Seguridad corporativa, duty of care y ESRM: políticas Travel Security.

Semana 28

ISSN 2603 - 9931

 

Cuando nos referimos a la seguridad corporativa tenemos que referirnos no solo a la estructura del propio departamento de seguridad dentro de una organización dada, sino a toda la cultura de seguridad implantada en la organización, incluyendo aspectos que van de la prevención de riesgos laborales y la creación de un departamento de seguridad a la gestión de riesgos improbables pero de alto impacto -incidentes armados, etcétera- o que ocurren fuera del lugar del trabajo pero vinculados a la actividad laboral -riesgos específicos de expatriados y viajeros frecuentes. Dentro de este espectro ampliado del concepto de seguridad aplicado a las organizaciones empresariales, debemos circunscribir el principio de Duty of Care o deber de cuidado, que comprende todas aquellas medidas obligatorias y buenas prácticas que la entidad debe de tomar para garantizar la seguridad e integridad física, psíquica y moral de sus empleados, así como el correcto desarrollo y continuidad de su actividad -continuidad de negocio. Por tanto, el concepto de seguridad corporativa supera al departamento de seguridad para abarcar otros aspectos que pueden incidir en la mitigación de riesgos, en la gestión de incidentes que pueden ir de un incendio a un robo con violencia o a un ataque terrorista, en la recuperación -concepto que también mencionaremos- para poder seguir operando para garantizar dicha continuidad de negocio. Por tanto, el concepto de seguridad corporativa no solamente integra al departamento de seguridad y todo lo que ello conlleva -medidas de seguridad activa y pasiva, seguridad física y lógica, etcétera, sino también al resto de departamentos y a la totalidad de los trabajadores en aspectos tales como pautas de comportamiento, gestión, recuperación, etcétera.

 

Centrándonos en el concepto de Duty of care o deber de cuidado, en la legislación española este concepto está todavía muy vinculado a la Prevención de Riesgos Laborales, con medidas como materiales de construcción, ergonomía, colocación de medios en el lugar de trabajo, etcétera. Sin embargo, y a pesar de que en la legislación española ello todavía está en sus primeras fases de desarrollo, el mundo anglosajón presenta otros muchos aspectos de lo que sin duda constituye un modelo a tener en cuenta.

 

Pese a lo anterior, si el concepto de Deber de Cuidado representa un enfoque integral, tanto a nivel interno en las instalaciones de la organización como a nivel externo a las mismas, también integral debe ser la evaluación y análisis de riesgos. Resulta de interés, en este sentido, el concepto de ESRM (Gestión de Riesgos de Seguridad para la Empresa)[1], que puede definirse como la aplicación de los principios fundamentales del análisis de riesgo para la gestión de cualquier riesgo para la seguridad, sea en relación a ciberseguridad, seguridad física, gestión de activos, continuidad de negocio, etcétera, siguiendo un enfoque holístico e integrado en el funcionamiento regular de la empresa, su toma de decisiones y con un impacto en sus resultados, a través de medidas de protección que contribuyan a la consecución de los objetivos de la organización y mitiguen posibles pérdidas. El ciclo del ESRM se basa en cuatro fases:

  1. Identificación y priorización de activos que requieren protección dentro de la organización.

  2. Identificación y priorización de riesgos, determinando que amenazas enfrentan la organización y sus activos y cuáles son los riesgos asociados a ellas.

  3. Mitigación de los riesgos priorizados para tomar las medidas necesarias y realistas para proteger a la entidad de dichas amenazas y riesgos para su seguridad, y, finalmente

  4. Mejora y avance a través del análisis de la gestión, respuesta y recuperación tras el incidente y la integración de las lecciones aprendidas.

 

No obstante, en un marco socioeconómico globalizado como el actual, conviene remarcar que las empresas, cada vez con mayor frecuencia, no solo presentan una vertiente interna, en las instalaciones de la propia organización, sino una vertiente externa, que incluye a diversos stakeholders, el propio entorno operativo de la empresa, pero también el entorno operativo fuera de las fronteras, donde radican los intereses estratégicos corporativos y donde operan con frecuencia miembros expatriados de la organización. A nivel interno, el deber de cuidado afecta a antiguas y nuevas amenazas, o amenazas clásicas que han cobrado un nuevo auge como pueden ser las amenazas internas (insider threat), o aquellas amenazas, especialmente relacionadas con individuos que en un momento determinado pueden representar un riesgo para la seguridad e integridad de los trabajadores y del entorno de trabajo. En esta línea, resulta clave contar con estructuras dentro de la organización capaces de identificar posibles riesgos y establecer canales de gestión para ellos, desde la alerta temprana de conductas de riesgo a la notificación a las autoridades o profesionales pertinentes y, en caso de producirse, la gestión del incidente. Resultan útiles, en este sentido, las figuras del Threat Assessment Team (TAT), que canaliza las posibles notificaciones de conductas sospechosas o que puedan interferir en el normal desarrollo de la organización-violencia verbal, discusiones de pareja o incidentes con diverso grado de violencia-, y ponerlas en conocimiento de las autoridades internas –Recursos Humanos- o externas –fuerzas del orden- en caso de necesidad, o, todavía más a efectos de coordinación, el Incident Command System (ICS), un sistema estandarizado de gestión de incidentes múltiples en zona, que permite tanto al personal de la organización como a los primeros intervinientes contar con una estructura ya formada e integrada que permita responder de forma efectiva y pre-planeada a cualquier incidente, previendo de antemano problemas tales como cuestiones jurisdiccionales de forma flexible e integral.

 

Finalmente, el deber de cuidado afecta también a la presencia cada vez más externalizada y global de las empresas fuera de las propias oficinas. La figura del expatriado y del viajero frecuente han cobrado importancia en las últimas décadas y con ellas la necesidad de proveer también de medidas de seguridad e integridad a estos trabajadores fuera del amparo físico de la organización. En este sentido destacan los programas o políticas de Travel Risk Management (Gestión de Riesgos en Viajes), orientadas a proveer a las compañías de herramientas de respuesta a los nuevos retos de la deslocalización y a la mitigación de riesgos a niveles aceptables para los objetivos de negocio y la continuidad del mismo.

 

La gestión del riesgo en viajes es más que un mero programa, es una disciplina de trabajo que las empresas deben interiorizar para que sea efectivamente funcional. Las amenazas en el entorno expatriado pueden ser múltiples: atentados en medios de transporte e infraestructuras críticas, ataques tipo comando en hoteles, catástrofes naturales como terremotos, tsunamis o pandemias como la gripe aviar, o de origen humano, como manifestaciones, huelgas y desobediencia civil debido a cambios en los equilibrios políticos. A su vez, la elaboración de una política de gestión de riesgos en viajes también conlleva una secuencia lógica[2]:

  1. Fase preventiva. Es una fase proactiva en la que la organización debe tomar una serie de medidas no requeridas, para evitar situaciones no deseadas en el futuro:

    1. Evaluación del riesgo en viaje. Es el proceso de identificar las amenazas relevantes en cada entorno de acción, evaluar las amenazas posibles en función del perfil del trabajador y determinar cuál es el nivel de riesgo aceptable para la organización y el empleado, implementando medidas de mitigación que garanticen los objetivos empresariales. Como parte del Deber de Cuidado, la organización debe también informar a los empleados en viaje o expatriados de los riesgos o incidentes potenciales, como manifestaciones, retenciones, etcétera.

    2. Planeamiento. Integra los objetivos organizacionales, de modo que debe contar con planes de gestión local de crisis y planes de emergencia de negocio. Es el paso más preventivo, puesto que busca la reacción más rápida y efectiva posible, adaptada a los riesgos señalados en el paso anterior.

    3. Formación de los empleados, viajeros frecuentes y expatriados en capacidades de respuesta ante incidentes activos durante su estancia en el exterior, mientras desarrollan su labor habitual. Esta formación debe incluir no solo capacidad de respuesta en entornos hostiles o situaciones de inestabilidad, sino también pautas de salud y seguridad personal adaptadas al lugar de destino, como beber solo agua embotellada, precaución ante posibles hurtos, tipo de transporte a utilizar, etcétera.

    4. Monitorización 24/7. Las organizaciones con viajeros frecuentes y expatriados en sus plantillas deben contar con sistemas, personal y presupuesto para proveer monitorización en tiempo real de amenazas potenciales para su personal en el exterior. Los sistemas de notificación masiva en crisis se perfilan en este sentido como una herramienta de gran utilidad para contactar de forma inmediata con el personal en el exterior en caso de cambios en el nivel de amenaza en entornos de riesgo elevado, de modo que puedan tomar las medidas de mitigación necesarias lo más rápido posible para garantizar su seguridad.

  2. Fase reactiva o de respuesta al incidente. Se basa en la inclusión del Programa de Gestión de Riesgos en Viajes dentro del propio programa de gestión de riesgos que cada compañía posee e implementa. Debería incluir, a su vez, una línea directa de notificación de emergencias durante viajes, por lo que sería deseable que la compañía contase con un centro de mando y control bajo la dirección específica del equipo de gestión de riesgos, para gestionar las diferentes posibles alertas de distintos actores, como los propios empleados, proveedores, etcétera, y proporcionar una respuesta ajustada durante las 24 horas.

  3. Feedback. Finalmente, resulta de vital importancia mantener un registro detallado de todo el proceso que pueda actuar como retroalimentación para el proceso de evaluación inicial. El After Reaction Report (Informe tras la Reacción o Respuesta)  debería dar respuesta a cuestiones como si el incidente podría haberse prevenido o gestionado de forma más eficaz, y en caso afirmativo, permitirá identificar fallos y señalar las reformas pertinentes en los protocolos de mitigación de riesgos. La recolección de datos debe llevarse a cabo de forma sistemática y estandarizada para que cada viajero a su regreso pueda revertir su información en el sistema, donde también deben confluir la información durante el viaje y la información codificada por el centro de mando y control durante la monitorización y/o respuesta a incidentes.

 

A todo ello debemos añadir el cierre del ciclo de la seguridad corporativa con los conceptos de recovery (recuperación) y continuidad de negocio. La recuperación implica tanto la recuperación emocional de los trabajadores tras haber sufrido un incidente como la recuperación de las instalaciones y entorno de trabajo, nuevas contrataciones, gestión médica, psicológica o de bajas por enfermedad, lesiones o estrés, etcétera, situaciones que pueden llevar a la quiebra a la organización de no gestionarse de forma adecuada, tanto si el incidente se ha producido en las instalaciones locales como, e incluso en este aspecto puede suponer mayor relevancia, en las instalaciones o durante estancias internacionales de los trabajadores. Todo ello, finalmente redunda en la continuidad de la actividad, que por otra parte también es un factor de estabilidad para los individuos que trabajan en la organización.

Así pues, la seguridad corporativa, el concepto de deber de cuidado y la propia gestión de riesgos de seguridad, abarcan un amplio espectro de elementos y medidas a considerar por las organizaciones, y cuya implementación se pueden derivar numerosas ventajas en materia preventiva y de gestión que facilitasen, en última instancia y en caso de producirse un incidente de naturaleza intencionada o inintencionada, la continuidad y normal desarrollo de la actividad, pero sobre todo, la protección y seguridad de los miembros de la organización, tanto dentro como fuera de las fronteras.

 

 

 

 

[1] Allen, B.; Loyear, R. (2018) Enterprise Security Risk Management: Concepts and Applications, Rothstein Publishers, Brookfield, Connecticut. Edición digital.

[2] Brossman, C. (2016) Building a Travel Risk Management Program. Elsevier, Cambridge. Edición digital.

 

 

Artículo publicado en la revista Seguritecnia en su número 465

Please reload

Entradas destacadas

Consejos para viajeros frecuentes.

October 20, 2019

1/10
Please reload

Entradas recientes