Cuando nos referimos a la seguridad corporativa tenemos que mencionar no solo la estructura del propio Departamento de Seguridad dentro de una organización dada, sino a toda la cultura de seguridad implantada en ella. Aquí se incluyen aspectos que van desde la prevención de riesgos laborales y la creación de un Departamento de Seguridad hasta la gestión de riesgos improbables pero de alto impacto –incidentes armados, etcétera–, o que ocurren fuera del lugar del trabajo pero están vinculados a la actividad laboral –riesgos específicos de expatriados y viajeros frecuentes–.
Dentro de este espectro ampliado del concepto de seguridad aplicado a las organizaciones empresariales debemos circunscribir el principio de duty of care o deber de cuidado, que comprende todas aquellas medidas obligatorias y buenas prácticas que la entidad debe tomar para garantizar la seguridad y la integridad física, psíquica y moral de sus empleados, así como el correcto desarrollo y continuidad de su actividad (continuidad de negocio).
Por tanto, el concepto de seguridad corporativa supera al Departamento de Seguridad para abarcar otros aspectos que puedan incidir en la mitigación de riesgos, en la gestión de incidentes (que pueden ir de un incendio a un robo con violencia o a un ataque terrorista) o en la recuperación –concepto que también mencionaremos– para poder seguir operando para garantizar dicha continuidad de negocio.
Por consiguiente, el término de seguridad corporativa no solamente integra al Departamento de Seguridad y todo lo que ello conlleva –medidas de seguridad activa y pasiva, seguridad física y lógica…–, sino también al resto de departamentos y a la totalidad de los trabajadores en aspectos tales como pautas de comportamiento, gestión, recuperación, etcétera.
Deber de cuidado y ESRM
Centrándonos en el concepto de «duty of care» o deber de cuidado, en la legislación española este concepto está todavía muy vinculado a la prevención de riesgos laborales, con medidas como materiales de construcción, ergonomía, colocación de medios en el lugar de trabajo, etcétera. Sin embargo, y a pesar de que en la legislación española todavía está en sus primeras fases de desarrollo, el mundo anglosajón presenta otros muchos aspectos de lo que sin duda constituye un modelo a tener en cuenta.
Pese a lo anterior, si el concepto de deber de cuidado representa un enfoque integral, tanto a nivel interno en las instalaciones de la organización como a nivel externo a las mismas, la evaluación y el análisis de riesgos también deben ser integrales.
Resulta de interés, en este sentido, el concepto de ESRM (Gestión de Riesgos de Seguridad para la Empresa), que puede definirse como la aplicación de los principios fundamentales del análisis de riesgo para la gestión de cualquier peligro para la seguridad, sea en relación con la ciberseguridad, seguridad física, gestión de activos, continuidad de negocio… Además, sigue un enfoque holístico e integrado en el funcionamiento regular de la empresa y en su toma de decisiones, con un impacto en sus resultados a través de medidas de protección que contribuyan a la consecución de los objetivos de la organización y mitiguen posibles pérdidas.
Así, en concreto, el ciclo del ESRM se basa en cuatro fases:
- Identificación y priorización de los activos que requieren protección dentro de la organización.
- Identificación y priorización de riesgos, determinando a qué amenazas se enfrenta la organización y sus activos y cuáles son los riesgos asociados a ellas.
- Mitigación de los riesgos priorizados para tomar las medidas necesarias y realistas para proteger la entidad de las amenazas y los riesgos para su seguridad.
- Mejora y avance a través del análisis de la gestión, respuesta y recuperación tras el incidente y la integración de las lecciones aprendidas.
No obstante, en un marco socioeconómico globalizado como el actual, conviene remarcar que las empresas, cada vez con mayor frecuencia, no solo presentan una vertiente interna, en las instalaciones de la propia organización; también cuentan con una vertiente externa que incluye a diversos stakeholders y a su propio entorno operativo, así como el contexto operativo fuera de las fronteras, donde radican los intereses estratégicos corporativos y donde operan con frecuencia miembros expatriados de la propia organización.
A nivel interno, el deber de cuidado afecta a antiguas y nuevas amenazas o amenazas clásicas que han cobrado un nuevo auge, como pueden ser las internas (insider threat) o aquellas especialmente relacionadas con individuos que en un momento determinado pueden representar un riesgo para la seguridad e integridad de los trabajadores y del entorno de trabajo. En esta línea, resulta clave contar con estructuras dentro de la organización capaces de identificar posibles riesgos y establecer canales de gestión para ellos, desde la alerta temprana de conductas de riesgo a la notificación a las autoridades o profesionales pertinentes y, en caso de producirse, la gestión del incidente.
Resultan útiles, en este sentido, las figuras del Threat Assessment Team, que canaliza las posibles notificaciones de conductas sospechosas o que puedan interferir en el normal desarrollo de la organización –violencia verbal, discusiones de pareja o incidentes con diverso grado de violencia– y ponerlas en conocimiento de las autoridades internas (recursos humanos) o externas (fuerzas del orden) en caso de necesidad. Igualmente, destaca todavía más a efectos de coordinación el Incident Command System, un sistema estandarizado de gestión de incidentes múltiples en zona que permite tanto al personal de la organización como a los primeros intervinientes contar con una estructura ya formada e integrada que posibilite responder de forma efectiva y preplaneada a cualquier incidente. De esta manera se prevén de antemano problemas, como cuestiones jurisdiccionales, de forma flexible e integral.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo un resumen de este artículo.
¿Quieres leer el artículo completo?