Year 3 - Week 39
ISSN 2603 - 9931
Son numerosas las instalaciones empresariales multinacionales cuya sede se encuentra en un entorno seguro en occidente, mientras que sus actividades y plantas de producción se ubican en el extranjero, y de ellas, un número mucho menor en entornos de riesgo que ponen a prueba la seguridad tanto de instalaciones, procesos, como de personal. Elementos como la naturaleza de dichas instalaciones, las connotaciones que trabajadores o intereses extranjeros pueden tener a la hora de constituir un objetivo de grupos armados de diversas motivaciones o los simples intereses económicos que estos enclaves suscitan se encuentran en la base de cualquier evaluación de riesgos. Del mismo modo, aspectos como con qué sistemas de protección cuentan estas entidades para su protección, tanto públicas -fuerzas de seguridad o ejército- como privadas -seguridad privada armada o no armada, medidas de seguridad física para mitigar, disuadir o detener un ataque implantadas en las instalaciones, etc.- también contribuyen a evaluar el nivel de riesgo y capacidad de respuesta de la entidad. Así, un proceso efectivo de gestión de riesgos para operaciones en el exterior debería cumplir con al menos cuatro señas de identidad:
Ser transparente, de modo que riesgos y medidas de mitigación se debatan abiertamente entre los responsables de seguridad y condicionen sus decisiones.
Ser integrador, fomentando la participación de los actores internos y externos implicados en el proceso empresarial.
Ser activo y dinámico, de modo que las medidas de mitigación puedan ponerse en práctica con la debida antelación y anticiparse a las amenazas antes de que éstas se materialicen.
Ser autoritaria, facultando a los órganos de decisión en materia de gestión de riesgos y crisis a implementar sus decisiones, pero a la vez que éstas sean compartidas con el resto de agentes implicados en un supuesto proceso de gestión de crisis.
Sin embargo, cuando las medidas de seguridad preventivas y de disuasión fallan, entra en juego la capacidad de respuesta de la organización. Una vez iniciado el ataque, algunos de los principales puntos a considerar son los siguientes:
1.- Notificación del incidente. Una notificación rápida y clara es un paso esencial para activar el proceso de respuesta a un incidente. Proveer toda la información posible respecto a la magnitud, alcance y naturaleza del incidente es clave para proporcionar una respuesta adecuada. Esta notificación inicial debe realizarse con el centro de gestión de crisis designado por la organización, y a través del mismo, con las fuerzas de seguridad pertinentes. La cadena de comunicación, una vez establecida, debe ser continua y estar garantizada entre el escenario del ataque, el centro de gestión de crisis y la sede central de la organización, así como entre el centro de gestión y las fuerzas de seguridad.
2.- Movilización del equipo de gestión de incidentes. Considerando si el equipo está en el mismo lugar del incidente o alejado, los protocolos de respuesta se ven afectados, del mismo modo que éstos deben venir definidos por el tipo de incidente, pues no es lo mismo un incidente de tirador activo con múltiples víctimas que una toma de rehenes durante un periodo de tiempo prolongado, etcétera. Sin embargo la acción, sea cual sea el tipo de ataque y el mecanismo de respuesta, debe venir marcada por una única prioridad: garantizar la seguridad de los trabajadores. Para ello es vital obtener inteligencia acerca de lo que está sucediendo en las instalaciones atacadas, establecer un listado de personas en las mismas (POB o Persons on Board), y finalmente, activar los protocolos existentes de apoyo médico y logístico. En este sentido y durante un incidente de carácter terrorista uno de los principales retos es acceder a información fidedigna acerca de lo que sucede en el lugar del ataque; la información suele llegar de forma fragmentada, desde las víctimas que han logrado escapar, las confinadas o incluso los rehenes, de haberlos, por lo que esa información se debe gestionar en tiempo real y de acuerdo con lo que ya se conoce del entorno (planos de las instalaciones, equipos, etcétera), pero es un elemento clave para proporcionar una respuesta adecuada a cada tipo de incidente.
3.- Determinar cuáles son los actores involucrados. Determinar quiénes han ejecutado el ataque y en qué consiste el mismo, adquiriendo información lo más contrastada posible desde el momento inicial en que se conoce que se ha producido un ataque puede resultar clave a la hora de llevar a cabo una determinada respuesta, teniendo en cuenta el perfil y motivación de los atacantes –extorsión, crear una situación de inseguridad regional, lanzar un aviso a todo un sector empresarial, etc.-. En segundo lugar, conocer a priori cuál es el número de trabajadores locales y cuál el de trabajadores expatriados, así como realizar una evaluación de la relación entre ambos sectores, y si los primeros constituyen un activo o por el contrario en un momento de crisis pueden convertirse en una amenaza interna, contribuiría a perfilar con mayor precisión la situación dentro de la instalaciones atacadas y el nivel de riesgo vital para los expatriados y trabajadores. Dentro de la cadena de mando y gestión del incidente, por su parte, se debe determinar quién va a coordinar el contacto, de producirse, con los atacantes –caso de secuestros y toma de rehenes o de necesidad de negociación.
4.- Coordinación entre el equipo de gestión de crisis -incluyendo gestión de crisis a nivel informativo y de comunicación- y las correspondientes agencias de seguridad locales encargadas de gestionar incidentes armados e intervenciones de rescate, así como con las correspondientes embajadas y consulados. Resultaría útil contar con enlaces predefinidos que coordinen a los distintos equipos internos con los servicios de seguridad y emergencias locales y resto de actores implicados -otras empresas, fuerzas policiales de otros Estados cuyos nacionales se han visto envueltos en el ataque o se encuentran entre las víctimas, etcétera. También se debería contar de forma previa con una plataforma predeterminada para establecer comunicaciones de forma centralizada durante la gestión y que unifique y dé continuidad al flujo de información entre los distintos escalones de la gestión de crisis, así como mecanismos preestablecidos para comunicarse, por ejemplo, con víctimas que están escondidas durante el incidente con pautas a seguir para garantizar su seguridad o minimizar el riesgo.
Respecto a la gestión de la información y por el impacto que el incorrecto manejo de la misma puede tener tanto durante como después del incidente, es vital controlar en todo momento los datos con un plan de comunicación en crisis. Es la organización la que debe manejar información contrastada y lo más veraz posible, notificarla a la prensa, empresas afectadas subcontratadas y familiares, desmentir rumores y especulaciones y diferenciar los datos manejados de lo que son propiamente elementos del mensaje de propaganda terrorista, alineando la información que se retransmite con la del gobierno, fuerzas de seguridad y/o primeros respondientes.
5.- Evacuación. En caso de que la crisis absorba toda la capacidad de gestión del equipo, éste debe considerar la evacuación del personal no afectado directamente por el incidente en previsión de que un segundo ataque, incidente o crisis se produzca de forma simultánea sin poder darle respuesta. Establecer protocolos acerca de disponibilidad de aviones, pilotos, aeropuertos o puntos de acogida en destino es recomendable ante este tipo de situaciones, pero es especialmente importante contar con ellos en la evacuación entre el lugar de trabajo y el aeropuerto de evacuación: es en este trayecto, especialmente en instalaciones fragmentadas en diversos puntos de un mismo territorio, donde se pueden producir desde nuevos riesgos a situaciones de confusión.
6.- Recuperación y continuidad de negocio. Concluida la gestión del incidente tanto por parte de la compañía como por parte de los primeros respondientes, es competencia del área de negocio de la propia compañía garantizar la continuidad de las actividades empresariales tanto a nivel comercial como reputacional. Uno de los riesgos a minimizar en este sentido es la transferencia entre los canales de comunicación durante la crisis, que manejan la información sobre el incidente y su gestión, a dicha área de negocio, de modo que el flujo de datos pueda ser gestionado de cara a dar una respuesta a las necesidades a medio y largo plazo.
Dentro de este epígrafe también debemos incluir la asistencia a los familiares durante y tras el incidente y la asistencia a las víctimas tras el mismo. Sobre la asistencia a los familiares debe ser una prioridad desde el primer momento, incluyendo la gestión de la información para que solo les llegue información veraz y contrastada que no incremente sus miedos y ansiedad, quedando así vinculada esta asistencia con la comunicación de crisis. La puesta a disposición por parte de las empresas personal de recursos humanos como enlace con la empresa, así como de teléfonos de contacto directo para que los familiares tengan acceso a la información oficial, transporte y hoteles a los puntos de acogida para los evacuados y víctimas, asistencia psicológica e incluso religiosa, etcétera, son elementos fundamentales.
Todas estas pautas deben tomarse como aproximaciones genéricas, que por una parte deben estar previstas con anterioridad a que un incidente terrorista se materialice, y por otro deben presentar la suficiente flexibilidad como para adaptarse al caso concreto. Este tipo de incidentes son altamente dinámicos y adaptados al objetivo, por lo que no existen las panaceas, solo la capacidad de evaluación y gestión de riesgos, prevención y planeamiento, y coordinación durante el ataque con el objetivo último de proteger la vida de los miembros de la organización, y con ello, a la organización misma.