Vivimos tiempos difíciles en los que nos enfrentamos a situaciones que parecen escapar a nuestro control. Estas situaciones parecen repetirse a lo largo del tiempo causando innumerables daños personales, económicos y materiales. Pero lo inesperado e incluso lo imposible, a veces nos permiten vislumbrar su aparición. Es necesario que tomemos nota de este hecho y de que tomemos las medidas necesarias para prever lo inesperado y que hagamos planes para poder reaccionar cuando nos enfrentemos a las situaciones difíciles.
Si en algo parece estar empeñado tercamente el universo a lo largo de los últimos años es en demostrarnos que en todo momento, en nuestro entorno (empresarial, familiar, personal, …) se producen multitud de situaciones que parecen escapar (y de hecho muchas veces escapan inexorablemente) a nuestro control.
El cuadro que se acompaña muestra únicamente aquellos fenómenos naturales (inundaciones, terremotos, tifones, huracanes, etc.) que se han producido en el mundo a lo largo de los últimos 15 años.
Destacan, de los datos contenidos en dicho cuadro, tres temas:
La continuidad de esos fenómenos a lo largo del tiempo (la media anual de “eventos” naturales es de 270; y eso sin tener en cuenta los datos relativos a los últimos años que según algunas fuentes multiplican esa media[1]).
La enormidad de las consecuencias, tanto sociales (muertos, desplazados, pobreza, etc.) como económicas de dichos fenómenos (con una media anual de 190 mil millones de dólares en pérdidas).
La existencia (no me atrevo a decir que aleatoria) de eventos puntuales con un impacto destructivo terrible, tanto por sus consecuencias sobre la vida de personas, como por sus efectos económicos (el huracán Katrina en 2005, el terremoto de Sichuan en 2008 o el terremoto y posterior tsunami de Japón en 2011, parecen ser claros ejemplos de ello).
Otro tema que debería llamar nuestra atención por su importancia en cuanto a las consecuencias que tienen este tipo de fenómenos es su cobertura global (ver mapa).
Dejemos esto a un lado y hablemos ahora de otro tipo de desastres más ligados a la mano del hombre. Hablemos de ciberdesastres.
El cuadro que se muestra[2] nos da una idea muy clara del crecimiento exponencial que ha sufrido este fenómeno a lo largo de la última década.
Las cifras del gráfico sólo corresponden a “grandes” ciberataques.
La realidad es que se producen multitud de ataques a todos los niveles, a lo largo del año.
En un artículo publicado en junio de 2017[3] que citaba fuentes del IC3 (Internet Crime Complaint Center, del FBI), se cifraba en 1.330 millones de dólares las pérdidas sufridas por ciberataques en todo el mundo a lo largo del año 2016.
Una situación que, como puede verse en el gráfico, no ha hecho más que empeorar[4] y cuyas perspectivas para este y los próximos años son igual de malas.
Como si las catástrofes climáticas y naturales o las catástrofes provocadas deliberadamente por la acción del hombre no fueran suficientes, este año hemos tenido que hacer frente a la pandemia del COVID-19.
No me parece oportuno hablar de los efectos humanos y económicos de este fenómeno porque es un tema reciente (y se necesita perspectiva y calma para analizarlo), porque no ha finalizado aún y porque en la actualidad tenemos serias dificultades para valorar adecuadamente los daños reales (a todos los niveles) causados por la pandemia.
Después de las catástrofes (no importan si son tecnológicas, naturales, ambientales o epidemiológicas) todo se ve muy claro. “Las señales estaban ahí” dicen muchos. Y en efecto muchos fenómenos (especialmente los tecnológicos o los sociales y económicos) nos dejan tímidas señales (miguitas de pan en la espesura del bosque) que en algunos casos son imperceptibles e incluso imposibles de detectar, y en otros son claros y diáfanos.
Pero si no estaban o no eran claras las señales, da lo mismo. Ya habrá quien se encargue de aclararlas o de hacerlas parecer nítidas.
Pero esto no es lo que me importa para este artículo. Todo esto eran solo datos.
Lo que mi importa es el antes y el después. O viceversa.
¿Hay alguna lección que podamos aprender de toda esta historia? ¿Hay algo que podamos hacer frente a estas u otras situaciones?
Sí. Yo lo resumiría en: Hay que esperar siempre lo inesperado. Y esto me trae a la memoria lo que leí hace muchos años en un manual de táctica militar en relación a la disposición de las fuerzas en una situación de defensa, y que decía algo así como: dispón tus fuerzas previendo el ataque más probable, pero teniendo en cuenta siempre el ataque más peligroso que puedas recibir.
¿No deberíamos interiorizar este principio en la gestión de las organizaciones?.
Una primera implicación práctica de este principio es la necesidad de escanear continuamente nuestro entorno; todo nuestro entorno. Porque algunas señales, de algunos eventos, sí las hay. Y eso implica que debemos despegarnos del día a día, del corto plazo y nuestro entorno inmediato y mirar más allá (no en el futuro, sino en el presente).
Mirar no sólo hacia aspectos del entorno que en algunos casos ya cubrimos habitualmente con nuestra gestión (los mercados financieros, el mercado y las tendencias de los clientes, o las evolución de los productos y servicios que ofertamos); sino también hacia ámbitos que no consideramos o sobre los que pasamos sin recabar información relevante (el ámbito tecnológico, la innovación y el desarrollo, los procesos, los recursos humanos, el ámbito institucional y regulatorio, el entorno económico o el entorno social).
Una segunda implicación es la necesidad de marcarnos (dentro de un modelo de gestión[5]) objetivos y metas concretas a conseguir una vez que hayamos analizado toda la información que nos aporte nuestra búsqueda y que, sin duda, tiene dos beneficios. El primero que nos retroalimenta hacia la búsqueda de información y el escanéo del entorno, dado que nos permite clarificar lo realmente importante para nuestra actividad. Y el segundo, no menos importante, que nos catapulta hacia el futuro, dado que nos permitirá descubrir o al menos vislumbrar tendencias o patrones que permanecen ocultos, pero que se manifiestan en el día a día antes del desencadenamiento del “evento” definitivo.
La tercera implicación, consecuencia de todo lo anterior, es que tendremos que hacer planes y tomar decisiones y reaccionar con anticipación y modulando nuestras medidas en función del grado de criticidad y del grado de certeza de las amenazas.
Y siempre mirando y teniendo en cuenta en nuestros planes, aunque sea con el rabillo del ojo y por absurda que parezca, a la peor situación concebible (posible o imposible).
[1] Por ejemplo, Munich Re (empresa de reaseguros) eleva el número de eventos en 2018 a 850 (terremotos, erupciones volcánicas, tifones, sequías, …) y a 740 las ocurridas en el año 2017; y la media del período 2008-2017 a 630. The Natural disasters of 2018 in figures. 8 de enero de 2019. https://www.munichre.com/topics-online/en/climate-change-and-natural-disasters/natural-disasters/the-natural-disasters-of-2018-in-figures.html
[2] Fuente: Infosec Insight. 42 Cyber attack statistic by year: a look at the last decade. Febrero 2020. https://sectigostore.com/blog/42-cyber-attack-statistics-by-year-a-look-at-the-last-decade/
[3] Las víctimas de ciberataques perdieron 1,33 mil millones de dólares en 2016. Sabrina Pagnotta. We live Security. https://www.welivesecurity.com/la-es/2017/06/28/victimas-ciberataques-millones-dolares/
[4] Fuente: Fuente: Infosec Insight. 42 Cyber attack statistic by year: a look at the last decade. Febrero 2020. https://sectigostore.com/blog/42-cyber-attack-statistics-by-year-a-look-at-the-last-decade/
[5] Un modelo que, como todos los modelos, será imperfecto, pero que nos permitirá gestionar el presente y el futuro de nuestra organización. Y que deberá complementarse con los planes de contingencia antes las diferentes posibilidades (o imposibilidades) que enfrentemos. A estos efectos es clarificante la visión aportada por Sarun Charumilind, Anas El Turabi, Patrick Finn, y Ophelia Usher en su artículo “Demystifying modeling: How quantitative models can—and can’t— explain the world”. McKinsey & Company. 2020