Archivo de la etiqueta: Empresa

USTED, ¿ESTÁ PREPARADO PARA SER EL FUTURO CRO DE SU ORGANIZACIÓN?

Tácito Augusto Silva Leite*

Ante la pandemia de Covid-19, el mundo entero tuvo que adaptarse rápidamente a una nueva realidad sanitaria y económica. Riesgos que antes eran impensables comenzaron a exigir un perfil más anticipatorio y estratégico por parte de los gestores de riesgos. Este escenario ha llevado a las organizaciones a crear, a nivel gerencial, el cargo de Chief Risk Officer (CRO), ocupado por un profesional que entiende los riesgos como un medio para lograr los objetivos de la organización.

 

Nuevo mundo, nuevos riesgos. A principios de este siglo, la práctica de gestionar sistemáticamente los riesgos comenzaba a afianzarse en las organizaciones y en casi dos décadas se había extendido considerablemente. En 2020, sin embargo, los líderes de seguridad vieron sus roles cambiar significativamente ante la pandemia de Covid-19. Se vieron obligados a actualizar los planes de emergencia, evaluar nuevos riesgos, crear y supervisar procedimientos relacionados con la salud, el malestar social y mucho más. Extender el teletrabajo a niveles impensables y tratar riesgos que antes no existían o eran insignificantes se volvió imperativo.

Paralelamente, las enormes ventanas abiertas por la inteligencia artificial han redefinido el poder de los datos en funciones críticas de la empresa. Las fuentes de riesgo que pueden afectar la resiliencia operativa ahora incluyen nuevos servicios de TI y migración a la nube. Los modelos analíticos predictivos pueden ser tendenciosos o desviarse del enfoque original de la iniciativa, exponiendo a una organización a responsabilidad legal o riesgo de reputación. Si no fueran manejados adecuadamente, uno de esos modelos puede conducir a errores costosos, multas regulatorias millonarias y reacciones de los consumidores con un impacto directo en la cotización en la bolsa de valores de una empresa.

Debido a la pandemia, los cambios que tardarían años en implementarse se llevaron a cabo en meses o semanas, a menudo con una planificación deficiente y una gestión de riesgos casi nula.

La mayoría de las organizaciones tenía algunas políticas de seguridad y estrategias de capacitación antes de la pandemia. Sin embargo, pocos han establecido políticas detalladas o capacitación para configurar un espacio de trabajo remoto (home office) o pensar en otros riesgos asociados con la rápida adquisición e implementación de nuevas herramientas.

Como resultado, la demanda de los líderes de prácticas de riesgo ha aumentado enormemente y está exigiendo habilidades y conocimientos sin precedentes del CRO (Chief Risk Officer). Las circunstancias exigen perfiles proactivos, innovadores y anticipatorios. Es esencial que el líder de riesgos aporte prácticas innovadoras, pensamientos diferenciados y un nuevo conjunto de habilidades para ese rol. Se trata de un CRO con una fuerte convicción para influir en la estrategia, brindar más agilidad con seguridad y moldear el futuro a favor de los objetivos de la organización.

Los profesionales de la seguridad que gestionan riesgos de diferentes fuentes son raros y también que estudien las probabilidades y visualicen los riesgos positivos antes que los competidores. La evolución del rol del gerente de riesgos de seguridad es tan significativa que muchas empresas están reemplazando el término “área de seguridad” por “área de inteligencia, riesgo y / o resiliencia”. El perfil del líder de seguridad ha cambiado rápidamente en los últimos años y el atributo clave después de la pandemia es visión de negocios.

El problema es que las capacidades de gestión de riesgos van a la zaga de las necesidades, los profesionales de riesgos a menudo operan en silos separados, fortaleciendo una infraestructura que ya no está a la altura de la realidad. La mayoría de las empresas parecen hacer poco con los riesgos no financieros generados y exacerbados por las transformaciones digitales. Los factores subjetivos como las habilidades, la mentalidad y las formas de trabajar, así como los factores concretos como la tecnología, la infraestructura y el flujo de datos, están cambiando simultáneamente durante esta transformación.

También es notoria la falta de patrocinio y adhesión de los ejecutivos a la hora de priorizar las actividades de identificación y gestión de riesgos. La generación de ingresos a corto plazo tiene prioridad, incluso cuando la pandemia pone patas arriba las viejas creencias. Por ejemplo, la mayoría de las organizaciones aún gestionan el riesgo manualmente mediante planillas. Incluso aquellos que aplican herramientas más avanzadas no lo hacen de manera consistente basándose en una política de riesgo y en una estrategia de gestión de riesgo integrados.

A medida que el futuro se vuelve cada vez más preocupante, las organizaciones deben anticipar y gestionar una lista de riesgos en constante expansión. Para ser eficaz, el CRO del futuro debe ser capaz de comprender las competencias centrales de la organización, saber cómo las mismas crean y mantienen el valor y luego explorar el futuro para comprender qué factores tienen el potencial de interrumpir la creación de valor. Combinará habilidades técnicas para liderar la estructura de riesgo (hardskills) con habilidades de relación (softskills). Para el CRO, los medios son los controles y el fin es el mismo que el de la empresa (objetivos estratégicos).

La crisis generada por Covid-19 genera nuevos riesgos y, con ellos, genera nuevas necesidades al más alto nivel de la organización. Aquellos que estén perfectamente posicionados para identificar los riesgos que representan tanto amenazas como oportunidades saldrán adelante, influyendo en la estrategia de la organización en todos los niveles ejecutivos. Con el talento adecuado, este CRO puede delegar la toma de decisiones de gestión de riesgos tácticos en gerentes expertos, al tiempo que realinea su enfoque hacia una gestión de riesgos más estratégica, centrándose en la asignación de capital e inversión que mejore el valor de la empresa. Un CRO que aplique este enfoque de gestión de riesgos tendrá un impacto muy positivo en la estrategia a largo plazo y se convertirá en un líder valioso en la conducción de soluciones para la sostenibilidad y la gobernanza, así como en fusiones y adquisiciones.

La mayoría de las organizaciones aún gerencia riesgos manualmente usando planillas. Existen softwares como o t-Risk capaces de automatizar ese proceso.

Para hacerlo, necesita conocer la amplitud de los riesgos existentes y también los emergentes. Las competencias centrales de este líder son: capacidad para identificar señales de ruido aún muy débiles (riesgos embrionarios), identificar riesgos en evolución, proyectar su impacto potencial y responder rápidamente a amenazas (o aprovechar oportunidades); y tener el coraje y las habilidades de liderazgo para influir en la gestión empresarial en cursos alternativos, muchos de los cuales pueden implicar la interrupción de ciertas prácticas comerciales existentes. Al madurar su enfoque del diálogo dentro del C-level, impulsando la estrategia basada en riesgos con un amplio conocimiento de la organización, el CRO también se posiciona como el futuro CEO. Al desarrollar una visión empresarial, cultivar un espíritu emprendedor, influir en las personas, perfeccionar las habilidades de liderazgo y de comunicación, puede estar en una posición única para liderar de manera segura la organización hacia el futuro.

* Tácito Augusto Silva Leite – CEO de t-Risk – Plataforma de Avaliação de Riscos, director del Departamento de Defensa e Seguridad de la FIESP, autor del libro Gestão de Riscos na Segurança Patrimonial.

___________

¿Quiere saber más sobre el Software t-Risk? Ingrese a https://totalrisk.com.br/

Principales beneficios y características:

  1. Crear Risk Scorecard, brindando una visión ejecutiva de Riesgos, incluyendo índices, métricas que facilitan el establecimiento de criterios para apoyar la toma de decisiones y monitorear la evolución de riesgos de manera centralizada.
  2. Aumentar la productividad de consultores (internos e externos) e analistas de riesgos empresariales, disminuyendo el tiempo de conclusión del proceso de evaluación de riesgos hasta en un 80%. Evaluaciones de riesgos metodológicamente defendibles siguiendo el estándar de la norma ISO 31000.
  3. Posibilitar el almacenamiento y cruzamiento de datos, creando una línea histórica de evolución de los indicadores de riesgos.

 

Traducido al español por el Equipo de la SAEEG con expresa autorización del autor. Prohibida su reproducción. 

©2021-saeeg®

EL SABOTAJE EMPRESARIAL EN EL ÁMBITO DE LA INTELIGENCIA CORPORATIVA

Pablo Ariel Rodríguez*

Imagen de Gerd Altmann en Pixabay


Las acciones, que de una manera u otra, pueden afectar el normal desenvolvimiento de la actividad interna empresarial pueden producirse tanto por cuestiones meramente individuales y aisladas o por operaciones anteriormente estudiadas y planificadas con objetivos predeterminados.

En el primer caso, la actitud individual puede verse influenciada por el perfil psicológico de algún miembro de la empresa (en cualquiera de sus niveles), quien por una decisión que considera injusta o contraria a sus intereses y sentir personal decide realizar una acción que perjudique a la organización a manera de resarcimiento o venganza. Desde la transmisión de malestar por medio del contacto interpersonal con otros miembros hasta pasar a la acción concreta de provocar algún tipo de daño material.

En el segundo caso, producido por intereses mayores, sea de un Estado, una organización criminal o una empresa competidora, requerirá previamente una actividad de reunión de información ya sea por medio del ciberespacio (espionaje informático) o por el elemento humano (HUMINT), pudiendo usar para este último a una persona resentida, sobornada, extorsionada o hasta un personal propio infiltrado.

Más allá de las acciones directas sobre instalaciones, bienes, materias primas, etc. mediante el uso de “saboteadores”, el conflicto moderno concentra otro ámbito de desarrollo, el ciberespacio, donde podríamos considerar al sabotaje informático como las acciones conscientes tendientes a suprimir, modificar o inutilizar sin autorización datos del sistema informático, programas o documentos electrónicos almacenados en el primero, con la intención de causar un daño a esos datos contenidos en las computadoras o en sistemas de redes destinados a prestar un servicio público, privado o militar. Los daños pueden ser causados tanto a la parte física del ordenador (hardware) como a la parte lógica del mismo (software). Entre las técnicas más comunes tenemos la inoculación de virus, gusanos y bomba lógica o cronológica.

El sabotaje informático se diferencia en este sentido del espionaje informático que busca la copia y distribución no autorizada de información o documentos archivados como por ejemplo el robo de la propiedad intelectual, auto atribuyéndose luego los derechos de autor con el material obtenido.

La detección de las acciones de sabotaje surge generalmente de la evaluación en el desempeño empresarial y de los detalles del funcionamiento interno de la organización que permiten descubrir y valorar situaciones no justificadas tales como: daños en equipamiento de producción, rotura de embalajes en productos de venta, maltrato de clientes, faltantes de dinero o falsos movimientos del mismo, daño en materias primas, descomposición de vehículos, retraso no justificado en desarrollos y proyectos, estudios incompletos o fuera de término hasta incluso, daños informáticos o robo de documentación clasificada o vital perteneciente a la empresa.

Dentro de la extensa variedad de hechos posibles también se debe tener en cuenta al personal que comete un hecho pero que su autoría resulta difícil de probar. Su despido, sin justa causa evidente, genera luego la obligatoriedad de una “negociación” sobre ese despido o el riesgo de un reclamo indemnizatorio por despido injustificado vía acción judicial, causando otra pérdida económica adicional.

Hay infinidad de casos de sabotaje, sin entrar en las acciones producidas por las fuerzas armadas de distintos países en conflicto (o no); aquí unos ejemplos reales, desde lo sencillo hasta lo complejo:

    • Relatado por sus propios autores, durante la Segunda Guerra Mundial, prisioneros franceses vinculados al movimiento de Resistencia que eran obligados a trabajar para las tropas alemanas en minas de carbón, aceleraban el funcionamiento de los taladros mecánicos contra la roca para quebrar las puntas y tener que suspender la operación. Conseguir los repuestos podía tardar hasta un par de semanas, retrasando y disminuyendo así la extracción del mineral. En el mismo sentido, prisioneros destinados al trabajo de la plaza ferroviaria intercambiaban el etiquetamiento de los vagones férreos ya sellados consignando ropa de abrigo y equipamiento de invierno al frente africano (con veranos de más de 40°C), y ropa de verano al frente ruso (entre -15°C y -30°C en la Rusia europea).
    • En los años 2000/2001, se produjo en Argentina una epidemia de aftosa, enfermedad que ya había sido prácticamente erradicada por diversas acciones del Estado y mediante la vacunación del ganado. La situación económica y social y la falta de perseverancia en los controles produjo un nuevo rebrote epidémico. Esto implicó cierres temporales de mercados (Estados Unidos, Canadá, Chile, Unión Europea), grandes pérdidas en la balanza comercial por cierre de exportaciones, aplicación del “rifle sanitario” sobre millones de animales infectados y sospechosos de estarlo, crisis en la industria frigorífica, con quiebras, convocatorias de acreedores, suspensiones y despidos de personal.

Durante 2020, el gobierno argentino anunció un acuerdo entre los laboratorios AstraZeneca y mAbxience, propiedad del empresario Hugo Sigman, para adquirir y producir la vacuna contra el coronavirus en el país. A partir de allí se viralizó en las redes un video anónimo, que entre otras cosas, señalaba al empresario como responsable de introducir animales infectados con aftosa en el año 2000 para poder vender un importantísimo volumen de su vacuna en depósito y con riesgo de próximo vencimiento, a través de su laboratorio Biogénesis (propiedad de Sigman y que producía la vacuna desde 1990).

Chequeado (sitio web argentino creado en el año 2010 que se ocupa de la verificación del discurso público, promueve el acceso a la información y a la apertura de datos) se comunicó con el Servicio Nacional de Sanidad y Calidad Agroalimentaria, desde donde informaron: “Nunca se pudo comprobar el origen del reingreso de la fiebre aftosa a la Argentina en el año 2000. No se ha podido comprobar si el origen del foco fue por el contrabando de animales de un país vecino o por otra irregularidad”.

Ahora bien, sin entrar en la búsqueda de inocencias o responsabilidades, que no es el objeto de este escrito. Si tomamos el hecho de introducir ganado infectado en el país para contagiar la hacienda local, es una operación relativamente sencilla en 2000, de bajo costo y riesgo, y luego, difícil de probar. En tal sentido, podríamos decir tanto que proviene desde una actitud irresponsable en busca del beneficio económico particular hasta, por qué no, de una acción de sabotaje para eliminar al país temporalmente de varios mercados cárnicos del mundo mientras otros competidores ocupan su espacio, algo que implica pérdida para uno y ganancia para otros de inmensas sumas de dinero.

Pero al pararnos desde otro punto de vista y no registrándose pruebas ni acciones judiciales contra el laboratorio y su dueño, podríamos también incluir a las variables de análisis que el mismo video que levanta esta acusación y que es de características anónimas, pueda ser una operación de sabotaje, tratando de afectar negativamente el perfil empresarial causando daño en su imagen pública y descalificándolo ante otros laboratorios competidores.

La falta de pruebas concretas transforma a todas las hipótesis como posibles.

    • El 6 y 7 de mayo de 2021, un grupo de piratas informáticos desconectó por completo y robó más de 100 GB de información del Oleoducto Colonial Pipeline, que transporta más de 2,5 millones de barriles por día, el 45% del suministro de diésel, gasolina y combustible que consumen los aviones de la costa este. El presidente de Estados Unidos estableció el estado de emergencia energética el 9 de mayo.

Analistas del mercado petrolero indican que, como consecuencia, los precios del combustible podrían aumentar entre un 2% y un 3%, pero el impacto sería mucho más grave si se mantiene el “apagón” del oleoducto por más tiempo. La falta de suministro afectaría inicialmente a Atlanta y Tennessee y luego el efecto dominó llegará hasta Nueva York.

Según Digital Shadows, una empresa de ciberseguridad con sede en Londres que se encarga de rastrear a ciberdelincuentes globales, señaló que el ciberataque se produjo porque los hackers encontraron cómo filtrarse al sistema por el alto número de ingenieros que acceden de forma remota a los sistemas de control del oleoducto. El ataque habría sido llevado a cabo por DarkSide, banda criminal rusa que cultiva una imagen de Robin Hood de robar a las corporaciones y dar una parte a la caridad. El método utilizado fue el de ransomware, inoculación de un programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción.

Según la agencia Bloomberg, Colonial Pipeline pagó dicho rescate consistente en cinco millones de dólares en criptomonedas, por ser más difíciles de rastrear y el sistema volvió a ponerse en funcionamiento.

Los ejemplos mencionados, abarcando desde la década de 1940 al presente, son solo un pequeño compendio que va desde lo más artesanal y sencillo a lo más sofisticado, pero en todos ellos se puede apreciar la gran magnitud de daño, afectando operaciones militares, el comercio y producción de un país o la distribución de recursos energéticos con sus consecuencias derivadas.

De una u otra manera, la ejecución de los mismos demandó una actividad inicial de selección de los objetivos a lograr, reunión de información y su procesamiento para realizar la acción con éxito. Esta actividad requirió también la determinación de vulnerabilidades del otro, en definitiva, inteligencia aplicada para el logro de resultados mediante acciones de sabotaje.

En cualquier caso, siempre la mejor herramienta es la prevención, estudiar y establecer controles y medidas adecuadas tendientes a eliminar la posibilidad de un sabotaje empresarial, o al menos, minimizar sus costos.

Como expresó Neil Chatterjee, Presidente de la Comisión Federal Reguladora de Energía (FERC) hasta 2020 en el caso de Colonial Pipeline: “…Nuestros adversarios son sofisticados y están evolucionando constante y continuamente sus tácticas, métodos y enfoques…”. “…Y tenemos que hacer lo mismo…”.

 

* Licenciado en Relaciones Industriales de la Universidad Argentina de la Empresa (UADE). Formación de Analista y Diseño de Escenarios Estratégicos en el Instituto de Inteligencia de las Fuerzas Armadas y otros efectuados en la entonces Escuela de Guerra de Ejército y en la Escuela Nacional de Inteligencia (ENI) sobre Terrorismo Internacional para Analistas de Inteligencia. 

©2021-saeeg®

 

 

LA INTELIGENCIA ECONÓMICA. CONFLICTO, ESTADO Y EMPRESA.

Pablo Ariel Rodríguez*

Imagen de Gerd Altmann en Pixabay

Si bien existen antecedentes durante la 1ª Guerra Mundial sobre la implementación de estructuras dedicadas a la Inteligencia Económica (IE), es a partir de la década de 1990, en el marco de un entorno sumamente competitivo signado por diversas crisis económicas y financieras, donde los Servicios de Inteligencia (incluso los militares) de Rusia, Estados Unidos, Francia, Alemania, España, etc., han incorporado esta actividad a sus misiones.

Es evidente que el objetivo tiende a la detección de amenazas y de oportunidades para poder lograr la ventaja estratégica frente a los oponentes, sin necesidad del empleo militar “convencional” en los conflictos.

Así como la inteligencia competitiva entre corporaciones, grupos económicos y empresas se ha venido realizando desde hace tiempo por fuentes abiertas dentro de las reglas normales de la competencia y el marketing, también han sido denunciados varios casos de espionaje industrial, donde la intención principal es la obtención de la información no abierta o no pública por medio de la penetración en la estructura del competidor o la “compra” de la información por medio de la extorsión o de empleados infieles.

La historia ha proporcionado muchos casos, algunos resonantes, podríamos citar:

    • IBM contra Hitachi por obtención y uso de documentación exclusiva de uso interno de la empresa.
    • General Motors acusó a Volkswagen por el uso de información obtenida de su ex personal contratado por la última.
    • Kodak contra Harold Worden, jubilado de la empresa que entregó documentación secreta y reclutó a otros para hacer lo mismo.
    • Gillette contra Steven Louis Davis por divulgar información confidencial a los competidores.
    • Microsoft contra Oracle por intentar obtener documentación reservada sobre su financiación.
    • El Consejo Directivo de Hewlett-Packard se vio atrapado en un escándalo cuando se descubrió que la empresa espiaba a sus consejeros.
    • DuPont contra Michael Mitchell, ex integrante de la firma, por llevarse información para los competidores y trabajando con ellos intentar conseguir más datos por medio de sus ex compañeros de trabajo.
    • En la Fórmula 1 un ingeniero de Ferrari filtró documentos a la escudería británica McLaren.
    • Starwood contra Hilton por uso de información robada.
    • Google contra China por robo de propiedad intelectual.
    • Razer comunica que les han sustraído varios productos expuestos en la Feria de Electrónica de Consumo CES en Las Vegas, entre ellos dos prototipos presentados en la feria tecnológica.
    • Huawei denunció que seis de sus diseñadores vendieron información confidencial a la competidora LeEco (dos patentes secretas, el diseño de una antena y un reloj inteligente para niños).

El National Counterintelligence and Security Center (NCSC) de los Estados Unidos puso en marcha en 2019 una campaña para ayudar al sector privado a protegerse contra las amenazas crecientes de entidades de inteligencia extranjeras y otros adversarios. La finalidad era concientizar y ayudar a las empresas a salvaguardarse de la acciones producidas por actores que puedan estar intentando robar información sensible.

En esta última década, la agresividad de los conflictos entre países se viene incrementando principalmente a través de ciberataques a organizaciones de los Estados, empresas, centrales nucleares, entidades financieras, laboratorios, entre otros blancos.

El analista Rosendo Fraga, Director del Centro de Estudios Unión para la Nueva Mayoría, en su artículo del 8 de mayo de 2021 titulado “Cómo será la defensa global en 2040”, realiza un análisis del documento Global Trends elaborado cada cuatro años por el Consejo de Inteligencia de Estados Unidos. Del mismo se extraen los siguientes párrafos:

En cuanto a las características del futuro conflicto militar, su descripción coincide con la de la llamada “guerra híbrida”.

Las Fuerzas Armadas convencionales seguirán siendo el eje de la capacidad militar de los Estados. Pero deberán articularse cada vez más con las operaciones en el ciberespacio, el accionar de milicias, contratistas privados y de fuerzas especiales encubiertas, que es el escenario de la “guerra híbrida”.

Un conflicto sólo tecnológico y cibernético es una posibilidad, pero será difícil mantenerlo circunscripto a estos ámbitos-

No se puede descartar que la Inteligencia Económica pase también a ser parte de este escenario de guerras silenciosas entre países ya que la información sobre el potencial económico de un país puede también transformarse en el objetivo de operaciones especiales tendientes a debilitar su posicionamiento en el mercado internacional, no solamente para el robo de información, sino también mediante acciones subrepticias tendientes a afectar desarrollos, mercaderías, producciones, por ejemplo, inoculaciones virales en animales de faena, la implantación de sustancias no aptas para la salud en cultivos, el sabotaje en la producción de fármacos o productos comestibles, entre otros.

De este modelo de conflicto que no incluye el uso convencional de la fuerza pero sí el irregular y encubierto, surgirían otros cuestionamientos: ¿Hay países con decisión de ampliar sus enfrentamientos a este espacio o capaces de realizar operaciones de este tipo para lograr mejorar su posicionamiento en los mercados? Y si es así, ¿cuál es el nivel de concientización y preparación para evitarlo?

Cualquiera sea la postura personal ante esta cuestión, lo que sí es seguro es que la única manera de minimizar riesgos y consecuencias debe surgir de la acción conjunta del Estado y de los privados, de su combinación de conocimientos y medios y de la adecuada capacitación y concientización de la época que nos toca vivir.

 

* Licenciado en Relaciones Industriales de la Universidad Argentina de la Empresa (UADE). Formación de Analista y Diseño de Escenarios Estratégicos en el Instituto de Inteligencia de las Fuerzas Armadas y otros efectuados en la entonces Escuela de Guerra de Ejército y en la Escuela Nacional de Inteligencia (ENI) sobre Terrorismo Internacional para Analistas de Inteligencia. 

©2021-saeeg®