La información, uno de los recursos más preciados de una Organización o Empresa, de la que depende su adecuado desarrollo y progreso.
La información es utilizada por las empresas para planificar, gestionar, controlar, medir su adecuado avance, y a su vez, les permite la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlo o eliminarlo.
Para este cumplimiento resulta de gran ayuda la ISO 27001 – Sistemas de Gestión la Seguridad de la Información (SGSI), norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan y que contempla los aspectos relacionados con la Ciberseguridad, que tan de moda está últimamente, debido a los ataques a grandes multinacionales a los que hemos asistido en los últimos meses.
La ciberseguridad se ha definido por la ISACA (Information Systems Audit and Control Association) como:
“Protección de activos de información, mediante el tratamiento de las amenazas que ponen en riesgo la información que se procesa, se almacena y se transporta mediante los sistemas de información que se encuentran interconectados”.
La eficiente y correcta utilización de la información, además de venir motivada por la mejora en la gestión empresarial, para lo que algunas organizaciones se auxilian de ERP “Enterprise Resource Planning” (sistema de planificación de recursos empresariales), debe observar la legislación del país de establecimiento, desde las normativas generales hasta aquellas más específicas que pueden afectar solo a determinados sectores, siendo de destacar en nuestro país las siguientes:
1.- La Ley Orgánica de Protección de Datos (LOPD) y el Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés).
2.- Ley de Propiedad Intelectual (LPI).
3.- Leyes de Propiedad Industrial.
4.- Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE).
5.- Reglamento Europeo de Identificación Electrónica y Servicios de Confianza en el Mercado Interior (eIDAS).
Como ya hemos señalado, la información permite a las organizaciones la evaluación del Riesgo y la aplicación de los controles necesarios para mitigarlo o eliminarlo. ¿Sabemos cómo utilizar la información para identificar y prevenir amenazas?
Ante la actual Crisis Económica, la Ciberinteligencia es de necesaria aplicación para las Organizaciones del Siglo XXI que quieran subsistir sin grandes sobresaltos.
Las crisis llevan a las organizaciones y empresas a una situación de estrés económico debido fundamentalmente a la disminución de sus ingresos, disminución que consiguientemente deriva en la reducción del gasto, y si bien muchas consiguen mantener su viabilidad, ésta sería impensable si además deben hacer frente a la materialización de algún riesgo imprevisto cuya transferencia no estuviese bien ejecutada o cuando su prevención no resultara eficaz: un incendio, un accidente laboral, un secuestro de información, un ataque Ciber, la infidelidad en algún directivo… o simplemente una pérdida de credibilidad.
Convertir la información en un producto útil es algo habitual en la estrategia de cualquier país para identificar sus posibles amenazas o “enemigos” y poder tomar decisiones informadas de cara a mejorar o establecer cambios en sus políticas internas y externas. Las Grandes Organizaciones, al igual que los países, realizan este análisis de la información para convertirla en aprovechable y lo hacen mediante lo que conocemos como “El Ciclo de Inteligencia”.
El ciclo de Inteligencia tiene la finalidad o puede estar encaminado a la toma de decisiones por los órganos de dirección, ya que el conocimiento otorga siempre una ventaja competitiva y permite monitorizar adecuadamente la evolución de las situaciones que se analizaron y que, por tanto, pueden afectarnos.
Las Organizaciones y Empresas del Siglo XXI, inmersas en la actual Crisis Económica generada por el virus SARS COV-2, no pueden improvisar sus Políticas de Prevención Globales y seguir aplicando medidas preventivas genéricas e inconexas a sus procesos productivos, necesitan tener disponible información útil para tomar Decisiones Informadas y decidir conscientemente.
Ya existen herramientas accesibles y asequibles que permiten a las Organizaciones y Pymes realizar su propio Ciclo de Inteligencia que analice la información de la que disponen sobre sus riesgos y su prevención, como la existente en OSINT “Open Source Intelligence” (conocimiento recopilado a partir de fuentes de acceso público) para establecer correctamente Políticas Preventivas Globales eficientes.
Para tener información sobre la eficacia de las Políticas Preventivas ya implantadas en la Organización o Pyme debemos tener en cuenta la conjunción de distintos procedimientos:
1.- Para los riesgos que se materializan en el día a día, las organizaciones pueden ya disponer de un Software específico capaz de integrar Sistemas Inteligentes de Análisis y Gestión de Riesgos en cada uno de los procesos productivos e informarnos con la periodicidad deseada sobre la intensidad y frecuencia de los riesgos y sobre la eficacia de nuestros actuales sistemas de prevención.
2.- Pueden almacenar de forma continua el análisis que realizan estos Sensores y los datos, así como la comprobación del cumplimiento de sus Políticas Preventivas sobre los riesgos en los que pueden incurrir, de forma que puedan demostrar objetivamente que cumplen con su Responsabilidad “in vigilando”.
3.- Para prevenir anticipadamente las nuevas amenazas, se debe establecer el adecuado Ciclo de Inteligencia que nos permita establecer estrategias Preventivas concretas y en tiempo real. Podemos definir seis fases en el Ciclo de Inteligencia: Dirección y planificación, Recopilación y obtención, Procesamiento y explotación, Análisis y producción, Difusión e integración, Evaluación y retroalimentación; o bien podríamos estructurarlo en solo cuatro fases: dirección, obtención, elaboración y difusión. En ambos casos se persigue lo mismo.
Además, la integración de estos procesos permite el establecimiento de Políticas Preventivas Globales y Eficaces con el consiguiente ahorro de costes.
En este sentido, muchas organizaciones actualmente ya están apostando por aplicar la Ciberinteligencia a la obtención de información y para la integración de la ya existente, que permita establecer Estrategias Preventivas adecuadas.
Apostar por la Criminología Preventiva, la Ciberinteligencia y los Sistemas Inteligentes de Análisis y Gestión del Riesgo es una necesidad ineludible de las organizaciones del siglo XXI.
Más información www.chriesgos.es
