de la misma. Se  protege de este modo la imagen, la notoriedad y la percepción de la marca mediante una gestión óptima de su reputación y E-Reputación), ataques contra la propiedad intelectual  e industrial (uso de tecnología patentada sin pagar royalties, uso de documentos emitidos por la empresa sin la autorización expresa de la misma…), creación artificial de focos de presión social, detección de la ruptura de alguna de las condiciones en acuerdos con un distribuidor, proveedor o colaborador, detección de ventajas competitivas ilícitas por parte de la competencia (por ejemplo, no respeto, por parte de un competidor, de alguna norma a la que nuestra empresa esté sujeta y que implique reducción de margen por nuestra parte), detección de abusos de posición dominante por parte de grupos o incluso de acciones de lobby…

Insistimos; ¿Qué tiene que ver la seguridad con la inteligencia económica?

Proteger la información de forma óptima requiere anticipación, por eso lo enmarcamos dentro de la inteligencia. Requiere una visión proactiva antes que reactiva, y para ser proactivo es necesario conocer las amenazas que se ciernen sobre una empresa en general, y sobre la información en particular (la seguridad en inteligencia se focaliza, ante todo, en la seguridad DE LA INFORMACIÓN).

La seguridad en el tratamiento de información debe integrarse en el sistema de gestión de las empresas para asegurar el uso controlado de la información según el grado de confidencialidad y mostrarse atento a su manipulación con el fin de evitar fugas o simple captación de la misma. Básicamente, se resume en evitar ponerlo demasiado fácil a quién quiera información estratégica. De lo contrario, incurriríamos en negligencia.

Una estrategia global sin resquicios evita tentaciones, y las empresas son responsables de evitarlas. Pero para evitarlas es necesario no solo apoyarse en tecnología, sino concebir una estrategia de seguridad en el plano organizativo, del personal o reglamentario y jurídico. Insistimos, creer que la tecnología es necesaria y suficiente es un error, porque no olvidemos que la protección global del patrimonio no es un coste sino una inversión y se justificará desde el momento en que estimemos las consecuencias financieras dimanantes del robo de un portátil con información sensible o una divulgación involuntaria sobre el clima social de la organización. Cosas que pueden evitarse mediante sensibilización, protocolos y estrategias, además de con tecnología. Como siempre en inteligencia, debemos justificar su valor mediante la demostración de que nos hace ganar lo que sin ella se perdería.

Por tanto, en una política de seguridad, se debe:

  • Conocer los circuitos de decisión a la perfección.
  • Conocer el flujo de información interno a la organización (conocer quién debe tener acceso y a qué información)
  • Conocer, para las empresas más consecuentes, las redes informales internas que vehículan información de forma no jerárquica y los riesgos inherentes y específicos de comunicación (por ejemplo, a través de procesos de gestión del conocimiento).
  • Establecer protocolos de obsolescencia de la información (una información caducada se añade al informe de situación para que dé nueva perspectiva al conjunto pero no se divulga como alerta).
  • Establecer sistemas de sensibilización por tipología de actor interno y externo.
  • Establecer protocolos, decálogos de buenas prácticas y acciones de comunicación interna para cerciorarse de que todos estén al tanto.
  • Establecer auditorías de riesgos y de control en cuanto a seguridad informática y humana. Aquí citaremos como tipo de inteligencia el HUMINT: “recolección de información por personal especialmente entrenado, por medio de contacto interpersonal, usando una variedad de tácticas y métodos tanto activos como pasivos, cuyo objeto son otras personas de las cuales se puede extraer información o colaboración para obtenerla”; (Foro Intelpage.info) Hacemos hincapié en sensibilizar al personal ante este tipo de acción ya que entendemos que existe ya conciencia de la importancia y grandes profesionales en lo que a seguridad informática y perimetral se refiere.
  • Red informática segura: La seguridad en informática hace el acceso a la información más lento. Hay que estudiar bien las necesidades REALES; demasiada seguridad hace complicado el trabajo, escasa seguridad hace el trabajo arriesgado. Por tanto, soluciones de encriptado para DETERMINADAS informaciones y no otros, discos duros protegidos para DETERMINADOS archivos y no otros, accesos restringidos para DETERMINADOS usuarios y no otros. Que la cosa fluya…
  • Protección de la vida privada y de la información individual.
  • Seguridad en cuanto a la adecuación a las normas y leyes (Due Diligence, Compliance) por parte de la organización. Pero el aspecto  adecuación a los usos y costumbres del mercado en el que va a vender, sobre todo en iniciativas de internacionalización, también forma parte del aspecto “seguridad” en inteligencia. No se pueden perder clientes por cometer errores culturales.
  • Seguridad perimetral adaptada: detectores, cámaras, monitorización, seguridad privada. Todo en su justa medida, claro, pero suele ocurrir que las empresas no creen que pueden ser objeto de depredación por lo suelen subestimar sus necesidades. Muchas PYMES y MicroPYMES son más importantes de lo que parecen, sólo que ellas mismas no se lo creen. Es labor del Estado evangelizar al respecto desde procesos de inteligencia territorial y a través de Cámaras de Comercio, administraciones, centros de innovación; o incluso, y ¿por qué no?, de Centros tecnológicos o asociaciones sectoriales y empresariales.

La seguridad en inteligencia y su relación con la inteligencia territorial (IT)

Este último punto nos permite hacer hincapié en el rol primordial del estado en la protección del patrimonio empresarial a través de la inteligencia territorial. En la esfera territorial, la seguridad es un prerrequisito estratégico y operativo fundamental para los actores tanto públicos como privados porque aporta fiabilidad a sus inversiones productivas, tecnológicas y de I+D+i, así como a sus inversiones “humanas” en personal y relaciones institucionales o laborales. Es un elemento primordial en el éxito de los proyectos empresariales de una zona y engrandece la seguridad de las empresas porque fomenta un conjunto de medidas cuyo fin es garantizar un espacio vital económico seguro, equilibrado, dinámico, propicio y seductor para quienes quieran lanzarse a invertir (internos al territorio o extranjeros).

Aquí citaremos la directiva firmada por el presidente de los Estados Unidos el pasado 22 de septiembre de 2010 en la que “se reconoce al desarrollo territorial como un elemento de vital importancia para la seguridad de los Estados Unidos […] que constituye un imperativo estratégico, económico y moral”. Es más, en el Discurso de las Naciones Unidas en Nueva York durante la cumbre de la OMD (Objetivos de Desarrollo del Milenio) se cita a la seguridad económica como “factor clave en la creación de empleo, en las actividades turísticas y que debe considerarse como una de las nuevas tendencias de la economía global”.

Y ya que podemos citar nociones como ética y moral en inteligencia y seguridad, queremos indicar que la inteligencia económica implica recolectar información sobre el entorno; ya sea competencia, mercado, clientes, etc. Pero siempre de forma ética y legal. Y para ilustrar esto dejamos a continuación el código ético de los profesionales de inteligencia competitiva en España:

  • Operar con procesos y métodos de trabajo siempre dentro de la legalidad de cada país y la internacional relacionada con éste campo.
  • No utilizar información obtenida por métodos impropios o ilegales, incluyendo falsear identidades, invasión de la propiedad o privacidad o  coacción.
  • Evitar conflictos de intereses.
  • Mantener la confidencialidad frente a terceros de los proyectos en los que se trabaja, y de acuerdo a los términos acordados en cada caso.
  • Trabajar en defensa de la profesión, con el fin de que se reconozca su honorabilidad y aportación a la sociedad.
  • No enmascarar, ocultar o falsear las conclusiones resultado de los análisis realizados, y ofrecer siempre recomendaciones e informes realistas en la medida del conocimiento que se tenga.
  • Cumplir con las normas internas de la propia empresa.

Esta información está disponible en el portal de ASEPIC, la Asociación Española para la Promoción de la Inteligencia Competitiva.

En el próximo artículo pasaremos a la siguiente y última fase del los componentes de la inteligencia económica, la influencia. Y es la última fase porque es la más complicada, pero también la que resulta más apasionante.

5 thoughts on “Seguridad e Inteligencia Económica

  1. Pingback: El tercer pilar de la Inteligencia Económica: la influencia | DOKUMENTALISTAS

  2. Adrian Macias Adrian Macias

    Muy acertado Juan Carlos, la referencia a la normativa resulta hoy necesaria y fundamental… Hugo está haciendo con esta serie un trabajo extraordinario de síntesis

     
  3. Juan Carlos

    Muy buen artículo. Por si interesa, te dejo dos comentarios:
    1.- Si hablamos de gestionar la seguridad de la información, quizá echo en falta una referencia a los sistemas de gestión de la seguridad de la información (SGSI o ISMS en inglés) y las normas de la familia ISO 27000.
    2.- Si hablamos de la gestión de la información, también hay que mencionar la muy recientemente aprobada ISO 30301(sistema de gestión de los documentos SGD).

     
  4. Hugo Zunzarren

    Buenos días Joaquina,

    Efectivamente. Y daría para otro artículo más obre LOPD y la Inteligencia Económica. Habría que hablar también de los usos correctos de las redes sociales y la protección de la privacidad mediante el uso consciente de su propia imagen numérica de marca. Es, ciertamente, un terreno interesante (el de la relación entre la IE y la LOPD) y escasamente trabajado.

    Si tienes alguna publicación al respecto, por favor, comunícanosla para que la tengamos en cuenta.

    Un saludo y gracias por tu aportación

     
  5. Joaquina Ramilo-Rouco (Documentalista) Joaquina

    Un apunte: cuando haces referencia a la “Protección de la vida privada y de la información individual”, estaría bien tratar sobre la Ley Orgánica de Protección de Datos, que afecta enormemente a este tema.
    Saludos!