Cuando hablamos de Seguridad, todos estos participantes en la vida económica del mundo tienen (siempre en proporción al tamaño del negocio) algo en común. La exposición al riesgo.

Riesgo de robos, fraudes, asaltos, secuestros reales, virtuales o de información, extorsiones, falsificación de marca, daños en la reputación, sabotajes, atentados, entre muchos otros. Riesgos de afectaciones por fenómenos naturales como huracanes, sismos, inundaciones, así como riesgos de sufrir afectaciones por accidentes, incendios, explosiones o fugas de materiales peligrosos.

Riesgos sociopolíticos; manifestaciones, bloqueos de carreteras, bloqueas de las cadenas de suministro y también riesgos regulatorios al no cumplir con las leyes y normas oficiales establecidas. Podríamos seguir hablando de los distintos tipos de riesgo que enfrentan las organizaciones, no obstante, la pregunta importante es; ¿Cómo enfrento estos riesgos de una forma correcta?

Para empezar, debe existir la conciencia acerca de la seguridad y la aceptación que esta seguridad me va a ayudar a poder operar de una forma continua, es decir, ininterrumpida. Esta conciencia debe estar presente principalmente en el grupo directivo. Si él, la o los directivos asimilan esta conciencia, la viven día con día y, si la vuelven parte de los procesos organizacionales desde el día 1 del inicio de operaciones, habrán sembrado la semilla más importante: la de la cultura organizacional, de la seguridad. 

¿Qué es más fácil, educar a un niño a temprana edad o cuando ya es mayor?  Lo mismo sucede en las organizaciones; si incorporamos el contexto de seguridad en cada uno de los procesos desde el inicio, generará que todos los empleados (estableciendo una eficiente metodología de capacitación) apoyaran al éxito del negocio detectando, por ejemplo, actos o condiciones inseguras de forma inmediata, permitiendo que se corrijan estas condiciones antes de que suceda algo grave.

En la seguridad decimos que el 85% de evitar que algo sucede corresponde a la prevención, el 10% a la reacción y el 5% restante corresponde al factor suerte. Seamos honestos. ¡La seguridad solamente se siente cuando falla! ¿No es así? Ya cuando ocurrió lo no deseado es cuando volteamos a ver a nuestros procesos, o a los encargados de seguridad, o a los empleados, o nos quejamos por el mal gobierno que tenemos. Simplemente, no debemos permitir que las cosas suceden de forma sorpresiva.

¿Dónde entonces tenemos que trabajar? En la prevención.

Existe una herramienta que sería de gran utilidad para todos los empresarios y también para los profesionales que se dedican a la gestión de la seguridad. Tristemente, aún no se puede comprar ni por Amazon ni por Ali-Babá, ni por ninguna otra plataforma analógica o digital. Me refiero a la “Bola de Cristal”. ¡Qué sencilla sería la vida con una bolita de cristal que nos dijera lo que ocurrirá en el futuro!, sin embargo, ¡no la hay!

Pero no está todo perdido. A través de una buena gestión de riesgos y una robusta estrategia de seguridad, nos podemos acercar mucho a nuestra bola de cristal y podremos establecer nuestros planes de mitigación para evitar, hasta donde es posible, que sucesos no deseados ocurran y prepararnos para enfrentar estos sucesos cuando suceden de forma imprevista porque no existe una seguridad que nos pueda proteger al 100%.

Una estrategia de seguridad se establece para mitigar los riesgos de la organización, para garantizar la seguridad de su personal, la continuidad de sus operaciones, para proteger sus bienes y productos, su reputación y, por supuesto, para evitar pérdidas. Dicha estrategia, desde su diseño, debe alinearse con la misión y objetivos de la empresa; debe compartir los valores establecidos, contar con el apoyo de la alta dirección y establecerse como un ADN de la organización y no como un departamento aislado que trata de luchar contra la delincuencia sin ningún tipo de apoyo.

Para establecer una estrategia de seguridad se deben tomar en cuenta las características de la organización; número de empleados, lugares de operación, procesos operativos y administrativos, manejo de valores, secretos industriales, opinión de la sociedad, clientes, proveedores, contratistas, impactos ambientales, entre otros. Asimismo, los diferentes tipos de seguridad que existen, ya que la seguridad no se logra contratando a un guardia o colocando una cámara de video en el acceso. Cuando hablo de los diferentes tipos de seguridad me refiero a:

Seguridad Física. Esta es comúnmente el área de la seguridad que más vemos. Se refiere a la vigilancia física de las instalaciones de una empresa, mediante el uso de elementos humanos como guardias, elementos técnicos como cámaras de CCTV, alarmas contra intrusión y robo y mecanismos para controlar accesos, elementos físicos como bardas, chapas de seguridad y cajas fuertes, así como elementos administrativos como políticas y procedimientos de seguridad como por ejemplo control de acceso y resguardo de valores.

Seguridad Lógica o Seguridad Cibernética. Esta es la seguridad de los sistemas de las tecnologías de la Información (TI) y se refiere a la protección de nuestros datos, de nuestra información y por supuesto de nuestros valores cuando estos son transmitidos o almacenados electrónicamente. Este segmento de la seguridad ha crecido exponencialmente en los últimos años y es un tema que todas las empresas deben considerar dentro de su estrategia de seguridad.

Seguridad Industrial. Entendida como el área que se encarga de la prevención de incidentes no provocados por el hombre como pueden ser incendios, explosiones, fugas de materiales peligrosos o afectaciones provocados por fenómenos naturales como sismos, huracanes o inundaciones. También integra en algunas organizaciones lo que conocemos como Protección Civil.

La Protección Ejecutiva. Que contempla garantizar la integridad de los principales personajes de la organización. Cuando una empresa es exitosa y crece, también crecen las amenazas para los líderes de estas organizaciones y debe ser considerado dentro de la estrategia de seguridad.

Y, desde luego, se debe contemplar un factor más para poder establecer una estrategia de seguridad: el análisis de riesgo. Si no conozco los riesgos que tengo como empresa, no se puede establecer una estrategia de seguridad.

Para la identificación de riesgo existen diferentes metodologías, no obstante, el enfoque de estos se basa en los mismos principios. La probabilidad de ocurrencia y el impacto consecuencial. Alta probabilidad y alto impacto = riesgo severo, baja probabilidad y bajo impacto = riesgo leve.

Aquí unos ejemplos. La probabilidad de la caída de una aeronave sobre las instalaciones de una empresa en términos generales es poca (puede incrementarse en instalaciones que se encuentren cera de un aeropuerto). El impacto consecuencial o el daño que puede generar una caída de esta naturaleza puede ser catastrófico y terminar para siempre con el negocio. Por otro lado, puede existir el riesgo de sufrir actos de grafiti en las fachadas de una instalación, sobre todo cuando esta se encuentra en zonas industriales, puertos u otras regiones aisladas y muchas veces mal alumbradas. El impacto consecuencial de este riesgo, por otro lado, es leve y no representa directamente un riesgo para la operación o para la continuidad del negocio.

Una de las metodologías, la propuesta por ASIS International, sugiere los siguientes pasos para realizar un análisis de riesgo:

1. Entender el negocio e identificar a las personas y a los bienes en riesgo. Esto es lo más importante antes de poder realizar un análisis de riesgo; dependiendo si se trata de trabajos de manufactura, la proveeduría de servicios, la venta de productos o de cualquier otro giro comercial, se presenta un cierto universo de riesgos con el cual la organización tiene que vivir. Con relación a las personas, deben ser considerados los empleados, los proveedores, los contratistas, los visitantes y todas las demás personas que tienen una relación con el negocio.

Hablando de los bienes, estos se dividen en 3 partes; bienes tangibles como los edificios, muebles, vehículos, productos, materia prima, etc. Información sensible que se presenta como secretos industriales, datos del personal, información financiera, etc. Y la reputación o la imagen que tiene un negocio o una organización ante la sociedad, ante sus clientes y los demás grupos de interés.

Un punto más que deben entenderse antes de poder evaluar los posibles riesgos es el apetito de riesgo o el riesgo que una organización esta dispuesta a tolerar. Aquí hablamos también de la apreciación de los riesgos. Esa apreciación puede variar dependiendo de las circunstancias, experiencias y condiciones que prevalecen en cada organización.

1. Especificar eventos de pérdida y vulnerabilidades. En este paso se deben analizar los eventos de perdida que han ocurrido en el pasado o podrían ocurrir en el futuro. Los eventos de pérdida pueden ser categorizados como eventos criminales o no criminales, creados o provocados por el hombre de forma intencional o accidental, eventos de fuerza mayor como desastres naturales y eventos que ocurren, con terceros, con los que tenemos una dependencia directa para que nuestro negocio funcione.

1. Establecer la probabilidad y la frecuencia de eventos con riesgo de pérdidas. Para determinar la probabilidad y la frecuencia de posibles eventos de pérdida, hay que revisar los datos históricos existentes. No se podrá garantizar que eventos del pasado se repetirán en el futuro, sin embargo, de acuerdo a la frecuencia en que hayan ocurrido eventos en el pasado, la probabilidad de que ocurran nuevamente es mayor si no se implementan medidas de mitigación que, precisamente, son las que debemos diseñar una vez terminado el estudio.

1. Determinar el impacto del evento. La determinación del impacto será fundamental para poder establecer la severidad de un evento en caso de que se materialice. Un dato fundamental para determinar la severidad de un evento es el costo que este genera. Esto puede ser de forma directa porque se perdió, por ejemplo, uno o varios bienes de la empresa y hay que reponerlos lo antes posible, o bien, puede ser de forma indirecta como puede ser un daño a la imagen de una marca que tiene como consecuencia que los clientes dejan de comprar un producto. Otro factor de consideración es el impacto para la vida y la salud de las personas y los impactos que podrían presentarse en el medio ambiente.

1. Desarrollar opciones de mitigación. Una vez identificados los posibles eventos de pérdida y los impactos, es necesario desarrollar opciones de mitigación que pueden ser utilizados para minimizar los riesgos. Aquí se requiere algo de creatividad para encontrar las medidas más apropiadas. Generalmente las medidas de mitigación tienen que ver con modificaciones físicas, adquisición e instalación de herramientas electrónicas, el desarrollo de procesos y el uso de recursos humanos. Un punto fundamental es que estas medidas no impacten de forma negativa a otros procesos del negocio. Existe también la posibilidad de trasladar los riesgos. Hablaremos de esto un poco mas adelante.

1. Definir la viabilidad de implementación de las opciones propuestas. No todas las opciones que podrían existir para mitigar un determinado riesgo se pueden implementar. Cada opción debe ser analizada de forma individual, valorando las pros y contras que conllevaría la implementación. Costos, tiempos, recursos, impactos, son algunos de los puntos que deberían tomarse en cuenta. Lo importante es ser objetivo y encontrar un balance entre la estrategia de seguridad que se pretende implementar, y las necesidades operativas del negocio.

1. Analizar el costo y el beneficio de las medidas propuestas. Ninguna medida de seguridad se podrá implementar si su costo rebasa el beneficio que podría generar. También aquí es importante ser realista en el momento de diseñar posibles soluciones de mitigación. Mejor todavía será, encontrar un caso de negocio donde existe un retorno a la inversión en un plazo razonable. Este tipo casos de negocio tienen mucha probabilidad de ser autorizados.

1. Toma de decisión. Será la alta dirección de la empresa u organización quien tomará finalmente la decisión a cerca de la implementación de las medidas de mitigación disponibles. Dependerá de la calidad del estudio de riesgo y de argumentos solidos como producto de los análisis posteriores que esto suceda. Sin embargo, contando con estos elementos, la probabilidad de que sean autorizadas es alta.

Para una buena identificación de los riesgos reales que enfrenta una empresa, es recomendable contratar a un especialista. Ese especialista, siendo externo, ve los riesgos con ojos neutrales y esto ayuda a que la calificación de los mismos sea imparcial.

1. Reevaluación. Una vez concluido el proceso del análisis y la implementación de las medidas de mitigación, es necesario reevaluar las condiciones y las circunstancias. Lo más peligroso en una estrategia de seguridad es que permanezca estática. En el mundo de los negocios y en la vida en general, nada es estático. Las realidades cambian constantemente y así debe cambiarse y adaptarse toda estrategia de negocio, así como de seguridad. Como dijo un ser sabio alguna vez: El que no se adapta al cambio, el cambio lo cambiará.

Antes de hablar de la estructura de un área de seguridad vamos a enfocarnos a las funciones o tareas que tiene esta área. Obviamente, depende de la dimensión de la empresa u organización y pude ser que algunas de estas funciones no apliquen para todos los negocios. Aquí se pretende dar una referencia mediante la cual cada uno de ustedes podrá definir su propio marco de acción.

Las funciones en un contexto general son:

1. Proteger a las personas, los bienes y la operación.
2. Identificar, analizar y gestionar los riesgos.
3. Definir un marco regulatorio en el interior de la empresa que permite una convivencia segura y un ambiente laboral amigable.
4. Analizar (investigar) situaciones que han puesto en riesgo a las personas, bienes o la operación para entender el origen del problema y poder encontrar una solución definitiva. (Análisis de causa raíz)
5. Educar a las personas que conviven en el entorno de la empresa para que participen activamente en la generación de un ambiente seguro, respetando las reglas establecidas.
6. Monitorear constantemente el entorno de la organización para poder identificar situaciones de riesgo de forma anticipada.
7. Informar regularmente a la alta dirección a cerca de la gestión de riesgos y de los incidentes atendidos.
8. Preparar a la organización para una gestión exitosa de crisis.

Las funciones específicas son principalmente:

1. Controlar accesos de personas, vehículos y bienes a las instalaciones, evitando accesos no autorizados o salidas de material no controlados.
2. Definir, implementar y operar sistemas de seguridad.
3. Coordinar al personal de seguridad y vigilancia.
4. Identificar eventos de pérdida y proponer soluciones para eliminarlos.
5. Investigar delitos o incidentes.
6. Establecer conceptos de seguridad para personas, procesos y bienes claves de la organización.
7. Monitorear alarmas y asegurar atención en caso de activaciones.
8. Mantener en buen funcionamiento a los sistemas de seguridad.
9. Implementar ejercicios teóricos y prácticos para validar el funcionamiento del sistema de seguridad.
10. Establecer métricas para la medición del progreso del programa de seguridad.
11. Identificar debilidades y/u oportunidades para la mejora continua del sistema.

Ahora bien, una posible estructura pude presentarse de la siguiente manera:

1. Gerencia o Dirección de Seguridad.
2. Departamento de Seguridad Física.
3. Departamento de Ciberseguridad.
4. Departamento de Investigaciones.
5. Departamento de Normatividad y Auditoría.
6. Departamento de Protección Ejecutiva.
7. Departamento de Análisis, Estadística y Reporte.

Dependiendo de la magnitud de la empresa se pueden incorporar otras áreas como Seguridad e Higiene, Seguridad Industrial, Cumplimiento (compliance), entre otras.

Una política de seguridad la podemos comparar un poco con un reglamento de tránsito. En un reglamento de tránsito encontramos escritas las reglas para una convivencia sana entre los diferentes actores que transiten por la vía pública. Cada ciudadano tiene la obligación de conocer este reglamento y cumplirlo. Al no cumplirlo se hace acreedor de sanciones que dependiendo de la gravedad de los hechos pueden ser desde leves hasta severos.

El fundamento para crear un reglamento de tránsito surge de la Constitución en la cual los gobiernos locales, estatales y federales reciben la responsabilidad de cuidar a la sociedad. En las empresas existen comúnmente reglamentos como el reglamento interior del trabajo, donde se establecen las reglas generales de convivencia en una empresa y en el cual se manifiesta que un trabajador debe someterse a las reglas de seguridad establecidas por la empresa. Aquí nace el fundamento para la creación de una política de seguridad.

Ahora bien, ¿Qué factores debemos considerar para crear la política de seguridad de nuestra organización? Antes que nada, debemos asegurar que las reglas estén alienadas con la misión y el objetivo de la organización.

Si somos una empresa que da servicio al público, no se pueden emitir reglas que prohíban a los empleados de interactuar con personas ajenas a la organización. Suena lógico, pero como ya mencionamos, antes de todo, hemos realizado un análisis de riesgo. Si en este análisis existe, por ejemplo, un riesgo de robo del dinero de la caja registradora, un especialista en seguridad muy efectivo podría determinar que nadie se debe acercar a la caja. Pero ¿Cómo interactuamos con un cliente si queremos venderle un producto?

Una de las máximas de Seguridad que debemos conocer dice:“100% Seguridad = 0% de Operatividad, 100% de Operatividad = 0% de Seguridad”. Tomando en cuenta esta máxima, debemos entonces encontrar un compromiso.

Aquí un ejemplo práctico: Todos en México conocemos a Telmex. Tuve la oportunidad de colaborar en esta empresa durante varios años. Recordarán que en tiempos pasados todos los pagos de las líneas telefónicas se hacía en efectivo. Obviamente en negocios como el de Telmex se acumulaban grandes cantidades de dinero en efectivo y los asaltos a sucursales era pan de todos los días.

La consecuencia fue que se estableció, como estrategia de seguridad, esconder a los cajeros atrás de cristales blindados, lo que provoco, por supuesto, una pésima atención al cliente. Analizando esta política de seguridad a fondo y, tomando en cuenta la nueva estrategia de ventas de la empresa, era necesario hacer un cambio. Se decidió quitar a los cristales blindados para dar más apertura y cercanía entre cajeros y clientes.

En cuestiones del riesgo se instalaron tómbolas blindadas para recibir el dinero en efectivo y cada cajero tenía la obligación de hacer cortes de caja cada determinado tiempo para así bajar el riesgo de asalto. Se mantuvo por supuesto un riesgo restante (riesgo residual). Era la cantidad de dinero permitido en cada caja multiplicado por la cantidad de cajas.

Un ejemplo: 5000 pesos permitidos por caja, multiplicado por 5 cajas = 25000 pesos de riesgo residual aceptado. Si ahora llegaba un delincuente, la máxima cantidad de robo eran estos 25 000 pesos, que no era poco dinero, pero no tenía nada que ver con los robos millonarios que ocurrían antes. Además, el dinero de las tómbolas era responsabilidad de la empresa de traslado de valores y una vez recibido por ellas tenían que responder y reparar el daño en caso de algún robo.

En conclusión. Cuando creamos una política de seguridad tenemos que encontrar un compromiso entre la exigencia de la alta dirección de permitir que la operación funcione sin obstáculos, y las medidas de seguridad necesarias para proteger a las personas y a los bienes.

En pequeñas y medianas empresas, la seguridad empieza a tomar relevancia cuando haya ocurrido algún incidente o se presentan mermas inexplicables o cuando ocurren accidentes. Es entonces cuando el dueño o el director general le encarga al responsable de recursos humanos o al encargado de mantenimiento de hacerse cargo del tema de seguridad.

Obviamente, estas personas nunca han estudiado algo relacionado con la seguridad, sin embargo, como deben cumplir la orden, dejan que su intuición los guie.

De esta forma inician con las gestiones de los temas de seguridad; de forma superficial. Además, como no reciben presupuestos o personal adicional, los mejores intentos de mejorar los temas de seguridad se quedan en buenas intenciones. Cuando mucho se contrata un vigilante (barato por supuesto) para que este parado en el acceso o en el almacén para medio controlar entradas y salidas de personas y materiales.

Durante los últimos dos décadas, asociaciones como ASIS International se han dedicado a impulsar la profesionalización de las personas encargadas de la seguridad de las empresas.

Eran entonces los encargados de mantenimiento y de recursos humanos, los que ya tenían la tarea asignada, que se empezaron a “profesionalizar” en la materia de seguridad. Poco a poco, las organizaciones entendieron que hacer seguridad no es cosa fácil y que se requiere un nivel alto de profesionalización para implementar y mantener un sistema de seguridad que cumpla con la función de salvaguardar los intereses de la empresa.

Otro factor importante era que, con una mayor preparación, los ahora profesionales de la protección supieron explicar a la alta dirección que el dinero que se gastaba en seguridad era fácilmente recuperable, aplicando análisis de los datos de pérdidas antes y después de la implementación de ciertos programas de seguridad. Este retorno a la inversión es lo que más le importa a la alta dirección.

El siguiente elemento que se agregó a las actividades del responsable de seguridad ya no era o es la investigación de lo que provoco una pérdida. Hoy las pérdidas se previenen antes de que ocurran y si ocurren incidentes que no pueden ser prevenidos como incendios o temblores, existen planes de recuperación que permiten a una organización regresar a operar en tiempos razonables. Estos planes, hoy en día, también están siendo elaborados e implementados por el responsable de Seguridad.

Para el futuro vemos que este responsable se encargará además de las amenazas cibernéticas, del cumplimiento del código de conducta, del cumplimiento de las reglas de seguridad e higiene, así como las de protección civil y las relacionadas con la protección del medio ambiente. La Seguridad hoy es omnipresente y los responsables de seguridad tienen un rol y un perfil muy específico.

Para contratar a una persona para el área de seguridad debemos que tomar en cuenta su trayectoria y buscar su aptitud de cumplir con esta omnipresencia. Debe saber un poco de cada rama de seguridad que la organización busca que se atienda.

Idealmente, nuestro candidato debe contar con una carrera relacionada con la seguridad y con experiencia comprobable en algunos de los campos mencionados anteriormente. Preferentemente, contar con certificaciones como las de APP, CPP, PCI o PSP de ASIS International, DSE de la Universidad Pontificia de Comillas o con alguna otra disponible en el mercado.

En México existen miles de empresas de seguridad privada. El hecho que existan tantas nos indica que también existe un mercado que los requiere. Este mercado nace a raíz de la inseguridad que se ha incrementado en el país en las últimas décadas. Comúnmente, una empresa recurre a la contratación de este tipo de empresas para resguardar sus instalaciones. Controlar los accesos, controlar inventarios, realizar rondines, atender alarmas o custodiar valores, son algunas de las funciones típicas para las que son contratadas.

La Ley Federal de Seguridad Privada, en México, contempla una serie de modalidades para la prestación de los servicios de seguridad. No todas las empresas cubren automáticamente cada una de estas modalidades y es importante verificar, antes de la contratación, si la empresa cubre la modalidad que estoy buscando.

Trabajar con empresas de seguridad privada puede ser benéfico cuando se cuidan algunos detalles importantes, de lo contrario, una empresa de seguridad se puede convertir en una pesadilla que nos provoca más problemas que soluciones.

Primer punto importante: Determinar el requerimiento operativo que tengo como organización. ¿Para qué quiero contratar una empresa? ¿Qué espero de ella? La respuesta a estas preguntas es fundamental para a) buscar la empresa idónea y b) establecer el marco de colaboración donde se establecen las reglas de operación, así como los resultados esperados.

Estas reglas de operación deben ser plasmadas en un documento que se conoce como un RFP (Request for proposal) o Base para licitación. Si no tengo claro como elaborar la base de la licitación, debo solicitar apoyo a un consultor independiente para que me ayude. No hay que cometer el error de pedir a una empresa de seguridad que brinde dicha ayuda, ya que, seguramente, determinarán los requerimientos a su conveniencia.

Segundo punto importante: Una vez establecidas las bases de licitación, debo buscar al menos 3 empresas que pueden ofrecer el servicio que busco. Estas empresas deben cumplir con los siguientes requerimientos:

1. Ser una empresa legalmente establecida.
2. Dependiendo de la ubicación geográfica de los servicios, contar con los permisos federales y estatales vigentes.
3. Estar autorizada para proporcionar los servicios requeridos (modalidad)*
4. Contar con presencia operativa en la zona geográfica donde se requieren los servicios.
5. Ser una empresa reconocida con buenas referencias.
6. Contar con elementos con buena presencia y capacitación.
7. Contar con la capacidad técnica y con la logística de supervisar los servicios que se pretenden contratar.
8. Cumplimiento documentado de todas las obligaciones patronales.
9. El pago a los elementos se lleva a cabo por medio de transferencia electrónica.
10. Preferentemente, cuenta con certificaciones de calidad como ISO 9001:2015

Ejemplo: Una empresa que tiene el permiso de prestar servicios bajo la modalidad de “Seguridad Intramuros” no puede prestar, en automático, también el servicio de custodia de valores.

Cuando tenemos un cuadro comparativo donde las tres empresas cumplen con todos los requerimientos y aparentemente la calidad del servicio que ofrecen es la misma, entonces se puede optar por la contratación de la empresa que ofrece el mejor precio.

Tercer punto importante: Nuestra empresa debe contar con políticas, procedimientos, lineamientos, reglamentos de seguridad donde se establecen cuáles son las reglas para Empleados, Contratistas, Proveedores y Visitantes, así como con instrucciones de trabajo y formatos para el personal de seguridad donde se describe detalladamente tres aspectos:

1. Qué queremos que haga el elemento de seguridad.
2. Para qué queremos que lo haga.
3. Cómo queremos que lo haga.

Al definir claramente estos aspectos para cada función y actividad, evitamos yerros por “interpretación”, que muchas veces son cometidos por los elementos de seguridad. En muchas ocasiones no es falta de capacidad de un elemento de seguridad cuando se comete un error, es la falta de claridad de la instrucción y/o la falta de capacitación adecuada para lograr que el elemento no solamente conozca la instrucción, sino también que la entienda y mejor que la comprenda. Logrando esto, el servicio prestado puede considerarse de buena calidad.

Una máxima que no solo aplica para el mundo de la seguridad dice: "¡Lo que no se mide, no se puede mejorar!", pero ¡Ojo! Depende de qué quieras saber y para qué te serviría saberlo.

Preguntas iniciales que debemos hacernos antes de establecer una métrica:

• ¿Qué quiero alcanzar?
• ¿Cómo sabré que voy a tener éxito?
• ¿Qué me convencerá de que no estoy logrando el objetivo?
• ¿Cuáles pueden ser los obstáculos que impiden tener éxito?
• ¿Cuál sería el costo para tener éxito por cada componente?
• ¿El costo se justifica?
• ¿Cómo puedo recolectar y mostrar la información en una forma que impacta?
• ¿Cuál es el costo total del éxito?
• ¿Cuál sería el costo de un fracaso?

Las métricas deben establecerse para medir el éxito de la gestión del departamento de seguridad y para presentar los resultados del trabajo del área de seguridad ante la alta dirección. Para medir estos resultados es necesario establecer parámetros de medición que lo permiten. Estos parámetros son conocidos como Indicadores claves de desempeño o KPI´s (Key Performance Indicators). Entre otros se deben medir:

1. Estadísticas de eventos de pérdida en un contexto histórico y económico.
2. Cantidades de investigaciones realizadas.
3. Cantidades y tipos de incidentes ocurridos.
4. Actos inseguros o condiciones inseguras detectadas.
5. Cantidad de reportes por faltas al reglamento generados.
6. Acciones correctivas implementadas.
7. Alarmas generadas y atendidas.
8. Tiempos de reacción.
9. Desempeño del servicio de seguridad.

Hablando del desempeño del servicio de seguridad, aquí unos ejemplos de KPI´s:

1. Asistencia del personal: Es una realidad que en las empresas de seguridad existe una alta rotación del personal. Para medirlo se podría, como ejemplo, establecer como KPI que, en un turno, no debe faltar un porcentaje mayor al 5% del estado de fuerza. Podemos subir o bajarlo de acuerdo a nuestra exigencia. Lo importante es que la empresa de seguridad lo acepte. Cuando existe incumplimiento, deben aplicarse sanciones y se deben buscar las causas raíz del problema para solucionarlo.

1. Índice de Capacitación: Para que funcione la operación de una empresa de seguridad, el contratante debe otorgar las reglas del juego. Estas reglas deben ser dadas a conocer al personal para su cumplimiento. Asegurando que el 100% del personal haya recibido la capacitación sobre estas reglas, puede ser, asimismo, otro KPI.

1. Eficacia de la operación: Si un objetivo de la empresa de seguridad es el de evitar accesos no autorizados, debemos medirlo. Este KPI debe estar en cero y debe medirse diariamente. Si hubo un acceso no autorizado, inmediatamente se debe analizar la causa para poder implementar acciones correctivas.

1. Disponibilidad de herramientas de trabajo: Los uniformes, las fornituras, los radios de comunicación, las lámparas, los vehículos, etc. forman parte de las herramientas de trabajo de un elemento de seguridad privada. Estas herramientas deben estar disponibles y en buenas condiciones permanentemente. Establecer un KPI ayuda a controlarlo.

Existen muchas variables más que se pueden medir. Depende de cada organización el establecer los suyos. Lo importante es que de esta forma podemos identificar la eficiencia y la eficacia de nuestros procesos. Si un KPI no se cumple, siempre existe una causa. Una vez detectado el incumplimiento, es indispensable buscar la causa raíz para poderla corregir.

El presupuesto es un tema crucial y muchos responsables de áreas de seguridad se preguntan: "¿Cómo podré lograr mi objetivo sin tener el dinero que necesito?"

En el mundo de los negocios, al final, lo único que importa es generar ganancias. Una de las definiciones para una empresa dice:

“Una empresa es una organización de personas y recursos que buscan la consecución de un beneficio económico con el desarrollo de una actividad en particular. Esta unidad productiva puede contar con una sola persona y debe buscar el lucro y alcanzar una serie de objetivos marcados en su formación.”

A través de la prestación de sus servicios o de la producción de bienes, una empresa genera ingresos. Por el otro lado, tiene una serie de gastos como nóminas, rentas, compra de materia prima, pago de impuestos, capacitación del personal, recursos logísticos, entre muchos más. Un factor de gasto es también lo que se paga por la seguridad. Ahora bien, existen argumentos excelentes para poder justificar un gasto en seguridad y mejor aún, existe la posibilidad de convencer a la alta dirección de ver lo que se gasta en seguridad, no como un gasto donde la empresa pierde dinero sino, como una inversión que le ayuda a generar mayores ingresos.

Ejemplo: en un almacén existe una merma del 15% lo que significa una pérdida de $150,000 pesos al año. El responsable de seguridad realiza un análisis de las mermas y detecta que son varias causas que la provocan; entregas incompletas, robo hormiga, falta de controles de acceso, entre otros. Con base en el estudio, elabora un proyecto de seguridad que contempla la instalación de 4 cámaras de video, un sistema de alarma contra intrusión y robo y un sistema de control de acceso con una inversión de $150,000 pesos. Con base en cálculos realizados, estima una mejora de la merma a un 5% o 50,000 pesos al año, ahorrando a la empresa $100,000 pesos anuales, lo que significa un retorno de la inversión a 18 meses. Por supuesto, deben estar bien soportados los números, pero si contamos con los argumentos suficientes, los directivos de las empresas entenderán, que se requieren algunas inversiones inmediatas porque van a generar ganancias a mediano y largo plazo.

En conclusión, un presupuesto de seguridad debe respetar las condiciones financieras de la organización y orientarse a la generación de ingresos, (a través de la prevención de pérdidas), de forma directa al identificar, por ejemplo, a una persona que roba o indirecta como el mostrado en el caso del almacén con merma.

La seguridad es responsabilidad de todos. Para cumplir con esta responsabilidad y lograr una reducción colectiva del riesgo, una organización debe desarrollar e implementar un programa de concientización sobre seguridad. El programa de concientización sobre seguridad debe comunicar a todas las personas los riesgos que enfrenta la organización, así como los controles técnicos y administrativos implementados para gestionar eficazmente esos riesgos.

En el año 2015 la organización “Statistic Brain Research Institute” realizó un estudio sobre la implicación de empleados en robos y fraudes, encontrando los siguientes resultados:

• Cantidad robada anualmente de empresas estadounidenses por empleados: $ 50 mil millones
• Porcentaje de ingresos anuales perdidos por robo o fraude: 7%
• Porcentaje de empleados que le han robado al menos una vez a su empleador: 75%
• Porcentaje de empleados que le han robado al menos dos veces a su empleador: 37.5%
• Porcentaje de todas las quiebras comerciales causadas por el robo de empleados: 33%
• Porcentaje de robos por parte de empleados a quienes les robaron ideas en el trabajo: 29%
• Tiempo promedio en que ocurre el fraude antes de que se detecte: 2 años

Estos son unos ejemplos de actos intencionales cometidos por los empleados. Por otro lado, existen también actos no intencionales que pueden provocar pérdidas a una organización.

• La divulgación no intencional de secretos comerciales al ser víctima de la llamada Ingeniería Social.
• Dar respuesta a un correo electrónico desconocido, lo que puede provocar
  • La divulgación de información personal o de la empresa.
  • La contaminación de los sistemas de información electrónica con virus.
  • Pérdidas económicas realizando transferencias por haber recibido un supuesto correo del dueño de la empresa (Fraude del CEO).
  • El secuestro de datos de la empresa.

Pero el empleado también puede ayudar en muchos aspectos y es aquí donde se ve el valor de un programa de concientización en materia de Seguridad. Las acciones que puede realizar un empleado son, entre otras:

• Detectar problemas.
• Identificar sospechosos.
• Informar de un problema.
• Contribuir motivando a otros.
• Reparar si algo está mal.
• Prevenir situaciones de riesgo.
• Intervenir si ocurre un incidente.
• Participar en cursos de capacitación.
• Educar a otros.
• Retroalimentar si observa algo.

Para lograr esta participación proactiva es indispensable crear un Security Awareness Program o Programa de concientización en materia de seguridad, el cual, involucra a todos; desde la alta dirección hasta el personal de mantenimiento y de seguridad. En el programa deben ser dadas a conocer todas las reglas existentes en la organización, por ejemplo: el código de conducta, la denuncia anónima, seguridad en el viaje, seguridad de la información, control de accesos, identificación de correos electrónicos falsos, seguridad en el trabajo, entre otras.

Es importante identificar qué nivel de empleado requiere qué tipo de capacitación y documentar las acciones de capacitación realizadas.

Con el involucramiento y el soporte de la alta dirección y la participación de todos los empleados, se establecerá una cultura de seguridad que ayudará para reducir los riesgos de la organización en una buena parte.

No siempre tenemos la posibilidad de formalizar un área de seguridad o de contratar a una persona para que se haga cargo de este tema. A continuación, explicaré algunos principios que son clave para asegurar a un negocio, utilizando, por supuesto, los conceptos mencionados anteriormente, pero en un contexto más práctico:

Si quiero por ejemplo instalar cámaras de seguridad:

Una cámara puede ser útil para mejorar la seguridad de nuestro negocio, pero no por esto soluciona automáticamente un problema que tenemos. Si consideramos grabar a un ladrón para contar con una evidencia de lo sucedido, quizá el ladrón porte una gorra y lentes obscuros, provocando que, el resultado, no sea el deseado. Por otro lado, sí genera un efecto disuasivo y algunos ladrones pensarán dos veces, si conviene perpetrar un delito en este negocio o no.

También es importante considerar que la cámara por sí misma no detecta un robo o algo indebido. Entonces mis opciones son: a) poner un monitor y asegurar que alguien esté viendo la cámara permanentemente, b) utilizar cámaras “inteligentes” usando software con analíticos que pueden detectar un comportamiento inusual, c) instalar sensores de alarma y vincular estos sensores con la cámara o d) limitar mis expectativas al análisis posterior a un incidente.

Hay que definir claramente qué es lo que se quiere lograr antes de comprar cámaras.

Un sistema de videovigilancia ofrece, por otro lado, diversas ventajas. Nos permite, por ejemplo, supervisar de forma remota en tiempo real a nuestro negocio para saber si,  la mercancía está bien exhibida, los empleados están bien uniformados, la publicidad está en su lugar correcto, existe orden y limpieza, los procesos del negocio funcionan o requieren ajustes, la atención a los clientes es buena o mala, entre otras.

También podemos verificar por supuesto estos puntos en un análisis periódico y platicar con nuestro personal a cerca de las observaciones, tal como la hace un coach de futbol después de un partido. Otra funcionalidad es la documentación de evidencias que nos pueden servir para defendernos ante un cliente quejoso, o para aclarar las circunstancias relacionadas con un accidente.

Existen muchas funcionalidades y ventajas que podemos encontrar en un sistema de videovigilancia. Ahora bien, no es necesario comprar la cámara más cara de la NASA para lograr nuestro objetivo. Si tenemos claro lo que buscamos, la cámara más económica que encontramos nos puede dar el resultado que buscamos.

 Además de las cámaras de video, también puedo instalar un sistema de alarma. Estos sistemas son muy útiles; nos permite detectar ingresos no autorizados en horario donde el negocio permanece cerrado o también una apertura no autorizada del almacén. También puede, dependiendo del tipo de sensores que se utilizan, detectar o generar alarmas en caso de:

• Ruptura de cristal.
• Movimientos en el interior o exterior.
• Apertura de puertas y ventanas.
• La presencia de humo.
• Robos o asaltos utilizando botones de pánico.
• Altas o bajas temperaturas, entre otros.

La instalación de un sistema de alarma, sin embargo, no es suficiente; es preciso asegurar que algo sucede cuando se activa. Por supuesto, el sistema nos puede enviar una señal a nuestro teléfono celular y esto nos permitirá actuar de acuerdo con el problema detectado, no obstante, debemos reconocer que no estamos disponibles las 24 horas del día.

En ese sentido, es recomendable que el sistema esté conectado, y supervisado, por medio de una central de seguridad que está pendiente 24/7, que sabe cómo actuar en caso de una activación. Esta central debe tener enlaces con las fuerzas públicas de apoyo y contar, idóneamente, con fuerzas propias de supervisión que pueden acudir al negocio en caso de una activación.