Resilience, What resilience? A short manual to avoid term-confusion overdoses.

Resilience, What resilience?

A short manual to avoid term-confusion overdoses.

By José Miguel Sobrón, April © 2013

(Feel free to reproduce, copy or use in public performance of this work, it has no restrictions for research purposes or publication while referring the article and author)

No he podido resistirme a la tentación de escribir una nota corta sobre un fenómeno que no deja de sorprenderme en los últimos años.

A veces sucede que un nuevo término  o un término cualquiera - no tiene por qué ser nuevo- aflora de repente en nuestras vidas y empezamos a verlo por todos sitios. Creo que sin redundar en muchos detalles este es el caso de Resiliencia. 

Podemos definirla de mil maneras diferentes. Antes de entrar a describir ninguna de ellas, me gusta siempre contar que la primera vez que escuche el termino Resiliencia, fue allá por los 70 cuando en clase de física (de Física y Química), mi profesor de BUP, D. Manuel,-lastima no recuerdo su apellido- quien era capaz de meter en nuestras cabecitas cualquier concepto por intrépido e intragable que fuera, nos contaba por primera vez qué significaba el termino Resiliencia. Y lo hacía describiendo como una esponja natural, después de ser estrujada por nuestras manos, retomaba su aspecto inicial, sin perder la compostura: era un cuerpo resiliente, recuperaba su forma inicial después de haber sido deformada por cualquier fuerza. Para mí desde aquel día la idea de resiliente era eso, volver a su estado inicial después de haber sufrido cualquier...cosa.

Después la volví a escuchar en los 90 de Rojas Marcos y en el área de psicología, volver  a ser nosotros después de ser afectados por cualquier evento vital, más o menos, recuperarnos era la idea también.

¿Quién me iba a decir a mí, que un par de décadas después la palabrita de marras iba a ser una constante en mi quehacer diario? Así se llama la Unidad en la que trabajo: “Unidad de Gestión de Sistemas de la Resiliencia Organizacional” (En inglés parece que suena más natural “Organizational Resilience Management Systems Unit”).

Ahora todo el mundo habla de Resiliencia, pueblos resilientes, sociedades resilientes, empresas resilientes....todo es resiliente. Sin duda una miríada de adjetivos podría dar un detalle mejor del significado, pero ahora se usa resiliente, es más de hoy. Como que tiene más fuerza, como que es mejor.

Resiliencia hoy en día se ha convertido en un término fundamental, como puede ser por ejemplo eficiencia. Todo debe de ser eficiente, sino, no es moderno ni interesante. Le ha pasado al termino resiliencia lo mismo que hace poco le sucedió al termino igualdad. Igualdad estaba hasta en la sopa. Agenda de la igualdad, acceso igualitario de servicios y derechos, igualdad de género, igualdad de oportunidades, etc. Ahora también tenemos organizaciones resilientes, Agenda de la Resiliencia, Resiliencia a los desastres, Resiliencia Corporativa, Resiliencia Societal, etc...

Bueno pues después de toda esta corta introducción, me gustaría hablar de Resiliencia. De no mezclar churras con merinas, que es fácil a veces. Se acuerdan de aquel famoso LP de Supertramp "Crisis, what crisis?". Pues a esto le voy a llamar "Resilience, what  resilience?".

De eso se trata, ¿de que resiliencia estamos hablando? No voy a hablar del término en sí para lo cual recomiendo una bibliografía que añadí tiempo ha, según la cual cada uno de ustedes será muy libre de ver cómo le aplica el término. Quiero hablar de Resiliencia como marco, como constructo metodológico, no como adjetivo.

Como marco el primero que aparece –por ahora- es el de Resiliencia Organizacional, y está relacionado con la gestión de sistemas (Organizational Resilience Management Systems, ORMS). Quien le puso el nombre y apellidos a la Resiliencia Organizacional, fue por cierto para evitar malentendidos  el Dr. Marc Siegel, creador del término ORMS, gurú internacional de la Resiliencia Organizacional y erudito en el ámbito de los estándares internacionales (ISO). Un marco metodológico, que genera un cambio cultural importante en toda organización, al correlacionar todas y cada una de sus partes, hacerlas comunicarse e interconectar proactivamente (no reactivamente) para obtener como resultado final una organización resiliente. Aquí Resiliencia se define como la capacidad de una organización y sus partes para anticipar, absorber, acomodar, y recuperarse de los efectos de una situación (esperada o inesperada) en tiempo y modo eficiente. Por razones obvias esta definición con más o menos acierto puede ser trasladada a cualquier área de aplicación. 

Lo que trato de explicar en Román paladino es la diferencia entre el concepto amplio de resiliencia como una capacidad general de recuperarse de algo y el concepto de Resiliencia Organizacional, como un marco metodológico que optimiza la gestión de sistemas a cualquier nivel.

La gestión de sistemas (management systems) es la clave de la diferencia entre la multitud de aplicaciones del término de resiliencia y Resiliencia como marco metodológico.

Como marco metodológico, la Resiliencia Organizacional es una metodología que aspira a compilar las lecciones aprendidas y practicas más usuales en muchos ámbitos mediante el empleo de estándares internacionales de consolidada eficiencia y eficacia. Esos estándares se basan en la gestión de múltiples sistemas como base del método. No hay una solución que aplique a todo, pero se trata de una nube de gestión de diferentes áreas que intercoordinadas dan como producto una organización o sistema de sistemas capaz de anticipar, absorber, acomodar, y recuperarse de los efectos de una situación (esperada o inesperada) en tiempo y modo eficiente. Para poder llevar a cabo esto de un modo eficiente, hay una metodología necesaria a seguir, para asegurarnos de que los estándares utilizados son los adecuados. 

El quid de la cuestión es que la organización o sistemas de gestión de sistemas trabajan como un todo. En este mundo de tecnología, nubes y redes, cuando hablamos de gestionar una organización, no hay hueco ni oportunidad para elementos aislados, elementos eficientes quiero decir. Es por eso que la gestión de sistemas es la única alternativa holística capaz de dar una respuesta del todo al todo, me explico. 

Cada vez que un elemento de un sistema es afectado por cualquier variación, hay repercusiones en mayor o menor medida en el sistema total. Esto no es ningún descubrimiento, lo que sí es importante es que el impacto que sufre una o varias de las partes se ve multiplicado, unas veces, reducido otras, por el efecto del conjunto del sistema. El sistema total, dada la cada vez mayor convergencia, integración, comunicación y fluidez de cada uno de sus sistemas se ve impactado con mayor velocidad tras el impacto en una de sus partes. Reacciona al fin y al cabo como cualquier ente vivo, que cuando uno de sus miembros es afectado, el resto nota esa situación en mayor o menor medida dependiendo de la criticalidad del sistema afectado. 

El problema con la gestión de sistemas, es que no aplican solo como en el ejemplo de un cuerpo; en el que un individuo puede seguir trabajando aunque se le haya roto una pierna. Le duele, pero tras el impacto y la subsiguiente cura -si la hay, amputación en su defecto- el individuo (el sistema) sigue trabajando y haciendo su vida. Ya veremos qué tipo de vida puede seguir llevando, pero no se ha muerto aun. Por eso hacemos el símil de la gestión de sistemas, con una analogía al cuerpo humano, otro sistema de gestión de sistemas. La gran diferencia es que poco a poco  gracias al crecimiento exponencial de la tecnología y al enfoque multisistemas, las organizaciones se están achatando y la pirámide jerárquica desapareciendo con el formato que estamos habituados a ver, lo que acelera la interacción de cada sistema y exige un tipo de liderazgo y gestión más adaptativo y habituado a rápidas tomas de decisiones, más flexible, más eficiente en su capacidad de reacción. Siguiendo con la analogía, es como si el cuerpo humano del que estuviéramos hablando estuviera compuesto cada vez más de partes más críticas e insustituibles y no de partes de las que pudiera prescindir fácilmente. Para que la gestión de sistemas sea eficiente y funcione acorde al modelo de Resiliencia Organizacional, cada sistema debe de definir claramente sus niveles de criticalidad integral, es decir, lo critico que es una parte del sistema en función de sus interacciones y dependencias del resto de los sistemas parte del todo.

Bueno hasta aquí la definición inicial, somera, de como la Resiliencia Organizacional funciona y se rige y se gesta. Para los detalles de cómo somos capaces de implementarla y ponerla en funcionamiento, hará falta otro ratito. De este marco de ORMS para Organizaciones, nace la Resiliencia Societal como marco metodológico aplicado a las sociedades. 

Esta es la diferencia que espero haya sido capaz de explicar, entre un marco conceptual para la aplicación de una metodología de gestión de sistemas, y un adjetivo o propiedad de aplicacion general.

Conceptualizando en Gestión de Crisis y Resiliencia.

By José Miguel Sobrón, May © 2012

(Feel free to reproduce, copy or use in public performance of this work, it has no restrictions for research purposes or publication while referring the article and author)

Esta es la era de la preparación (preparedness era) hay que estar listos para todo lo que venga. Antes éramos reactivos y ahora somos proactivos. Ahora además tenemos que ser resilientes, para todo también. En toda esta tendencia y obsesión por “estar listos”, ¿qué pasa con continuidad de negocio? ¿Y con gestión de crisis?

A veces la rutina nos confunde y nos hace olvidar el significado real que a las palabras damos, y el porqué de ese mismo significado. Esta es una confusión o polémica muy habitual sobre el huevo y la gallina o lo que es lo mismo si fue antes Continuidad de Negocio o Gestión de Crisis o viceversa o cual de las dos regula a cual.

Si hay algo que esta arrasando en todas las grandes corporaciones a nivel mundial y que se está extendiendo como la pólvora, eso es el concepto de Resiliencia, definida de mil maneras, pero simplificándola a cualquier áreas de estudio, como capacidad de resistir cualquier impacto y conectarlo con las maneras posibles de volvernos a levantar y continuar. Así es en multitud de áreas. Recomiendo por lo exquisito y extenso del estudio un análisis muy concienzudamente detallado llevado a cabo por el US Department of Homeland Security (DHS, grosso modo nuestro Ministerio del Interior) en el Journal of Homeland Security and Emergency Management, vol 6, Issue 1-2009-Art 83  .

En este nuevo mundo global de Resiliencia Corporativa (Organizational Resilience) existe mucha confusión creada a veces por intereses obvios de mercado e influencia de varias tendencias y a veces solo por confusión de la terminología. Si inicialmente el primer paso de gigante en continuidad lo dio la presentación del BS25999 (1-2); el modelo que integraba todo bajo BCM (Gestión de continuidad de negocio) no cubre todas las áreas, a pesar de tener un amplio apoyo y marco experimental en Reino Unido, la misma Unión Europea y algunos países. Es más, vista la escasa acogida actual y la reorientación del mercado hacia la familia ISO 31000 e ISO 28000, los grandes defensores del modelo británico han reaccionado con celeridad y han aunado fuerzas con ASIS International (que sigue el modelo ISO) para elaborar un producto de Gestión de continuidad de Negocio (Business Continuity Management) “conjunto” suma de las dos tendencias para crear una sola alrededor de las familias de estándares de ISO (ASIS/BSI Business Continuity Management Standard (2010)). Sabia elección, porque siempre es mejor aunar que litigar. Muchos de los que practican el modelo británico se han visto y se ven en una situación incómoda, por aquello que a todos nos cuesta un trocito de ego reconocer que hay que tomar otro camino contrario o diferente al que practicábamos desde hace un tiempo. Merece la pena dejar el ego atrás, sin duda.

El modelo basado en ISO 31000 es mucho más integral y explora un marco que no deja resquicio alguno. Además es relativamente multinacional y compila el esfuerzo inicial australiano y neozelandés, con el impulso del Sudeste Asiático y el reciente apoyo incondicional de Estados Unidos y la mayor parte de países europeos.

En ese marco de ISO 31000 Gestión de Crisis sí es el pilar fundamental, que no el único y los demás son absolutamente no solo necesarios sino completamente complementarios. En el ámbito de ISO31000 y en íntimo contacto se localiza el impulso creado y mantenido por ASIS International para Resiliencia Corporativa (acabamos de publicar el ultimo estándar aprobado por ANSI sobre el modelo de madurez de Resiliencia Corporativa). En ese paraguas monumental que es la Resiliencia, cabe todo, pero hace falta un hilo conductor que lo regule y coordine, y ese hilo conductor debe de estar en lo más alto de la cadena de Mando o Gestión si lo preferís.

Empezaré explicando por qué cuando acudimos a la definición se ve mucho mas claro el concepto. Al hilo de esto, permitirme de nuevo recomendaros un sumario (El PAS completo es de pago y creo que cuesta alrededor de 100 libras esterlinas) sobre el PAS (Publicly Available Section) 200:2011 Crisis Management-Guidance and Good Practice llevado a cabo por Regester Larkin, que recoge bastantes puntos interesantes y también críticos sobre el estudio de Reino Unido.

Gestión de Crisis como su propio nombre indica hace referencia a dos cosas absolutamente claras en cualquier organización por grande o pequeña que sea: Gestión conecta con el Jefe Ejecutivo o el Consejo Directivo o los dos; y Crisis es una palabra que hemos desgastado y contaminado de tanto usarla. Una crisis no es un incidente ni un problema, es una situación muy, pero que muy complicada que se desarrolla en un ambiente inestable, complejo e inesperado, de desconocidas consecuencias (a veces “black swans”) y que pone en alto riesgo cualquiera de nuestros activos o pasivos más importantes, nuestras instalaciones y personal y nuestra reputación; y por ende hace peligrar la existencia de la propia organización en su estado actual. Podéis hacer una comparativa en uno de los últimos papeles de Marzo de BCI (CM What is and how is it delivered, 2012 BCI).

 Las crisis, como los riesgos, no son malas por naturaleza, pueden serlo si nos pilla sin preparar pero pueden ser grandes oportunidades en las que fortalecer y consolidar los cimientos de la Resiliencia Corporativa. Os dejo un link de una definición escalable de cómo Gestión de Crisis conecta con Resiliencia Corporativa, que hace poco llevamos a cabo cuando colabore con un par de buenas amigas del Fondo de Población (UNFPA) para finalizar su Plan de Continuidad de Negocio.

Todos tenemos problemas, pero de eso a una crisis hay un trecho, distancia que a veces no queda clara por falta de definición. Se trata en definitiva de una escala temporal que comienza con la localización un problema de desconocido impacto y consecuencias. El problema original se convierte en incidente cuando requiere una intervención de nuestro mecanismo de –primera- respuesta sea el que sea. Cuando la cosa se pone fea y parece ser que el sexto sentido del que responde le dice que esto no tiene muy buena pinta, pues ¿que hace?, lo de siempre, llama al jefe. Y el Jefe es quien declara si hay o no hay crisis. Eso ha sido así contado un poco en “Román paladino” o español de andar por casa.

En el Sistema de Gestión de la Resiliencia Corporativa (ORMS del inglés), el Sistema de Gestión de Incidentes (Incident Command System, ICS; que es básicamente nuestro servicio de seguridad y/o de emergencias internas, incluyendo médicos, psicólogos, encargados de instalaciones y recursos humanos de apoyo) se encarga de estimar la cuantía y calidad del impacto recibido (irrelevante, limitado, relevante, severo y extremo/critico). En cuanto tiene una somera idea de ello, determina si lo puede solucionar por si mismo, lo debe de monitorizar y avisar a alguien para alertar por si acaso o lo lanza al siguiente o más alto supervisor si se trata de un problema grave o gravísimo. También el ICS dispone de mecanismos que son automáticos, como evacuaciones sanitarias, evacuaciones de edificios, et al. que basados en determinados protocolos no precisa de autorización previa por la emergencia de que se trate.

Esto pone en alerta a los mecanismos de gestión de crisis que se preparan para lo peor y esperan lo mejor. Estos mecanismos o están en si mismos compuestos por los mas altos directivos o tienen línea directa con ellos y el consejo de Dirección. Una vez declarada la crisis por la autoridad interna que corresponda, sea el CEO o el equipo de gestión de crisis (CMT), se determinan las medidas a llevar a cabo: seguir monitoreando, activar el plan de continuidad (business continuity), recuperación de desastres (IT Disaster Recovery) o lo que haga falta en función de la situación. Hemos pasado en poco tiempo de un problema a un desastre o incluso una catástrofe. Estos dos últimos en realidad se ven venir inmediatamente, no los eventos en si mismos que son impredecibles pero si sus consecuencias y la magnitud del impacto recibido. Por eso hay que prepara mecanismos que disminuyan al mínimo la respuesta inicial, por limitada y exigua que sea, y que aceleren la integración del modo crisis en el mecanismo de gestión integral. Aquí se hace ver la valía de conectar y coordinar la preparación mediante un marco global como es la Resiliencia Corporativa. Rompemos los silos en la preparación y estamos preparados para la respuesta.

Con todo lo anterior vemos que aunque haya procesos que puedan automatizarse y producirse en aislamiento, el flujo regular obliga a pasar de un escenario a otro escalable en envergadura desde el ICS hasta Gestión de Crisis, y es Gestión de Crisis (conectado al mas alto escalón de mando) quien activa Continuidad o recuperación de desastres e indica como se van a llevar a cabo y cuales operaciones de recuperación, así como la relocalización si fuera precisa.

La conclusión final nos lleva a determinar que efectivamente gestión de crisis juega un papel de coordinación que facilita enormemente la toma de decisiones al más alto nivel y que encaja a la perfección con el concepto de Resiliencia Corporativa. Esto no desmerece en absoluto el papel indispensable que ha jugado la Continuidad de Negocio desde los 90 y las enormes contribuciones que han permitido madurar el modelo hasta el estado actual. Desde el entorno de respuesta inmediata de un negocio de pequeña o mediana entidad, las barreras o diferencias entre gestión de crisis y continuidad de negocio siguen siendo muy difusas o difíciles de identificar, en grandes empresas o instituciones la cosa esta muy clara, la apuesta es resiliencia.

 Hasta pronto.

José Miguel Sobrón, May © 2012

(Feel free to reproduce, copy or use in public performance of this work, it has no restrictions for research purposes or publication while referring the article and author)

How standards help us in our everyday job

  

A bit of history

We have been bombarded during recent years about standards, coming from very different organizations.  The history of standards goes back to the Second World War, from the moment at which the Allies had the urgent need to standardize mechanisms of collaboration.  The second great moment came with the development of the global network (internet) -- it was more than fundamental to achieve a mechanism that ensured the network was flowing adequately and, with this intention, it was necessary that all the computers were linked by the same language all the time.  The third important impulse came from the hand of two important milestones:  on one hand, the strong impulse dedicated by the European Union to coordinate mechanisms that were facilitating the inter-ministerial communication among all its member states and partners and, on the other hand, the trend towards a global world in recession.  As a consequence of the latter impulse it becomes necessary to strengthen an international mechanism that facilitates the task of inter-state coordination.  It is at the time when the International Standards Organization (or ISO from the Greek “equal”) takes a relevant role in the area of the elaboration of standards and guidelines to facilitate a global communication.  The industrialized countries and the emerging ones saw there an opportunity to compile lessons learned and good practices in a multitude of common areas.

Security Standards’ approach

The field of safety and security has quickly evolved into risk management as a wider field of development, by bringing together within risk management the expertise of different areas as dissimilar as security and finances.  In addition, it is a must in this recession environment to better coordinate efficient response in all business areas under a unique Governance mechanism.  The definitive impulse was given by the business continuity preparedness process that favoured the communication between areas rarely in contact with each other. Crisis Management has now, more than ever, a management/coordination role above all the different areas of response.

 ISO, ASIS International, BSI, CPM, BCI and many others began a process of intercommunication that led to the birth of the ISO 31000 Risk Management Standard based on the Australian model.  Since then, an endless number of very well coordinated and interlinked products have appeared, with the intention of obtaining a perfect communication flow between economy of means, efficiency and standardization.  In this process was born the idea of connecting governance with Corporate Risk Management to better face an all hazards approach rather than a single scenario-based approach.  This concept today is widely known as Enterprise Risk Management (ERM), and is intimately tied to the development of Organizational Resilience.  The standards do not have the intention of imposing a system, but rather of offering sustainable alternatives and the probed and condensed expertise of recognized professional subject matter experts in every area.  Every organization can use at its convenience any standard and adapt it to their internal needs with little effort.  More than reinventing the wheel again, it is a way to share and better communicate.

Where are these standards available?

Not every publication with the word “standard” on the cover is really worth reading. One needs to differentiate between personal experience compilations and truly international standards.  Though many of the good standards have a cost (no more than the one of every regular research publication), the investment is worth it because you can find an excellent compilation of good, consolidated practices and lessons learned of great utility that can maximize your time while researching and help your organization in the tedious process of improving the efficiency of our internal boards and governance mechanisms.  There are other standards free of charge.  Doing a rapid search online one can find copies of both of them (see below).

Interesting references

Here are some interesting references to be explored; some of them contain papers that can be downloaded free of charge:

http://www.iso.org/iso/home.html

http://www.asisonline.org/guidelines/published.htm

http://www.bsigroup.com/en/Standards-and-Publications/About-BSI-British-Standards/

http://www.thebci.org/index.php?option=com_content&view=article&id=60&Itemid=98

http://www.ansi.org/

http://www.safetyrisk.com.au/2011/03/29/free-australian-standards-guides/

http://www.finance.gov.au/comcover/conferences/docs/July-2010-Grant-Whitehorn-Presentation.pdf

http://img.en25.com/Web/CitrixOnline/SteveJobs_Innovator.pdf

Conferencia en DRIE Ottawa, Canada

Dear colleagues,
Just a few words to present the conference on Organizational resilience in the Ottawa Chapter of DRIE. http://www.drieottawa.org/presentations.php

Thanks to Frank Slater, Grant Lecky and the lot of friends and professionals I found there.
Ottawa will deserve some more visits for sure.
Jose Miguel

INTIF-STROIKA (A massive Intifada with a popular Perestroika’s smell?): Is the first step of a new Arab world, then a new world too? or just a bluff?

One more Black Swan.

We cannot stop collecting them all since the unexpected fall of the Soviet Union, the Tsunami, the Earthquake in Haiti, the last worldwide economic crisis, etc.

This approach reinforces Nicholas Taleb’s theory and as a summary we can affirm that the best way to be prepared for any black swan (whatever is the effect or the origin) is to be prepared for becoming a resilient organization.

Investing on it, is a must.

Different interpretations can be obtained from that point. From the Organizational point of view, is pretty clear we need to train our selves as much as we can in the domain of known likely “failures areas”. Basically, because we cannot “predict” the rest: the unknown nor the unexpected.

Observers all over the world are now trying to imagine (do not say predict please) which would be the final effect of this Tunis’ butterfly effect that is spreading to Egypt and Yemen these days, may be Algeria later. Keep watching.

Depending on the collateral effects of these mentioned ones and the way they will evolve, the rest of the Arab world could become a very different one in several months, even weeks.

That is the smelling we have now an this “INTIF-STROIKA”: a kind of massive Intifada with a perestroika’s touch effect.

There is a big difference these days, and you know what I am talking about. While the Gorvachov’s effect was widely and heavily support by the rest of the world and that catalyzed the final result into a quick chain reaction in all Russian satellites; these days we are missing a similar support from the rest of the world for this Arab democratic rebellion.

Is more sympathy than support? I hope and wish with all my heart, for the well being of the humanity as a whole, that this lack of effective support does not transform our young and ”looking-for-freedom-Arab-revolutionaries” into an anti-world feeling because of this lost/missed opportunity, or even worst, into the advantage of those who play with destabilization in a world that needs more freedom.

Connecting the political arena with the Resilience….The translation for the private sector is pretty obvious after any of these black swans has arrived:

A resilient organization will be much quicker than the rest of the competitors to obtain a better position in a complicated environment.

In the middle of any crisis any corporation tries to ensure survivability and sustainability. Let’s imagine there is one Corporation or Enterprise that is good enough to obtain a competitive reaction, significant enough from the point of view of time. In this moment to be as much quickly recovered as possible, gives the board the strength to be able to invest time and resources, not in crisis but in exploring areas of interest, in evaluating the new scenario and that means: the greatest advantage over the market, time.

This is the basis for an organization to be trained as a resilient one, be able to give management and advisors time for new ideas and at the same time will extent our benefits in the domain of the market.

If due to any reason, major companies have to be dealing with an unexpected crisis, the quickest ones will be in such an advantage that the impact will maximize their investments in resilience quicker than a new and successful product. Just think about the public effect of every company becoming supply chain “restricted” due to an event while one or two are not. Competitors will take advantage “just if they are ready for that event”.

Coming back to the INFISTROIKA situation there is there some think for thought:

• Is good enough to have suddenly a new opportunity as a new emergent market like the “New Arab world” could become? I am sure it is,
• Are we ready to think about strategies to be implemented when such an opportunity is in front of us? I am afraid that is not yet the case.

Most of us, we prefer to stay in front of the TV watching and looking for the prophecy to be self accomplished:

-“I told you a month ago, this was going to happen”.

Yes, you told me but:

- What did you do, the last month, to put yourself into the best possible scenario before the rest of the world does?

 Think on that…..

Terms for ORMS (Organizational Resiliency Management System)

When discussing about crisis, emergencies and similar terms, you have this kind of feeling you are in the middle of the Gran Vía in Madrid watching these guys betting on three cards and you do not realize this is a card trick, they are scamming you. Eventually each one tries to sell its own approach and consequently this concept’s fight creates unnecessary confusion. In fact, in order to avoid such confusion, big corporations and organizations create Lexicons, to consolidate and facilitate their methodologies, to be able to explain how a concept is translated. Obviously there is an interest in some definitions but anyone is adult enough to make the difference in between what is needed and what is not. So your call, take what is better for you and end up with your own conclusions.
Cuando se empieza a discutir de crisis, emergencias y similares, al final uno acaba teniendo la sensación de que esta en una mesa de trileros en mitad de la Gran Vía madrileña, mirando las cartas pasar sin darte cuenta de que básicamente te están timando. Vaya que cada uno te quiere vender su concepto o su sistema pero hay una gran confusión. De hecho ya para evitar esas confusiones cada organización debiera de editar sus diccionarios terminológicos, más modestamente lexicones, para que sirvan de traductor de lo que se presenta. Hecha la ley hecha la trampa, muchos se apresuran a compilar ese lexicón e ignoran lo que sucede a su alrededor. Bueno como ya somos mayorcitos, cada uno que lea lo que le apetezca y después saque sus propias conclusiones.
Three different sources for terms definitions: Aquí os cuelgo tres fuentes: DHS, ISO.org y UNITED NATIONS.
DHS (Department of Homeland Security),. http://www.dhs.gov/xlibrary/assets/dhs_risk_lexicon.pdf,
Aunque recomiendo enfervorecidamente la mía por supuesto (ver debajo) y la versión de vocabulario del ISO 31000 ISO Guide 73 Risk Management-Vocabulary, que para eso es el fruto de consenso internacional. Esta última hay que comprarla en www.iso.org.
Here attached you have the definition I made for in-house use, hope nobody else claims the copyright just please refer to the source in any case.
Por mi parte, totalmente propio, os paso una definición de términos básica que he elaborado para aplicación interna en Naciones Unidas en el marco de, como lo he hecho yo mismo espero que nadie de mis chicos me exija el copyright, solo os pediría que mencionarais la procedencia si lo usáis para lo que sea.
I truly believe they can be of benefit for you, of course adding your own internal corrections.
Creo que los tres pueden seros de utilidad con vuestras propias modificaciones sobre la diferencia a nivel de términos básicos.

Amenazas

José Miguel Sobrón

¿Está el mundo preparado para la nueva clase de amenazas que llegan?

Hace ya unos cuantos años que muchos especialistas se enfrentan al reto de actualizar el inagotable arsenal de “nuevos” riesgos a los que nos enfrentamos. Tarea harto difícil por no decir imposible en un momento de cambio como este. La realidad mundial dista bastante de parar de crecer cuando ni menos estabilizarse.

La pregunta del analista y a veces del directivo o gestor es: ¿Cómo se puede hacer frente a algo que sencillamente desconocemos? Es difícil Y lo es básicamente porque esta cambiando el set de reglas básicas. Hace ya un tiempo que para marcar esta diferencia se han acuñado términos como convencional y no convencional. Estas definiciones a veces son más confusas que clarificadoras y es porque claro, al cabo de pocos meses lo que llamábamos no convencional se ha transformado en algo convencional debido a que se ha integrado perfectamente en nuestra respuesta cotidiana.

El quid de la teoría es reconocer que la seguridad está evolucionando a una velocidad que es difícil de ser asimilada por el común de los mortales que nos vemos sobrepasados por tanto cambio conceptual y variada denominación. La realidad cambiante (jamás encontré un termino tan exacto para una situación como la seguridad actual) hace tambalear la mayor parte de todas las teorías concebidas en los últimos decenios. En realidad solo unas pocas son capaces de sobrevivir por lo evidentemente adelantadas a la realidad diaria. Sucede, que algunos de los que han conseguido interpretar de alguna manera esas lecturas han descubierto a la vez que es más rentable entrar en la nomina de los aspirantes a Nostradamus que en la de los simples teóricos de la seguridad. En un mundo tan atado a reglas y procedimientos es fácil caer en la tentación de buscar alternativas a una falta de atención escandalosa sobre las nuevas amenazas que nos rodean y que sin duda van a formar parte de las próximas complicaciones. Es, sin lugar a dudas más simple llamar la atención del editor si lo que cuento entra de lado en la conexión con lo paranormal o suena a ciencia ficción imposible, que si se basa exclusivamente en una interpretación concienzuda y a la vez artística del arte de la guerra, eso desgraciadamente no vende. Reconoceré que siempre llamará más la atención del público en general un titular de libro que conecte la sapiencia de Nostradamus con nuestros egos voraces de saber el futuro, que uno que sencillamente mencione el trabajo de un investigador que se ha dedicado a profundizar en el análisis.

Ahí esta el reto de la mayor parte de los nuevos teóricos de la seguridad ser capaces de innovar y convencer a la vez. La seguridad no es una ciencia perfecta sino mas bien un arte y como buen artista, la vida desde el completo anonimato hasta el reconocimiento es dura y plagada de desagravios abonados de incomprensión y mediocridad. Como no soy teórico, quedo libre de la vida del artista y me limitaré simplemente a intentar explicar qué es lo que esta cambiando en materia de seguridad y defensa que deja perplejos a gran número de dirigentes y lideres en su aproximación a la comprensión del fenómeno actual.

Sucede por un lado que debemos de dejar de buscar explicaciones a lo que ya hace bastante tiempo es un hecho constatable: la seguridad de hoy no tiene nada que ver con la de hace quince años. El camino comienza por intentar seriamente ser más abiertos y dar un paso más valiente en la comprensión de esta nueva realidad. Siempre me ha hecho sonreír este concepto tan anglosajón de “thinking out of the box”. El problema es que por definición no hay “box” desde hace bastante tiempo y algunos todavía ni se han enterado, luego es ya hora de articular otro término que sirva de verdad a nuestros propósitos con más eficacia. A mi me gusta el de piensa en 360 porque básicamente no limita o el más sencillo de abre tu mente. Bueno sin más me intentaré adentrar en la definición de nuestro universo de amenazas para poder vagamente mediante una clasificación por eliminación entender donde nos encontramos.

El analista de seguridad, que normalmente es una persona absolutamente práctica, evita a toda costa perderse en el batiburrillo de lo intangible por dos razones: la primera ganará tiempo al evitar conjeturar en exceso y la segunda evitará ser despedido porque su tremendamente experimentado jefe no quiere tener que estar explicando conceptos que sabe de antemano que su Jefe Ejecutivo no va a comprender o no podrá justificar delante del Consejo Directivo. Somos pues los propios expertos los que empequeñecemos sobremanera la visión de lo que nosotros vemos porque reducimos ex profeso el abanico de lo que presentamos, por lo intangible de lo desconocido o difícil de explicar. Eso hace que la mayor parte de los neófitos acaben convenciéndose del limitado universo en el que nos movemos, lo que se conoce hasta ahora me refiero.

Vamos a explorar el universo real de una forma sencilla. Definamos solo dos dimensiones básicas: Conocido/desconocido y Predecible/Impredecible.

Esto automáticamente define cuatro sectores como refleja la figura. Este es el primer momento de acercamiento al problema ya que de todas las posibles opciones vamos a identificar aquellas que son previsibles. Este será el concepto nexo fundamental que siempre marca nuestra tarea, la capacidad de predecir acontecimientos. A posteriori veremos que lo fundamental no es sólo predecir sino combinar la capacidad de predicción con la capacidad de reacción. Analicemos pues sobre estas dos dimensiones las posibilidades de predecir (con éxito claro está).

Sector 1 Predecible y conocido. Este es nuestro mayor campo de actuación y el que definimos tradicionalmente como “convencional”. No entrare en este momento en el análisis detallado de este sector sino en una mera explicación de las características del mismo para evitar perdernos en el detalle. Incluso siendo el sector más ampliamente conocido de los que vamos a definir, no es ni mucho menos conocido al 100%. Tenemos una idea bastante detallada de su funcionamiento y la mayor parte de sus amenazas se podrían describir como lineales sin cambios de dirección significativos por lo general, hasta 1991, después todo se ha complicado bastante. A partir definitivamente de la caída del muro de Berlín se inicia una serie de procesos cuya tendencia inmediatamente posterior es simplemente incalculable que no impredecible. Desconocemos su dirección y magnitud porque desconocemos lo que podrá controlarlo, la capacidad de reacción. Lo que más nos sorprende de estos fenómenos es su carácter vectorial, su cambio de dirección una vez iniciados por salirse precisamente del área de expectativas previstas no porque nos sean desconocidos sino por la trayectoria inusual o sorprendente.

Sector 2 Impredecible y conocido. Este es el área en la que los fenómenos que se suceden, por la falta de costumbre, nos sorprenden. No hay una ausencia de casos reales simplemente no les habíamos prestado atención o era irrelevantes para nuestro análisis Los conocemos pero hemos llevado a cabo lo que podríamos denominar una análisis de economía de medios y hemos decidido aparcarlos en al área de puede que pero no creo o si yo lo creo no tengo la suficiente base para explicar mi intuición. Es aquí donde empieza a tomar forma la teoría del shock. Ya entraremos en detalle mas tarde en que consiste esa teoría o teorías Aquí podemos encapsular todo aquello que los clásicos denominan Ciencia ficción: Todo aquello que es imaginable por nosotros (por ende es posible, conocido e impredecible) pero que nuestro sentido común o experiencia (raya que define hasta donde puedo llegar defendiendo una opción sin caer en el descrédito social de la comunidad) nos definen como impredecible. No siempre son realmente impredecibles sino inaceptables dentro de los niveles de aceptación general por lo que es más sencillo definirlos así. Aquí somos nosotros mismos quienes decidimos limitar nuestra capacidad de predicción por razones prácticas o simplemente sociales.

Sector 3 Predecible y desconocido. Esta opción demuestra claramente que la capacidad de predicción del ser humano es bastante limitada. No tenemos el control sobre la capacidad de imaginar o no, simplemente no lo podemos conocer. Esto no es realmente cierto en realidad. Seria mejor decir que la mayor parte de nosotros es incapaz de verlo o siquiera imaginarlo. Sí que hay individuos que han traspasado ese nivel y que son realmente capaces de tener una idea aproximada del concepto. Aquí entra la osadía del individuo en juego para ser capaz de romper la barrera del conocimiento actual y ponerlo a disposición del resto, es lo que se viene conociendo comunmente como “descubrimientos”. Es en este sector donde encontramos los visionarios o privilegiados que son capaces de ir mas allá del resto de todos nosotros para presentarnos sus teorías. Para evitar malentendidos, sirva este ejemplo para marcar la diferencia entre los visionarios innovadores (presenta un trocito del área desconocida a los demás) y los literatos de lo impredecible (los que hablan de áreas ya conocidas pero generalmente descartadas por la experiencia o no probadas como válidas). Ambos tienen un mérito incalculable, pero evidentemente diferente en su concepción. No pretendo en absoluto compararlos simplemente definir su área de actuación.

Sector 4 Desconocido e Impredecible. Todo aquello que pasa al lado de nuestra existencia sin siquiera percibirlo y que además la probabilidad de que suceda a pesar de nuestro desconocimiento es mínima. Este es nuestro mayor agujero en materia de seguridad porque sin lugar a duda será el que provoque estupefacción en los que tengan que reaccionar a la amenaza y se trata de minimizar el tiempo de shock, no seremos capaces de eliminarlo pero si de reducirlo. A diario millones de pequeñas cosas nos sorprenden, pero dado que tenemos una capacidad limitada de procesamiento, nuestro cerebro, consciente e inconscientemente la mayor parte del tiempo, se encarga de aparcarlos para poder ser capaz de mantenernos concentrados en tareas bastante mas básicas de supervivencia, como por ejemplo ser capaces de llegar a tiempo al trabajo sin detenerme en cada sorpresa que me encuentro, pragmático ¿no?.

Hasta aquí lo que el Secretario de Estado Robert Gates define estupendamente con sencillas palabras. Lo que sé que sé, lo que sé que no sé, lo que no sé que sé y lo que no sé que no sé. Impactante y sencilla visión, e impactante el coraje de decirlo a pesar de que no es tan obvio como parece.

Nos hace falta un concepto más, que regula imperativamente el desarrollo de cualquier teoría, al menos hoy. Este factor que define la componente tridimensional del estudio de las amenazas, es el tiempo: la escala de tiempo como conocida hasta ahora (no entraré en dimensiones superiores para evitar perdernos sin haber siquiera comenzado, pero hay sin duda otras dimensiones intervinientes). El tiempo hace que valores determinados permuten sus sectores de pertenencia. Es importante recordar que toda amenaza “nueva” acaba integrándose en la colección de amenazas convencionales, es solo una cuestión de tiempo. Y también es importante recordar que no siempre lo desconocido se podía haber previsto solo por conocer su existencia.

El tiempo hace que nuestro universo de amenazas se amplíe como si de un cono se tratara, no solamente lo predecible y conocido aumenta, cada vez que lo hace aumenta en la misma proporción el resto de sectores. Efectivamente la dimensión de aumento no es lineal, no se trata de un cono perfecto sino de una aproximación teórica para intentar aproximarnos a la comprensión del fenómeno.

Todo aquello que simplemente todavía no existe o no ha sucedido es futuro tal y como lo conocemos ahora. Eso significa que los cuatro sectores que hemos definido anteriormente adquieren una dimensión mucho mayor con el paso del tiempo. El crecimiento en la línea temporal aumenta exponencialmente ya que hoy somos incapaces de regular o controlar el devenir de los acontecimientos en la línea del tiempo, no se puede parar. Probablemente llegará el día en el que sí que sea más factible andar por esa línea de tiempo, pero no lo hemos podido demostrar aún en el terreno de lo práctico. Por mucho que nos empeñemos la función que define la relación entre el paso del tiempo y el crecimiento de cada sector nos es desconocida, no sabemos de su magnitud. Si algún día llegamos a ser capaces de demostrar que efectivamente hay funciones que definen estas áreas de conocimiento, seguramente no serán funciones simples, pero eso esta todavía por ver.

Es importante no olvidar que lo que presento es un constructo teórico, se trata simplemente de un modelo visual que nos ayuda a comprender el concepto, es decir la realidad no tiene porque ser de esta manera y evidentemente puede ser absolutamente asimétrica (palabra mágica que define áreas de reducido/limitado conocimiento). En este punto defino la asimetría como matemáticamente se hace asimetría: que no es exactamente igual en dos partes presupuestas idénticas. No soy capaz de definir el nivel cuantificado de asimetría, eso está todavía lejos de mi capacidad de análisis y predicción. Lo importante de esta asimetría no es la cantidad sino la capacidad que nos da de dejar el espacio entreabierto a nuevas opciones, ese es el verdadero valor de la asimetría, nos permite asumir otros constructos sin tener que permanentemente asumir errores en la verificación de nuestras hipótesis. Básicamente es una pequeña trampa para ganar tiempo.

Hasta ahora nada nuevo bajo la capa celeste. Bueno lo nuevo es que somos capaces de no aturullarnos entre tanto concepto y que hemos intentado simplificar o limitar la presentación de las amenazas de una forma un poco mas visual.

¿Cual es la motivación para organizar las amenazas de esta manera?, primero comprenderlas mejor aunque las desconozcamos inicialmente y segundo ser capaces de preparar una reacción más normalizada con un plan mucho mas abierto a impensables y que no se deje intimidar por la situación.

Próxima tarea

Después de haber definido someramente cuales sin las diferencias básicas entre las amenazas actuales- recordar que se trata exclusivamente de un modelo de comprensión- el siguiente par de pasos pueden ser como siguen: Catalogar cada sector (y merece la pena el esfuerzo compilatorio) y desarrollar las técnicas básicas que nos conduzcan a una mejor solución de los problemas que se nos plantean.

Verdaderamente necesitaremos un grupo de expertos que sean capaces de destripar en detalle cada sector. Las tareas compilatorias son de por si aburridas y tediosas, salvo que el equipo sea lo suficientemente polifacético como para poder combinar diferentes puntos de vista.

Antes de entrar en materia deberíamos analizar cual es la base de los errores de método que se llevan a cabo hoy en día.

Nueva York, Enero de 2009