Diseñe su organización para soportar futuros desastres.
Las amenazas a las que nos enfrentamos (a la vida, la continuidad del negocio, la propiedad y la reputación) no terminarán cuando nos quitemos la máscara.
Por Julieta Kayem
Gestión de crisis
Harvard Business Review
#doxa #organización #amenazas #negocio #administración #gestión #crisis #propiedad #empresa #desastres #líderes
Resumen. A medida que las empresas se preparan para las crisis, con demasiada frecuencia no dan un paso atrás y hacen una pregunta simple: ¿Cómo estamos diseñados? El autor ha dedicado años a capacitar y asesorar a empresas sobre preparación y gestión de desastres y ha llegado a creer que una buena preparación sigue a una buena organización, y una mala preparación generalmente puede explicarse por una mala organización. Los líderes de la empresa deben hacer un inventario de su "arquitectura de preparación". Esto significa centrarse menos al principio en la capacitación, los protocolos, el liderazgo y las comunicaciones y más en la estructura interna de informes y gobierno de la empresa. La pregunta fundamental para todas las empresas ahora, en una era de desastres recurrentes, es si su diseño de gestión y liderazgo es seguro. Para diseñar la estructura de gestión de su empresa para responder mejor a las crisis, los líderes deben centrarse en tres áreas: posición, acceso y unidad de esfuerzo.
En la literatura empresarial sobre gestión de crisis y desastres, hay un gran enfoque en temas como liderazgo, comunicaciones y planificación. El personal de seguridad y aquellos encargados de asegurarse de que las empresas estén preparadas tienden a estar más preocupados por la tecnología y los equipos necesarios para reducir los riesgos físicos y cibernéticos. Pero entre el liderazgo de crisis y la planificación táctica, a menudo existe una brecha estructural fundamental: un abismo peligroso entre los que están a cargo y los que están sobre el terreno.
A medida que las empresas se preparan para las crisis, con demasiada frecuencia no dan un paso atrás y hacen una pregunta simple: ¿Cómo estamos diseñados? Pasé años capacitando y asesorando a empresas sobre preparación y gestión de desastres y he llegado a creer que una buena preparación sigue a una buena organización, y una mala preparación generalmente puede explicarse por una mala organización.
Es obvio, al ingresar al tercer año de la respuesta de Covid, que ahora todos somos administradores de crisis hasta cierto punto. Las amenazas a las que nos enfrentamos (a la vida, la continuidad del negocio, la propiedad y la reputación) no terminarán cuando nos quitemos la máscara. Los líderes de la empresa deben hacer un inventario de su "arquitectura de preparación". Esto significa centrarse menos al principio en la capacitación, los protocolos, el liderazgo y las comunicaciones y más en la estructura interna de informes y gobierno de la empresa. La pregunta fundamental para todas las empresas ahora, en una era de desastres recurrentes, es si su diseño de gestión y liderazgo es seguro.
Al estudiar los desastres y sus consecuencias para mi libro, The Devil Never Sleeps: Learning to Live in an Age of Disasters, identifiqué varias fallas de diseño que deben abordarse antes, no si, llega la próxima crisis. Para diseñar la estructura de gestión de su empresa para responder mejor a las crisis, los líderes deben centrarse en las siguientes tres áreas.
Posición
Cuando enseño sobre gestión de crisis en la Escuela Kennedy de Harvard, mi primera clase es sobre diseño, porque los "huesos" (es decir, la estructura subyacente) de una organización importan. Hago una pregunta simple que se encuentra con conjeturas descabelladas y miradas en blanco todos los años: en el gobierno de los EE. UU., ¿dónde está ubicado el Servicio Forestal de los EE. UU.? Inmediatamente, algunos estudiantes confiados gritarán "Departamento del Interior". Habiendo fallado, otros sugieren la EPA. La respuesta es el Departamento de Agricultura. Piense en lo que eso significa, lo que revela esa ubicación sobre cómo el gobierno alguna vez vio (y aún ve) los bosques: como un producto agrícola, al igual que las vacas, el maíz o la soja. Para bien o para mal, por diseño, los árboles y los bosques están en una agencia gubernamental cuya prioridad no es el medio ambiente o la protección de tierras históricas.
Las empresas rara vez tienen personal de seguridad ubicado en roles de liderazgo permanentes. Pocas juntas directivas de empresas públicas tienen una sola persona del sector de la seguridad o la ciberseguridad. Esto no es simplemente un desafío simbólico: les dice a esos profesionales que sus habilidades o experiencia no son parte integral del liderazgo de la empresa. Puede afectar la capacidad de orientar las prioridades presupuestarias y de personal, ya que los ejecutivos se reparten los recursos limitados. Niega relevancia: un asiento en la mesa. Y si la gerencia no considera que un problema es esencial, los empleados tampoco lo verán como tal. La seguridad debe elevarse mediante un diseño de gobierno que demuestre que es tan integral para el futuro de una empresa como su resultado final.
A menudo, para compensar estos defectos de diseño o para parecer responsables ante el mundo exterior, muchas empresas, especialmente las de tecnología más nueva, están creando lo que llaman juntas de "confianza" o "consejos de confianza". No sé si esto se debe a que la "confianza" parece menos intimidante que la "seguridad". Estas juntas tienden a estar llenas de todo tipo de expertos y ex funcionarios gubernamentales (¡he trabajado en algunos!), pero el nombre, un eufemismo, y el lugar, fuera de la organización, son reveladores. Simplemente consultan y dan recomendaciones y, lo que es más importante, no pueden exigir acción. Están literalmente a un lado y, a menudo, son para mostrar. La arquitectura de seguridad es algo serio y no se puede relegar al equivalente de la mesa de los niños en Acción de Gracias. Si los directores de la junta o los líderes internos no pueden impulsar la planificación y las capacidades de preparación, entonces no se hará.
Acceso
No importa dónde resida el personal de seguridad dentro de una organización, a menudo les pregunto a los directores ejecutivos con qué frecuencia se reúnen con varios miembros de sus equipos. Sus respuestas son reveladoras. Muchos dicen que se reúnen con el director de operaciones varias veces al día, con el director financiero al menos unas cuantas veces a la semana, con el abogado general si es necesario. Pero en cuanto al jefe de seguridad o equivalente, la respuesta suele ser una variación de: "Bueno, es ex FBI, por lo que sabe lo que hace". Esta es la respuesta incorrecta. Si es inaceptable que un CEO delegue toda la responsabilidad financiera o legal a otros en la empresa, lo mismo debería ser válido para la preparación. Un CEO preparado es aquel que entiende que la forma en que enfoca su atención y exige informa lo que la empresa considera valioso.
En el mundo de la seguridad, la capacidad del aparato de seguridad para opinar sobre la planificación y las prioridades comerciales se denomina disponibilidad. ¿El equipo de seguridad está accesible cuando más importa? Muchos líderes institucionales dirían que sí, que saben a quién llamar si algo sale mal. Esto sugiere que el liderazgo no ve la seguridad como un habilitador, sino más bien como una molestia necesaria o un complemento, el nombre que se debe llamar en lugar del tejido conectivo para la empresa. Las estructuras de informes complicadas, con personal de seguridad distribuido de modo que informen a diferentes partes de la estructura de gestión, como legal, riesgo o estrategia, minimiza su influencia y capacidades.
Tratar al personal de seguridad como una ocurrencia tardía al limitar su acceso al liderazgo es miope y contraproducente. Por ejemplo, considere el largo esfuerzo de la ciudad de Oakland para construir un nuevo estadio para su equipo de béisbol, los Atléticos de Oakland, en la Terminal Howard (un esfuerzo que se prolongó durante tanto tiempo que se lo ha llamado " un viaje de mil pasos ").. El proyecto se ha topado con muchos retrasos y obstáculos desde que Oakland Athletics Investment Group eligió el sitio de Howard Terminal en 2018, uno de los cuales fue el descubrimiento de numerosas vulnerabilidades de seguridad que deberían haber aparecido antes de que hicieran su selección.
El sitio era perfecto para las necesidades recreativas y de los inversores. Pero debido a que está rodeado por un lado por agua y tiene solo unas pocas vías de salida (algunas de las cuales estaban constantemente bloqueadas por ferrocarril y carga), la revisión de asesoramiento en la que participé descubrió que no había forma de que las personas salieran de manera segura en caso de una calamidad ( un terremoto, incendio, situación de tirador activo, etc.). Amenazaba tanto el flujo seguro y protegido del principal puerto de Oakland que el ferrocarril Union Pacific incluso planteó oposición.
¿Dónde estaba el equipo de seguridad de Investment Group? No hubo nada de lo que hablar, y hubo pocos intentos en la parte delantera de involucrar a otras compañías, incluidas las ferroviarias y de carga, y los residentes que entendían los riesgos y desafíos del sitio.
No existe una arquitectura única para todos. Idealmente, un jefe senior de seguridad reportaría directamente al CEO o a un miembro senior del equipo de liderazgo. Ese oficial de seguridad supervisaría todos los aspectos de la política de riesgos y guiaría los presupuestos y el personal con el apoyo de la cúpula. La seguridad es un tema demasiado importante como para ocultarlo en un organigrama o delegarlo a "expertos" externos. Si eso no es factible dado el tamaño o la estructura de una empresa, el director ejecutivo y el equipo de liderazgo deben asegurarse de que la seguridad siempre esté representada en el presupuesto y las decisiones comerciales prioritarias antes de que se tomen.
También es esencial que los líderes estén dispuestos y comprometidos cuando el personal de seguridad solicite su presencia en ejercicios o capacitaciones teóricas. Una sesión informativa mensual es valiosa, ya que los riesgos suelen cambiar. Este tipo de familiaridad hace que un líder fluya y se sienta cómodo en un espacio que es clave para su misión, incluso si no es él quien compra defensas cibernéticas o construye puertas alrededor de un edificio.
Una vez trabajé para un líder político como jefe de seguridad nacional, pero por estatuto, no era un subordinado directo. Simplemente le dije que “usted no gana elecciones en mi expediente, pero es probable que las pierda en él. Cuando necesite verte, asegúrate de que me puedan ver”. Estuvo de acuerdo y le dijo a su equipo lo mismo. La realidad de que a nadie le importa la seguridad hasta que a todos les importa debe informar la accesibilidad de un líder.
Unidad de Esfuerzo
Estos cambios de diseño no se tratan simplemente de reorganizar las tumbonas en el Titanic. Se trata de garantizar que, en caso de que ocurra un daño, las consecuencias puedan minimizarse y el daño pueda reducirse. Y eso solo puede suceder si una empresa diseña para la unidad de esfuerzo en previsión del próximo desastre.
Después de los ataques terroristas del 11 de septiembre, muchas empresas promovieron o contrataron legítimamente a un CSO, director de seguridad. En el transcurso de la década siguiente, mientras las empresas experimentaban ciberataques y vulnerabilidades, surgió un nuevo líder: el CISO, director de seguridad de la información. Ahora, debido a la pandemia, muchas empresas importantes están contratando CMO o CHO, directores médicos o de salud. Eso es un montón de gente C.
El sentimiento es encomiable, pero el esfuerzo significa poco sin un poco de tejido conectivo. Una solución es nombrar un jefe de seguridad o preparación que supervise estos esfuerzos. Aunque todos esos roles C se centran en diferentes amenazas, la respuesta de un líder será esencialmente la misma, ya sea que se trate de un tirador activo, un terremoto, una infracción cibernética o un virus: ejecutar un plan, minimizar el impacto y liderar la empresa. Con esfuerzos, enfoques y trabajo divididos, los "jefes" a menudo se encuentran en diferentes silos de informes y gestión. El problema es: como sea que el barco se hunda, todo el barco se está hundiendo.
Por ejemplo, considere el ataque de ransomware en Colonial Pipeline en mayo de 2021, que provocó que el operador del oleoducto tuviera que cerrar la entrega de gas y petróleo a casi el 45 % de la costa este durante más de una semana. Los analistas tienden a preguntarse cómo la empresa pudo haber sido tan vulnerable. La mejor pregunta es: ¿Cómo podrían no tener un plan sobre cómo la inevitable interrupción cibernética afectaría sus capacidades y conduciría a una crisis energética a corto plazo a medida que se cerrara la cadena de suministro?
La empresa no tuvo más remedio que apagar todo el sistema porque no podía monitorear de manera efectiva el flujo de gas. Las empresas generalmente dividen los sistemas entre operaciones y tecnología de la información. Son interdependientes, lo que significa que un riesgo para uno es un riesgo para el otro.. Si Colonial hubiera tenido un líder sénior que supervisara toda la gama de posibles consecuencias, la empresa podría haber estado más preparada. Podría haber creado redundancias o necesidades de datos clave separadas, como las relacionadas con las operaciones y la distribución, de las comerciales, como la nómina, en la red. Podría haber planificado un esfuerzo de recuperación más sofisticado que se centrara en hacer que los grandes oleoductos se movieran rápidamente y dependiera de camiones y otras formas de transporte para la entrega local. En cambio, lo que podría haber sido una interrupción menor común en el ciberespacio se convirtió en un desafío nacional de suministro de energía.
...
El diseño, tanto como un buen plan de relaciones públicas o una capacitación eficaz, es un aspecto esencial de la preparación en una era en la que seguirán ocurriendo desastres. Antes de que una empresa invierta en el próximo producto de seguridad nuevo y atractivo o designe un nuevo y elegante consejo asesor, primero debe examinar su propia arquitectura. La buena preparación proviene de huesos fuertes.
Juliette Kayyem es la presidenta de la facultad del programa de seguridad nacional en la Escuela de Gobierno Kennedy de Harvard. Exsecretaria adjunta del Departamento de Seguridad Nacional, también es analista de seguridad en el aire de CNN, colaboradora frecuente de The Atlantic y asesora corporativa y de la junta sobre crisis y planificación de preparación. Su libro más reciente es The Devil Never Sleeps: Learning to Live in an Age of Disasters (Public Affairs).
No hay comentarios:
Publicar un comentario