Juan Muñoz, presidente de ASIS España.
Juan Muñoz Presidente ASIS España

Seguridad organizacional

Reunión de negocios.

Imagen de una reunión de negocios.

La Seguridad Corporativa es un concepto consolidado. Aunque no existe una definición concreta, entre otras razones por la versatilidad del modelo, entendemos como Seguridad Corporativa el conjunto de políticas, procedimientos y recursos humanos, organizativos y técnicos destinados a proteger a las personas, a los activos tangibles e intangibles y a la reputación de una organización.

Entre estos recursos, en su componente externo, se encuentra la seguridad privada. También se puede identificar la Seguridad Corporativa como la función que identifica, gestiona y mitiga eficazmente, en una fase temprana, cualquier situación que pueda amenazar la resiliencia y la capacidad de supervivencia de una organización.

Instigadas por la profunda transformación del entorno, turbulento, volátil y caracterizado por su incertidumbre, con unos grados de exposición y vulnerabilidad superiores a los de cualquier momento del pasado, las organizaciones están sofisticando la forma en la que gestionan su seguridad. El amplio catálogo de los riesgos de seguridad –creciente en su número, naturaleza y gravedad– a los que se enfrenta las organizaciones hoy en día está exigiendo a los departamentos de Seguridad una mejor alineación con los riesgos primarios de sus organizaciones, un cambio que tiene mucho que ver con la necesaria transición desde la “seguridad como un coste” hasta “crear valor añadido desde la seguridad”. Dicho de otra forma, desde las garitas, los guardias y las armas (Gates, Guards and Guns) hasta el asesoramiento estratégico del negocio.

Lo anterior, junto al imperativo para las organizaciones de gestionar sus riesgos de una forma integral, más holísticamente, obliga a la seguridad a integrarse mejor con otras funciones claves, tanto como para derivar en la Primera Convergencia (seguridad física y seguridad lógica) y más adelante en la Segunda (la anterior con la gestión de crisis, la gerencia de riesgos y, en algunos casos, la continuidad de negocio). La convergencia de los riesgos de seguridad es un término amplio que cubre la multiplicidad e interdependencia de la variedad de estos riesgos de seguridad que afectan hoy en día a las organizaciones. Aunque su aplicación no implica necesariamente la fusión de diferentes funciones, muchas organizaciones consideran que esta acción facilita el proceso y proporciona un resultado mucho más integrado que por medio de una ansiada y esperada colaboración activa, que muchas veces no se acaba materializando.

Los responsables de Seguridad deberían estar al más alto nivel posible dentro de la estructura organizativa y recibir educación ejecutiva

Quizás sea la interpretación holística del concepto de seguridad y las convergencias el motivo para que comience a emplearse como más adecuado el término ‘seguridad organizacional’, en lugar del más comúnmente conocido de ‘seguridad corporativa’. Este nuevo alineamiento, que se desarrolla proactiva y reactivamente a través del ESRM (Enterprise Security Risk Management), tiene importantes consecuencias sobre la forma en que la seguridad está organizada, su aproximación estratégica y las áreas de responsabilidad que concurren en el Departamento de Seguridad, que se encuentran en fase de expansión.

En este contexto, los imperativos del negocio son los que dirigen a la seguridad y no al contrario, y también bajo estas circunstancias el Departamento de Seguridad tiene que escuchar continuamente al comité de dirección y el equipo directivo. Esto significa que sus responsables deberían estar al más alto nivel posible dentro de la estructura organizativa. Volvemos nuevamente al concepto del CSO (Chief Security Officer) y en consecuencia a la necesidad de la educación ejecutiva para los profesionales de seguridad.

Para una estrategia de seguridad, aprobada por el comité de dirección, es esencial demostrar que esta función contribuye a los objetivos más amplios de la organización. Una estrategia de seguridad efectiva ayuda a conseguir una buena gestión de la seguridad a través de toda la organización y, por lo tanto, constituye una parte muy importante del gobierno corporativo. Es importante recordar que es el cumplimiento y no la seguridad lo que determina el centro de gravedad de los presupuestos.

Seguridad organizacional. Ciberseguridad.
Imagen de un candado digital.

Fuerte transformación

Los riesgos a los que se enfrentan las organizaciones están evolucionando, se están incrementando continuamente y nunca han sido tan significantes o tan complejos, siendo por lo tanto más difíciles de gestionar (en lo que por cierto pueden estar involucrados diferentes funciones dentro de una organización). La Seguridad Corporativa u Organizacional está siendo objeto de una fuerte transformación como consecuencia de la mutación del entorno derivada de la fuerte tendencia de las empresas hacia la globalización, los avances y la extensión de la utilización de la tecnología y otros factores, como por ejemplo la complejidad de las cadenas de suministros. Normalmente, las cosas grandes traen consigo grandes cambios, pero también conllevan grandes consecuencias. Es el caso de la globalización, de las ventajas de la economía de escala y de los acuerdos estratégicos, que al mismo tiempo que multiplican las oportunidades de las empresas y organizaciones también han incrementado exponencialmente los riesgos. Lo primero es obvio; lo segundo, no tanto, lo que se deduce de la forma en la que algunas organizaciones pequeñas, medianas e incluso grandes gestionan su seguridad. Algunas están transitando desde el desconocimiento a la irresponsabilidad.

Tradicionalmente, las organizaciones han desarrollado una aproximación a la gestión de riesgos de seguridad basada en silos aislados, pero ahora uno de los mayores retos es asegurar que las consideraciones del retorno del riesgo se toman no sólo a los más altos niveles de la estructura, sino que están distribuidas entre todos los directivos de una organización. Es parte de lo que se conoce como ‘concienciación de seguridad’. La seguridad puede ayudar a las organizaciones a convivir y minimizar sus riesgos y no a eliminarnos, lo que es imposible (si no hay riesgo no hay negocio, por definición), por lo que, en realidad, y aplicada de la forma adecuada, se convierte en un elemento fundamental para colaborar en el desarrollo del negocio. Quién lo iba a imaginar hace sólo unos años: la seguridad como un elemento clave en la actividad.

Por otro lado, los departamentos de Seguridad operan ahora como elementos activos en la gestión del cambio y deben olvidar sus características anteriores y trabajar a través de la influencia sobre redes humanas y sociales creíbles. Precisamente, las frecuentes resistencias al cambio, las actitudes culturales y la actitud del personal pueden constituir una considerable barrera y abortar el objetivo de alcanzar una visión integral del riesgo en una organización. En la actualidad, el Departamento de Seguridad, que opera simultáneamente en los entornos estratégico, operativo y táctico, no basa su legitimidad y poder, su conocimiento y experiencia técnica, sino en su experiencia en el mundo empresarial, sus habilidades para dirigir y gestionar personas (esto se llama influenciar) y su capacidad de comunicación.

Hoy existe una mayor interdependencia entre el portfolio de riesgos de una organización, cómo gestiona su seguridad y la manera en la que opera y hace sus negocios; más que nunca con anterioridad. De esta manera, a través de la forma en la que una organización gestiona su seguridad (funcionamiento, formas de reclutamiento y perfiles profesionales, dependencia orgánica, áreas de responsabilidad, etc.) se puede deducir con un elevado grado de certeza la manera en la que esta desarrolla su negocio en general. Es un modelo de espejo.

Alertas de Campbell

A finales de 2008 Jorge Campbell, exdirector de seguridad de Fidelity, publicaba una serie de artículos en la revista Security Technology & Design titulados: “Señales de alerta sobre el decrecimiento de la influencia de la seguridad”. Entre éstas se encontraban las siguientes: imponer reducciones presupuestarias al Departamento de Seguridad sin tener en cuenta el incremento de los riesgos, en especial en tiempos de estrés financiero como ahora; realinear la función de seguridad en escalones más alejados de la cabeza de la organización y, por lo tanto, menos influyentes; aumentar el riesgo a través de la externalización, sin la participación o incluso el conocimiento de seguridad; la capacidad decreciente para influenciar en el proceso de sanciones derivadas de los incumplimientos de seguridad; el Departamento de Seguridad no es consultado antes de importantes cambios en los procesos, productos y relaciones profesionales que sin embargo tienen un considerable impacto en esta función, etc.; y así algunos otros.

Lejos del bajo perfil de los años noventa, la función de seguridad organizacional se ha convertido en una actividad transversal con serias implicaciones en la estrategia de las organizaciones. Al menos esto debería; pero sólo algunos parecen haberse dado cuenta. A pesar de todo, ¿siguen en vigor algunas de las alertas definidas por Campbell en 2008? Muchos piensan que sí.