Estábamos posicionándonos sobre si la Ley sobre seguridad de las redes y sistemas de la información (NIS) afectaría y de qué manera al director de Seguridad, cuando, en pleno debate, la realidad inmediata de una pandemia nos recolocó frente a un panorama de horizonte incierto. Este Cisne Negro ha venido a cuestionar todos nuestros dogmas e ideas preconcebidas.
El ser humano, en su evolución, ha aceptado una mecánica de enfrentamiento a los problemas por segmentación, priorizando y relativizando. Sin embargo, cuando el problema es global y cuestiona no solo la organización, sino los Estados y el concepto supervivencia, cualquier análisis o ejercicio previo se queda infradimensionado, si no obsoleto.
En esta pandemia, las tres fases de una crisis –preparación, respuesta y recuperación– se han abordado desde la segunda perspectiva: las organizaciones, la sociedad. El mundo en general buscaba, necesitaba, una respuesta rápida. El tiempo para preparar la respuesta había pasado y encaminar la recuperación era una entelequia ante este escenario. Las empresas que habían elaborado planes de continuidad de negocio contaban con una ventaja competitiva; si además habían “hecho los deberes” y entrenado escenarios similares, esta se acentuaba más.
La mayoría de nuestras multinacionales contaban con estos planes y habían realizado ejercicios en los que se contemplaba poner a teletrabajar a un país entero… Pero ninguna tenía experiencia a la hora de extender este ejercicio a un entorno global multipaís y simultáneamente, lo cual fue un verdadero reto.
Qué decir de aquellas organizaciones en las que los planes de continuidad de negocio eran un documento muerto, sin actualizar ni entrenar. Se vieron obligadas a implantar medidas totalmente novedosas, en base a prueba y error, donde solo la monitorización en tiempo real (cuando esta era posible) permitía tomar decisiones sin preparar, con una información deficiente. Serían conscientes del momento, pero aún estarán valorando las consecuencias.
Multiplicar esfuerzos
Las Direcciones de Seguridad multiplicaron esfuerzos (mejor dicho, muchas veces se duplicó el esfuerzo personal, pues recordemos que la mayoría de ellas son unipersonales), recibieron un protagonismo y un reconocimiento merecidos, y reaprendieron términos de Safety, lamentablemente olvidados. Estos profesionales elaboraron procedimientos acordes con la nueva situación, estrecharon lazos con colegas en situaciones similares –algo que las asociaciones hemos predicado siempre– y de ese conocimiento común y compartido, obtenido a golpe de voluntad y disposición, consiguieron sacar adelante sus organizaciones; muchos de ellos a costa de su propia salud.
Hace ya un año y medio que dejamos atrás esa situación extrema y, aunque la coyuntura aún es complicada, es tiempo de sacar las primeras conclusiones desde la serenidad y la templanza.
En una crisis de estas dimensiones no hay ganadores ni perdedores, solo supervivientes, sobrevivientes y víctimas. Probablemente, si planteásemos este ejercicio en cualquier escuela de negocios, veríamos que las primeras consecuencias serían dotar de más medios, más formación y reconocimiento en el organigrama formal de las compañías de estos departamentos. La realidad, sin embargo, es bien distinta…
Una muestra son los vigilantes de seguridad, un personal declarado imprescindible sin ningún reconocimiento específico, como vimos con los sanitarios, empleadas de la limpieza o transportistas. Estos estaban siempre presentes en las noticias de radio y televisión, pero no hubo ni una mención a los vigilantes, más allá del calor y la empatía de los responsables de sus empresas y los clientes donde prestaban servicio.
El director de Seguridad
El director de Seguridad se ha visto sobrepasado en sus responsabilidades habituales y sobrecargados de nuevas competencias (para las que no encontraban, ni medios ni tiempo para formarse). Su esfuerzo de ingenio y voluntad de servicio no ha sido recompensado con una mayor proyección profesional dentro del organigrama de sus empresas, y en muchos casos pagaron con su puesto de trabajo unas reestructuraciones que solo miraron la cuenta de resultados a corto plazo.
Es cierto que el ecosistema de las tecnologías de la información y los profesionales de la seguridad que trabajan en ese ámbito, especialmente el director de Seguridad, se han visto potenciados. En un entorno de trabajo virtual, las consideraciones físicas pasan a un segundo plano, pero esta realidad ya se está ralentizando con las diferentes desescaladas, algo que no presume un horizonte futuro deseable.
Los profesionales de continuidad de negocio, a los que recurrían las organizaciones en busca de una tabla de salvación cuando ya se estaban ahogando y no había donde encontrar madera, han visto aumentar la demanda de sus servicios. Esperemos que esto no quede en el olvido cuando todo haya pasado, pues las crisis siempre nos acaban alcanzando de una u otra manera.
Por su parte, las asociaciones han sido el ancla de los profesionales de la Seguridad, cada una en su ámbito, manteniendo la cohesión y comunicación entre sus asociados, compartiendo información, generando formación y creando un clima de camaradería que aportó confianza en los momentos de mayor zozobra.
En el caso concreto de ASIS España, el perfil poliédrico de sus asociados, provenientes de todos los estratos del mundo de la seguridad, tanto pública como privada, y una implantación global, nos ha permitido ayudarles desde múltiples puntos de vista.
Ahora es tiempo de recuperarse, nos han tirado a la lona; pero ¡vamos a levantarnos!
Superar una crisis no significa blindar la organización frente a nuevas dificultades. El desafío es siempre el mismo: identificar amenazas, minimizar debilidades, aprender de los errores pasados, aprovechar las oportunidades e implementar mejoras dentro de un proceso de perfeccionamiento continuo.
ESRM
En ASIS entendemos, que es necesario desarrollar nuestra idea de un enfoque de gestión de riesgos de seguridad empresarial (ESRM), que busca asegurar que cualquier plan, decisión o respuesta de seguridad se alinee con las prioridades institucionales. El ESRM es tanto una filosofía como un sistema de gestión, que predica que los problemas de seguridad no deben ser eliminados. Está enfocado a administrar de manera integral los riesgos de seguridad organizacional a través de principios de riesgo aceptados.
Para nosotros, solo hay una SEGURIDAD, que engloba las dimensiones física, la cibernética, de la información, la prevención de pérdidas, la gestión de amenazas, la resiliencia, el fraude, la protección de marca, la seguridad en los viajes, la Inteligencia…, así como cualquier otra que pueda añadirse en el futuro. Solo tratando los diferentes ámbitos de la seguridad como un todo indisoluble e interrelacionado podremos afrontar los riesgos con garantías de éxito. Y la mejor manera de hacerlo es a través del ESRM, que abarca todos los aspectos del riesgo de seguridad. Es una apuesta segura.
Pero, para poder hacerlo, es necesario contar con departamentos de Seguridad dimensionados de una manera acorde a la labor que desarrollan. No puede ser que solo el 30 por ciento de los departamentos de Seguridad constituidos en España tengan más de una persona, o si lo prefieren, que en la mayoría esté el director de Seguridad solo. Este hecho no puede dejarse en manos de la política de inversiones en la empresa, debe regularse por un ordenamiento sectorial. En el pasado lo hicimos con la obligatoriedad de su existencia, y hoy debemos hacerlo sobre su composición. Solo así podremos asegurarnos de que nuestra apuesta es segura… y de que la hemos realizado en un casino honrado.