Semana 49
ISSN 2603 - 9931
Cuando nos referimos a la seguridad corporativa tenemos que referirnos no solo a la estructura del propio departamento de seguridad dentro de una organización dada, sino a toda la cultura de seguridad implantada en la organización, incluyendo aspectos que van de la prevención de riesgos laborales y la creación de un departamento de seguridad a la gestión de riesgos improbables pero de alto impacto -incidentes armados, etcétera- o que ocurren fuera del lugar del trabajo pero vinculados a la actividad laboral -riesgos específicos de expatriados y viajeros frecuentes. Dentro de este espectro ampliado del concepto de seguridad aplicado a las organizaciones empresariales, debemos circunscribir el principio de Duty of Care o deber de cuidado, que comprende todas aquellas medidas obligatorias y buenas prácticas que la entidad debe de tomar para garantizar la seguridad e integridad física, psíquica y moral de sus empleados, así como el correcto desarrollo y continuidad de su actividad -continuidad de negocio. Por tanto, el concepto de seguridad corporativa supera al departamento de seguridad para abarcar otros aspectos que pueden incidir en la mitigación de riesgos, en la gestión de incidentes que pueden ir de un incendio a un robo con violencia o a un ataque terrorista, en la recuperación -concepto que también mencionaremos- para poder seguir operando para garantizar dicha continuidad de negocio. Por tanto, el concepto de seguridad corporativa no solamente integra al departamento de seguridad y todo lo que ello conlleva -medidas de seguridad activa y pasiva, seguridad física y lógica, etcétera, sino también al resto de departamentos y a la totalidad de los trabajadores en aspectos tales como pautas de comportamiento, gestión, recuperación, etcétera.
En segundo lugar vamos a mencionar el concepto de Duty of Care o deber de cuidado. En la legislación española este concepto está muy vinculado a la Prevención de Riesgos Laborales, con medidas como materiales de construcción, ergonomía, colocación de medios en el lugar de trabajo, etcétera. Sin embargo, y a pesar de que en la legislación española ello todavía está en sus primeras fases de desarrollo, el mundo anglosajón presenta otros muchos aspectos de lo que sin duda constituye un modelo a tener en cuenta. Solo dos menciones que vale la pena considerar, a nivel interno en las instalaciones de la organización y a nivel externo.
A nivel interno, el deber de cuidado afecta a antiguas y nuevas amenazas, o amenazas clásicas que han cobrado un nuevo auge como pueden ser las amenazas internas (insider threat), o aquellas amenazas, especialmente relacionadas con individuos que en un momento determinado pueden representar un riesgo para la seguridad e integridad de los trabajadores y del entorno de trabajo. En esta línea, resulta clave contar con estructuras dentro de la organización capaces de identificar posibles riesgos y establecer canales de gestión para ellos, desde la alerta temprana de conductas de riesgo a la notificación a las autoridades o profesionales pertinentes y, en caso de producirse, la gestión del incidente. Resultan útiles, en este sentido, las figuras del Threat Assessment Team (TAT) y, todavía más a efectos de coordinación, el Incident Command System (ICS). El primero se crea como una entidad permanente dentro de la propia organización que canaliza las posibles notificaciones acerca de conductas sospechosas o que pueden interferir en el desarrollo cotidiano de la actividad por parte de la organización; no se trata de un comité de “asuntos internos”, sino de un equipo de trabajo que pueda dar seguimiento a dichas conductas; éstas pueden ir de violencia verbal a discusiones de pareja, enfrentamientos entre trabajadores con distintos grados de violencia física, situaciones de malestar, etcétera. La labor de los TAT es recoger posibles notificaciones de forma centralizada por parte de los trabajadores afectados y poder hacer un seguimiento de modo que, en caso de considerarse necesario, el caso puede ser notificado bien a profesionales de la salud mental o del orden público, o bien a nivel interno a Recursos Humanos, estableciendo así un canal directo de colaboración y notificación tanto con el sistema sanitario como con el sistema de seguridad pública. Por ello, es recomendable que los TAT estén formados por personal diverso, que reúna desde técnicos en riesgos laborales, recursos humanos, psicología en el trabajo, seguridad, mantenimiento, etcétera.
Escalando los TAT, otro sistema que obtiene buenos resultados en el mundo anglosajón y que en España se aplica bajo diferentes nomenclaturas en algunas comunidades autónomas, si bien no de forma sistematizada, es el ICS. El Incident Command System es un sistema estandarizado de gestión de incidentes múltiples en zona, que permite tanto al personal de la organización como a los primeros intervinientes contar con una estructura ya formada e integrada que permita responder de forma efectiva y pre-planeada a cualquier incidente, previendo de antemano problemas tales como cuestiones jurisdiccionales. La idea del ICS es que sea una estructura flexible y que pueda integrar a mayor o menor número de actores según las circunstancias, permitiendo tres elementos clave, como son la seguridad de los miembros de la organización y de los primeros respondientes, la consecución de los objetivos tácticos y el uso eficiente en términos de coste y tiempo de los recursos, lo cual, especialmente en el transcurso de incidentes armados activos resulta un elemento clave. Del mismo modo, el enfoque ICS también pretende mitigar aspectos tales como la falta de transparencia en las cadenas de mando, los fallos en los sistemas de comunicación y diversos códigos, buscando un lenguaje común de transmisión de datos, el planeamiento sistemático de los escenarios, o la falta de canales de coordinación entre agencias y jurisdicciones.
Finalmente, el deber de cuidado afecta también a la presencia cada vez más externalizada y global de las empresas fuera de las propias oficinas. La figura del expatriado y del viajero frecuente han cobrado importancia en las últimas décadas y con ellas la necesidad de proveer también de medidas de seguridad e integridad a estos trabajadores fuera del amparo físico de la organización. En este sentido destacan los programas de Travel Risk Management (Gestión de Riesgos en Viajes), que incluye desde medidas preventivas con el análisis de riesgo-país o la consecución de inteligencia acerca de situación política, riesgo de conflicto armado y/o terrorismo o calidad y situación sanitaria, a medidas de gestión en caso de incidente (protección, traslados, evacuación) y post-gestión (debriefing y feedback), asistencia psicológica postraumática, etcétera.
A todo ello debemos añadir el cierre del ciclo de la seguridad corporativa con los conceptos de recovery (recuperación) y continuidad de negocio. La recuperación implica tanto la recuperación emocional de los trabajadores tras haber sufrido un incidente como la recuperación de las instalaciones y entorno de trabajo, nuevas contrataciones, gestión médica, psicológica o de bajas por enfermedad, lesiones o estrés, etcétera, situaciones que pueden llevar a la quiebra a la organización de no gestionarse de forma adecuada. Todo ello, finalmente redunda en la continuidad de la actividad, que por otra parte también es un factor de estabilidad para los individuos que trabajan en la organización.
Así pues, la seguridad corporativa y el concepto de deber de cuidado abarcan un amplio espectro de elementos y medidas a considerar por las organizaciones, y cuya implementación se pueden derivar numerosas ventajas en materia preventiva y de gestión que facilitasen, en última instancia y en caso de producirse un incidente de naturaleza intencionada o inintencionada, la continuidad y normal desarrollo de la actividad, pero sobre todo, la protección y seguridad de los miembros de la organización.