El marco de las infraestructuras críticas considera toda aquella operación física o lógica, servicio o proceso cuya interrupción o terminación generaría un impacto muy grave para la continuidad de la vida diaria de una comunidad, afectando a su bienestar económico, salud y social, así como a la capacidad de atención y viabilidad del Gobierno.
Infraestructuras críticas
Los relacionados con la salud, el transporte, el agua, la energía, el sector financiero o la seguridad pública son algunos de estos servicios esenciales. Las infraestructuras críticas, al ser impactadas, comprometen su viabilidad. Pero es sumamente importante visualizar que la infraestructura crítica no opera en forma autónoma. Puedes tener un plan excelente de continuidad de negocio, pero, ¿qué sucede si pierdes el soporte logístico para mover a tu personal, se pierde el suministro de alimentos o, simplemente, el personal de continuidad decide ir a ver a su familia antes de resumir sus operaciones?
La efectividad de los programas de continuidad o crisis solo se valida cuando estos se tienen que poner en ejecución ante una contingencia o crisis real. Definiendo crisis en una forma sencilla como toda aquella condición que rebase nuestra capacidad de respuesta. Y, por ende, la efectividad radica en qué tan rápido seamos rebasados o en tiempo podamos responder con eficiencia. Puede haber una diferencia terrible entre la capacidad real versus la capacidad que se considera salvaguarda a la institución o empresa.
Romper paradigmas
Durante más de 20 años me ha tocado desarrollar y operar planes para manejo de contingencias y crisis, a nivel global, regional y nacional, para industrias del cemento, retail, banca, telecomunicaciones, tabaco y, ahora, en el sector del entretenimiento. Y puedo constatar que la realidad supera los escenarios proyectados en los planes y programas que las empresas instituyen o en los que plantean los talleres de capacitación. Cuando me refiero a los escenarios no solo me refiero al espacio y tiempo del fenómeno, sino al rol que desempeñan los diversos actores que juegan algún rol en estos.
Hoy, la naturaleza se plantea como la fuente de amenaza más extraordinaria. La pandemia de COVID-19 resultó un factor de disrupción tal, que se rebasó la capacidad de respuesta de los planes de continuidad de negocio, las capacidades de respuesta y reacción de las autoridades, las capacidades de entendimiento de la sociedad. Siendo la pandemia disparador de otros escenarios de riesgos donde sus impactos apenas se empiezan a definir y cuantificar. Una crisis sanitaria fácilmente produce una crisis política, económica y, sobre todo, social. Las pérdidas cualitativas que trajo la pandemia se reflejarán en el factor humano de todas las estructuras sociales.
Lo anterior obliga a tener que romper paradigmas, a replantear todos los criterios básicos de planeación y, por tanto, la propuesta para desarrollo de las capacidades de respuesta, que ya no solo sustentan la continuidad, sino que deben apuntalar la resiliencia de las instituciones y organizaciones. Para las infraestructuras críticas, este cuestionamiento, esta ruptura de modelos antiguos, debe venir no solo de las empresas, sino de las autoridades que llevan el plan nacional de seguridad. Sobre todo, el considerar a la seguridad corporativa como parte del modelo de seguridad nacional, mapeando los alcances y recursos que esta puede aportar en las condiciones menos proyectadas.
Capacidad real o virtual
Hoy día, cisne negro (Taleb, 2007), “sucesos difíciles de predecir y de alto impacto”, o rinoceronte gris (Wucker, 2016), “eventos que todos vemos venir pero nadie los quiere enfrentar”, son términos que considero válidos y que corrompen el entendimiento y, por consiguiente, el criterio que sustenta el planteamiento de inteligencia para definir el escenario de amenazas y riesgos y, por ende, los impactos no son debidamente definidos y medidos.
Preferimos racionalizar toda condición o suceso, buscando la solución que resulte más conveniente, lo que trae la creación de programas o plataformas cómodas. Y cumpliendo estas, damos por establecido el compromiso de la organización. Esto es peor que no tener nada implantado, pues las reacciones basadas en un falso sentido de seguridad pueden ser fatales para las personas, la credibilidad, la resiliencia corporativa y la protección de las infraestructuras críticas.
En muchas ocasiones se cumple porque la normativa lo establece, pero sin un compromiso o cultura de empresa o institución. Otras se cumple porque preocupan más los costos legales que una real preocupación por asegurar la capacidad de respuesta. Peor aún es cuando se construye todo un planteamiento sobre las líneas fáciles de entender.
Me consta que planes institucionales ya definidos nunca fueron ejecutados y se resolvieron acciones acordes a las percepciones del momento. La misma selección de fuentes de información para buscar soluciones resultó de un proceso reactivo y no por un proceso predefinido. Asimismo, resalta que la crisis sanitaria absorbió la atención de las acciones mientras que otros elementos de riesgo amenazaban con potenciales crisis colaterales y se prefirió no enfrentarlos. Me consta también que muchos programas solo eran parte de un tema de cumplimiento normativo y que la premisa era: gasta poco en la prevención y si sucede algo grave, no escatimes.
Lamentablemente, el proceso de inteligencia se ve viciado cuando el área corporativa que lidera el armado de los planes de continuidad o resiliencia, muchas veces con el apoyo de consultores, atiende lo fácilmente descriptivo porque resulta más fácil vender o convencer sobre lo obvio.
Creo que por el tema de costo y la falta de una verdadera cultura de empresa o institución segura, apostando a que un hecho catastrófico es poco probable, tendemos a definir riesgos y soslayamos analizar las fuentes de amenaza viendo solo los riegos que podemos entender. Buscamos identificar aquello con lo que nos sentimos más cómodos, donde las respuestas están a la vista. Por ejemplo, el espectro de la amenaza cibernética toma relevancia dada la plataforma lógica que sostiene no solo a los servicios esenciales, sino a toda la empresa. Pero el quid del asunto es que no todo riesgo es cibernético. Es fácil caer en una visión de túnel cuando solo nos enfocamos en el factor cibernético como fuente de amenaza y riesgos.
¡Sigue Leyendo!
Si deseas leer el artículo completo de Antonio Gaona Rosete, director de Seguridad e Inteligencia de Codere, lo encontrarás en el número 19 de Segurilatam.