Analizando a las personas

En el último post hablábamos de los «típicos tópicos» que todos hemos usado, en mayor o menor medida, a la hora de hablar de seguridad: que si es una cadena que falla si lo hace su eslabón más débil, que si el único sistema seguro es aquél que está apagado, enterrado y no sé cuántas cosas más… Dentro de estos tópicos, también decimos siempre que las personas son, o suelen ser, el punto más débil de la seguridad; efectivamente, yo estoy convencido de que es así, y por tanto, aparte de cortafuegos, sistemas de detección de intrusos, antivirus y demás, algo tendremos que hacer para que las personas no introduzcan riesgos significativos para nosotros. Ya hablamos en su momento del riesgo humano y de la monitorización de personas en base a perfiles que se planteaba en la USAF, post que levantó algunas ampollas y planteaba más de una cuestión que se dejó en el aire :)

Sin ser tan estrictos como en el ejército estadounidense ni entrar en potenciales violaciones de intimidad, creo que todos estaremos de acuerdo en que las personas son un elemento clave para el éxito de cualquier proyecto, empresa, organización, colectivo o mil cosas más; en concreto, desde el punto de vista de protección del negocio, las personas son un aspecto crítico para la seguridad corporativa: de su buen hacer depende que seamos seguros (físicamente, legalmente, reputacionalmente…) o que no lo seamos en absoluto. Por este motivo, como ya hemos dicho en alguna ocasión en este mismo blog, se hace cada vez más importante en nuestras organizaciones la monitorización de las personas, de sus actividades, de sus actitudes y, en definitiva, de todo aquello que pueda repercutir negativamente en nuestra seguridad, así como la aplicación de modelos clásicos de inteligencia para obtener, a partir de datos aislados, información vital para la seguridad corporativa.

El primer punto de un ciclo de inteligencia es determinar qué queremos saber y para ello qué información necesitamos obtener y analizar. Creo que lo mejor para nosotros en esta primera fase es plantearnos cómo afectan las personas a la seguridad del negocio; bajo mi punto de vista, más allá de accidentes (por ejemplo si una persona practica escalada…¿consideramos esto un riesgo? Y lo más importante… ¿tomamos medidas para mitigarlo?), las personas introducen principalmente cuatro tipos de riesgo en una organización:

  • Robo de información, espionaje industrial… Lo que toda la vida hemos llamado insider: una persona que, tras una apariencia más o menos normal -o no-, se dedica a robar información corporativa y pasarla a quien pueda utilizarla en nuestra contra (generalmente, la competencia).
  • Perturbación del clima laboral. Una persona descontenta suele acabar minando, antes o después, las relaciones dentro de la empresa. Dicho descontento puede estar o no justificado y, es más, puede que incluso no tenga relación con la actividad profesional y se trate de problemas del ámbito personal, pero todo acaba influyendo en las personas con las que compartes buena parte de tu día a día: tus compañeros.
  • Fuga de personas clave. A pesar de aquello de que «no hay nadie imprescindible», que comparto plenamente, es cierto que determinadas personas realizan trabajos clave y que, si abandonan la organización, el impacto es mayor que si deja su trabajo otro compañero. Este riesgo puede estar relacionado con el anterior (personas descontentas o poco motivadas que cambian de trabajo por este motivo) o no tener relación alguna: circunstancias personales que obligan a dichas personas a cambiar de trabajo por muy implicados que estén con su organización actual y por mucho que les motive su actividad.
  • Daños a la reputación. Es obvio que una persona que hable mal de nosotros nos causa, en mayor o menor medida, un impacto en nuestra reputación que podríamos asociar en buena parte a riesgos como la perturbación del clima laboral que hemos comentado antes (suele ir todo junto). Pero no sólo eso: en una charla que dí hace meses sobre reputación digital (lo del apellido de «reputación» lo quitaría ;) hablabla de la reputación personal como un activo para las organizaciones; y es que la imagen de las personas es, en muchos casos, parte inseparable de la imagen de la organización, por lo que cierta información personal colgada en Internet, verdadera o no, puede causar también riesgo reputacional para nosotros y constituir un daño a la imagen corporativa.

Con estos tipos de riesgo sobre la mesa -o cualquier otro que consideremos-, podemos empezar a plantearnos qué datos nos gustaría obtener y, de ellos, cuáles podemos obtener y cómo podemos hacerlo; la diferencia entre lo que nos gustaría y lo que podemos obtener es muy importante, ya que si tuviéramos la información que queremos seguramente responderíamos a ciencia cierta a todas nuestras dudas pero, como generalmente esto no es posible, requerimos de un análisis detallado y con unos márgenes de error determinados. Típicos datos a obtener son los relativos al uso de correos electrónicos externos, tipo webmail, dispositivos extraíbles, accesos masivos a datos (para determinar robos de información), uso de redes sociales o microblogs (para detectar desde daños a la reputación a posible fuga de personas), comentarios de compañeros (muy importante a la hora de hablar del clima laboral), etc.

Teniendo claro qué información nos gustaría tener, debemos plantearnos cómo obtener la información, entrando así en la segunda fase del ciclo de inteligencia clásico. Una forma muchas veces sencilla y, aunque informalizada, bastante habitual de obtener información es mediante la actuación de personas, lo que en inteligencia se denomina HUMINT (Human Intelligence). No, no pensemos en agentes tipo 007 colándose por la noche en casa de un compañero; es más: ni siquiera tenemos que llegar al extremo de detectives privados siguiendo a la gente… Mucho más sencillo: un café, la hora de la comida, una cena de empresa -que nos permite conocer a la gente en un ambiente distendido muy diferente al habitual-… estas situaciones son propensas a comentarios que en ocasiones son muy significativos para determinar, sin ir más lejos, si una persona puede estar buscando trabajo fuera de la organización, si está «quemada» por motivos personales o laborales y por tanto crea un mal ambiente -insisto, con o sin razón-, etc. La relación con las personas en las situaciones de nuestro día a día son una fuente muy importante de datos si sabemos observar de forma correcta, tanto por la cantidad de datos que aislados no son significativos pero que podemos «correlar» (al menos mentalmente ;) como por los datos que son significativos de forma directa.

Aparte de HUMINT es cada vez más habitual utilizar técnicas OSINT (Open Source Intelligence) para obtener datos que puedan ser importantes de cara a nuestra seguridad; la información que publicamos en Internet -redes sociales, blogs, webs, etc.- es más que significativa para analizar el riesgo introducido por las personas. Y es que muchas veces no nos damos cuenta -o no nos queremos dar cuenta- de que lo que hacemos en estos lugares lo puede ver el resto del mundo, y que con un sencillo análisis ese «resto del mundo» puede llegar a conclusiones muy rápidas: si últimamente estoy actualizando mi perfil en LinkedIn e incluso pidiendo recomendaciones, no hace falta ser un lince para pensar que puedo estar buscando trabajo; si no hago más que tuitear lo que hago cada segundo de mi vida o los importantes descubrimientos que realizo y que van a cambiar el curso de la humanidad, podemos concluir datos muy interesantes de una personalidad sin ser, ni mucho menos, psicólogos; si en mi FaceBook no paro de poner comentarios en horario laboral, no estoy muy concentrado en mi trabajo… y mil ejemplos más que, sin grandes complicaciones, pueden proporcionar información más que útil para un tercero que quiera analizarme.

Finalmente, como algo mucho más delicado, tenemos la recopilación de información a través de SIGINT (Signals Intelligence); el personal técnico puede tener acceso sin problemas a registros muy importantes para analizar el riesgo humano en la organización: desde los registros de llamadas móviles y fijas -bendito Asterisk- hasta las trazas de correos electrónicos enviados y recibidos o las webs visitadas por los usuarios de la organización. Desde un punto de vista técnico no hay ningún problema en obtener estos datos, procesarlos y generar información muy valiosa: ¿Cuántas visitas a Infojobs realiza nuestra gente? ¿Llaman a números de países con los que el negocio no tiene relación? ¿Llaman a teléfonos o envían correos electrónicos a gente que tenemos en una lista negra, por ejemplo de la competencia? ¿Con qué frecuencia? El problema, como decía, no es técnico: se trata más bien de aspectos legales: ¿es lícito monitorizar estos datos? Es más: ¿Es ético hacerlo? Un debate más que interesante… Por cierto, ¿qué opinais?

Otras técnicas tradicionales de obtención de información, como MASINT o GEOINT, creo que quedan fuera del alcance de casi todos nosotros (de ahí lo que decíamos antes de qué es lo que nos gustaría obtener y qué es lo que podemos obtener), pero con las anteriores podemos sacar conclusiones más que interesantes. Y ahí empieza la tercera fase del ciclo de inteligencia, el procesamiento de los datos obtenidos: reducción, normalización… en definitiva, todo aquello que nos permita utilizar dichos datos para un análisis posterior. En la mayor parte de organizaciones, aunque el procesamiento sí que se ejecute para poder analizar automáticamente otro tipo de riesgos -lógicos, naturales…-, disponiendo para ello de herramientas de análisis, bases de datos, técnicas establecidas… a la hora de monitorizar el riesgo introducido por las personas no es habitual que esta fase esté automatizada ni se utilicen herramientas ad hoc para procesar los datos (¿alguien tiene alguna base de datos de «hechos significativos» en el comportamiento humano?). Si queremos empezar a formalizar esta etapa, un buen modelo de datos es el planteado en nuestra entrada sobre riesgo humano, que hemos citado antes, que nos permitiría generar perfiles de riesgo para las personas que se relacionan con nosotros… Ya tenemos trabajo, aunque en buena parte de nuestras organizaciones -no en todas, por supuesto- estaríamos, como se suele decir, matando moscas a cañonazos :)

Mucho más que centrarnos en esta tercera fase, de procesamiento de los datos, es habitual focalizarnos en la cuarta etapa del ciclo: el análisis de los datos obtenidos y la producción de inteligencia. Como hemos dicho, no hace falta ser un experto psicólogo especializado en conducta humana para darnos cuenta de múltiples detalles que están ahí esperando a que alguien los vea; y cuando alguien los ve, los toma como dato aislado y los analiza junto a otros datos aislados, obtiene conclusiones muy (pero que muy) interesantes para determinar si las personas introducen en nuestras organizaciones alguno de los riesgos que antes hemos comentado (u otros cualesquiera). Esta fase es obviamente la más importante, la que requiere en mayor o menor medida materia gris, y la que por supuesto aporta un incalculable valor al ciclo de inteligencia (aplicado en este caso a la monitorización de personas, pero extrapolable a cualquier «otra» inteligencia).

Los resultados de esta cuarta etapa son la entrada para la quinta fase y última del ciclo, la de diseminación de la información: proporcionar las conclusiones y resultados de la información analizada (la inteligencia) a las personas adecuadas para que éstas puedan tomar decisiones correctas. Aquí viene la gran pregunta, ya no para el analista -nuestro ciclo aquí ha terminado con la diseminación- sino para esas personas que tienen que tomar decisiones: ¿qué hacer cuando detectamos algo que pueda suponer un riesgo? Obviamente no hay -creo- una respuesta única; cada situación debe ser evaluada independientemente, de forma objetiva, teniendo en cuenta cualquier circunstancia adicional que consideremos y, por supuesto, bajo dos principios desde mi punto de vista fundamentales: el de proporcionalidad y el de ética (lo siento, me cuesta decir legalidad, demasiadas veces reñida con la ética). Con esto, las decisiones adoptadas tendrán más probabilidad de ser las correctas, aunque lamentablemente el margen de error siempre está ahí y deberemos asumir que podemos equivocarnos :(

Ojo, para disipar cualquier duda antes de acabar: cuando hablo de «decisiones a adoptar» no estoy refiriéndome, ni mucho menos, a despedir directamente a una persona porque introduzca un cierto riesgo en la organización; justo por eso hablaba de los principios de proporcionalidad y de ética. Salvo en el caso de robo de información o actividades expresamente malintencionadas, donde para mí no hay duda de lo que hacer, cualquier otra situación puede ser mitigada sin llegar a estos extremos… Sólo hace falta buscar soluciones inteligentes.

Trackbacks

  1. […] Analizando a las personas (…) Por este motivo, como ya hemos dicho en alguna ocasión en este mismo blog, se hace cada vez más importante en nuestras organizaciones la monitorización de las personas, de sus actividades, de sus actitudes y, en definitiva, de todo aquello que pueda repercutir negativamente en nuestra seguridad, así como la aplicación de modelos clásicos de inteligencia para obtener, a partir de datos aislados, información vital para la seguridad corporativa… […]