El artículo PwC’s 21st CEO Survey* es un interesante punto de partida para que los CEO se replanteen al interior de sus organizaciones la idea que tienen de la seguridad, ya que cada vez la relegan más dentro de sus estructuras administrativas y funcionales.

Según este artículo “Aunque en general son exuberantes en su visión de la economía global, los CEO están cada vez más ansiosos por las amenazas a las perspectivas de crecimiento de su organización” y “Los niveles de ‘preocupación extrema’ ascienden en casi todas las principales amenazas que medimos”, siendo el terrorismo una de ellas.

Pareciera que para estos directivos el impacto que producen los siniestros como los hurtos minimizan el concepto de seguridad, desplazándola a una acción meramente física, cuya labor la consideran poco significativa en la operación y el crecimiento empresarial. Infortunadamente los grandes riesgos no los ven como un tema que los deba considerar seguridad corporativa, sino que los delegan en otras áreas como los departamentos de informática, las auditorías, los grupos de planeación o de análisis estratégico.

Surge, entonces, una pregunta: ¿por qué razón los riesgos y la incertidumbre que suponen los CEO los consideran ajenos al tema de la seguridad? Me aventuro a dar una respuesta: ¡Porque el crimen es más creativo que la ley!

Es notorio el menosprecio a la capacidad profesional en el tema de la seguridad, de lo cual son responsables quienes trabajan en esta área, ya que sólo se han limitado al manejo de “riesgos tradicionales”, como a la vulnerabilidad de las instalaciones.

La seguridad como arte ha estado subvalorada por usuarios y ejecutantes. Existen muchos vacíos en la formación del “hombre de seguridad”, quien se limita a cumplir con la norma sin capacitarse como estratega para el combate contra la corrupción, la indebida “reinversión comercial”, el soborno, el terrorismo, la inteligencia competitiva, el conflicto social, el lavado de activos o la criminalidad organizada, por ejemplo.

Un “experto” como “hombre de conocimiento” debe tener la capacidad para discernir con arte y estilo el conflicto, la vulnerabilidad y el riesgo. Dada su formación interdisciplinaria, debe vislumbrar lo confuso y lo oculto que acosa a la organización. Su propuesta es establecer alertas y diseñar esquemas de prevención y protección lógica y psicológica, aportando programas y políticas empresariales actualizadas y con visión global.

La tecnología, por ejemplo, revolucionó la operación industrial. Ahora los expertos en sistemas se han especializado en su seguridad, pero el componente tecnológico en sí mismo no es suficiente si no existe formación sobre el modus operandi de los fraudes tecnológicos.

El miedo a los ciberataques obliga a estudiar detenidamente las oportunidades y técnicas de los potenciales agentes de la agresión. La vulnerabilidad no está sólo en lo físico, sino que también está presente en las políticas, los valores y los principios. Además, se encuentra en los procedimientos, los momentos, la relación empresarial y los comportamientos.

La falta de idoneidad y competencias de los “oficiales de cumplimiento” para preparar con antelación lo necesario  y anticiparse a situaciones indebidas se ha convertido en un serio inconveniente en la protección. Actualmente las instituciones requieren mayor integración con las comunidades. Por ejemplo, en el ámbito mundial los fabricantes de bebidas azucaradas afrontan problemas con las ligas de consumidores; los mineros con los grupos ambientalistas; las petroleras con la inestabilidad política en algunos países, y los mismos riesgos tecnológicos que subestiman conocimientos tradicionales como las necesidades de energía eléctrica y la posibilidad de sabotear sistemas.

Los CEO claman por seguridad, una necesidad que hace tiempo desbordó la simple vigilancia, transformándola en un requerimiento de protección empresarial.

Los “oficiales de cumplimiento” deben combatir contra criminales sagaces y perspicaces, que lo que no dañan lo contaminan.

Ha aumentado el riesgo de infidelidad en las empresas, la escala de valores como la ética, la religión o la familia han perdido injerencia. La protección de la información es cada día más difícil. La difusión de una imagen perversa produce impactos superiores a los del hurto.

¿Por qué estos riegos se consideran ajenos a un Departamento de Seguridad y se delegan a otras dependencias? Un simple ejemplo de la seguridad lógica frente a la seguridad física es el control de acceso tecnificado de las personas, lo cual da la idea de seguridad, pero no se controla la actividad del intruso al interior de la organización.  Eso es inseguridad lógica.

Cuando se descuida el poder de los líderes sociales en el entorno es posible que se encuentre una comunidad adversa que obstaculiza o sabotea de manera grave. Este es un ejemplo de inseguridad psicológica.

La falta del análisis de contexto permite casos como el de una empresa de gas que tenía protocolos para mitigar la extorsión y la intrusión pero no previó la adquisición de una maquinaria que hizo una persona vetada por soborno. Estos ejemplos replantean el concepto de Sarlaft y Siplaft, pero esencialmente es un cuestionamiento sobre porqué los encargados de protección a alto nivel no han abordado la temática del soborno o las modalidades con que se disfrazan los actos de corrupción.

Se requieren conocedores perspicaces en el arte de la seguridad, no técnicos en su ejecución.

Metis es la filosofía que permite este replanteo. Inicia estudiando la seguridad desde su contrario, desde los agentes de la inseguridad, lo cual hace evidente la debilidad de la seguridad tradicional. Un intruso observa, estudia y analiza una barrera de seguridad y encuentra su vulnerabilidad y la permea.

Metis devela las jugadas tácticas y estratégicas de los contrarios, combina el ardid con el ingenio, la astucia con la suspicacia y el argumento con el secreto. Adicionalmente, recalca que es más peligrosa la “falsa seguridad” que la falta de seguridad.

Un ejemplo Metis, en el caso de un “oficial de cumplimiento”, es que si éste se limita a los esquemas y procedimientos, sin observar, investigar ni analizar las hipótesis, su labor será inocua. Son prácticas indebidas.

Otro caso se presentó cuando el auditor de un banco denunció que el gerente de monedas extranjeras violaba los topes autorizados para negociar remesas. Como siempre salían efectivas no se prestó atención al informe del auditor. Sembrada la confianza, el gerente de monedas extranjera defraudó a la entidad en 5 millones de dólares, cuyos CEO inicialmente no le dieron importancia al proceso, pero al investigar en detalle se descubrió que la mitad de las remesas consistían en lavado de activos.

*https://www.pwc.com/gx/en/ceo-agenda/ceosurvey/2018/co.

Marzo-abril 2018