Inicio Seguridad Aplicada Infraestructuras Estratégicas

Modelo de inteligencia corporativa para infraestructuras críticas

OPINIÓN
ANTONIO GAONA ROSETE, DIRECTOR DE SEGURIDAD E INTELIGENCIA DE
GRUPO FINANCIERO BANORTE

Modelo de inteligencia corporativa para

infraestructuras críticas

El proceso de inteligencia corporativa abarca desde la definición de servicios esenciales e

infraestructuras críticas y el alcance y mapeo de factores de amenaza hasta la propuesta de
planes y programas para desarrollar el modelo de resiliencia. Autor: Antonio Gaona Rosete,
director de Seguridad e Inteligencia de Grupo Financiero Banorte.

El proceso exige un esfuerzo multidisciplinario donde el departamento de Seguridad Corporativa se integra en los
diversos equipos que plantean el esquema de salvaguarda de los servicios e infraestructura, participando en todas
las fases de planeación y operación que reviste el modelo de resiliencia como esquema de capacidad de respuesta y
recuperación del grupo financiero.

Para establecer el marco de las infraestructuras críticas se considera toda aquella operación física o lógica, servicio
o proceso cuya interrupción o terminación generaría un impacto muy grave para la continuidad de la vida diaria de
una comunidad, afectando a su bienestar económico, de salud y social, así como a la capacidad de atención y
viabilidad del Gobierno.

Los relacionados con la salud, el transporte, el agua, la energía, el sector financiero o la seguridad pública son
algunos de estos servicios esenciales. Y son las infraestructuras críticas las que, al ser impactadas, comprometen su
viabilidad.

Servicios esenciales

En este contexto, le compete al departamento de Seguridad Corporativa, coadyuvando con otras áreas críticas de la
empresa, determinar qué sistemas son claves dentro del modelo operativo del grupo financiero, así como determinar
las fuentes de amenaza y la agenda de riesgos para integrar propuestas y soluciones a las distintas fases de la
capacidad de respuesta corporativa.

Dentro de la definición de piezas claves, es muy importante entender que no todo el espectro del grupo financiero cae
en el umbral de servicio esencial o infraestructura crítica. Así, identificamos los siguientes servicios esenciales:

Servicios de pago. Todos los pagos electrónicos a minoristas o mayoristas en efectivo y con tarjeta de crédito.

Servicios de crédito y liquidez. Atienden las operaciones de mercado interbancario, emisiones de deuda,
financiación, crédito a clientes y administraciones públicas, así como operaciones de política monetaria.
 Servicios de envío de dinero y remesas. Red de transmisores para envío, pago y cobro de remesas a nivel local,
nacional e internacional.

Servicios de inversión. Incluyen la negociación de instrumentos financieros, la compensación y liquidación de

operaciones y el registro y la custodia de dichos instrumentos.

Servicios de seguros. Su alcance abarca la administración de riesgos y la inversión institucional.

Identificados los servicios esenciales, es indispensable analizar todos los controles y recursos que participan en su
operación, por lo que el proceso de entender toda la arquitectura operativa de cada servicio implica la interacción con
todas las áreas en el equipo de prevención y respuesta. Tecnología, Operaciones, Comercial, Contraloría, Recursos
Humanos, Abasto, Auditoría, Seguridad, etc., deben coordinar este esfuerzo, de forma que se pueda identificar toda
vulnerabilidad o área de oportunidad, tanto lógica como tecnológica, humana, procesal…

Dada la identificación, procede pasar a identificar las probables fuentes de amenaza y, con ello, la definición de la
agenda de riesgos.

Fuentes de amenaza

Hoy en día, el espectro de la amenaza cibernética toma más relevancia dada la plataforma lógica que sostiene no
sólo a los servicios esenciales, sino a toda la empresa. Pero el quid del asunto es que no todo riesgo es cibernético.
Hay otros factores de amenaza que pueden tener un impacto mucho más grave, de carácter catastrófico. Considero
que caemos dentro de una visión de túnel cuando sólo nos enfocamos en el factor cibernético como fuente de
amenaza y riesgos. Así, definimos las diferentes fuentes de amenaza y algunos de los probables riesgos que estos
conllevan.

Factor humano. Considero que es la principal fuente de amenaza, requiriendo un verdadero proceso y análisis
multifuncional, una introspección para identificar las causales, tendencias y modalidades en que se comporta
este factor. Es el factor oculto. Hablamos de la amenaza interna, los empleados externos, los movimientos
sociales y la delincuencia organizada.

Factor naturaleza. Un factor impredecible en su comportamiento, aunque es posible identificar dónde es crítico y
muchas veces de carácter catastrófico. Aquí figuran los sismos, las inundaciones, los incendios, las tormentas o
los huracanes.

Factor tecnológico. Los equipos requieren mantenimiento. Sufren desgaste y fallas. Y pueden provocar
situaciones que den lugar a una situación crítica. Por lo tanto, hay que tener en cuenta las fallas de los equipos, la
falta de piezas críticas, las actualizaciones y las fallas técnicas.

Factor cibernético. Es determinante en el universo lógico que mueve las diversas plataformas de los servicios
esenciales. Aquí entran en juego los ciberterroristas, los hackers, los crackers, la amenaza interna, los gobiernos,
las fallas lógicas, etc.

Factor colateral. Falla de cualquier otro servicio esencial o infraestructura crítica, básico para la viabilidad
operativa de los servicios financieros, como resultado del impacto de los otros factores.

Plataforma de resiliencia

El modelo de inteligencia corporativa es el que sustenta la plataforma de resiliencia, o capacidad de respuesta de la

empresa, generando la información necesaria para la toma de decisiones que demanda el mantener la viabilidad de
los servicios esenciales. Conlleva acciones integradas por parte de varias áreas críticas de la empresa, el
aseguramiento de soportes y proveedores externos, la coordinación con el sector financiero y la relación y
coordinación con las autoridades. La plataforma considera cuatro grandes fases:

Prevención.

Es la fase más importante. En ella se establecen todos los escenarios posibles, considerando los factores e
impacto de cada uno de ellos para pasar a definir las respuestas para cada riesgo.

La coordinación y las alianzas críticas, las redes y los enlaces de comunicación son establecidas en esta fase.

Esta fase requiere plantear lo que se considera imposible de suceder. Se plantea que aunque nosotros estemos
bien, el entorno puede no estarlo.
 Un planteamiento de inteligencia efectivo plasmará la agenda de riesgos con los impactos más extremos.

Contención (primera respuesta).

Fase donde se aplicarán las respuestas a las contingencias e incidencias identificadas en la agenda de riesgos.

Una prevención efectiva podrá contener en esta etapa los principales riesgos identificados.

Manejo de crisis.

Rebasada la capacidad de respuesta, entra en juego la capacidad para generar nuevas respuestas, lo que
demanda tener el factor humano necesario para la toma de decisiones.

Es en la fase de prevención donde debe definirse a los elementos que se integrarán para manejar la crisis.

Continuidad de negocio.

Plataforma sobre la que se asientan las tres primeras fases y que debe determinar la sustentabilidad de los
servicios e infraestructura crítica.

Conclusiones

El modelo de resiliencia, o capacidad de respuesta de la empresa para lograr la sustentabilidad de servicios

esenciales o infraestructura crítica, debe considerar:

Un esfuerzo de la empresa a través de un proceso multifuncional sustentado en una cultura de administración de

riesgos y enfocada hacia la resiliencia.

Una coordinación con proveedores y autoridades basada en una política nacional de protección a servicios
esenciales e infraestructura crítica.

Que los servicios propios pueden ser afectados por la caída de otros servicios esenciales, en especial durante
situaciones catastróficas.

Que el factor humano es crítico tanto como factor de amenaza como factor de seguridad para poder cumplir con
el proceso de resiliencia.

Que la presión externa puede ser crítica e incidir durante el proceso de toma de decisiones durante una
contingencia o una crisis.

El modelo de resiliencia para servicios esenciales e infraestructuras críticas debe estar sentado en un planteamiento
a nivel gobierno federal que coordine el esfuerzo de autoridades y empresas en un solo proyecto estratégico.

Palabras clave:

infraestructuras estratégicas, entidades financieras, infraestructuras críticas, instalaciones vitales, Antonio Gaona,
Grupo Financiero Banorte, Banorte