CAMINO DE LA C-SUITE
Conceptos como el valor añadido o la ventaja competitiva no son habituales entre los responsables de seguridad corporativa. Pero en realidad son críticos para la plena integración de estos departamentos en la vida de las organizaciones constituyendo un pilar de sus estrategias e incluso para participar en el diseño de éstas. Es aquí donde la educación ejecutiva resulta una herramienta imprescindible para conseguirlo. En la era pos-COVID-19 esta va a ser una condición sine qua non.
4 ASPECTOS A CONSIDERAR
Leyendo un antiguo artículo de McKinsey titulado “Repensando el papel del estratega”1, me vino a la cabeza llevar a cabo este mismo ejercicio aplicado en el caso de los responsables de seguridad corporativa, los denominados CSO’s (Chief Security Officer o directores de Seguridad), cuyo acronismo en inglés es igual al de los Chief Strategist Officers o directores de Estrategia. Muy interesante por cierto la clasificación de estos últimos en cinco arquetipos compatibles y perfectamente extrapolables a los primeros: el arquitecto o constructor de ideas, el motivador o gestor de proyectos, el visionario o innovador, el superviviente y el gestor de fondos y recursos.
Para ello he tomado en consideración cuatro aspectos que considero de interés. El primero, es el crecimiento del alcance de la seguridad corporativa derivado del aumento de las responsabilidades directas y/o compartidas y de la forma de actuación, lo que ha conllevado un cambio en los perfiles, los conocimientos y las habilidades requeridas para los profesionales que la desempeñan. No es atrevido afirmar que esta función es una de las que más ha cambiado en los últimos 10 años, empezando por adquirir un enfoque más holístico, y que hoy en día la gestión de riesgos de todo tipo (antiguos, nuevos y previsibles de acuerdo con la rápida evolución del escenario) se ha convertido en una variable determinante en las operaciones de las empresas.
Junto con la seguridad corporativa tradicional, y no me refiero al obsoleto modelo 3G (guards, gates and guns o vigilantes, accesos y armas), hablamos ahora también de la gestión de riesgos (muy vinculada a los seguros), de la gestión de crisis, de la inteligencia empresarial y de la continuidad de negocios, como las principales, pero donde podría añadirse partes de cumplimiento normativo, por ejemplo. Como consecuencia de este proceso la seguridad pública y la seguridad privada se han ido alejando con dos enfoques cada día más diferentes. El paso de la primera a la segunda requiere ahora más que nunca un claro proceso de transición, formación y adaptación para adquirir los nuevos conocimientos requeridos, lo que todavía muchos no están dispuestos a aceptar. Además, no todos valen, como en el pasado.
El segundo componente está relacionado con el primero y se trata de la familiarización con las tecnologías de la información y en general con el ámbito STEM (Science, Technology, Engineering and Mathematics), vital para todos los ejecutivos actuales incluyendo por supuesto los de seguridad corporativa. Este interés ya fue identificado en el informe de la Universidad de Phoenix y la ASIS Foundation publicado en 2015 con el titulo de “Los riesgos de seguridad en las empresas: competencias de sus profesionales”.
Esta importancia no viene sólo derivada de la convergencia entre la seguridad física y la seguridad lógica, sino también por el impacto de la tecnología en otros muchos aspectos de la seguridad corporativa. Junto con el conocimiento STEM, el informe destaca el ERM (Enterprise Risk Management), ahora ESRM (Enterprise Security Risk Management), el liderazgo y las habilidades de comunicación, el pensamiento estratégico y anticipatorio, y la educación ejecutiva con un acento especial en la vertiente financiera.
Estas cinco forman las competencias fundamentales necesarias para los responsables de seguridad. Lo cierto es que la convergencia entre la llamada seguridad física y la seguridad lógica es un proceso imparable y aquellos que no puedan adaptarse, en especial los procedentes de la primera, tienen pocas capacidades de liderar el modelo integrado e incluso de sobrevivir en el futuro cercano.
El tercer componente también esta relacionado con el primero. Es una ambición muy razonable de los responsables de Seguridad la de formar parte del C-Suite (comité de Dirección) de sus organizaciones, lo que es no es fácil, o al menos estar muy cerca de él reportando directamente a algún director que sí forme parte de este grupo selecto.
Formar parte o estar próximo para conocer en profundidad la estrategia de sus organizaciones y en un escenario perfecto participar activamente en su diseño e implementación. Lo que muchas veces se denomina alinear la estrategia de seguridad con la estrategia de la organización. Y otra vez aparece aquí la educación ejecutiva como una herramienta clave para conocer y comunicarse en la misma frecuencia y tener la misma visión con este pequeño grupo de directores bajo cuya responsabilidad está el presente y el futuro de una organización.
Pero esto no es nuevo. Ya en 1995 la revista Security Management publicó un artículo de Ira Sommerson, CPP, titulado “La nueva generación”3, donde este escribía “los profesionales de seguridad deben expandir sus conocimientos en educación ejecutiva y gestión para cumplir sus responsabilidades e incluso para asumir otras nuevas”. Por cierto que este artículo puede considerarse como una referencia y de una visión estratégica poco habitual en nuestra profesión.
Diez años más tarde, en 2005, la consultora británica Demos publicaba el informe “El negocio de la resiliencia: la seguridad corporativa en el siglo XXI”4, donde el resumen ejecutivo incluía, entre otros, una conclusión de gran interés. Decía que “los departamentos de Seguridad Corporativa debían abandonar la antigua asumpción sobre de donde procedía su legitimidad y poder. Su posición no se apoyaría en adelante en lo que les hacía diferentes con base en sus conocimientos específicos, lo que se denomina la experiencia en seguridad (las llamadas hard skills), sino en los conocimientos ejecutivos y las habilidades con la gente (las llamadas soft skills), y sobre en todo en su capacidad de comunicación”. Para Joseph Ranucci, CPP, “el éxito en la seguridad corporativa va mucho allá de quién eres y se se basa ahora en lo qué sabes”5.
El cuarto y último componente tiene que ver con el factor humano. La seguridad pública, las fuerzas armadas y los servicios de inteligencia han sido, son y continuarán siendo una valiosa fuente de profesionales de la seguridad corporativa, aunque no son las únicas y además existen diferencias importantes entre los diferentes países e incluso entre las distintas culturas. Sin embargo, esta situación podría estar evolucionando.
Estas diferencias se repiten en mayor o menor medida para llevar a cabo los procesos de transición necesarios para pasar del lado público al privado, donde el confort y otros criterios juegan un papel fundamental. Todavía hoy muchas empresas no conocen el valor añadido que puede proporcionar una función de seguridad corporativa moderna e integral con un enfoque estratégico, operacional y táctico. Esta situación se repite en el caso de las empresas de selección de ejecutivos, supuestamente en la vanguardia del know-how y las tendencias, que siguen centradas en los paradigmas tradicionales.
El deseo o la ambición de los responsables de Seguridad de formar parte o estar lo más cerca posible de la C-Suite ha salido a la luz y todas y cada una de las conferencias de seguridad internacionales en las que he participado en las dos últimas décadas. Cuando hablamos de educación ejecutiva lo hacemos de áreas como las finanzas operativas, la estrategia, la negociación y el liderazgo, pero también de otras añadidas más recientemente como la gestión del cambio, la gestión de proyectos y el modelo Agile, por mencionar algunas.
LOS CHIEF
Precisamente este parece el momento ideal para profundizar algo en la C-Suite, que se refiere al pequeño grupo de ejecutivos del máximo nivel que forman parte del comité de dirección de una organización y que se conocen habitualmente por una denominación que comienza por Chief. Los más conocidos son el director ejecutivo (CEO), el director financiero (CFO), el director de Operaciones (COO), el director de Recursos Humanos (CHRO), el director de los Sistemas de Información (CIO), el director de Riesgos (CRO) o el director legal (CLO). Además, están el director de Seguridad de los Sistemas de Información (CISO) y el director de Seguridad (CSO), aparte de otros posibles como el director de Estrategia (también CSO). Es conveniente aclarar que no todos los gerentes e incluso los directores de Seguridad pueden ser considerados CSO’s.
Con un análisis superficial de la composición de una C-Suite estándar está claro que no pueden formar parte de ella varios directores relacionados con la gestión de riesgos, aunque sea ésta ahora una variable determinante, y que tarde o temprano uno de ellos van a responsabilizarse de representar el modelo es ese órgano de dirección. El consenso parece estar evolucionando hacia aquel de disponga de tres elementos muy importantes y complementarios. Primero, que sea un especialista en alguna de las áreas. Segundo, que disponga de una capacidad de liderazgo adecuada para representar y gestionar a todos los demás. Tercero, y no por ello menos importante, que posea la mejor y más amplia formación y experiencia ejecutiva.
La publicación por parte de ASIS International del estándar del CSO en 2008, y en 2013 de su versión mejorada (CSO.1-2013), constituyó un paso crítico en la revalorización de la seguridad corporativa y su enfoque estratégico dentro de las organizaciones. Basta con analizar las nuevas competencias y habilidades que requieren estos nuevos directores de Seguridad de acuerdo con este estándar para identificar un área de oportunidad inmediata, que es la de la educación ejecutiva. Así lo interpreto ASIS International y fue el origen de la creación de los programas de la Universidad de Warthon en Estados Unidos y de la IE Business School en Madrid (EMSP - Effective Management for Security Professionals), el cual tengo el honor de dirigir desde 2015.
Es precisamente el cuadro resumen con las áreas de responsabilidad, las competencias y las habilidades del CSO.1-2013 el que sirvió en su momento para el diseño del programa EMSP, que cada año es revisado y actualizado. Competencias y habilidades que se han articulado sobre cuatro áreas de conocimiento que constituyen el pilar del programa.
Primero la estrategia, para conocer los conceptos básicos y las diferentes herramientas necesarias para desarrollar una mentalidad estratégica y un pensamiento crítico que permita identificar el valor añadido y convertirlo en ventajas competitivas. Después, las finanzas operativas, no sólo para trabajar en conceptos como el ROI (Return on Investment) para la construcción de oportunidades de negocio o inversión, sino también para la creación de valor financiero intangible, que lo hay y mucho, bajo el eterno dilema coste o inversión.
En tercer lugar, la negociación como un componente fundamental para alcanzar los objetivos de la organización, pero también en su doble capacidad de influenciar dentro y fuera de ésta. Algunos hablan ya del CIO (Chief Influential Officer) como la nueva generación de CSO’s. Y en cuarto y último lugar, el liderazgo transformacional que actuá además como enlace transversal entre las cuatro áreas y que se convierte en una tarea compleja cuando se ejecuta bajo el elevado grado de incertidumbre actual y el impacto de los cambios constantes. Un nuevo modelo organizativo cada vez menos jerárquico y tranversal. En resumen, un programa diseñado para convertir a los responsables de Seguridad en líderes más efectivos y mejores para la toma de decisiones.
En mi opinión, la pandemia SARS-CoV-2 constituye una oportunidad única para el futuro de la función de seguridad corporativa con una dimensión y un enfoque más holístico y también más estratégico. Pero no está siendo ni va a ser un proceso sencillo. La realidad de la extrema situación derivada de la COVID-19 ha puesto al descubierto la necesidad vital de la organizaciones de disponer de una estrategia de gestión de riesgos, de resiliencia organizacional, que las permita enfrentarse y sobrevivir a las numerosas incertidumbres del futuro.
Responsables que, con mentalidad estratégica en el contexto empresarial, sepan convertir un modelo de seguridad corporativa en una ventaja competitiva identificando las fases de la cadena de valor donde pueden ser eficaces o imprescindibles y puedan comunicarla en el mismo lenguaje. Que además sepan (conocimientos y habilidades) y puedan (con el apoyo y la concienciación de sus organizaciones) moverse a esos niveles de decisión dentro de las complejas estructuras corporativas tan influenciadas por las cuentas de resultados y los balances de situación.
Es precisamente dentro de este contexto de gestión donde la educación ejecutiva para los profesionales de seguridad, como complemento de sus conocimientos técnicos, constituye el hecho diferencial y un elemento fundamental de la formula para alcanzar el objetivo de sus organizaciones, de sus departamentos y de ellos mismos. Estamos hablando de arquitectos, de motivadores y de visionarios.