/ Enero-Febrero 2026 182 Opinión en decir “paramos”. Y, mientras tanto, el impacto crece. Por eso, la seguridad que realmente protege a la organización no es solo la que opera bien, sino la que está integrada en el gobierno corporativo y en los comités de crisis, conectando riesgo, negocio y reputación. Un departamento de seguridad maduro, integrado en la gestión de riesgos y con visión estratégica, incrementa de forma directa la resiliencia organizativa y la capacidad de la empresa para sobrevivir, adaptarse y competir en entornos cada vez más difíciles. Entendimiento del BCM El Business Continuity Management (BCM) es, probablemente, uno de los ámbitos más malinterpretados de la gestión de riesgos. En su versión más débil, el BCM se reduce a checklists, auditorías periódicas y ejercicios diseñados para cumplir, no para aprender. Se mide en KPI que funcionan en informes, pero no en crisis, ya que ese BCM genera una falsa sensación de control. Un BCM útil es otra cosa. No se centra en el documento, sino en la capacidad de activar decisiones. Define criterios claros de activación, establece escalados reales y asigna responsabilidades inequívocas. No se pregunta “qué dice el plan”, sino “qué necesita saber el comité para decidir”. Aquí es donde marcos como ISO 22301 aportan verdadero valor, siempre que se entiendan como un sistema de gobierno y no como una norma a cumplir. La norma no es el objetivo; es el soporte para que la organización funcione bajo presión. Un BCM maduro no elimina la incertidumbre, pero reduce la improvisación. No garantiza que no haya impacto, pero evita que la respuesta dependa de personas aisladas tomando decisiones sin respaldo. Marcar la diferencia Cuando ocurre un incidente relevante, los primeros sesenta minutos son determinantes. No por las acciones técnicas, sino por tres decisiones clave que suelen definir el resto del evento. La primera decisión es quién lidera y quién decide. No quién informa, sino quién tiene autoridad real. Cuando este liderazgo no está claro desde el inicio, la respuesta se fragmenta y el tiempo se pierde en validaciones innecesarias. La segunda decisión es qué se comunica y cuándo. La falta de comunicación no reduce el riesgo, lo traslada. Internamente genera incertidumbre y, externamente, deja espacio a interpretaciones que dañan la reputación. Comunicar no es precipitarse, es gobernar el relato. La tercera decisión es qué operaciones se priorizan y cuáles se detienen. No todo puede mantenerse en marcha durante una crisis. Decidir qué parar a tiempo suele ser menos costoso que sostenerlo hasta que el impacto sea incontrolable. Estas decisiones no se improvisan. Existen, o no, en función del modelo de gobierno que la organización haya definido antes del incidente. Liderazgo para decidir Durante años se ha hablado de resiliencia como una cuestión tecnológica: más sistemas, más redundancias, más herramientas. Todo eso es necesario, pero no suficiente. La resiliencia real es una capacidad organizativa. Es la madurez para decidir bajo presión, con información incompleta y con impacto real sobre las personas, las operaciones y la reputación. Es liderazgo entrenado, no reacción instintiva. De cara a SICUR 2026, el reto ya no es demostrar que tenemos planes, sino que sabemos usarlos cuando dejan de ser cómodos. La seguridad corporativa y el BCM no pueden limitarse a proteger activos; deben proteger la continuidad del negocio y la confianza en la organización. Porque cuando llega la crisis, la pregunta no es si el plan existe. La pregunta es si alguien está preparado para decidir.
RkJQdWJsaXNoZXIy MTI4MzQz