Location, Sheffield. UK
+44 07784055607
info@davidrivashuete.com

 CONTRAINTELIGENCIA Y SEGURIDAD EMPRESARIAL

Senior Consultant Security & Intelligence Services

 CONTRAINTELIGENCIA Y SEGURIDAD EMPRESARIAL

CONTRAINTELIGENCIA Y SEGURIDAD EMPRESARIAL

 

 

Por José Manuel Díaz-Caneja.  Analista de Inteligencia. Curso Superior de Inteligencia de las FAS[i]

Si actualmente existe una gran confusión en relación con la terminología y los conceptos relativos a inteligencia, cuánto más con contrainteligencia y su relación con la seguridad. Muchas organizaciones e individuos utilizan el término de contrainteligencia como sinónimo de contraespionaje, lo que provoca un rechazo desde el primer momento que les impide ver lo que de verdad puede aportar a su organización, sobre todo cuando hablamos de empresas privadas.

Una definición muy militar de contrainteligencia sería: “el conjunto de actividades cuya finalidad es identificar y contrarrestar la amenaza a la seguridad planteada por los servicios de inteligencia hostiles o las organizaciones o individuos comprometidos en espionaje, sabotaje, subversión o terrorismo”.

En el ámbito militar, a estas amenazas a las que hace frente contrainteligencia, y las que normalmente se les une el crimen organizado, se les denomina la amenaza TESSCO.

Por realizar un análisis comparativo con alguna otra definición de inteligencia, el gobierno argentino, en la Ley 25/520 de Inteligencia Nacional, define contrainteligencia como “la actividad propia del campo de la inteligencia que se realiza con el propósito de evitar actividades de inteligencia de actores que representen amenazas o riesgos para la seguridad del Estado o Nación”.

Como vemos en ambas definiciones, una de las actividades de contrainteligencia, pero no la única, es evitar las acciones de inteligencia de los actores que supongan una amenaza o riesgo para la organización. Es aquí donde vemos la relación de inteligencia con contraespionaje.

En resumen, contrainteligencia es ese campo de la inteligencia que abarca todas las actividades que se dedican a eliminar o reducir la efectividad de las operaciones de inteligencia hostiles, y a la protección de la información y material propio. Inteligencia y contrainteligencia están tan íntimamente ligadas, que una no existiría sin la otra.

El problema en las organizaciones de ámbito privado es que, al asemejar contrainteligencia con contraespionaje, dejan de lado multitud de actividades que podrían ayudar a proteger sus activos, como podría ser todo lo que tenga que ver con otro tipo de agresiones a la organización como la desinformación y los ataques de reputación, por ejemplo.

CONTRAINTELIGENCIA Vs SEGURIDAD

Una vez vista la definición de contrainteligencia, es importante conocer qué entendemos por seguridad y la relación existente entre ambas.

Seguridad se podría definir como la condición alcanzada cuando determinada información, material, personal, actividades e instalaciones están protegidas contra actos hostiles. En especial el espionaje, sabotaje, subversión, terrorismo y crimen organizado, así como contra pérdidas y revelaciones de información no autorizadas, ya sean intencionadas o accidentales.

Para que una organización alcance una determinada condición de seguridad se deben implementar una serie de medidas:

  • Medidas de seguridad física. Hablaríamos aquí del conjunto de medidas de protección para la prevención de posibles accesos a información o material sensible de una organización por parte de personas no autorizadas. Igualmente, para proporcionar las evidencias necesarias cuando se produzca un acceso o un intento de acceso. Esto engloba todo lo relativo al establecimiento de áreas de acceso restringido, controles de seguridad, vigilantes, sensores, cámaras, etc.
  • Medidas de seguridad en los sistemas de información y comunicaciones. Se refieren a las condiciones específicas de manejo de información sensible en sistemas de información y comunicaciones.
  • Medidas de seguridad en el personal. Se trata del conjunto de medidas y procedimientos establecidos para reducir, hasta un grado aceptable, el riesgo de comprometimiento de la información y material sensible de la organización por parte del personal que tiene acceso al mismo.
  • Medidas de seguridad de la información. Se trataría del conjunto de medidas y procedimientos establecidos para el correcto manejo y control de la información en todo su ciclo de vida, así como para prevenir y detectar los posibles comprometimientos que puedan afectar a su confidencialidad, integridad o disponibilidad.

Pues bien, todas estas medidas de seguridad pueden resultar ineficaces si previamente no se han llevado a cabo una serie de análisis desde el punto de vista de contrainteligencia en apoyo a la seguridad. Estas pueden resumirse en cuatro grupos de preguntas importantes sobre la protección de la información y del conocimiento de una organización:

  • ¿Qué debe proteger nuestra organización?
  • ¿Qué intentan descubrir nuestros competidores/adversarios (o agencias de gobiernos extranjeros) sobre nosotros? ¿Y por qué?
  • ¿Cómo están tratando de hacerlo? ¿Qué capacidades tienen? ¿Aplican un enfoque técnico o están intentando sobornar a nuestros empleados?
  • ¿Qué podemos hacer, y qué estamos haciendo, para reducir sus posibilidades de obtenerlo? ¿Qué tácticas legítimas de denegación y engaño podríamos emplear para salvaguardar nuestra información? ¿y nuestras patentes? ¿nuestros desarrollos de I+D?

Si no somos capaces de dar respuesta a las dos primeras preguntas de manera clara y precisa, seremos incapaces de responder a las dos últimas. En este caso, el resultado sería que nuestra organización adoptaría medidas de seguridad ineficaces para la protección de la información clave.

Por eso es importante el apoyo de contrainteligencia para analizar e identificar ¿quién?, ¿cuándo?, ¿cómo?, ¿dónde? y ¿por qué? están intentando acceder a la información clave de la empresa, para implementar las medidas de seguridad adecuadas y evitar revelaciones intencionadas o accidentales.

ACTIVIDADES DE CONTRAINTELIGENCIA EN APOYO DE LA ACTIVIDAD EMPRESARIAL

Como he dicho en otras ocasiones, la contrainteligencia corporativa es necesaria para proteger de manera organizada el material, la información y los secretos de la compañía. Una capacidad de contrainteligencia sumado a políticas y procedimientos efectivos agregarán valor y permitirán a las compañías competir con más confianza en el mercado global.

Asimismo, debe considerarse una parte integral de todas las actividades comerciales de una empresa, por lo que los programas de contrainteligencia deben extenderse a todos los niveles de la organización. En este sentido, el viejo dicho de es mejor prevenir que curar es totalmente cierto.

Como se ha visto, el objetivo básico de contrainteligencia es proteger la información de aquellos que no están autorizados a recibirlo, para contrarrestar posibles amenazas y mejorar la seguridad, llevando a cabo diversas actividades, como se puede ver en el gráfico siguiente.

Aunque a priori, actividades como las operaciones encubiertas, quedan fuera del campo de acción de la contrainteligencia empresarial, se pueden realizar otras muchas:

  • Investigaciones sobre la fiabilidad de los empleados con acceso a información clave.
  • Acciones de decepción para engañar al competidor.
  • Inspecciones rutinarias y extraordinarios de las instalaciones que almacenan información y material sensible.
  • Asesoramiento para la elaboración, implantación y revisión de los procedimientos de seguridad para contrarrestar cada una de las amenazas identificadas.
  • Investigación de posibles socios comerciales.
  • Análisis de amenazas a los empleados desplazados en zonas de riesgo y contribución a los planes de contingencia.

Además, contrainteligencia en el ámbito empresarial puede, y debe, contribuir a la protección de la imagen corporativa mediante:

  • La identificación de actores que lleven a cabo campañas que afecten a la reputación de la compañía.
  • Contrarrestando dichos ataques mediante la planificación de campañas específicas.

Esta es una actividad importante en apoyo de la empresa, ya que este tipo de ataques buscan destruir a la organización por medio del desprestigio.

El desprestigio o ataques a la imagen de una empresa pueden asemejarse a las operaciones de influencia de unos Estados contra otros, en lo que la contrainteligencia, en el ámbito estatal, tiene mucho que decir.

A lo anterior, se deben unir campañas de concienciación.  No solamente hay que protegerse contra procedimientos de obtención de información posiblemente ilegales, sino también contra aquellos que son llevados a cabo de manera abierta y legal, y que también pueden dañar a una empresa y afectar su capacidad para competir en su mercado. El robo de material sensible o estratégico no solo afectaría a las pérdidas económicas de la empresa, sino que también repercutiría en la imagen pública de la firma de cara a su consumidor final.

Por ello, los programas de contrainteligencia deben detectar las señales de peligro, frustrar el espionaje industrial, evitar actividades ilegales como el espionaje electrónico, controlar cuidadosamente la información crítica que una compañía pública sobre sí misma y proteger aquellas áreas vulnerables.

CONTRAINTELIGENCIA OFENSIVA Y DEFENSIVA

Como se puede observar en el gráfico anterior, las actividades de contrainteligencia se pueden dividir en ofensivas y defensivas. La contrainteligencia defensiva tiene como objetivo contrarrestar lo que un adversario puede hacer e incluye medidas preventivas tales como informes de sensibilización, contramedidas de la vigilancia técnica y pruebas de las medidas y procedimientos de seguridad establecidos.

La contrainteligencia ofensiva difiere de la contrainteligencia defensiva en que, una vez la amenaza ha sido detectada e identificada, se investigará y se llevarán a cabo operaciones para eliminar cualquier actividad en curso.

Es necesario resaltar que aplicar únicamente un enfoque defensivo no es suficiente. La estructura de contrainteligencia debe de ser ofensiva, proactiva.

El personal de contrainteligencia debe de estar continuamente analizando y elaborando hipótesis sobre posibles amenazas y riesgos. Para ello debe conocer:

  • El entorno de trabajo de la empresa, a su personal y todas las vulnerabilidades de la organización.
  • La modificación de rutinas
  • Los fallos sin importancia en las medidas de seguridad
  • Cualquier otro aspecto puede ser un indicador de que se esta poniendo al descubierto información, ya sea de manera accidental o intencionada.

En actividades como las de contrainteligencia, la selección y formación del personal es clave. Deben ser personas dotadas de ciertas características como pueden ser: la capacidad de análisis y observación, memoria, empatía, discreción en el trabajo y que no se vean afectados por la rutina.

El trabajo en contrainteligencia es rutinario y en muchas ocasiones provoca la animadversión de los propios compañeros de la organización, pero es necesario, ya que la mera aplicación de medidas de seguridad física no es suficiente para proteger a una compañía del amplio espectro de amenazas, y es aquí donde contrainteligencia entra a jugar.

Si quieres conocer nuestra formación en inteligencia para análisis de redes sociales pincha aquí.

 

[i] José Manuel Díaz-Caneja Greciano. Teniente Coronel del Ejército de Tierra. Diplomado Superior en Inteligencia por la Escuela Superior de las FAS. Entre otros cursos ha realizado el Curso Superior de Especialista en Información de la Guardia Civil y el de Policía Militar. Con la OTAN ha realizado el curso de Formador en Contrainsurgencia (COIN), JIPOE en COIN, Inteligencia en ISAF y el NATO Operational C-IED Staff Officer Course. Ha cursado el Máster Universitario en Dirección y Organización de Proyectos en la Universidad Nebrija, el Máster EEES en Unión Europea (Especialidad Económicas-Políticas) por la UNED, el Máster Ejecutivo en Dirección de Sistemas de Emergencias y el Máster Ejecutivo en Dirección de Seguridad Global, por la Universidad Europea de Madrid; y el Máster en Estudios Estratégicos y Seguridad Internacional, por la Universidad de Granada. Ha ocupado diversos puestos de inteligencia, tanto en territorio nacional como en despliegues bajo mando de la OTAN y la UE. Ha sido Profesor titular del Departamento de Inteligencia de la Escuela de Guerra del Ejército de Tierra, y del Departamento de Inteligencia de la Escuela Superior de las Fuerzas Armadas.

 

2 Responses

  1. URL says:

    … [Trackback]

    […] Read More: davidrivashuete.com/inteligencia/contrainteligencia-y-seguridad-empresarial/ […]

Comments are closed.