Trabajamos con proveedores de servicios de telecomunicaciones, reguladores, fuerzas del orden y fuerzas policiales para garantizar que la gestión del cumplimiento legal y la gestión de la divulgación se alineen con las regulaciones locales de protección de datos y la política para la divulgación controlada y auditada de datos.
‘Cómo luchar contra los caimanes y drenar el pantano’
Ray Green, director gerente
El propósito de una oficina de apoyo a las fuerzas del orden público (una oficina de LES) es proporcionar rápidamente información precisa sobre los clientes y la red a los organismos legalmente autorizados. Suena como una tarea simple, pero implementar los procesos relevantes y desarrollar sistemas automatizados puede ser como tratar de drenar un pantano mientras lucha contra los caimanes.
Este documento se ha preparado para ayudar a aquellos gerentes que son nuevos en una oficina de aplicación de la ley para que puedan adaptarse al nuevo paradigma en el que se encuentran.
Comienza con un reflejo honesto de mi experiencia de trabajo para una unidad de este tipo dentro de un proveedor global de telecomunicaciones antes de concluir con un breve resumen de las opciones que están disponibles para usted si desea automatizar su servicio de divulgación.
Para describir el rol de una oficina de LES, es útil dividir la función en sus partes componentes:
Suministro de información a los servicios de inteligencia y seguridad: estas organizaciones normalmente son muy discretas y mantienen relaciones a largo plazo.
Seguridad pública (policía, bomberos, ambulancia, guardacostas, salvamento en montaña): es imprescindible un servicio inmediato y las 24 horas. La velocidad, la precisión y la funcionalidad de auditoría son vitales.
Investigación criminal: todo puede ser y será utilizado en los tribunales. Los incidentes de alto perfil en los que la policía se vuelve extremadamente proactiva pueden afectar las cargas de trabajo.
Los tribunales y el proceso judicial: los datos deben proporcionarse dentro de los plazos estipulados por los tribunales, independientemente del tiempo que pueda tardar una oficina de LES en acceder a los datos archivados.
Para proporcionar información sobre los clientes y la red a estos organismos de manera precisa y eficiente, se deben dominar dos elementos:
Gestión de relaciones o comportamientos
Gestión de la información o ingeniería de procesos.
El apoyo a las fuerzas del orden público (LES) es una función empresarial inusual y, a menudo, la alta dirección no la entiende. Las exigencias y dinámicas de la unidad son completamente diferentes a las de una operación comercial. Ningún otro departamento de una empresa de telecomunicaciones trabaja en un entorno de tanta presión. Es un ambiente en el que cada acción puede ser examinada críticamente en la Corte y donde una respuesta puede marcar la diferencia entre la vida y la muerte.
Cuando el desempeño de la oficina de LES se discute a nivel de directorio, a menudo se debe a un inminente desastre de relaciones públicas.
El hecho es que el número y la complejidad de las solicitudes de los organismos encargados de hacer cumplir la ley seguirán aumentando. Entonces, ¿cómo se puede esperar que las compañías telefónicas gestionen este volumen de trabajo sin incurrir en un coste significativo? Antes de responder eso, echemos un vistazo al papel de la oficina de LES para entender lo que está involucrado.
Trabajar con la policía no es discrecional. Una fuerza no puede optar por obtener la información de facturación de un cliente de otra compañía de telefonía móvil. La relación que tiene podría describirse como similar a la que podría tener su Departamento de Asuntos Regulatorios con otras redes.
Se requiere una perspectiva estratégica a largo plazo, junto con la capacidad de responder de inmediato a las solicitudes. Esto puede ser exigente y desafiante.
Una solución es reunirse regularmente con su contraparte del Director de Inteligencia. Si bien esto puede llevar mucho tiempo, se puede lograr mucho si ustedes pueden concentrarse en un terreno común. Existen una serie de ventajas al establecer un único punto de contacto entre ambas organizaciones:
visibilidad de las solicitudes y la capacidad de rastrearlas
clientes informados, capaces de priorizar las solicitudes.
Es mucho mejor si este acuerdo puede formalizarse a través de un acuerdo o un memorando de entendimiento. Es posible que deba negociar una serie de inquietudes en el camino, como la asignación de recursos a un único punto de contacto. Sin embargo, este argumento es superado fácilmente por la cantidad de duplicación y el tiempo perdido en el uso de múltiples puntos de contacto.
El arte de la negociación será más sencillo si puede dividir las responsabilidades de creación y gestión de políticas dentro de su organización. En este caso, el Departamento Legal debe asesorar al Departamento de Asuntos Regulatorios, que establece la política, y la oficina de LES debe administrar esa política, que debe estar ubicada dentro del Departamento de Fraude o Seguridad. Esto le da a la oficina de LES una visión general de los aspectos técnicos y comerciales de la industria y acceso a la experiencia legal.
Entonces, ¿qué tipo de relación y cultura se encontrará?
La policía se ocupa de los delitos que generalmente se deben a malas condiciones de vivienda, mala educación y bajas perspectivas de empleo. Los oficiales también tienen que manejar a los enfermos mentales, los suicidas, las víctimas y sus familiares, así como responder a la violencia doméstica y los accidentes. No tienen control sobre lo que enfrentarán en el día a día.
Además, el liderazgo tiene la tarea poco envidiable de administrar:
una estructura organizativa inflexible
prácticas laborales restringidas por la ley, las políticas, los sindicatos y la financiación
prioridades políticas en constante cambio
En ese sentido, cualquier discusión debe basarse en la suposición de que la fuerza de policía tiene un fuerte sentido del deber y servicio a la comunidad, y está impulsada por el cumplimiento de objetivos de arriba hacia abajo. Se pueden utilizar varios enfoques para desarrollar una relación a largo plazo a la luz de esta cultura:
sea claro sobre el problema que se le pide que ayude a resolver, a diferencia del síntoma, y quién es el dueño del problema para evitar la transferencia.
aclare quién es responsable de completar cada tarea para generar un enfoque de asociación verdadera.
cumpla con los acuerdos y procesos acordados, de lo contrario las excepciones se convertirán en las reglas.
articule exactamente lo que quiere decir y sea específico sobre su nivel de compromiso para evitar decepciones.
sea consistente en lo que hace y dice para crear confianza.
Sin embargo, esto no es más que la punta del iceberg.
La policía está sobrecargada de trabajo y resuelve cualquier situación nueva creando un formulario. Una parte importante de la vigilancia consiste en registrar y procesar información en respuesta a procedimientos definidos. Sin embargo, incluso dentro de la misma estructura legal, diferentes fuerzas y tribunales operan de diferentes maneras, lo que aumenta la complejidad de responder a las solicitudes.
La mejor manera de negociar esta complejidad es establecer sus procesos (es decir, cómo quiere que la policía se relacione con usted) y resaltar los beneficios de trabajar de esta manera. La automatización de sus procesos, aunque clave para lograr sus objetivos, inicialmente será un anatema. Si sus argumentos son sólidos, pronto podrá demostrar una situación en la que todos ganan.
El segundo elemento que se debe dominar es la eficacia y la eficiencia en el procesamiento de la información.
ILos objetivos de la oficina de LES, en orden de prioridad, son:
salvar vidas, cuando sea necesario
proteger su organización (clientes, personal y accionistas)
ayudar a la Policía a lograr sus objetivos.
Una de las dificultades es la variedad de formatos en los que se reciben las solicitudes y órdenes judiciales. A menudo la situación empeora por la vaguedad de las solicitudes. Ambos hacen que sea más difícil responder de manera rápida y eficiente.
El desafío es cambiar el comportamiento y los hábitos. Dicho cambio deberá ser gradual e incremental y podrá abarcar varios años. El objetivo final es automatizar tanto como sea posible para proporcionar datos en minutos, no en semanas.
Esto se logra utilizando los siete pilares de la divulgación:
El marco legal: Puede ser grande la cantidad de legislaciones que exigen o permiten la publicación de datos. Es importante comprender exactamente qué datos pueden divulgarse en virtud de un artículo específico de la ley. Usted debe buscar el consejo y la orientación de su departamento legal. Codificar esto en un sistema automatizado requiere un análisis cuidadoso para que las estructuras sean correctas.
La seguridad: Es esencial mantener el proceso seguro. El equilibrio es la velocidad sobre la seguridad. Si los procesos de seguridad son demasiados rígidos es posible que alguien muera, pero si el proceso es demasiado difícil, los oficiales buscarán una forma más fácil de obtener la información.
La validación del solicitante: Es vital que la persona que invoca una ley esté habilitada para hacerlo. Existe un mercado importante para los datos personales.
La auditoría: Un sistema robusto y auditable es fundamental para defender la reputación de la empresa si sus acciones son cuestionadas.
La interoperabilidad: Cualquier sistema deberá conectarse a múltiples sistemas, incluidos los procedimientos heredados y las prácticas de aplicación de la ley, todos los cuales es probable que cambien con el tiempo.
La velocidad: En una situación que amenaza la vida, los segundos marcan la diferencia. Siendo realistas, esto solo se puede lograr con la automatización.
La comunicación: Se puede consultar una variedad de estadísticas, informes de gestión e información de facturación para mejorar el flujo de trabajo y la eficiencia.
Pero, ¿qué significa eso en la práctica? En pocas palabras, el proceso de LES se puede dividir en siete etapas:
La recepción y registro de una solicitud: Esto debe completarse de manera consistente para que se pueda probar un negativo: que no se recibió la orden judicial. Solo cuando las órdenes se han procesado hacia adentro, las cargas de trabajo pueden evaluarse y priorizarse. Idealmente, la solicitud debe recibirse electrónicamente. El elemento clave es cómo se estructura la solicitud para que pueda cargarse en una base de datos para su posterior procesamiento. Esto se puede lograr de dos maneras, ya sea mediante el uso de una estructura de solicitud predeterminada o mediante una herramienta de análisis que puede extraer los detalles relevantes. Establecer este componente requiere un cambio fundamental en la forma en que opera una fuerza policial.
La validación del solicitante y de las solicitudes: La llegada de las redes privadas virtuales y en línea ha hecho que la validación sea más rápida, más fácil y más segura, ya que la información de nombre de usuario y contraseña cambia regularmente. El solicitante se valida durante el primer proceso de solicitud para confirmar el tipo de legislación que el solicitante puede invocar, lo que determina el tipo de datos que se pueden divulgar.
La extracción de los datos de los sistemas de la empresa: Se debe adoptar un enfoque incremental con soporte interno proporcionado por diferentes administradores del sistema.
El formateo de los datos en un documento comprensible y el almacenamiento de una copia "dorada": La policía normalmente tiene tres requisitos: una copia fija como un pdf, una copia digital que se puede cargar en otros sistemas y una copia de prueba. También hay argumentos a favor y en contra de la retención de una copia "dorada" por parte de LES. Por un lado, los datos deberían ser retenidos por la Policía, pero podrían volver a solicitarlos más adelante. Por otro lado, el almacenamiento de copias doradas es un gasto mínimo y permite una mayor integridad en caso de que el LES necesite prestar declaración ante un tribunal.
El envío al solicitante correcto: El envío de la respuesta es más seguro si el solicitante ha sido validado y los datos enviados a una dirección confirmada. Un sistema en línea permite que el solicitante descargue una respuesta varias veces sin implicar recursos para el LES.
La factura: El costo y el recurso de mantener registros, facturar y administrar consultas posteriores a menudo impide que las empresas recuperen los costos de manejo de solicitudes de datos. Una de las ventajas de tener un único punto de contacto es la rápida aprobación de los cargos de recuperación de costos por parte del personal autorizado de la fuerza.
La contestación de consultas sobre todos los pasos anteriores: Un sistema automatizado hace que esto sea mucho más dinámico e inmediato.
Ahora, dirijamos nuestra atención a otro activo dentro de la oficina de LES: su personal.
La selección del personal para la oficina de LES es una decisión importante. La naturaleza del puesto requiere un alto grado de madurez y discreción. El personal estará al tanto de la información relacionada con incidentes importantes, a veces angustiantes, que deben permanecer fuera del dominio público. Necesitarán la capacidad de negociar situaciones aparentemente imposibles, como dos jueces que exijan que se haga algo de inmediato o dos oficiales superiores de policía que insistan en que sus requisitos operativos tengan prioridad.
La capacidad de trabajar con precisión y consistencia es importante. Los datos publicados se utilizan para respaldar decisiones en situaciones críticas de la vida para operaciones policiales que pueden costar millones de dólares y en casos judiciales donde la justicia y la libertad están en juego. No hay una sola etapa en el ciclo de vida del cliente, o un solo aspecto de la prestación del servicio, que no esté cubierto. El personal debe estar bien informado en todas estas etapas.
Es posible que se deba enseñar al personal cómo prestar testimonio en los tribunales y la tentación es emplear a ex agentes del orden público con experiencia en los tribunales. Podría decirse que es mejor contratar personal civil que pueda ser capacitado en habilidades de presentación ante el tribunal por un abogado experimentado, ya que la empresa simplemente está allí para brindar evidencia imparcial.
Preferiblemente, el personal debe ser contratado internamente donde se conozca el carácter y la reputación del candidato. En la mayoría de las empresas, la respuesta a un aumento en la carga de trabajo es emplear personal con contrato temporal. Esto debe resistirse, cuando sea posible, en la función LES.
Uno de los peligros en la función LES es la posibilidad de que el personal se vuelva "nativo". El aislamiento del personal de LES de las actividades principales de la empresa y su contacto diario con la policía puede resultar en una transferencia de lealtad lejos de la empresa que paga sus salarios. Los gerentes deben ser conscientes de esto y adoptar estrategias adecuadas, por ejemplo, la rotación de personal.
Finalmente, el estrés causado por cargas de trabajo excesivas puede ser un problema grave en este entorno. Corresponde a una empresa proporcionar a su personal las herramientas para hacer su trabajo y gestionar su bienestar.
Habiendo explorado cómo es trabajar en una oficina de apoyo a la aplicación de la ley, el papel de la unidad y el tipo de habilidades y cualidades que el personal debe aportar, ahora podemos volver a nuestra pregunta anterior. ¿Cómo pueden las compañías telefónicas administrar un volumen de trabajo cada vez mayor sin incurrir en costos significativos de desarrollo de TI?
A menudo hay dos retos que superar.
El primero es que usualmente hay más propuestas de proyectos que presupuesto disponible, lo que hace que el sistema de divulgación sea potencialmente el último en la lista.
Luego está la complejidad de su diseño. Generalmente, cuando se automatiza un proceso, se cambia para cumplir con la lógica de la computadora. Los sistemas policiales tienen que lidiar con el mundo real.
Pero después de superar estos retos y preparar el informe, ¿cuáles son las opciones disponibles?
Esto inspirará entusiasmo inicial en el departamento de tecnología de la información, porque la función LES se percibirá como un concepto inusual y desafiante. Sin embargo, la falta de conocimiento forense y un optimismo inevitable sobre cuánto se puede lograr darán como resultado la regla habitual 20/20/60.
Estará un 20 % por encima del presupuesto, un 20 % tarde y ofrecerá solo un 60 % de la funcionalidad deseada.
Si el proyecto se retrasa, una vez que se haya entregado la funcionalidad mínima, los recursos se redistribuirán en otro lugar. Los cambios de software futuros serán difíciles de implementar en este escenario.
Los costos típicos para un desarrollo interno durante un período de dos años oscilan entre dos y cuatro millones de dólares.
El reto de los recursos se reemplaza por un reto de financiación. Los desarrollos futuros también se convierten en un debate de financiación y es probable que se aplique la misma regla 20/20/60.
El 80 % de sus requisitos se entregarán ahora mismo en lugar de el 60 % entregado después de dos años.
De todos modos, después de dos años sus requisitos habrán cambiado.
Un sistema probado y demostrado que puede integrarse fácilmente con sistemas back-end es una opción de bajo riesgo. La compra e instalación tomarán alrededor de dos meses o US$ 250.000. En la mayoría de los casos, se logrará un retorno de la inversión dentro de tres meses.
A tested and proven system that can integrate easily with backend systems is a low risk option. The purchase and installation will be in the region of 2 months or $250,000. In most cases a return on investment will be achieved within 3 months.
La automatización de un servicio de divulgación trae consigo la necesidad de trabajar en torno a los comportamientos y la cultura tanto de las fuerzas del orden como de las empresas de telecomunicaciones y gestionar las complejidades del “mundo real”.
Focus Data ha traducido esta complejidad en su modelo de divulgación de siete pilares y ha diseñado un sistema que es fácil de instalar y puede cambiar a medida que cambian los requisitos de su negocio.
Focus Data tienen la certificación Cyber Essentials..
Focus Data ha alcanzado la ISO 27001, el estándar internacional para gestionar la seguridad de la información.