Amenazas internas en la organización: ¿cómo identificarlas?-I+L
2313
post-template-default,single,single-post,postid-2313,single-format-standard,ajax_fade,page_not_loaded,,qode_grid_1300,footer_responsive_adv,qode-content-sidebar-responsive,qode-theme-ver-9.0,wpb-js-composer js-comp-ver-4.11.1,vc_responsive

Amenazas internas: ¿puede el análisis ayudar a su identificación?

amenaza-interna-en-las-organizaciones

21 Oct Amenazas internas: ¿puede el análisis ayudar a su identificación?

El pasado 3 de octubre, todos los medios de comunicación se hicieron eco del ataque perpetrado por un funcionario que trabajaba en la sede central de la policía en París.

El agresor, un hombre de 45 años que llevaba trabajando desde 2003 en el departamento de informática, inició el ataque en su propio despacho y continuó la agresión en el resto de las dependencias hasta que, finalmente, fue abatido por un policía. Mató a cuatro personas e hirió a una quinta.

El asaltante, llamado Mickael Harpon, utilizó un cuchillo cerámico para evitar el control de seguridad y llevar a cabo su ataque.

Después de este tipo de acciones surgen multitud de preguntas. Pero hay una que destaca sobre todas las demás: ¿cuáles fueron sus motivaciones? ¿cómo es posible que no fuera detectado antes? ¿accedió a información clasificada y la reveló? ¿era un lobo solitario o formaba parte de una célula?

Datos sobre la autoría del atentado de París

Haciendo un somero repaso de las informaciones que han trascendido del agresor, sabemos que Harpon tenía un trabajo administrativo en el departamento de informática, por lo que no se enfrentaba a las presiones cotidianas de sus compañeros policías. Había estado trabajando para la policía durante los últimos 16 años e incluso desempeñó alguna labor en el departamento de inteligencia.

Según la agencia AFP, nació en el territorio francés de ultramar de la Martinica. Padecía una discapacidad auditiva severa, estaba casado, tenia dos hijos de tres y nueve años y vivía en un suburbio parisino cercano al aeropuerto Charles de Gaulle.

Las investigaciones sostienen que se convirtió al islam hace 18 meses, pero en el registro de su casa no se encontró ningún dato que sugiriera una radicalización. Según contó un vecino a la AFP “era una persona muy callada. Solía verlo ir a la mezquita pero practicaba (su religión) de manera normal”.

El ministro del Interior francés, Christophe Castaner, en declaraciones a la radio France Inter, lamentó que no se hubiera hecho más para investigarlo, a pesar de algunas de las señales identificadas y que incluían elogios a los ataques de Charlie Hebdo en 2015 y cambios más recientes de aspecto o comportamiento, como su forma de vestir o evitar el contacto con las mujeres.

Según el ministro, estos hechos no fueron informados en el nivel correcto, ni en el momento oportuno y, desde luego, no desembocaron en una investigación formal. Todo ello a pesar de que Mickael Harpon fuera un especialista en informática con una autorización de seguridad que le habilitaba para acceder a información sensible, lo que obligaba a que la administración estuviera segura de su fiabilidad. “Las señales de alerta deberían haber sido suficientes para abrir una investigación”, dijo Castaner. “Me gustaría que cada alerta sea tratada automáticamente”, agregó, sin dar más detalles sobre los pasos que se tomarían.

Este aspecto, el del acceso a información clasificada por parte del atacante, tampoco está claro.  Según indicó el viceministro del Interior, Laurent Nunez, si bien Harpon no parecía tener vínculos con ninguna célula, los investigadores no saben precisar qué tipo de información confidencial podría haber trasmitido ni a quién, si es que lo hizo. Lo más grave es que Nunez reconoció “no sabemos a qué información tuvo acceso”.

Como se puede ver del breve relato de las informaciones aparecidas, estamos ante un claro caso de fallo de contrainteligencia y seguridad en una organización. Es cierto que es difícil que contrainteligencia sea capaz de identificar y contrarrestar todas las posibles amenazas, pero lo que sí se puede afirmar es que hay errores que se podían haber evitado, y que hubieran incrementado las posibilidades de detectar al atacante con antelación.

Contrainteligencia y la amenaza interna

Como he comentado en algún otro artículo, podemos definir contrainteligencia como el conjunto de actividades que conducen a identificar y contrarrestar las amenazas a la seguridad, planteadas por los servicios de inteligencia hostiles y las organizaciones o individuos involucrados en terrorismo, espionaje, sabotaje, subversión o crimen organizado.

En resumen, contrainteligencia trata de obtener información en beneficio de la seguridad.

El caso del atacante de París está claro que entra dentro de la categoría de terrorismo y, está aún por ver, si en la de espionaje. Relacionado con el terrorismo, el primer ministro Edouard Philippe anunció que ha ordenado revisar los signos de radicalización dentro de los servicios de inteligencia. Según un informe parlamentario sobre la radicalización dentro de los servicios públicos, existen unos 30 casos sospechosos entre los 280,000 oficiales de la policía y las fuerzas de gendarmería de Francia.

En el artículo El Análisis de Hipótesis en Competencia y la identificación de ataques terroristas comenté que alguna técnica de análisis  puede ayudar en la identificación de actividad terrorista y que podría ser de aplicación en este caso concreto. Sin embargo, en este artículo voy a comentar aspectos que considero importantes en relación con la contrainteligencia en apoyo a la seguridad.

Cualquier organización que quiera protegerse debe de tener en cuenta tres aspectos fundamentales, desde el punto de vista de contrainteligencia:

  • La selección del personal.
  • La supervisión del personal.
  • La responsabilidad individual.

Cuando hablamos de la selección del personal no solamente nos referimos a su cualificación técnica para un puesto determinado, si no desde el punto de vista de la seguridad. Es decir, es necesario llevar a cabo una investigación del candidato para analizar si es fiable para ocupar un puesto, sobre todo si va a tener acceso a información confidencial de la organización.

Una simple búsqueda en internet nos permite localizar casos de empleados o funcionarios desleales que han vendido secretos de empresa a la competencia o a países extranjeros.

Cuando hablamos de la supervisión del personal nos referimos a investigaciones rutinarias, que verifiquen si continúa siendo fiable y no está involucrado en actividades que supongan una vulnerabilidad para la organización.

En este punto podemos incluir acciones como entrevistas rutinarias de seguridad, utilización del polígrafo o, en los casos más extremos, vigilancia física y electrónica. Lógicamente deben ser llevadas a cabo siempre sujetas a la legislación vigente.

En cuanto a la responsabilidad individual nos referimos a que todo el personal debe estar concienciado sobre su deber de informar en caso de apreciar comportamientos sospechosos por parte de algún compañero. Los americanos lo resumen muy bien: ¿ves algo? ¿di algo?

Para que esto sea eficaz es necesario programas de concienciación y un procedimiento para comunicar a los responsables de contrainteligencia y seguridad sobre las actividades y actitudes sospechosas.

En este punto podemos recordar el famoso caso de Ana Montes, analista de inteligencia de la DIA (Defense Intelligence Agency), la cual espió durante 16 años para los servicios de inteligencia cubanos. La información que puso sobre su pista al personal de contrainteligencia fue la denuncia de un compañero sobre su interés por acceder a más información de la que le correspondía por su puesto. En ese momento no se pudo demostrar nada, pero fue el principio del fin para ella, ya que entró a formar parte de la lista de sospechosos de espionaje.

En el caso del atacante de París es probable que sus compañeros identificaran cambios de comportamiento, o incluso escucharan comentarios inapropiados para alguien que trabaja en la policía. Pero un compañerismo mal entendido y seguramente la falta de un procedimiento para informar, condujeron a que no se identificara a Harpon como una amenaza, con las consecuencias que todos conocemos.

El principal problema que subyace es la tarea abrumadora que supone llevar a cabo todo lo anterior sin una adecuada capacidad de análisis. Sobre todo si se pretenden investigar todas las denuncias, como plantea el Ministro del Interior francés.

Detección temprana de amenazas

Un antiguo responsable de contrainteligencia en la CIA recomendaba no olvidarse del análisis y el mantener una actitud proactiva. Es la única manera de hacer frente, de una manera eficiente, a la ingente cantidad de datos que se tienen que analizar.

El análisis ha sido a menudo la “niña fea” de la contrainteligencia y la seguridad, disponiendo siempre de poco personal y mal cualificado. Un buen esfuerzo de contrainteligencia en apoyo a la seguridad deberá contar con buenos analistas, que identifiquen los datos y patrones relevantes y hagan las conexiones necesarias para focalizar los recursos en la dirección correcta.

El análisis ayuda a definir la amenaza, identifica vulnerabilidades, apoya en la investigación del personal sospechoso clave y contribuye a incrementar la seguridad en la organización

Los departamentos de seguridad de las grandes organizaciones ya sean públicas o privadas, tienen que ser consciente de la necesidad de incorporar el análisis para detectar las amenazas internas y que en muchas ocasiones están incluso relacionadas con las ciberamenazas y que pasa por conocer en la medida de lo posible al personal.

Si por ejemplo, hablamos de la amenaza de espionaje, el análisis nos ayudaría a pensar en:

  • ¿Quién podría estar interesado en la organización? ¿Un competidor? ¿Un país extranjero?
  • ¿A quién se podrían dirigir dentro de su organización?
  • ¿Quiénes son las personas de alto riesgo en la organización?
  • ¿Cuáles son las joyas de la corona de la organización? ¿información? ¿instalaciones? ¿material? ¿proyectos I+D+i?
  • ¿A qué datos / personas querría apuntar el adversario/competidor?

El análisis nos ayuda a categorizar los sospechosos de ser una amenaza interna y así poder dedicar los recursos a los que se consideren que tienen un nivel de riesgo más alto. Esto obliga a cruzar datos de todo tipo sobre el personal investigado.

El dotarse de capacidades de obtención y análisis de información en beneficio de la seguridad, es decir contrainteligencia, redundaría en beneficio de la organización, ya que no solamente facilitaría la identificación de posibles empleados desleales dispuestos difundir secretos, si no también actividades delictivas de otro tipo, y como en el caso de París de posibles radicalizados dispuestos a llevar a cabo ataques terroristas.

Un buen esfuerzo de contrainteligencia es un gran arma de disuasión para aquella persona que esté pensando en llevar a cabo actividades en contra de su organización. Hay que tener claro que la misión principal de los departamentos de seguridad es adoptar medidas para prevenir que algo ocurra.

Si quiere conocer más información sobre nuestro Curso de Identificación y Análisis de Amenazas Internas en las Organizaciones, pinche aquí



Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies