Qué deberían preguntar las empresas a sus equipos de seguridad ahora mismo

El impactante asesinato del CEO de United Healthcare, Brian Thompson en el centro de Manhattan el 4 de diciembre, las juntas corporativas y los ejecutivos hacen preguntas difíciles a sus equipos de seguridad.

La violencia laboral impulsada por empleados descontentos o disputas en el lugar de trabajo lamentablemente es demasiado común en los Estados Unidos. Sin embargo, atacar deliberadamente a directores ejecutivos con fines de asesinato es relativamente raro. En la década de 1970, grupos impulsados por la ideología, como las Brigadas Rojas de Italia y la banda Bader Meinhof de Alemania, perpetuaron los secuestros y asesinatos de ejecutivos de negocios. Los líderes corporativos actuales tienen más probabilidades de asistir a juntas de accionistas interrumpido por grupos extremistas con tácticas diseñadas para producir indignación y publicidad, no bajas.

Pero en un año de política febril, creciente frustración popular con las instituciones y dos intentos distintos de asesinar al presidente Trump, no se pueden minimizar los riesgos para los ejecutivos de casi cualquier sector. La presencia de una estimación más de 400 millones de armas de fuego en los Estados Unidos, combinado con el fácil acceso a los datos de ubicación personal, los horarios y los patrones de vida, solo aumenta el peligro.

«Los altos ejecutivos de todas las empresas de la lista Fortune 1000 son activos valiosos que hay que proteger», afirma Dale Buckner, director ejecutivo de la firma de seguridad Global Guardian. «En una era de creciente división política y social, en la que hay tanta información disponible a través de Internet y las plataformas de redes sociales, cualquier persona con el potencial de cometer actos de violencia tiene un nivel alarmante de acceso a la ubicación de las residencias y al paradero de su personal cuando viaja o participa en eventos corporativos. Esto da a quienes se inclinan a cometer actos de violencia un camino mucho más fácil de seguir».

Teniendo esto en cuenta, ¿qué marco podrían utilizar los altos ejecutivos y las juntas directivas para equilibrar los intereses contrapuestos de necesidad, eficacia y coste a fin de garantizar la protección ejecutiva? ¿Cómo adopta una empresa el enfoque correcto para prevenir las consecuencias poco probables, pero muy altas, de un ataque a un CEO?

Una herramienta de evaluación común y eficaz que se utiliza en los círculos militares, policiales y de seguridad empresarial es examinar tres factores de riesgo simples: la amenaza, la vulnerabilidad y las consecuencias. Al analizar detenidamente cada componente, las empresas pueden evaluar la naturaleza, el grado y la gravedad de prácticamente cualquier riesgo. Lo que es más importante, esta evaluación puede guiar las decisiones más importantes sobre qué recursos emplear para reducirlo.

Amenaza

La amenaza es una combinación de capacidad e intención. Un hombre con una pistola representa la capacidad. La decisión de apretar el gatillo es intencional. La capacidad puede ser manifiesta (un arma visible) u oculta (una pistola oculta). La intención es más difícil de adivinar y, lo que es más importante, puede transformarse en un instante.

Para evaluar los niveles de amenaza, los ejecutivos y las juntas deberían preguntar:

• ¿Qué personas o grupos pretenden perjudicar a la empresa o a sus líderes?
• ¿Qué impulsa sus intenciones?
• ¿Qué factores pueden provocar un cambio en esos objetivos?
• ¿Hay medidas que la empresa pueda tomar que puedan alterar las intenciones?
• ¿La capacidad del actor de la amenaza coincide con las intenciones? ¿Pueden hacer lo que dicen?
• ¿El cambio de capacidades indica un cambio de intención?

Para identificar las amenazas, las empresas deben analizar y rastrear la naturaleza y la frecuencia de las comunicaciones con los clientes, ya sea en las redes sociales o en la correspondencia directa. El análisis de los sentimientos y la priorización de las amenazas escritas o pronunciadas son fundamentales. La mayoría será ruido, pero los analistas de seguridad en sintonía con datos e IA enriquecidos pueden separar el trigo amenazante de la paja.

Una vez que se identifique a las personas o grupos como amenazas, el equipo de seguridad debe analizar sus acciones pasadas, su presencia en las redes sociales y las pruebas de actividades delictivas anteriores. Como mínimo, debería evaluarse si un actor en particular puede participar en actos de violencia, ciberataques, diatribas en las redes sociales u otras acciones que puedan perjudicar a una empresa o a sus empleados.

«Como el mundo está lleno de tecnología y redes sociales, el liderazgo en las empresas estadounidenses tiene un nivel de exposición como nunca antes», dijo Mark Post, director de operaciones de Global Guardian. «El simple hecho es que si es el líder de una organización grande, inevitablemente va a tomar decisiones que molestan a la gente todos los días, lo que automáticamente lo convierte en un objetivo».

Vulnerabilidad

La vulnerabilidad es simplemente una medida de lo buenas que son sus defensas. Un edificio con puertas y guardias es más seguro y menos vulnerable que uno sin ellas. Con un buen conocimiento del entorno de amenazas, el equipo de seguridad puede evaluar los puntos débiles de la defensa y crear una más sólida, preferiblemente con varios niveles.

En cierto modo, la vulnerabilidad es más fácil de revisar para un equipo de seguridad por el simple motivo del acceso. Las evaluaciones de seguridad de las residencias ejecutivas, los lugares de trabajo, los planes de viaje y los horarios públicos son de rigor para los equipos de seguridad profesionales.

Las vías para reducir la vulnerabilidad incluyen el uso de barreras físicas, protocolos adaptables, guardaespaldas y una planificación de seguridad integral para viajes o eventos. Además, cualquier evaluación de vulnerabilidades debería basarse en un programa de recopilación de información sobre amenazas que rastree a los malos actores y el entorno de seguridad general. Prevenido es prearmado.

Según mi experiencia, la protección contra las vulnerabilidades se ve obstaculizada por dos factores autolimitantes. La primera es cuando los ejecutivos no perciben una amenaza o no quieren que los guardaespaldas o las restricciones de movimiento o actividad los obstaculicen. Si un ejecutivo le dice a su escolta que se vaya a casa por la noche, no le pueden dar protección.

Pero la autolimitación empresarial más generalizada en la reducción de la vulnerabilidad es el dinero. Los equipos de seguridad corporativos se enfrentan a ciclos perpetuos de reducción de costes, deben justificar continuamente su existencia y se enfrentan a la resistencia a la hora de implementar planes sólidos basados en el riesgo. Las empresas caen en la trampa de creer que, dado que algo no ha ocurrido en el pasado, no ocurrirá en el futuro.

«A las empresas les cuesta mucho entender el riesgo de baja probabilidad y altas consecuencias», afirma James Hamilton, creador de la Escuela de Escolta del FBI y fundador de Hamilton Security Group.

Los riesgos también se suman. Para una compañía de seguros, señala Hamilton, «cada reclamación denegada es una amenaza potencial».

Para evaluar los niveles de vulnerabilidad, los ejecutivos y las juntas deberían preguntar:

• ¿Entendemos los puntos fuertes y los puntos débiles de nuestros controles de acceso, barreras físicas y proceso de evaluación de la seguridad?
• ¿Nuestros ejecutivos tienen perfiles públicos o en las redes sociales que puedan causar controversia o que proporcionen información valiosa sobre la segmentación de un atacante?
• ¿Tenemos la capacidad de recopilar información general y específica sobre amenazas?
• ¿Tenemos relaciones con las fuerzas del orden, los proveedores de seguridad y las organizaciones industriales que maximicen nuestra capacidad de proteger a nuestra gente?
• ¿Nuestros ejecutivos escuchan y aceptan las directrices de seguridad?
• ¿Qué recursos o procesos adicionales proporcionarán las mejoras de seguridad más importantes?

Consecuencia

Es vital que los directores de seguridad (OSC) trabajen mano a mano con los líderes empresariales para que cada uno no solo sea plenamente consciente de lo que puede suceder, sino también de lo que significa si ocurre. Demasiadas empresas no evalúan el impacto real —ya sea medido en vidas o en resultados— de un determinado suceso de seguridad.

Pero entender las posibles consecuencias es esencial para priorizar eficazmente la naturaleza y el nivel de las medidas de seguridad a emplear. No tiene mucho sentido gastar enormes recursos para mitigar los acontecimientos de bajas consecuencias, pero cuando el impacto es elevado, las acciones y las medidas preventivas deberían intensificarse en consecuencia.

Medir las consecuencias puede resultar difícil e impreciso, pero herramientas como los juegos de guerra pueden ayudar a entender mejor los efectos en cadena. Cuando se hacen bien, estos ejercicios revelan invariablemente vulnerabilidades empresariales ocultas. Por ejemplo, cuando una empresa petrolera hizo un ejercicio de mesa simulando un ciberataque, los ejecutivos que esperaban solucionar un problema de TI se encontraron rápidamente con un negocio global paralizado por el colapso de sus sistemas de pagos e inventario. Un ejemplo del mundo real lo podemos ver en Ataque de ransomware en Colonial Pipeline lo que llevó a un cierre del suministro de combustible en la costa este de los EE. UU.

Para ayudar a evaluar las consecuencias, las juntas directivas y los ejecutivos deberían hacerse una serie de preguntas sobre «qué pasaría si» y tener especial cuidado de examinar los efectos de segundo y tercer orden.

• Para cualquier problema de seguridad, ¿cuáles son los peores escenarios? ¿Cuáles son los distintos impactos que pueden generar en la empresa? Recuerde no rechazar los escenarios porque no los ve tan probables. La discusión gira en torno a las consecuencias, no a la probabilidad.
• ¿Qué respuestas planificadas previamente puede tomar la empresa para mitigar el impacto de un suceso cuando se produzca? Los simulacros con tiradores activos, los planes de evacuación, los ejercicios de gestión de crisis y las respuestas ensayadas pueden ayudar a minimizar los efectos negativos de un día terrible.
• En caso de incidente, ¿estamos preparados con una estrategia de comunicación para nuestros empleados, accionistas, reguladores y el público?

En el mundo actual de quejas e enfado, fácil acceso a las armas y a la información y ataques destacados contra figuras públicas, las empresas deben tomarse en serio su deber de cuidar tanto a los ejecutivos como a los empleados. Los recursos adecuados, los planes de seguridad basados en el riesgo concebidos cuidadosamente e implementados de manera eficaz y una conversación continua con su equipo de seguridad ayudarán a anticipar las amenazas antes de que se manifiesten y a abordarlas cuando lo hagan.