sector de la seguridad privada, empresas de seguridad, empresas de servicios, revista Seguritecnia, ciberseguridad
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Gestión del riesgo corporativo en los viajes de empresa

Javier Ruz Bentué, Corporate Commerial Manager de Healix España

Rafael Conde del Pozo, Director de Innovación, Estrategia y Tecnología de Vector ITC

10/07/2019
Por efecto de la globalización y debido también a la reciente crisis económica que nos ha tocado vivir, las empresas españolas se han visto forzadas a poner su mirada más allá de nuestras fronteras en busca del negocio que, por el segundo motivo, localmente ya no encontraban.

En ocasiones, este negocio potencial se detectaba en lugares en los que la situación política y social, así como el grado de desarrollo, presentaban un reto desde el aspecto organizativo de los desplazamientos a dicho país, y de las garantías de seguridad, bienestar y salud de las personas de la empresa que allí se desplazaban.

Pero no solo el riesgo físico de la persona se puede ver comprometido. También se encuentra bajo posible amenaza el material que lleva consigo para el desarrollo de su tarea, así como las posibles instalaciones que la compañía pueda necesitar desplegar en ese lugar, ya sean de explotación o de producción, como son las oficinas.

La labor que el empleado, directivo, socio, etc., va a desarrollar en su destino puede ser de capital importancia para la empresa, por lo que su éxito ni puede ni debe estar demasiado expuesto a los riesgos inherentes en la zona.

La organización debe velar por la salud, bienestar y seguridad de sus activos desplazados (viajeros ocasionales, expatriados y empleados locales) no solo por su obligación legal y moral, sino también por su interés en que no haya nada que pueda dar al traste con el éxito de la misión que estas personas puedan tener encomendada.

Su éxito en el posible negocio, en las operaciones a llevar a cabo, su despliegue en la zona, el normal funcionamiento de las instalaciones para lograr el fin para el que se proyectaron y la imagen y reputación de la compañía no deben quedar expuestos más allá de lo razonable o de lo incontrolable por no haber desarrollado previamente tanto un adecuado plan de gestión de posibles incidencias o crisis para la zona en concreto como uno plan general de política de riesgo en viaje implantado en la empresa.

Implantación interna

El éxito en la implantación interna de planes de contención y resolución de incidencias de viaje va a depender de varios factores. Por otro lado, huelga decir que es imposible pretender eliminar al cien por cien el riesgo de contraer una enfermedad, tener un accidente, sufrir una agresión de cualquier tipo, verse expuesto a inclemencias climatológicas severas o sufrir daños en los materiales, ya sean físicos o derivados de ataques cibernéticos.

Una de las claves de dicho éxito pasa por la realización de una rigurosa comunicación a todas las personas de la organización afectadas e interesadas por dicho plan de gestión del riesgo en viajes. De esta manera, todo empleado que realiza un viaje del tipo, duración y destino que sea debe conocer perfectamente aquello que su compañía pone a su disposición para mitigar los posibles riesgos en su desplazamiento y saber cómo actuar en caso de incidencia.

Asimismo, todo el personal de la corporación que tenga algún tipo de responsabilidad o asignación en la tarea de procurar bienestar y protección a los viajeros deberá conocer con perfecto detalle cuál es su cometido, cuándo le corresponde llevarlo a cabo y cuál es su posición en la cadena de acción y organigrama del equipo gestor de incidencias o crisis.

En Healix nos resulta demasiado frecuente observar cómo empleados de empresas no conocen a qué número deben llamar en caso de requerir algún tipo de asistencia en viaje. Ni siquiera saben si disponen de un seguro, con qué compañía lo tienen o si cuentan con un número directo con una empresa de asistencia ni cuál es esta. También se comprueba que el viajero desconoce qué herramientas tecnológicas le ha facilitado su firma para afrontar el viaje con mayores garantías de seguridad, o bien nunca se ha tomado la molestia de probar su funcionamiento y utilidades.

Seguramente la organización ha hecho un gran esfuerzo organizativo y financiero para poner todo esto a disposición del viajero, y este debe tener perfecto conocimiento de ello. Aparte de todo, supone también una herramienta de fidelización del empleado.

Ejes temporales

En Healix pensamos que un correcto plan de gestión de riesgo en viajes debe realizarse para actuar sobre sus tres ejes temporales: antes, durante y después del mismo.

Antes del viaje, mediante formación e información dirigida al activo a desplazar, así como a los gestores internos de riesgos en viaje. También se debe llevar a cabo una adecuada evaluación de los riesgos a afrontar, ya sean de salud (por la situación médica y sanitaria del país o por la propia condición médica del viajero enfrentada a la del destino), de seguridad física (situación política y social del Estado y de nivel de crimen y delincuencia), climatológicos y naturales o de seguridad cibernética.

Mockup

Por su parte, durante el desplazamiento, el viajero debe saber cómo adaptarse a los consejos e información que ha recibido y actuar en consecuencia a su condición personal (edad, género, religión, condición sexual, etc.). La empresa, por otro lado, tiene que capacitarse para poder actuar de la manera más eficaz ante cualquier situación que se pueda plantear, en cualquier lugar del mundo, a cualquier hora del día y cualquier día del año.

Finalmente, hay que actuar después del viaje para hacer frente a los posibles efectos causados por la crisis o la incidencia sobre la persona o personas y otros intereses de la organización.Asimismo, un aspecto fundamental y desde el cual puede partir y pivotar todo el montaje de la política interna de gestión del riesgo en viaje de la empresa, es la capacidad que esta debe tener para saber en todo momento cuántas personas tiene desplazadas, a qué lugares, quiénes son estas personas, sus datos inmediatos de contacto, su papel en la organización o el grupo al que pertenecen. Y esta localización debe ser no solo por la información de la reserva de viaje que hizo, que lo sitúa en una ciudad en concreto, sino también la ubicación real en todo momento que sea necesario para atender su seguridad.

La compañía ha de ser capaz también de saber cuáles de estas personas no llevan activado su dispositivo de localización y poder contactar con ellas de manera inmediata en caso de necesidad de advertir que deben activarlo. O incluso poder hacerlo por ellas de manera remota, en caso de necesidad vital. Entre otras funciones, esta capacidad la proporciona la herramienta Geobox Travel Tracker, que Healix y Vector ITC han desarrollado conjuntamente, y que pudimos mostrar en Seguritecnia en anteriores artículos y ponencias.

Seguridad de la información

Por otro lado, desde el punto de vista que afecta a la seguridad de la información, es importante también asegurar que los datos potencialmente confidenciales que viajan con el empleado están igualmente protegidos ante posibles intentos de acceso no autorizado. Cada uno de nosotros somos responsables de aplicar las mejores prácticas orientadas a minimizar este riesgo, como son por ejemplo evitar la compartición de contraseñas por medios no seguros, no visitar sitios web que no inspiren confianza o incluso no conectarse con redes no seguras (las típicas WiFi gratuitas) cuando se van a visitar páginas que contengan información sensible, como pueden ser repositorios de información confidencial o simplemente páginas bancarias.

Pero, además de esas mejores prácticas personales, está en manos de la compañía poner en ejercicio los mecanismos de seguridad y control necesarios para que los dispositivos de sus empleados estén correctamente protegidos. Para ello, y siguiendo las recomendaciones del Instituto Nacional de Ciberseguridad, es necesario hacer un análisis minucioso del estado de la compañía en lo que a seguridad electrónica se refiere que incluya un estudio de riesgos y la definición del estado final a alcanzar tras el proceso de desarrollo del plan de ciberseguridad. En general, suele ser buena idea ponerse en manos de una consultora especializada para llevar a cabo este análisis, así como el posterior proceso de implantación de los planes que se hubieran diseñado, de los mecanismos de seguimiento y control y de las sucesivas actualizaciones del plan que, como siempre, debe estar vivo y en constante revisión y evolución.

Recomendaciones

Sin ánimo de ser exhaustivos, ya que el alcance del tema desborda el objetivo de este artículo, destacamos a continuación algunas acciones que una compañía puede llevar a cabo para ayudar a proteger sus activos digitales durante la itinerancia de sus empleados.

Por supuesto, es importante que el acceso a los dispositivos –ya sean ordenadores portátiles, tabletas o móviles– se realice siempre con contraseña, y en la medida de lo posible mediante sistemas de autenticación que dificulten aún más el acceso no autorizado, como pueden ser la doble verificación, acceso por biometría, smartcards, etc. La misma filosofía es de aplicación al acceso a herramientas de la compañía que pudieran estar o no online, como pueden ser el correo electrónico, herramientas de seguimiento de proyecto, redes virtuales VPN o repositorios documentales. Esto mejorará también la seguridad en los casos en los que la empresa no tenga control directo sobre el dispositivo desde el que se realiza el acceso, como pueden ser los móviles u ordenadores personales de los empleados, que en cualquier caso deberían estar inventariados para mejorar la seguridad.

Por otro lado, es muy recomendable que los discos duros de los dispositivos se encuentren correctamente cifrados, de forma que sea imposible su lectura en caso de robo o extravío.

Ni que decir tiene que los dispositivos de la compañía deben estar permanente protegidos tras un firewall que evite accesos no autorizados; y disponer de una protección antivirus y antimalware adecuadas y correctamente actualizadas. El administrador de los sistemas deberá mantener un listado de aplicaciones permitidas para evitar la ejecución de código malicioso, así como un registro de páginas prohibidas. Es muy habitual que los viajeros, al no disponer de las comodidades de su hogar, se sientan tentados a utilizar el portátil de la compañía en su tiempo de ocio para la navegación por la red o para la ejecución de aplicaciones de entretenimiento, como pueden ser videojuegos o redes sociales. Pero esto es una mala práctica potencialmente peligrosa que debe ser monitorizada y evitada desde el Departamento de Tecnologías de la Información de la empresa.

Por último, pero no por ello menos importante, se debe vigilar la conexión a redes WiFi ajenas, en especial aquellas sin contraseña o con baja seguridad, ya que dejan el equipo vulnerable ante ataques de otros usuarios en la misma red. La compañía puede decidir incluso no permitir el acceso a estas redes, proporcionando a cambio al empleado dispositivos de conexión 3G/4G que deberá utilizar en todo momento.

En resumen, son muchos los aspectos a tener en cuenta a la hora de mantener la protección de los empleados en itinerancia y la información que viaja con ellos. Además, tal y como ya hemos mencionado, puede ser buena idea ponerse en manos de expertos para asegurar que la seguridad de nuestra compañía está en buenas manos.

Volver