Cabecera Home
Revista Segurilatam Edición impresa
Síguenos:
Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Antonio Gaona Rosete, Director de Seguridad e Inteligencia de Grupo Financiero Banorte

Modelo de inteligencia corporativa para infraestructuras críticas

El proceso de inteligencia corporativa abarca desde la definición de servicios esenciales e infraestructuras críticas y el alcance y mapeo de factores de amenaza hasta la propuesta de planes y programas para desarrollar el modelo de resiliencia. Autor: Antonio Gaona Rosete, director de Seguridad e Inteligencia de Grupo Financiero Banorte.

El proceso exige un esfuerzo multidisciplinario donde el departamento de Seguridad Corporativa se integra en los diversos equipos que plantean el esquema de salvaguarda de los servicios e infraestructura, participando en todas las fases de planeación y operación que reviste el modelo de resiliencia como esquema de capacidad de respuesta y recuperación del grupo financiero.

Para establecer el marco de las infraestructuras críticas se considera toda aquella operación física o lógica, servicio o proceso cuya interrupción o terminación generaría un impacto muy grave para la continuidad de la vida diaria de una comunidad, afectando a su bienestar económico, de salud y social, así como a la capacidad de atención y viabilidad del Gobierno.

Los relacionados con la salud, el transporte, el agua, la energía, el sector financiero o la seguridad pública son algunos de estos servicios esenciales. Y son las infraestructuras críticas las que, al ser impactadas, comprometen su viabilidad.

Servicios esenciales

En este contexto, le compete al departamento de Seguridad Corporativa, coadyuvando con otras áreas críticas de la empresa, determinar qué sistemas son claves dentro del modelo operativo del grupo financiero, así como determinar las fuentes de amenaza y la agenda de riesgos para integrar propuestas y soluciones a las distintas fases de la capacidad de respuesta corporativa.

Dentro de la definición de piezas claves, es muy importante entender que no todo el espectro del grupo financiero cae en el umbral de servicio esencial o infraestructura crítica. Así, identificamos los siguientes servicios esenciales:

  • Servicios de pago. Todos los pagos electrónicos a minoristas o mayoristas en efectivo y con tarjeta de crédito.
  • Servicios de crédito y liquidez. Atienden las operaciones de mercado interbancario, emisiones de deuda, financiación, crédito a clientes y administraciones públicas, así como operaciones de política monetaria.
  • Servicios de envío de dinero y remesas. Red de transmisores para envío, pago y cobro de remesas a nivel local, nacional e internacional.
  • Servicios de inversión. Incluyen la negociación de instrumentos financieros, la compensación y liquidación de operaciones y el registro y la custodia de dichos instrumentos.
  • Servicios de seguros. Su alcance abarca la administración de riesgos y la inversión institucional.

Identificados los servicios esenciales, es indispensable analizar todos los controles y recursos que participan en su operación, por lo que el proceso de entender toda la arquitectura operativa de cada servicio implica la interacción con todas las áreas en el equipo de prevención y respuesta. Tecnología, Operaciones, Comercial, Contraloría, Recursos Humanos, Abasto, Auditoría, Seguridad, etc., deben coordinar este esfuerzo, de forma que se pueda identificar toda vulnerabilidad o área de oportunidad, tanto lógica como tecnológica, humana, procesal…

Dada la identificación, procede pasar a identificar las probables fuentes de amenaza y, con ello, la definición de la agenda de riesgos.

Fuentes de amenaza

Hoy en día, el espectro de la amenaza cibernética toma más relevancia dada la plataforma lógica que sostiene no sólo a los servicios esenciales, sino a toda la empresa. Pero el quid del asunto es que no todo riesgo es cibernético. Hay otros factores de amenaza que pueden tener un impacto mucho más grave, de carácter catastrófico. Considero que caemos dentro de una visión de túnel cuando sólo nos enfocamos en el factor cibernético como fuente de amenaza y riesgos. Así, definimos las diferentes fuentes de amenaza y algunos de los probables riesgos que estos conllevan.

  • Factor humano. Considero que es la principal fuente de amenaza, requiriendo un verdadero proceso y análisis multifuncional, una introspección para identificar las causales, tendencias y modalidades en que se comporta este factor. Es el factor oculto. Hablamos de la amenaza interna, los empleados externos, los movimientos sociales y la delincuencia organizada.
  • Factor naturaleza. Un factor impredecible en su comportamiento, aunque es posible identificar dónde es crítico y muchas veces de carácter catastrófico. Aquí figuran los sismos, las inundaciones, los incendios, las tormentas o los huracanes.
  • Factor tecnológico. Los equipos requieren mantenimiento. Sufren desgaste y fallas. Y pueden provocar situaciones que den lugar a una situación crítica. Por lo tanto, hay que tener en cuenta las fallas de los equipos, la falta de piezas críticas, las actualizaciones y las fallas técnicas.
  • Factor cibernético. Es determinante en el universo lógico que mueve las diversas plataformas de los servicios esenciales. Aquí entran en juego los ciberterroristas, los hackers, los crackers, la amenaza interna, los gobiernos, las fallas lógicas, etc.
  • Factor colateral. Falla de cualquier otro servicio esencial o infraestructura crítica, básico para la viabilidad operativa de los servicios financieros, como resultado del impacto de los otros factores.

Plataforma de resiliencia

El modelo de inteligencia corporativa es el que sustenta la plataforma de resiliencia, o capacidad de respuesta de la empresa, generando la información necesaria para la toma de decisiones que demanda el mantener la viabilidad de los servicios esenciales. Conlleva acciones integradas por parte de varias áreas críticas de la empresa, el aseguramiento de soportes y proveedores externos, la coordinación con el sector financiero y la relación y coordinación con las autoridades. La plataforma considera cuatro grandes fases:

  • Prevención.
  • Es la fase más importante. En ella se establecen todos los escenarios posibles, considerando los factores e impacto de cada uno de ellos para pasar a definir las respuestas para cada riesgo.
  • La coordinación y las alianzas críticas, las redes y los enlaces de comunicación son establecidas en esta fase.
  • Esta fase requiere plantear lo que se considera imposible de suceder. Se plantea que aunque nosotros estemos bien, el entorno puede no estarlo.
  • Un planteamiento de inteligencia efectivo plasmará la agenda de riesgos con los impactos más extremos.
  • Contención (primera respuesta).
  • Fase donde se aplicarán las respuestas a las contingencias e incidencias identificadas en la agenda de riesgos.
  • Una prevención efectiva podrá contener en esta etapa los principales riesgos identificados.
  • Manejo de crisis.
  • Rebasada la capacidad de respuesta, entra en juego la capacidad para generar nuevas respuestas, lo que demanda tener el factor humano necesario para la toma de decisiones.
  • Es en la fase de prevención donde debe definirse a los elementos que se integrarán para manejar la crisis.
  • Continuidad de negocio.
  • Plataforma sobre la que se asientan las tres primeras fases y que debe determinar la sustentabilidad de los servicios e infraestructura crítica.

Conclusiones

El modelo de resiliencia, o capacidad de respuesta de la empresa para lograr la sustentabilidad de servicios esenciales o infraestructura crítica, debe considerar:

  • Un esfuerzo de la empresa a través de un proceso multifuncional sustentado en una cultura de administración de riesgos y enfocada hacia la resiliencia.
  • Una coordinación con proveedores y autoridades basada en una política nacional de protección a servicios esenciales e infraestructura crítica.
  • Que los servicios propios pueden ser afectados por la caída de otros servicios esenciales, en especial durante situaciones catastróficas.
  • Que el factor humano es crítico tanto como factor de amenaza como factor de seguridad para poder cumplir con el proceso de resiliencia.
  • Que la presión externa puede ser crítica e incidir durante el proceso de toma de decisiones durante una contingencia o una crisis.

El modelo de resiliencia para servicios esenciales e infraestructuras críticas debe estar sentado en un planteamiento a nivel gobierno federal que coordine el esfuerzo de autoridades y empresas en un solo proyecto estratégico.

Volver

Recibe GRATIS noticias en tu e-mail

¿Quieres estar informado? Ya puedes suscribirte de forma gratuita a nuestra newsletter