Diseñe su organización para resistir futuros desastres

A medida que las empresas se preparan para las crisis, con demasiada frecuencia no dan un paso atrás y hacen una pregunta sencilla: ¿Cómo estamos diseñados? El autor lleva años formando y asesorando a empresas en gestión y preparación para casos de desastre y ha llegado a creer que una buena preparación sigue a una buena organización, y una mala preparación normalmente se explica por una mala organización. Los líderes de la empresa deben hacer un inventario de su «arquitectura de preparación». Esto significa centrarse menos al principio en la formación, los protocolos, el liderazgo y las comunicaciones y más en la estructura interna de gestión e informes de la empresa. La pregunta fundamental para todas las empresas actuales, en una era de desastres recurrentes, es si su gestión y liderazgo diseño es seguro. Para diseñar la estructura de gestión de su empresa para responder mejor a las crisis, los líderes deben centrarse en tres áreas: posición, acceso y unidad de esfuerzo.

En la literatura empresarial sobre gestión de crisis y desastres, se hace un gran hincapié en temas como el liderazgo, las comunicaciones y la planificación. El personal de seguridad y los encargados de asegurarse de que las empresas estén preparadas tienden a preocuparse más por la tecnología y el equipo necesarios para reducir los riesgos físicos y cibernéticos. Pero entre el liderazgo en la crisis y la planificación táctica, a menudo existe una brecha estructural fundamental, un abismo peligroso entre los responsables y los que están sobre el terreno.

A medida que las empresas se preparan para las crisis, con demasiada frecuencia no dan un paso atrás y hacen una pregunta sencilla: ¿Cómo estamos diseñados? He pasado años formando y asesorando a empresas en gestión y preparación para catástrofes y he llegado a creer que una buena preparación sigue a una buena organización, y una mala preparación normalmente se explica por una mala organización.

Es obvio, al entrar en el tercer año de respuesta a la Covid, que ahora todos somos gestores de crisis hasta cierto punto. Las amenazas a las que nos enfrentamos (para la vida, la continuidad del negocio, la propiedad y la reputación) no terminarán cuando nos quitemos las máscaras. Los líderes de la empresa deben hacer un inventario de su «arquitectura de preparación». Esto significa centrarse menos al principio en la formación, los protocolos, el liderazgo y las comunicaciones y más en la estructura interna de gestión e informes de la empresa. La pregunta fundamental para todas las empresas actuales, en una era de desastres recurrentes, es si su gestión y liderazgo diseño es seguro.

Al estudiar los desastres y sus consecuencias para mi libro, El diablo nunca duerme: aprender a vivir en una era de desastres, he identificado varios defectos de diseño que deberían abordarse antes, no si se produce la próxima crisis. Para diseñar la estructura de gestión de su empresa para responder mejor a las crisis, los líderes deben centrarse en las tres áreas siguientes.

Posición

Cuando enseño sobre gestión de crisis en la Kennedy School de Harvard, mi primera clase es sobre diseño, porque los «huesos» (es decir, la estructura subyacente) de una organización importan. Hago una pregunta sencilla que se recibe con conjeturas descabelladas y miradas en blanco cada año: En el gobierno de los Estados Unidos, ¿dónde se coloca el Servicio Forestal de los Estados Unidos? Inmediatamente, algunos estudiantes seguros de sí mismos gritarán «Departamento del Interior». Al haber fracasado, otros sugieren la EPA. La respuesta es el Departamento de Agricultura. Piense en lo que eso significa, lo que revela esa ubicación sobre cómo el gobierno alguna vez veía (y todavía veía) los bosques: como un producto agrícola, al igual que las vacas, el maíz o la soja. Para bien o para mal, por diseño, los árboles y los bosques pertenecen a una agencia gubernamental cuya prioridad no es el medio ambiente ni la protección de tierras históricas. Esta colocación importa porque informa de las prioridades del Servicio Forestal.

Las empresas rara vez tienen personal de seguridad en puestos de liderazgo permanentes. Pocos consejos de administración de las empresas públicas tienen una sola persona del sector de la seguridad o la ciberseguridad. Esto no es meramente un desafío simbólico: les dice a los profesionales que sus habilidades o experiencia no son parte integral del liderazgo de la empresa. Puede afectar a la capacidad de orientar las prioridades presupuestarias y de personal, ya que los ejecutivos dividen los recursos limitados. Niega relevancia: un asiento a la mesa. Y si la dirección no considera que un problema sea esencial, los empleados tampoco lo verán como esencial. La seguridad debe elevarse mediante un diseño de gobernanza que demuestre que es tan integral para el futuro de la empresa como sus resultados finales.

A menudo, para compensar estos defectos de diseño o para parecer responsables ante el mundo exterior, muchas empresas, especialmente las de tecnología más reciente, crean lo que llaman consejos de «confianza» o «asesores de confianza». No sé si esto se debe a que la «confianza» parece menos intimidante que la «seguridad». Estas juntas tienden a estar llenas de todo tipo de expertos y exfuncionarios del gobierno (¡he formado parte de unos pocos!) , pero el nombre, un eufemismo, y el lugar, fuera de la organización, son reveladores. Simplemente consultan y dan recomendaciones y, lo que es más importante, no pueden exigir que se tomen medidas. Están literalmente a un lado y a menudo son para mostrar. La arquitectura de seguridad es algo serio y no puede relegarse al equivalente a la mesa infantil del Día de Acción de Gracias. Si los directores de la junta o los líderes internos no pueden impulsar la planificación de la preparación y las capacidades, entonces no lo conseguirán.

Acceso

No importa en qué parte de la organización resida el personal de seguridad, a menudo pregunto a los directores generales con qué frecuencia se reúnen con varios miembros de sus equipos. Sus respuestas son reveladoras. Muchos dicen que se reúnen con el COO varias veces al día, con el CFO al menos un par de veces a la semana y con el consejero general si es necesario. Pero en cuanto al director de seguridad o equivalente, la respuesta suele ser una variación de: «Bueno, es ex FBI, así que sabe lo que hace». Esta es la respuesta incorrecta. Si no es aceptable que un CEO delegue todas las responsabilidades financieras o legales en otros miembros de la empresa, lo mismo puede decirse de la preparación. Un CEO preparado es aquel que entiende que la forma en que centran su atención y sus demandas informa de lo que la empresa considera valioso.

En el mundo de la seguridad, la capacidad del aparato de seguridad para opinar en la planificación empresarial y las prioridades se llama disponibilidad. ¿Se puede acceder al equipo de seguridad cuando más importa? Muchos líderes institucionales dirían que sí, que saben a quién llamar si algo sale mal. Esto sugiere que la dirección no ve la seguridad como un facilitador, sino más como una molestia necesaria o un complemento, lo que se puede llamar más que como el tejido conectivo de la empresa. Las estructuras de notificación complicadas, con el personal de seguridad distribuido para que rinda informes a diferentes partes de la estructura de gestión, como las legales, de riesgos o de estrategia, minimizan su influencia y sus capacidades.

Tratar al personal de seguridad como una idea tardía limitando su acceso al liderazgo es miope y contraproducente. Por ejemplo, piense en el largo esfuerzo de la ciudad de Oakland por construir un nuevo estadio para su equipo de béisbol, los Oakland Athletics, en la terminal Howard (un esfuerzo que se ha prolongado durante tanto tiempo que se ha denominado» un viaje de mil pasos»). El proyecto ha sufrido muchos retrasos y obstáculos desde que el Oakland Athletics Investment Group eligió la sede de Howard Terminal en 2018, uno de los cuales fue el descubrimiento de numerosas vulnerabilidades de seguridad que deberían haberse visto antes de que hicieran su selección.

El sitio era perfecto para las necesidades recreativas y de los inversores. Pero como está rodeado por un lado de agua y tiene solo unas pocas carreteras de salida (algunas de las cuales estaban bloqueadas constantemente por ferrocarril y carga), la revisión consultiva en la que trabajé descubrió que no había forma de que la gente se fuera de forma segura en caso de que ocurriera algo calamitoso (un terremoto, un incendio, una situación de tirador activo, etc.). Amenazó tanto el flujo seguro y protegido del principal puerto de Oakland que el ferrocarril de la Unión Pacific incluso levantó la oposición.

¿Dónde estaba el equipo de seguridad del Grupo de Inversión? No había nada de eso, y la interfaz hizo pocos intentos de involucrar a otras empresas, incluidas las de ferrocarril y carga, y a los residentes que entendían los riesgos y desafíos del sitio.

No existe talle único. Lo ideal sería que un jefe sénior de seguridad dependiera directamente del CEO o de un miembro sénior del equipo de liderazgo. Ese oficial de seguridad supervisaría todos los aspectos de la política de riesgos y guiaría los presupuestos y el personal con el apoyo de los altos funcionarios. La seguridad es un tema demasiado importante para ocultarlo en un organigrama o delegarlo en «expertos» externos. Si eso no es factible dado el tamaño o la estructura de la empresa, el CEO y el equipo directivo deben asegurarse de que la seguridad esté siempre representada en las decisiones empresariales prioritarias y presupuestarias antes están hechos.

También es esencial que los líderes estén dispuestos y comprometidos cuando el personal de seguridad solicite su presencia en ejercicios o entrenamientos de sobremesa. Una sesión informativa mensual es valiosa, ya que los riesgos cambian a menudo. Este tipo de familiaridad hace que un líder sea fluido y se sienta cómodo en un espacio que es clave para su misión, incluso si no es él quien compra ciberdefensas o construye puertas alrededor de un edificio.

Una vez trabajé para un líder político como jefe de seguridad nacional, pero por estatuto, no era un informante directo. Le dije simplemente que «no gana las elecciones en mi lista, pero es probable que las pierda en ellas. Cuando necesite verlo, asegúrese de que me puedan ver». Estuvo de acuerdo y le dijo lo mismo a su equipo. La realidad de que a nadie le importa la seguridad hasta que a todo el mundo le importa debería informar la accesibilidad del líder.

Unidad de esfuerzo

Estos cambios de diseño no se refieren simplemente a la reorganización de las tumbonas del Titanic. Se trata de garantizar que, en caso de que se produzca un daño, las consecuencias se puedan minimizar y el daño se pueda reducir. Y eso solo puede suceder si una empresa diseña para la unidad de esfuerzos en previsión del próximo desastre.

Tras los atentados terroristas del 11 de septiembre, muchas empresas promovieron o contrataron legítimamente a un CSO, director de seguridad. En el transcurso de la década siguiente, a medida que las empresas sufrían ciberataques y vulnerabilidades, surgió un nuevo líder: el CISO, director de seguridad de la información. Ahora, debido a la pandemia, muchas empresas importantes están contratando CMO o CHO, directores médicos o de salud. Son muchos C-people.

El sentimiento es encomiable, pero el esfuerzo significa poco sin un poco de tejido conectivo. Una solución es nombrar un jefe de seguridad o preparación que supervise estos esfuerzos. Aunque todos esos roles C se centran en diferentes amenazas, la respuesta de un líder será básicamente la misma, ya sea un tirador activo, un terremoto, una ciberfiltración o un virus: Ejecute un plan, minimice el impacto y lidere la empresa. Con esfuerzos, enfoques y mano de obra divididos, los «jefes» a menudo se encuentran en diferentes silos de informes y gestión. El problema es que como sea que el barco se hunda, todo el barco se hunde.

Por ejemplo, considere la ataque de ransomware en Colonial Pipeline en mayo de 2021, lo que provocó que el operador del gasoducto tuviera que cerrar la entrega de gas y petróleo a casi el 45% de la costa este durante más de una semana. Los analistas tienden a preguntarse cómo la empresa pudo haber sido tan vulnerable. La mejor pregunta es: ¿cómo podrían no tener un plan sobre cómo la inevitable ciberinterrupción afectaría a sus capacidades y llevaría a una crisis energética a corto plazo a medida que se cerrara la cadena de suministro?

La empresa no tuvo más remedio que cerrar todo el sistema porque no podía controlar eficazmente el flujo de gas. Las empresas generalmente dividen los sistemas entre las operaciones y la tecnología de la información. Son interdependientes, lo que significa un riesgo para uno es un riesgo para el otro. Si Colonial hubiera tenido un líder sénior que supervisara todo el conjunto de posibles consecuencias, la empresa podría haber estado más preparada. Podría haber generado redundancias o haber separado las necesidades clave de datos, como las relacionadas con las operaciones y la distribución, de las empresariales, como la nómina, en la red. Podría haber planeado un esfuerzo de recuperación más sofisticado que se centrara en hacer que los grandes oleoductos se movieran rápidamente y dependiera de los camiones y otras formas de transporte para la entrega local. En cambio, lo que podría haber sido una interrupción menor común en el ciberespacio se convirtió en un desafío nacional del suministro de energía.

. . .

El diseño, tanto como un buen plan de RR.PP. o una formación eficaz, es un aspecto esencial de la preparación en una era en la que los desastres seguirán llegando. Antes de que una empresa invierta en el próximo producto de seguridad nuevo e interesante o de nombrar un nuevo y elegante consejo asesor, debería examinar primero su propia arquitectura. La buena preparación proviene de huesos fuertes.

Juliette Kayyem