Hace un tiempo atrás, en una entrevista en este mismo medio, daba mi visión sobre la seguridad 360 grados. En aquel momento hablaba de la importancia de que las empresas tengan una visión de la seguridad desde todos los ángulos y perspectivas; es decir, conocer todos los riesgos y amenazas para la organización desde un punto de vista de seguridad física, prevención de riesgos laborales, seguridad de la información, ciberseguridad, compliance… En definitiva, tener un modelo de seguridad integral que dé respuesta a cualquier problema, incidente o crisis en una organización y que pueda ocasionar una pérdida económica, humana o reputacional.
La crisis que estamos viviendo con el COVID-19 es un claro ejemplo de cómo una crisis sanitaria pone en jaque a toda la sociedad, gobierno u organización, y hace necesario que las empresas tengan modelos de seguridad integral.
El principal riesgo para las empresas ha sido que los empleados, su principal activo, se contagiaran de COVID-19; por ello muchos o la mayoría de los esfuerzos se han centrado en evitarlo. Sin embargo, aparte de este riesgo, aparecen otros derivados de esta crisis. Por ejemplo, las empresas envían a sus empleados a trabajar a casa y aparecen más riesgos en materia de ciberseguridad, se amplía el perímetro de la misma y se plantean diferentes problemas a resolver. Hay trabajadores que manejan sus equipos informáticos propios, con lo que la empresa no puede asegurar que la seguridad no quede comprometida, además de los problemas de la red que se utiliza, el dimensionamiento de las VPN (red privada virtual, por sus siglas en inglés) o la actualización de los sistemas cloud.
Aparte de esto, muchas de las instalaciones de las empresas quedan desiertas o con el mínimo personal. Dependiendo del negocio, puede aumentar el riesgo a sufrir un ataque de las instalaciones, una intrusión no deseada o, en el caso de los comercios y retail, butrones o alunizajes.
Con todos estos riesgos presentes, además debemos asegurar la continuidad del negocio. Hay que tener y poner en marcha los planes de contingencia y gestionar la vuelta al trabajo cumpliendo todas las normativas impuestas a cada sector, sin poner a la empresa en riesgo reputacional por algún incumplimiento.
Si algo hemos aprendido de esta crisis es que los planes de contingencia y de continuidad de negocio deben ser documentos vivos
Las organizaciones necesitan un modelo de seguridad integral, un departamento de Seguridad o de riesgos, que pueda dar respuesta a cada una de las amenazas que una crisis como la del COVID-19 provocan.
Tengo la suerte de trabajar en una empresa que establece desde su matriz el modelo de todas las “seguridades bajo el mismo paraguas”. Un modelo que trata de replicar en todos los países y filiales, aunque no siempre es fácil por una cuestión muchas veces de recursos.
En el Departamento de Seguridad, aparte de la seguridad física, gestionamos la prevención de riesgos laborales, parte de la seguridad de la información y coordinamos, junto con otros departamentos, el resto de “seguridades” como si fuéramos uno solo. En definitiva, vamos hacia ese modelo de seguridad integral que nos ha permitido gestionar todos los riegos anteriormente comentados y establecer y poner en marcha los planes de contingencia y de continuidad de negocio.
Gestión del COVID-19
Durante la crisis del COVID-19, cada una de las partes involucradas puso en marcha todas las medidas necesarias para hacer frente a la situación, tales como el dimensionamiento de las VPN, proporcionar a los empleados equipos informáticos corporativos, la dotación de equipos de protección individual, formación a los trabajadores en materia de prevención de riesgos laborales frente al coronavirus e intensificamos la concienciación en materia de ciberseguridad (campañas de prevención del phishing, etc.).
Además, junto con los proveedores de seguridad, organizamos medidas adicionales para garantizar la seguridad de nuestras instalaciones, como rondas, vigilancias adicionales, protocolos especiales con CRA, etc. Resalto en este caso la importancia de tener proveedores de seguridad de confianza que trabajen como verdaderos partners. Eso es algo que normalmente se puede comprobar en situaciones como la vivida.
Y por supuesto no nos hemos olvidado de la seguridad de nuestros clientes, estableciendo protocolos, medidas de seguridad y prevención. Uno de nuestros objetivos ha sido que los clientes se sintieran en un entorno seguro y cómodo en la reapertura de nuestras tiendas.
Cada parte de la seguridad ha trabajado mitigando su riego y poniendo las medidas necesarias para la continuidad del negocio. La comunicación y la coordinación también es clave para el éxito en la gestión de una crisis. Debe existir un Comité de Crisis en el que se encuentren los principales responsables y decisores de la organización, liderado por el Departamento de Seguridad.
Todo esto también ha sido posible gracias otro elemento que considero fundamental dentro de un esquema de seguridad integral, que es obtener la información adecuada y anticiparse a los acontecimientos. Dado el carácter multinacional de nuestra organización, desde finales de enero ya teníamos reuniones con nuestros compañeros de China para conocer todo lo que ocurría allí y cómo lo estaban combatiendo. Posteriormente vino Italia y lo que nos trasladaban desde allí hacía presagiar que era cuestión de días que la crisis llegara a España. Toda la información obtenida nos hizo preparamos adecuadamente para poder suministrar equipos de protección individual a nuestros empleados en febrero, preparar nuestras instalaciones y a los empleados para el teletrabajo, minimizando de esta manera en la medida de lo posible los riesgos anteriormente mencionados. En cualquier esquema de seguridad integral, la inteligencia y obtención de información es clave para poder tomar decisiones con antelación con el fin de salvaguardar los intereses de la organización.
Si algo hemos aprendido de esta crisis es que los planes de contingencia y de continuidad de negocio deben ser documentos vivos, que se revisen frecuentemente adaptándose a las nuevas amenazas, ya que vivimos en un entorno y un mundo muy cambiante. No debemos esperar otra crisis como la sufrida para revisarlos, porque entonces será tarde. La dirección de las empresas debe tener muy presente y en su orden del día esta revisión frecuente de los planes de continuidad de negocio, y apoyarse en el Departamento de Seguridad para asegurarse de que todo está listo para ponerlos en marcha en caso de una contingencia.