El lanzamiento de la gestión de riesgos empresariales (ERM por sus siglas en inglés) en 2004 elevó hasta el máximo nivel de las organizaciones la responsabilidad final de la gestión de riesgos, pero se olvidó de considerar los específicos de seguridad. La gestión de riesgos de seguridad empresariales (ESRM por sus siglas en inglés), un concepto desarrollado por ASIS International hace solo unos años, incorpora estos en un entorno donde la gestión de los hoy numerosos y heterogéneos riesgos es una de las variables clave en el funcionamiento de las empresas.
De hecho, la ERM introdujo importantes cambios en la materia. Ofrece una visión estratégica de esta gestión, lleva la responsabilidad final al nivel más alto de la organización, ofrece una gestión comprensible –basada en el coste del riesgo–, evita los silos y con ello la infraprotección o la sobreprotección, y por último, es medible y auditable.
La ESRM, sea de seguridad física, ciberseguridad, seguridad de la información, seguridad personal, etc., amplía el espectro inicial de la ERM; pero aunque son complementarios, su cohabitación no es imprescindible. Es importante recordar que la ESRM es una es una filosofía de aproximación a la gestión de riesgos, no una metodología, para ser implementada por los departamentos de Seguridad corporativa.
Obligatoriedad
Siempre he observado con interés el contexto de la prevención de riesgos laborales. Medidas de protección obligatorias establecidas por ley y con responsabilidad penal al máximo nivel de las organizaciones. Una buena razón de ser. Más o menos lo que no pocos han defendido desde hace tiempo: que los departamentos de Seguridad fueran obligatorios. Pero se tratan de riesgos de una naturaleza muy diferente a los de seguridad. Y además, aquellas cosas de carácter obligatorio no suelen ser muy bien recibidas por las empresas, que tienden entonces a cumplir los mínimos.
Me interesa todavía más el entorno de la seguridad lógica. Riesgos que aparecen y se materializan con mucha frecuencia, que se identifican en un número elevado y que a veces se pueden transformar en parámetros cuantitativos que se proyectan desde un enfoque empresarial con un proceso muy estandarizado. Al fin y al cabo, son riesgos tecnológicos, aunque con un fuerte componente humano detrás. Y por último, riesgos que permiten definir KPI y otros indicadores, y sobre todo que se pueden cuantificar económicamente en términos de impacto financiero y reputacional.
Una mezcla de ambos modelos sería muy interesante si se combinara con los riesgos de seguridad.
Complejidad y seguridad corporativa
La actividad empresarial, y en general todo el entorno, se ha transformado en extraordinariamente compleja a través de los últimos años. El mejor ejemplo lo constituye la pandemia SARS-CoV-2. El catálogo de los riesgos que afectan a las organizaciones no ha parado de crecer influenciado por factores como la intensa globalización; el terrorismo y la continua expansión del crimen organizado; la explosión de la tecnología, que incluye los ataques informáticos de poderosos actores como las naciones estado frente a los que una empresa está desprotegida; la digitalización de los negocios; el creciente activismo social; y los medios y redes sociales. Los últimos en incorporarse, y lo han hecho con fuerza, son los llamados riesgos epistémicos o del conocimiento, que en estas últimas semanas están protagonizando la actualidad.
El conocimiento del negocio y de todo lo que le rodea es tan importante o más que el conocimiento técnico específico en seguridad
A pesar de este escenario, muchas empresas permanecen ancladas en modelos obsoletos. Otras simplemente no están preparadas o no quieren aceptar la adopción de estrategias avanzadas de seguridad corporativa por diferentes razones. La principal, porque no entienden, confunden o infravaloran la gestión de los cada día más complejos e interrelacionados riesgos de seguridad; me atrevería a decir que en no pocos casos todos los riesgos. Segunda, porque no se encuentran cómodas con una práctica profesional alejada de su entorno habitual de conocimiento y que muchas veces es gestionada por personas con perfiles muy diferentes a los tradicionales en una organización convencional. Y por último, por la dificultad para cuantificar las medidas y su coste y compararlas con los resultados, lo que deriva en una situación de incertidumbre permanente: cuánto y por qué.
Pero si hay una característica que destacar en la seguridad corporativa es que la visión de la función y con ellas sus posibilidades reales ha transitado siempre descompasada de una realidad diaria muy influenciada por estereotipos y paradigmas que necesitaban y necesitan una actualización. Este es, además, un trabajo desagradecido desde el punto de vista de la gestión empresarial en lo que se refiere a la medición de los resultados, dado que su máxima eficacia se alcanza cuando no pasa nada y esta circunstancia tiene una muy difícil transferencia a una cuenta de resultados.
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de este artículo.
¿Quieres leer el contenido completo?
