Seguritecnia 490

/ Octubre 2021 20 Seguridad Corporativa E l lanzamiento de la gestión de riesgos empresariales (ERM por sus siglas en in- glés) en 2004 elevó hasta el máximo nivel de las organizaciones la responsabilidad final de la gestión de riesgos, pero se olvidó de considerar los específicos de seguridad. La gestión de riesgos de seguridad empresariales (ESRM por sus siglas en inglés), un con- cepto desarrollado por ASIS International hace solo unos años, incorpora estos en un entorno donde la gestión de los hoy numerosos y heterogéneos riesgos es una de las variables clave en el funcio- namiento de las empresas. De hecho, la ERM introdujo importan- tes cambios en la materia. Ofrece una visión estratégica de esta gestión, lleva la responsabilidad final al nivel más alto de la organización, ofrece una gestión comprensible –basada en el coste del riesgo–, evita los silos y con ello la in- fraprotección o la sobreprotección, y por último, es medible y auditable. La ESRM, sea de seguridad física, ciber- seguridad, seguridad de la información, seguridad personal, etc., amplía el es- pectro inicial de la ERM; pero aunque son complementarios, su cohabitación no es imprescindible. Es importante recordar que la ESRM es una es una filosofía de aproxi- mación a la gestión de riesgos, no uname- todología, para ser implementada por los departamentos de Seguridad corporativa. Obligatoriedad Siempre he observado con interés el con- texto de la prevención de riesgos labora- les. Medidas de protección obligatorias establecidas por ley y con responsabili- dad penal al máximo nivel de las organi- zaciones. Una buena razón de ser. Más o menos lo que no pocos han defendido desde hace tiempo: que los departamen- tos de Seguridad fueran obligatorios. Pero se tratan de riesgos de una natura- leza muy diferente a los de seguridad. Y además, aquellas cosas de carácter obli- gatorio no suelen ser muy bien recibidas por las empresas, que tienden entonces a cumplir los mínimos. Me interesa todavía más el entorno de la seguridad lógica. Riesgos que apa- recen y se materializan con mucha fre- cuencia, que se identifican en un número elevado y que a veces se pueden transfor- mar en parámetros cuantitativos que se proyectan desde un enfoque empresarial con un proceso muy estandarizado. Al fin y al cabo, son riesgos tecnológicos, aun- que con un fuerte componente humano detrás. Y por último, riesgos que permiten definir KPI y otros indicadores, y sobre todo que se pueden cuantificar económi- camente en términos de impacto finan- ciero y reputacional. Una mezcla de ambos modelos sería muy interesante si se combinara con los riesgos de seguridad. Complejidad La actividad empresarial, y en general todo el entorno, se ha transformado en extraordinariamente compleja a través de los últimos años. El mejor ejemplo lo constituye la pandemia SARS-CoV-2. El catálogo de los riesgos que afectan a las organizaciones no ha parado de crecer influenciado por factores como la inten- sa globalización; el terrorismo y la conti- nua expansión del crimen organizado; la explosión de la tecnología, que incluye los ataques informáticos de poderosos actores como las naciones estado frente a los que una empresa está desprotegi- da; la digitalización de los negocios; el creciente activismo social; y los medios y redes sociales. Los últimos en incorpo- rarse, y lo han hecho con fuerza, son los llamados riesgos epistémicos o del co- nocimiento, que en estas últimas sema- nas están protagonizando la actualidad. A pesar de este escenario, muchas empresas permanecen ancladas en mo- delos obsoletos. Otras simplemente no están preparadas o no quieren aceptar la adopción de estrategias avanzadas de seguridad corporativa por diferentes razones. La principal, porque no entien- den, confunden o infravaloran la gestión de los cada día más complejos e inte- rrelacionados riesgos de seguridad; me atrevería a decir que en no pocos casos todos los riesgos. Segunda, porque no La seguridad corporativa post COVID-19 J uan M uñoz , CPP, CSMP, CS y P, F.ISRM, MBA CEO and F ounder de A ssociated P rojects I nternational