Diseñe su organización para que resista futuros desastres

A medida que las empresas se preparan para las crisis, con demasiada frecuencia no dan un paso atrás y se hacen una pregunta sencilla: ¿cómo estamos diseñados? El autor lleva años formando y asesorando a las empresas en materia de gestión y preparación para las catástrofes y ha llegado a creer que una buena preparación viene acompañada de una buena organización, y una mala preparación normalmente se explica por una mala organización. Los líderes de la empresa deben hacer un inventario de su «arquitectura de preparación». Esto significa centrarse menos al principio en la formación, los protocolos, el liderazgo y la comunicación y más en la estructura interna de informes y gobierno de la empresa. La pregunta fundamental para todas las empresas ahora, en una era de desastres recurrentes, es si su dirección y liderazgo diseño es seguro. Para diseñar la estructura de gestión de su empresa a fin de responder mejor a las crisis, los líderes deben centrarse en tres áreas: la posición, el acceso y la unidad de esfuerzos.

••• En la literatura empresarial sobre la gestión de crisis y desastres, se centra enormemente en temas como el liderazgo, la comunicación y la planificación. El personal de seguridad y los que se encargan de garantizar que las empresas estén preparadas suelen preocuparse más por la tecnología y el equipo necesarios para reducir los riesgos físicos y cibernéticos. Pero entre el liderazgo en situaciones de crisis y la planificación táctica, a menudo existe una brecha estructural fundamental, un peligroso abismo entre los que están al mando y los que están sobre el terreno. A medida que las empresas se preparan para las crisis, con demasiada frecuencia no dan un paso atrás y se hacen una pregunta sencilla: ¿cómo estamos diseñados? Llevo años formando y asesorando a las empresas en materia de gestión y preparación para las catástrofes y he llegado a creer que una buena preparación viene acompañada de una buena organización, y una mala preparación normalmente se explica por una mala organización. Al entrar en el tercer año de la respuesta a la Covid, es obvio que ahora todos gestionamos crisis hasta cierto punto. Las amenazas a las que nos enfrentamos —para la vida, la continuidad empresarial, la propiedad y la reputación— no terminarán cuando nos quitemos las máscaras. Los líderes de la empresa deben hacer un inventario de su «arquitectura de preparación». Esto significa centrarse menos al principio en la formación, los protocolos, el liderazgo y la comunicación y más en la estructura interna de informes y gobierno de la empresa. La pregunta fundamental para todas las empresas ahora, en una era de desastres recurrentes, es si su dirección y liderazgo _diseño_ es seguro. Al estudiar los desastres y sus consecuencias para mi libro,[_El diablo nunca duerme: aprender a vivir en una era de desastres_](https://www.publicaffairsbooks.com/titles/juliette-kayyem/the-devil-never-sleeps/9781541700093/), he identificado varios defectos de diseño que deberían abordarse antes, no si, se produce la próxima crisis. Para diseñar la estructura de gestión de su empresa a fin de responder mejor a las crisis, los líderes deberían centrarse en las tres áreas siguientes. ## Posición Cuando enseño sobre gestión de crisis en la Escuela Kennedy de Harvard, mi primera clase es sobre diseño, porque los «huesos» (es decir, la estructura subyacente) de una organización importan. Hago una pregunta sencilla que cada año es objeto de conjeturas descabelladas y miradas vacías: En el gobierno de los Estados Unidos, ¿dónde está ubicado el Servicio Forestal de los Estados Unidos? Inmediatamente, algunos estudiantes seguros de sí mismos gritarán «Departamento del Interior». Al fracasar, otros sugieren la EPA. La respuesta es el Departamento de Agricultura. Piense en lo que eso significa, en lo que revela ese lugar sobre la forma en que el gobierno alguna vez vio (y sigue viendo) los bosques: como un producto agrícola, al igual que las vacas, el maíz o la soja. Para bien o para mal, por diseño, los árboles y los bosques pertenecen a una agencia gubernamental cuya prioridad no es el medio ambiente ni la protección de los terrenos históricos. Esta ubicación es importante porque informa las prioridades del Servicio Forestal. Las empresas rara vez asignan al personal de seguridad funciones de liderazgo permanente. Pocos consejos de administración de empresas que cotizan en bolsa tienen una sola persona del sector de la seguridad o la ciberseguridad. No se trata simplemente de un desafío simbólico: les dice a los profesionales que sus habilidades o experiencia no son fundamentales para el liderazgo de la empresa. Puede afectar a la capacidad de guiar las prioridades del presupuesto y la dotación de personal, ya que los ejecutivos dividen los recursos limitados. Niega la relevancia: un asiento en la mesa. Y si la dirección no considera que un tema es esencial, los empleados tampoco lo considerarán esencial. La seguridad debe mejorarse mediante un diseño de gobierno que demuestre que es tan fundamental para el futuro de la empresa como sus resultados. A menudo, para compensar estos defectos de diseño o para parecer responsables ante el mundo exterior, muchas empresas, especialmente las de nueva tecnología, crean lo que denominan consejos de «confianza» o «asesores de confianza». No sé si esto se debe a que la «confianza» parece menos intimidante que la «seguridad». Estas juntas suelen estar llenas de todo tipo de expertos y exfuncionarios del gobierno (¡he formado parte de algunos!) , pero el nombre, un eufemismo, y el lugar, fuera de la organización, son reveladores. Se limitan a consultar y dar recomendaciones y, lo que es más importante, no pueden exigir que se tomen medidas. Están literalmente a un lado y son a menudo para mostrarlos. La arquitectura de seguridad es algo serio y no puede relegarse al equivalente a la mesa de los niños en Acción de Gracias. Si los directores de la junta directiva o los líderes internos no pueden impulsar la preparación, la planificación y las capacidades, entonces no lo harán. ## Acceso No importa dónde resida el personal de seguridad dentro de la organización, suelo preguntar a los directores ejecutivos con qué frecuencia se reúnen con los distintos miembros de sus equipos. Sus respuestas son reveladoras. Muchos dicen que se reúnen con el COO varias veces al día, con el CFO al menos varias veces a la semana, con el consejero general si es necesario. Pero en cuanto al director de seguridad o su equivalente, la respuesta suele ser alguna variación de: «Bueno, es un exFBI, así que sabe lo que hace». Es la respuesta equivocada. Si es inaceptable que un CEO delegue toda la responsabilidad financiera o legal a otros miembros de la empresa, lo mismo debería aplicarse a la preparación. Un CEO preparado es aquel que entiende que la forma en que centra su atención y sus exigencias informa lo que la empresa considera valioso. En el mundo de la seguridad, la capacidad del aparato de seguridad para opinar en la planificación y las prioridades empresariales se denomina _disponibilidad_. ¿El equipo de seguridad es accesible cuando más importa? Muchos líderes institucionales dirían que sí, que saben a quién llamar si algo sale mal. Esto sugiere que los líderes no ven la seguridad como un facilitador, sino más como una molestia necesaria o un complemento, lo que hay que llamar más que como el tejido conectivo de la empresa. Las complicadas estructuras de presentación de informes, con el personal de seguridad distribuido de manera que rinda cuentas a diferentes partes de la estructura de gestión, como la legal, el riesgo o la estrategia, minimizan su influencia y sus capacidades. Tratar al personal de seguridad como una idea tardía al limitar su acceso al liderazgo es miope y contraproducente. Por ejemplo, pensemos en el largo esfuerzo de la ciudad de Oakland por construir un nuevo estadio para su equipo de béisbol, los Atléticos de Oakland, en la terminal Howard (un esfuerzo que se ha prolongado tanto que se ha llamado»[un viaje de mil pasos](https://www.athleticsnation.com/2022/1/20/22892799/oakland-as-stadium-howard-terminal-planning-commission-vote-eir)»). El proyecto ha sufrido muchos retrasos y obstáculos desde que el Grupo de Inversión en Atletismo de Oakland eligió la sede de la terminal Howard en 2018, uno de los cuales fue el descubrimiento de numerosas vulnerabilidades de seguridad que deberían haber aparecido antes de hacer su selección. El sitio era perfecto para las necesidades recreativas y de los inversores. Pero como está rodeado por un lado por el agua y solo tiene unas cuantas vías de salida (algunas de las cuales estaban constantemente bloqueadas por el tren y la carga),[la reseña consultiva en la que publiqué](https://d3n8a8pro7vhmx.cloudfront.net/oaklandstadiumalliance/pages/136/attachments/original/1626272990/Safety_Report_-_Final.pdf?1626272990) descubrió que no había forma de que la gente saliera sana y salva en caso de que ocurriera algo calamitoso (un terremoto, un incendio, una situación de tiro activo, etc.). Amenazó tanto el flujo seguro del principal puerto de Oakland que el ferrocarril Union Pacific[incluso suscitó oposición](https://newballpark.org/2021/07/10/union-pacific-explains-their-howard-terminal-position/). ¿Dónde estaba el equipo de seguridad del Grupo de Inversiones? No había ninguna de la que hablar y hubo pocos intentos por parte de la parte inicial de contratar a otras compañías, incluidas las ferroviarias y de carga, y a los residentes que entendían los riesgos y desafíos del sitio. No existe una arquitectura que sirva para todos. Lo ideal sería que un director sénior de seguridad dependiera directamente del CEO o de un miembro sénior del equipo directivo. Ese oficial de seguridad supervisaría todos los aspectos de la política de riesgos y guiaría los presupuestos y el personal con el apoyo de los más altos funcionarios. La seguridad es un tema demasiado importante como para ocultarlo en un organigrama o delegarlo en «expertos» externos. Si eso no es factible dado el tamaño o la estructura de la empresa, el CEO y el equipo directivo deberían asegurarse de que la seguridad esté siempre representada en las decisiones empresariales prioritarias y presupuestarias _antes_ están hechos. También es esencial que los líderes estén dispuestos y comprometidos cuando el personal de seguridad solicite su presencia en los ejercicios o entrenamientos de mesa. Un informe mensual es valioso, ya que los riesgos cambian a menudo. Este tipo de familiaridad hace que un líder hable con fluidez y se sienta cómodo en un espacio que es clave para su misión, incluso si no es él quien compra ciberdefensas o construye puertas alrededor de un edificio. Una vez trabajé para un líder político como su jefe de Seguridad Nacional, pero por ley, no fui subordinado directo. Le dije simplemente que «no gana las elecciones en mi agenda, pero es probable que las pierda en ellas. Cuando necesite verlo, asegúrese de que me vean». Estuvo de acuerdo y le dijo lo mismo a su equipo. El hecho de que a nadie le importa la seguridad hasta que a todo el mundo le importe debería influir en la accesibilidad de un líder. ## Unidad de esfuerzo Estos cambios de diseño no tienen que ver simplemente con la reorganización de las tumbonas del Titanic. Su objetivo es garantizar que, en caso de que se produzca un daño, se puedan minimizar las consecuencias y se pueda reducir el daño. Y eso solo puede ocurrir si una empresa busca la unidad de esfuerzos en previsión del próximo desastre. Tras los ataques terroristas del 11 de septiembre, muchas empresas ascendieron o contrataron, con razón, a un CSO, director de seguridad. En el transcurso de la década siguiente, a medida que las empresas sufrían ciberataques y vulnerabilidades, surgió un nuevo líder: el CISO, director de seguridad de la información. Ahora, debido a la pandemia, muchas empresas importantes están contratando CMO o CHO, directores médicos o de salud. Eso es un montón de gente de C. El sentimiento es encomiable, pero el esfuerzo no sirve de mucho sin un poco de tejido conectivo. Una solución es nombrar a un jefe de seguridad o preparación que supervise estas iniciativas. Aunque todos esos puestos de alto nivel se centran en diferentes amenazas, la respuesta del líder será básicamente la misma, ya se trate de un tiro activo, un terremoto, una ciberviolación o un virus: ejecute un plan, minimice el impacto y dirija la empresa. Con esfuerzos, enfoques y mano de obra divididos, los «jefes» suelen estar en diferentes silos de información y gestión. El problema es que no importa cómo se hunda el barco, todo el barco se hunde. Por ejemplo, considere el[ataque de ransomware a Colonial Pipeline](https://www.zdnet.com/article/colonial-pipeline-ransomware-attack-everything-you-need-to-know/) en mayo de 2021, lo que provocó que el operador del oleoducto tuviera que cerrar el suministro de gas y petróleo a casi el 45% de la costa este durante más de una semana. Los analistas suelen preguntarse cómo la empresa pudo haber sido tan vulnerable. La mejor pregunta es: ¿Cómo podrían no tener ningún plan de cómo la inevitable ciberdisrupción afectaría a sus capacidades y provocaría una crisis energética a corto plazo a medida que la cadena de suministro se cerrara? La empresa no tuvo más remedio que cerrar todo el sistema porque no podía monitorizar el flujo de gas de forma eficaz. Las empresas suelen dividir los sistemas entre operaciones y tecnología de la información. Son interdependientes, lo que significa[un riesgo para uno es un riesgo para el otro](https://isacybersecurity.com/lessons-learned-from-colonial-pipeline-attack/). Si Colonial hubiera tenido un líder sénior que supervisara toda la gama de posibles consecuencias, la empresa podría haber estado más preparada. Podría haber creado redundancias o separado las necesidades de datos clave, como las relacionadas con las operaciones y la distribución, de las empresariales, como la nómina, en la red. Podría haber planificado un esfuerzo de recuperación más sofisticado que se centrara en hacer que los grandes oleoductos circularan rápidamente y se basara en camiones y otros medios de transporte para la entrega local. En cambio, lo que podría haber sido una perturbación menor común en el ciberespacio se convirtió en un desafío del suministro nacional de energía. ### . . . El diseño, tanto como un buen plan de RR.PP. o una formación eficaz, es un aspecto esencial de la preparación en una era en la que los desastres siguen llegando. Antes de que una empresa invierta en el próximo producto de seguridad nuevo y guay o nombre un nuevo y elegante consejo asesor, primero debería examinar su propia arquitectura. La buena preparación viene de unos huesos fuertes.