Concienciación en Protección a la Información
“El propósito de la concienciación y formación en protección de la información del personal, es: de sensibilizar al usuario, sobre necesidades de seguridad, de la interiorización de los procedimientos para llevarlo a efecto y de la asunción de sus responsabilidades personales. Y consecuentemente, adoptar las necesarias precauciones de seguridad como normal de sus cometidos” (CNI-ONS. NANPIC 2018)
Resumen
Hablemos de Modernidad y Seguridad. La emergente era digital y los nuevos paradigmas asociados conllevan a una intensiva transformación, hacia una controvertida ‘modernidad’ social, con sus inciertas y variables conductuales. Esto plantea, no solo unos nuevos retos y desafíos a la Seguridad existente, sino una compleja distorsión. Complejidad que tiene directa relación, con el diverso y desafiante contexto estratégico y operacional de la información y su protección, y con la subjetividad de las personas.
Planteando el problema. De poco servirán las medidas, tecnologías y protocolos en seguridad, si quienes deben gestionar la información y su protección, pueden estar inmersos en situaciones críticas por manipulación, desconocimiento o desinformación.
Fortalecer la Seguridad, empezando por Concienciar al Personal. Parece adecuado reformular las precauciones en la gestión y seguridad del ciclo de vida de la información, y muy especialmente, la Seguridad emotiva y conductual del personal.
Concienciación y Distorsiones. Análisis de Inteligencia
“La única Certidumbre que tenemos, es la Incertidumbre”
Perspectivas y Desafíos de Protección. Escenario desafiante
Transformación social. La Evolución y uso interactivo de e-tecnologías y metodologías, la modificación del espacio de acción, el ritmo frenético de la información, la globalización de las comunicaciones, los cambios geoestratégicos y geoeconómicos, los movimientos socioculturales emergentes, la desafiante configuración de amenaza multidimensional e indistinta, la lucha por la supremacía, la presión e influencia de los nuevos poderes globales, así como, la propia naturaleza cambiante de los actuales acontecimientos; generan inestabilidad y facilitan la sofisticación de las injerencias, perturbaciones y manipulaciones informativas en toda dimensión (física, cibernética y perceptual), y con ello, la acción psicológica orientada a direccionar la conducta social masiva.
Seguridad emotiva frágil. La Volatilidad de los nuevos fenómenos sociales y la compleja combinación de lo antiguo, lo nuevo y lo novísimo, conlleva a un conflicto entre ideología y realidad. Desequilibrios que causan la fractura de las identidades, el debilitamiento de los modelos de seguridad, y la confusión y la apatía de la seguridad en el personal.
Distorsiones y Derivas que amenazan no sólo a los activos de información y a los sistemas que los soportan, sino que, inciden en la incertidumbre, la desvinculación y la fragilidad de los vínculos. En donde las sociedades y organizaciones precisan adaptarse con rapidez a las necesidades que los nuevos paradigmas imponen, sin moldes ni planes establecidos. En donde, las personas padecen una creciente inestabilidad emocional, están perdiendo el sentido del compromiso y la lealtad, y aumentando la atención a lo efímero.
Información y Cumplimiento en Seguridad
Necesidad y Dilema. Nunca en la historia, las organizaciones, habían tenido tal inevitable dilema en defensa de su existencia y continuidad, y de sus intereses celosamente guardados. Frente el valor y superioridad en la información, está la necesidad de cumplimiento legal y técnico en seguridad de la información, (en síntesis, “frente la necesidad de saber, está la necesidad de proteger él saber”).
- Valor y Superioridad en la Información. “La Información es un recurso estratégico para el desarrollo y seguridad de una organización, sobre el que se debe buscar la superioridad para facilitar el cumplimiento de las misiones y los cometidos. La Superioridad en la información es la ventaja relativa que se genera mediante el empleo de información relevante, adaptándose a cada situación y al contexto en el que se opere. Se debe lograr a través de la administración, gestión, explotación y seguridad de la información, con una visión integral de la misma, considerando su relevancia y calidad, los procesos, las personas, la formación y la tecnología”. (1)
- Cumplimiento legal y técnico en Seguridad de la Información (Normativas, procedimientos, exigencias y responsabilidades). En términos concretos, una u otra ‘normativa’ contempla las obligaciones de no revelar secretos ajenos y la de guardar el debido sigilo o reserva de los que tenga conocimiento por razón de su oficio o sus relaciones laborales; como también, la obligación de no descubrir, revelar o ceder datos reservados, de personas jurídicas o físicas. Pero esta obligación, no se limita a la existencia de normas y planes de seguridad aplicables, o en el simple cumplimiento de las mismas, sino se han realizado por parte de los responsables de su custodia, todos los esfuerzos para protegerla. “Las conductas y hechos punibles cometidos en las empresas, por sus administradores o por cualquier empleado, pueden dar lugar a responsabilidad civil, penal y de todo orden; si pudiéndolo evitar y remediarlo, las empresas, no hubieran adoptado medidas para ello”
El papel estratégico y operacional de la información, la evolución de los mecanismos y salvaguardas en seguridad inteligente, y las medidas de cumplimiento y responsabilidad en protección, precisan de una solidaridad y solidez que afiance los vínculos.
Escenario de Riesgo y Vulnerabilidad
Ocurrencia de riesgo y vulnerabilidad. “La información resulta comprometida cuando se ha producido una posibilidad de Acceso a la misma por persona no autorizada, o bien se ha Perdido el Control sobre dicha información (pérdida, sustracción o indisponibilidad). Un comprometimiento (violación o fallo) de la información, ocurre como resultado de una Acción u Omisión contraria a la normativa de seguridad, o por un Fallo en los sistemas o medidas de protección. También se considera, los Ataques contra la integridad o disponibilidad de la información, en el ámbito de los sistemas de información y comunicaciones”. (1)
Cadena de fallos (Desaparición de datos, fuga de información, archivos ilocalizables. pérdida de confidencialidad, ausencias o deficiencias en procedimientos, etc.). La Agresión informativa más habitual no siempre se produce de forma física o técnica. Ni la Pérdida de información, necesariamente, por la sustracción fraudulenta de documentos, o por el intrusismo en las redes telefónicas o informáticas. Mayoritariamente las “goteras” de información y datos, se pierden en cualquier acto cotidiano y rutinario, por errores administrativos y fallos de control y protección. Especialmente por: indiscreciones al hablar o excesiva confianza en terceras personas; al deshacerse sin cuidado de papeles; relajación, descuidos u olvido de cautelas; poca concienciación o desmotivación; dejadez o desinterés en la gestión y cuidado de la información; e incumplimiento de normas de seguridad. En resumen: desconocimiento, desinformación o despreocupación o mala fe.
Comportamiento humano fallido. El enemigo en casa. La creciente actitud deteriorada ante la vida, la ley, la comunidad y el trabajo; y el retroceso de los valores éticos; así como la falta de sentido del deber, permiten eludir la acción normal de la conciencia, convirtiendo en aceptables actos deshonestos, de deslealtad y de imprudencia. Causas que posibilitan la ocurrencia de fallos y brechas de seguridad, y con ello el comprometimiento de la información y los secretos.
Los Retos de la Seguridad
Obtener seguridad. La Seguridad global y de las organizaciones, está inmersa en los efectos de los nuevos paradigmas globales, por lo que se enfrenta a una serie de tendencias y retos inmediatos que están alterando el entorno en el que opera. El éxito en la seguridad futura, dependerá de la capacidad de comprender las complejidades sociales y tecnológicas, y saber abordar los asuntos subyacentes que perpetúan los desafíos actuales y futuros.
Seguridad como garantía. La búsqueda de la mínima permanencia, hace que se anhelen cambios, pero a la vez se necesita, obtener seguridad¸ cuya pérdida es uno de los mayores miedos. Esto lleva de alguna forma, a la búsqueda de la seguridad emotiva para despejar ansias y solucionar los problemas.
Reformulando la seguridad en el personal. Los ambientes operaciones futuros necesita personal que puedan responder frente la ambigüedad en situaciones complejas. Para reducir el comprometimiento de la información debido al personal, se debe generar un ambiente sistemático de automejoramiento profesional y emocional, fortalecer la defensa contra la agresión y la manipulación perceptual e informativa, optimizar la gestión de la información, e incrementar la precisión del cumplimiento en seguridad.
Especial énfasis en el Análisis de Inteligencia. “Nuevas preguntas precisan nuevas respuestas”. Toda transformación tiene sus ventajas y sus inconvenientes. Las diferencias entre paradigmas tradicionales y emergentes, plantean distorsiones a las actuales disciplinas de protección, por lo que precisan nuevos enfoques y fortalecimiento. Toca analizar: Qué medidas de reconfiguración, y Aprender a adaptarnos. Un Análisis holístico del escenario, facilitaría un razonamiento y comprensión en la relación entre los hechos y distorsiones que pudieran afectar a la información y su seguridad, y la desafían y comprometen. Un estudio amplio, ayudaría comprender las creencias, valores, actitudes y comportamientos de los actores actuales y futuros, que pudieran afectar la forma de actuar y motivaciones del personal, y consecuentemente, la aplicación práctica y el buen hacer de las cosas.
“La clave hoy no es contra quién ni dónde se va a luchar, sino cómo se le va a vencer”
Necesarias Precauciones “mientras”
“La mayor Protección de la Información recae en la Integridad de las Personas. Debiendo éstas, estar perfectamente Concienciadas de su importante función; y protegerse y ser protegidas contra cualquier perturbación, ya que el ‘espionaje y la injerencia competitiva hostil’ puede servirse del engaño, la traición, el chantaje y el soborno, como medios viables para husmear y sustraer datos conservados con el mayor celo y secreto”. (JV. 1985)
Asegurando la Seguridad de la Información
Los nuevos retos y desafíos suscitan que la seguridad en las organizaciones, debe evolucionar de una arquitectura de protección y una operativa pasiva, a una operativa activa y una inteligencia especializada. Una adaptación operativa conlleva conformar un todo coherente sistema de trabajo interactivo; y ejercer un manejo inteligente y conjunto de todos aquellos factores que la hacen eficiente, como son: información adecuada, tecnológicas, sistemas de relaciones y comunicaciones, procedimientos, disciplinas de protección, el secreto y el personal. En donde, el factor humano, toma protagonismo más que nunca.
Seguridad en el personal y Adquisición de competencias
Idoneidad de las personas. El objetivo más rentable de la agresión y manipulación informativa es influir en la mente humana y las decisiones que toma. El personal de información y comunicaciones es un blanco primordial para obtener información y explotar cualquier debilidad evidente en su carácter o conducta. Antes de tener acceso a la Información o material de seguridad de las comunicaciones el personal deberá ser previamente Seleccionado, Investigado y Habilitado de acuerdo a normas y cualidades, como competencia, confianza y fiabilidad reconocidas; así como, de ser cuidadosamente instruido y examinado en lo que respecta a su exactitud y habilidad en el tratamiento de la información y el empleo de sistemas de comunicaciones, y en su seguridad.
Mejorando la seguridad emotiva y conductual del personal. Ante la tendencia cambiante que afecta también al mercado laboral actual, las organizaciones de seguridad precisan fortalecer la Motivación laboral y la Satisfacción personal. Impulsando el estímulo positivo del personal en relación a todas las actividades que realizan; y favoreciendo un clima de participación, adhesión, equipo, cumplimiento, y orgullo y satisfacción.
Medidas de Compromiso y Control
“Ninguna persona podrá tener acceso a información relevante, exclusivamente por razón de su cargo o posición, sin la preceptiva autorización de seguridad”.
Protocolo ético. En la necesidad por luchar contra la compra de voluntades, el fraude y la pérdida de información relevante, es preciso disponer de algún protocolo ético, supervisado por la “unidad de cumplimiento o de seguridad” que revise de forma estricta los estándares de cumplimiento en seguridad, y así evitar cualquier conducta anómala que pueda afectar la reputación de la propia organización.
Medidas del protocolo, a destacar: Prohibición de recibir o dar “cualquier tipo de ventaja o beneficio” (obsequios o regalos, etc.). Estricto uso de la información confidencial de la empresa. Firma de un documento con el compromiso, bajo aviso de consecuencias civiles o penales, a no compartir ningún dato relativo a contratos, pedidos de compra, facturas, pagos y cobros relativos a proveedores. Obligación de «extrema vigilancia en la custodia de la información confidencial». Comunicar cualquier duda o irregularidad que se detecte, etc.
Más que Formación
Acerca de programas de Concienciación y Formación
Seguridad preceptiva. El destinatario de los programas, es el personal con acceso a información sensible de una organización. La concienciación y la adquisición de competencias en protección a la información, responden básicamente a la necesidad de “qué saber y qué hacer” del personal (y debe ser requisito previo y repetirse de forma periódica). Se enmarcan desde la perspectiva que debe adoptar el diverso personal relacionado con el tratamiento y seguridad de la información y las comunicaciones en una organización, en los diferentes niveles de responsabilidad, actividad y acceso. Lo que implica, tanto a los encargados de tareas asociadas a la parte industrial y del proceso, como a los encargados y usuarios de las tareas centradas en la información y la comunicación.
Líneas de Trabajo. Información y formación genérica. Los temas y contenidos deben estar directamente relacionados con los procesos o productos de información a gestionar y proteger. Y para su desarrollo, cabe estructurarlos en dos áreas conceptuales interrelacionas, referidas a seguridad emotiva y seguridad operativa:
- Concienciación y sensibilización. Seguridad emotiva.: Tomar conciencia de los cometidos y obligaciones de gestión y protección, que se contraen al ser usuario de información relevante. Sensibilizar, motivar y mejorar actitudes en favor del deber de reserva y defensa de la información, la no concurrencia y el contraespionaje, y de las responsabilidades en caso de incumplimiento.
- Formación y capacitación en protección. Procedimientos de actuación: Aportar conocimientos, consignas y procedimientos detallados como usuario de información y su correcto manejo; así como prevenir contra daño, desorganización, descubrimiento, las fugas de información y el espionaje. Facilitando qué corregir, cómo proteger la información bajo su responsabilidad, y cómo se debe colaborar con el sistema de protección organizacional. En función del puesto ocupado y la correspondiente “necesidad de conocer”, según el principio de mínimo privilegio.
Programas “a medida”. Los cursos atienden a diferentes problemas y necesidades. Las tareas, y tipos de acción informativa y formativa, deben ir asociadas al cargo, nivel o puesto de trabajo: Responsables (del dato, del proceso y de los productos de información); Usuarios y Operadores de sistemas; así como, otro personal vinculado. E impartirse: “antes de que se produzca el primer acceso a la información y repetirse de forma periódica”.
- Formación Básica previa. Nuevo personal sin habilitación de seguridad. Formación obligatoria. Superar curso.
- Formación Periódica. Personal habilitado propio. Cursos de reciclaje, perfeccionamiento o especialización.
- Información/Formación de Adaptación a un nuevo puesto de trabajo, Personal habilitado que cambia de destino. Cursillo practico de adaptación operativa y técnica.
Incidiendo en la Formación previa
Formación básica de concienciación en “seguridad del puesto de trabajo”. Especial atención merece la selección, motivación y superación de cursos previos obligatorios. Un curso previo, debe fomentar las aptitudes y habilidades para desenvolverse en contexto de aplicación profesional. Sus contenidos deben comprender, no solo los aspectos organizativos y operativos de protección que permitan mejor manejar y resguardar la información; sino, también incidir en los aspectos relacionados con la colaboración personal-empresa. Las medidas, precauciones y procedimientos operativos de seguridad deben ser realistas con el entorno laboral y formar parte natural de los cometidos, usuario-empresa. La formación de concienciación debe proporcionar el conocimiento detallado de la operativa propia del puesto de trabajo a desempeñar, que favorezca los “Buenos hábitos y cómo hacerlo”, y fomentar la motivación y desarrollo del personal. Su duración, mínima de 5 horas, y poder ser, tanto presencial como on-line.
Aproximación a contenidos, temas a tratar: Objetivo y normativa de referencia. Actos de interferencia ilícita y fugas de información. Definición de la organización y sus instalaciones. Personal y sistemas implicados en la protección de la información. Acreditaciones y autorizaciones. Zonas y controles de seguridad. Actividades prohibidas. Tratamiento y seguridad de documentos, cómo hacerlo. Colaboración con la protección, notificación y gestión de incidencias. Motivación y satisfacción del personal. Etc.
En definitiva. La Concienciación en Protección a la Información, propicia motivación, métodos y procedimientos para: evitar las fugas de información y las brechas de seguridad, asegurar la información sensible y el cumplimiento normativo y técnico, y, fortalecer la Seguridad Emotiva y Conductual del Personal.
“Sin Concienciación, no hay cambio en el Comportamiento”
Jesús Villasante
Analista-Investigador en asuntos de Inteligencia y Seguridad
Comandante. Artillería (r)
Referencias bibliográficas:
- (1) CNI-ONS. Normas de la Autoridad Nacional para la Protección de la Información Clasificada. 04/10/2018
- Zygmunt Bauman. Modernidad Líquida. 2000
- Jesús Villasante. Protección a la Información. revista Guión. Mayo 1985
- Jesús Villasante. Defensa y Gestión de la Información. libro: Técnicas de Contraespionaje Empresarial. Junio 2000
- Jesús Villasante. Ladrones de Información -Tú inventas yo copio. Periódico Empresarial Europeo. 13 enero 2002
