La Capacidad de Adaptación, Mitigante del Riesgo
A principios de mes, salió en Gestión un interesante artículo sobre las pérdidas de muchas empresas europeas a causa de los ciberataques de los últimos “ransomware” WannaCry y Petya, que generaron, entre otros problemas, severas pérdidas de ventas y desorden organizacional; se mencionaba sin embargo un caso positivo que comentaré y que tiene mucho que ver con la capacidad de adaptación como una manera de mitigar los riesgos. Ya había mencionado ese factor en varios posts, como en los dedicados en julio y agosto del 2015 a las actitudes anticíclicas de ciertas empresas, o el dedicado a la importancia de las sedes alternas en julio último.
En dicho artículo de Gestión, se resaltaba el caso de la empresa ferroviaria alemana Deutsche Bundesbahn, que creó “una fuerza cibernética de acción rápida de especialistas en TI con experiencia en amenazas digitales…disponibles las 24 horas ante la eventualidad de futuros ataques”. Ese es un excelente caso de capacidad de adaptación a la aceleración y multiplicación de las amenazas cibernéticas en estos últimos tiempos, pues se ha tomado acción de manera inmediata, y con la fuerte conciencia de que no se puede bajar la guardia un solo minuto.
Según varios medios especializados, la mayoría de las empresas, aunque buscan reforzar sus defensas, están siendo algo lentas en tomar acción, hay todavía como una cierta reticencia a invertir más dinero en mejorar las defensas, lo que se ve como “mayor costo de hacer negocio”. Es una manera de ver las cosas. También se podría verlo de otra manera: la cibercriminalidad no es nada nuevo, es algo que seguirá perfeccionándose de todas maneras, y siempre aparecerán nuevos tipos de amenazas. En realidad, desde que se ha extendido el internet, es parte de los riesgos intrínsecos del negocio, así como hace siglos, para los comerciantes internacionales, la alta frecuencia de los naufragios de sus barcos y pérdida de su carga por obra de la naturaleza o de los piratas y corsarios eran parte de los riesgos intrínsecos del negocio. Visto así, la adaptación mental es mucho más rápida: el internet es parte del “ecosistema” de los negocios, con sus enormes ventajas, pero también sus riesgos y amenazas; gastar en tener buenas defensas es un costo normal, no un “sobrecosto” o “nuevo costo”.
Conozco de casos extremos de falta de capacidad de adaptación, bastante frecuentes: hay áreas de TI a las cuales, a pesar de incidentes periódicos, no se les da la capacidad de tener personal en “vigilancia informática” las 24 horas todos los días de la semana; fácil en ese caso atacarlas de noche y que se queden horas sin reaccionar. La razón principal es que claro, eso cuesta; la otra es: “pero en x años sólo nos ha sucedido un par de veces, mucho gasto para algo poco probable”; a primera vista, se ve razonable, pero el problema es que un solo ataque puede ser suficientemente poderoso para ser fatal.
Otro ejemplo de falta de capacidad de adaptación: muchas veces cuando la actividad de una empresa o entidad crece, la “capacidad de almacenamiento” de data (o “espacio en el disco” si prefieren), se va quedando corta. Lo normal sería incrementar esa capacidad. Pero muchas áreas de TI “pasan las de Caín” para que se haga esa inversión, siempre habrá gente trabando y diciendo que la única solución es eliminar data antigua para “liberar espacio”. El problema es más complejo: por supuesto que hay data que se puede eliminar, y es bueno hacer “limpieza periódica”; pero no se debe llegar hasta eliminar data que sí es indispensable vista la naturaleza de una entidad y de su actividad, que es a veces de crecimiento inevitable. Hace algo menos de 1 año un medio periodístico muy conocido pero a menudo descuidado por “representar un pensamiento político muy minoritario” (en gestión de riesgos ningún medio debería ser descuidado; aún con sus sesgos pueden estar dando información muy cierta, que incluso se queda corta frente a la realidad) publicó un artículo titulado “Memorias del subdesarrollo” o algo así, sobre los problemas de capacidad de almacenamiento de data que estaba conociendo una entidad pública muy importante para la vida diaria de mucha gente, afectando a muchos administrados, y cómo internamente el área de TI veía bloqueados sus pedidos; y había varios ejemplos de pérdida de data y otros incidentes operativos bastante serios; ignoro si ya superaron el problema o no, pero visiblemente había ahí un caso flagrante de falta de capacidad de adaptación: hay empresas o entidades, donde, por naturaleza, el stock de información indispensable acumulada crecerá de todas maneras, guste o no.
He utilizado aquí ejemplos que tienen que ver con la temática informática, pero en realidad, este tema de la falta de capacidad de adaptación como agravante del riesgo, y a la inversa positiva, de la capacidad de adaptación como mitigante del riesgo, se ve en todas partes, en todo tipo de actividades, y con muchos ejemplos históricos. A continuación, una pequeña lista, entre positivos y negativos para ilustrar mejor el tema, que puede verse en toda categoría de riesgos:
. Noviembre del 1997: estamos en la Crisis Asiática, y uno de los países más afectados era Indonesia; estaba siendo cada vez más obvio que el plan firmado tempranamente con el FMI (y que había generado la impresión de que dicho país no sería muy afectado), no estaba funcionando y que incluso una de las medidas preconizadas ya estaba generando efectos perversos por la manera en que eran aplicadas, sobre todo “corridas bancarias” en bancos medianos. Pero todavía había bancos que pensaban que podían seguir aumentando su exposición, muchos funcionarios se habían quedado en el “business as usual”; evidentemente les costaba muchísimo aceptar la nueva realidad, que esa crisis era muy seria, recién empezaba, y sería algo duradero. Por el contrario, muchos otros funcionarios bancarios ya estaban convencidos de que la situación iba a empeorar y tomaron las medidas necesarias a tiempo. Otro buen ejemplo de capacidad de adaptación en esa crisis fue que en algunos bancos, unos funcionarios propusieron “adelantar” en las cuentas 1997 mediante una provisión global “ad hoc” las enormes provisiones por malas deudas que ya se avizoraban para 1998, y los supervisores bancarios europeos también tomaron esa posición, zanjando felizmente pronto los debates internos; ahí, aparte de los que se opusieron al comienzo, los que mostraron cierta dificultad para adaptarse a esa manera de provisionar, fueron ciertos auditores externos, todavía “prisioneros” del tradicional provisionamiento individual cuando ya hubiese atrasos; desde el punto de vista de la gestión del riesgo no hacer esa provisión “asiática” (sobre la cartera de 5 países) hubiera sido absurdo; 1998 fue como se avizoraba: horrible
. Mar de Aral, en la ex Unión Soviética; algunos sabrán que en realidad de este no queda gran cosa, la mayor parte se ha secado. Durante muchos años se estimuló a fondo diferentes cultivos, sobre todo el de algodón, usando a fondo el agua de dicho Mar interior, el 4to lago más grande del mundo, con el desvío de 2 ríos para irrigación; en un momento dado y pronto se empezó a notar que su superficie se estaba reduciendo, numerosos científicos alertaron al gobierno soviético de lo que iba a pasar si se seguía esa producción desenfrenada; este no hizo ningún caso, lo mismo pasó con varios de los nuevos países independientes a partir de 1991, y ya se vio el resultado, ahora queda menos del 10 %, y además es tóxico; este tipo de actitud respecto del agua como recurso es muy común; en esos momentos conozco de otra ex república soviética que está viendo su principal acuífero subterráneo reduciéndose rápidamente por un crecimiento desordenado de la minería y una tala “legal” e ilegal desenfrenadas, y el Estado parece no tomar cartas en el asunto a pesar de numerosas alertas. Por el contrario, en Francia hace tiempo que están viendo cómo adaptarse al cambio climático, y sus consecuencias sobre el agua, y los incendios forestales por ejemplo; con modelos muy sofisticados ya han detectado períodos de sequías más largos y una fuerte elevación de las temperaturas promedio y record de aquí al 2050, sabiendo que es algo que ya se ha estado produciendo en los últimos años; hay viticultores que ya están produciendo en el sur de Inglaterra porque con el aumento de la temperatura en su área tradicional sus vinos estaban siendo “deformados” por un mayor grado de alcohol (hay una corriente de agricultores que todavía es negacionista y se resiste a esfuerzos de mitigación, pero es minoritaria). Alemania es otro país que está muy avanzado en este tema desde hace mucho tiempo, y parte de su cooperación está muy enfocada a la adaptación al cambio climático.
. Este es un problema que viene de una combinación de la crisis económico-financiera empezada en el 2007 y que empeoró en Europa en el 2010, causando un cortejo de recortes del gasto público en numerosos rubros, y del reforzamiento del terrorismo islamista con la guerra civil en Siria y la creación de Daesh (o ISIS, o EI). El número de terroristas europeos (de origen musulmán o conversos) hiper entrenados, con su experiencia en Siria e Irak, aumentó de manera exponencial justo cuando en muchos países europeos se recortaban los presupuestos disponibles para la inteligencia y la seguridad interior junto con todos los otros recortes. No pudo haber peor momento para ello, como ahora se reconoce, y fue un clamoroso caso de falta de adaptación (un riesgo operacional sistémico, parecido al sacrificar gastos de defensa justo cuando el vecino se arma aceleradamente para invadirlo a uno y no darse cuenta de sus intenciones). El ocuparse de la crisis económica y financiera como prioridad impidió en gran parte adaptarse rápidamente a las mutaciones y “modernización” del terrorismo islamista, que aparte de tener a mucho más gente entrenada, ha usado extensivamente las últimas técnicas de comunicación y propaganda via la web para reclutar y generar vocaciones de “lobos solitarios”, Se han tomado una serie de medidas de excepción y Francia ha sido la más rápida en hacerlo (así como luego de la ola de atentados de 1995-1996 logró que durante muchos años no hubieran atentados en su territorio a pesar de los constantes intentos islamistas) pero la adaptación a la nueva situación no está terminada, por ejemplo en lo que respecta a la detección temprana de personas ya radicalizadas que antes era más “fácil” (la policía francesa tenía infiltrados en ciertos lugares clave y los terroristas operaban en grupos más grandes), y al cómo neutralizarlas a tiempo. Este es el nuevo gran desafío, pues el derecho penal clásico no sirve para casos así. A mucha gente en Europa todavía le cuesta acostumbrarse a la idea de que esta es una nueva guerra de un nuevo tipo que durará muchos años, y que se necesitará una forma de estado de excepción permanente, guste o no, hasta que la amenaza esté totalmente liquidada; porque acá no hay paz posible visto el llamado universal de Daesh “a todos los desquiciados ultra-violentos y violadores de la tierra” a unirse bajo su bandera; varios de los atentados más mortales, así como sus actos en los territorios que ocupan o han ocupado muestran un odio espantosamente feroz hacia las mujeres; esto recuerda más la manera cómo los movimientos totalitarios reclutan y atraen especialmente a lo peor del lumpen, como milicias, por ejemplo, y cómo a veces llegan a ocupar posiciones de poder personas que en países normales pasarían toda su vida en la cárcel o en asilos psiquiátricos de alta peligrosidad; pero con el componente adicional del “suicidio espectacular y glorioso” como alternativa atractiva para los más autodestructivos. Hay ahora “establecimientos de desradicalización”, algo así como los hay de desintoxicación para los drogadictos y alcohólicos, pero dudo que funcione para personas “ya radicalizadas”. No olvidar su culto por la violencia; es como los SA y los SS de los Nazis: totalmente irrecuperables; como esos feminicidas totalmente incapaces de arrepentirse.
. Francia ha sido muchas veces un modelo de rápida capacidad de adaptación en el campo de la seguridad; crearon además ciertas técnicas de guerra anti-subversiva, que han sido imitadas con éxito en otras partes después; y la manera cómo logró neutralizar rápidamente los diversos intentos de Gaddafi de controlar varios países de África es algo poco recordado, sin contar el tremendo giro que le dieron a la guerra en Bosnia, cuando el Presidente Chirac, apenas en funciones, ordenó directamente a los “cascos azules” franceses retomar inmediatamente un puente clave de Sarajevo a los serbios (27 de mayo 1995), que no esperaban semejante contraataque efectuado por encima de ciertos trámites burocráticos, y justo después propuso a (y obtuvo de) la ONU la creación inmediata de una “Fuerza de reacción rápida” (FRR; franco-británica) para proteger a los “cascos azules”. Cabe recordar que de 1984 a 1999, Francia tuvo dentro de sus FFAA una Fuerza de Acción Rápida (FAR) que intervino en varios frentes. El concepto utilizado por la Deutsche Bundesbahn contra los ataques cibernéticos suena parecido, ¿no?
Paso por último a dar un buen ejemplo muy peruano de pronta capacidad de adaptación en medio de una crisis, y que no está siendo suficientemente reconocido. Cuando estalló la crisis del Niño Costero, en muy poco tiempo:
. como el SINAGERD ya venía teniendo problemas de funcionamiento, debido sobre todo a un rol dominante para los gobiernos sub-nacionales, que han mostrado muy reducida capacidad en el tema, se creó desde el Ministerio de Defensa un COEN ad hoc que fue utilísimo para la atención inicial de la emergencia, luego el mismo Premier tomó el liderazgo de una task-force multi-ministerial ad hoc, y esas dos acciones permitieron que la atención del Niño Costero, donde la coordinación con las FFAA y con el sector privado fue excelente, fuera muy bien percibida, y se lograra movilizar a la gente, con un buen slogan, además. Y con gran rapidez se ha creado a la Autoridad para la reconstrucción con cambios (ARCC), con características muy ejecutivas, confiándola a una persona especialmente idónea. Todo este trabajo y el que venga van a servir de experiencia para mejorar el SINAGERD, seguramente, con la asistencia de la cooperación internacional; y el nombramiento de un nuevo contralor con altas calificaciones, muy conocedor de los temas de presupuesto y de inversión pública, que el Gobierno supo proponer igualmente con gran rapidez, debería ser de gran ayuda para mitigar el riesgo de corrupción
. gran parte del desafío todavía está por delante (la reconstrucción suele ser la parte más complicada), por supuesto, y siempre, en especial los damnificados, lo que es muy comprensible, se va a considerar que las cosas no van suficientemente rápido, y siempre habrá gente criticando por criticar por pura hostilidad personal o política, pero la manera como se manejó la emergencia, con medidas ad hoc, inspiradas del SINAGERD creado en el 2011 pero mejorándolo, y cómo la PCM retomó el liderazgo que le correspondía en el marco del SINAGERD, son encomiables. Esto fue algo reconocido en su momento, pero se diría que ya se está olvidando. No es porque no haya sido algo perfecto (nunca lo es) que no ha sido un logro que debe seguir siendo reconocido como tal. Y el actual Premier ha tenido un rol fundamental en ese logro. Así como el Presidente Santos, apenas llegado, tuvo un rol clave en “desatorar” la atención por el Estado, en alianza con el sector privado, de la terrible Niña 2010-2011 en Colombia (allá el equivalente del Sinagerd depende directamente de la Presidencia). Los mayores desafíos ahora son la reactivación económica y el restablecimiento de los medios de vida de la gente además de la reconstrucción stricto sensu, lograr romper las costumbres burocráticas tan arraigadas que siempre imponen una forma de “resistencia pasiva” y pueden transformar un procedimiento teóricamente ágil en un via crucis kafkiano, y lograr poner en jaque a la tremendamente extendida corrupción; ya se ha visto en el pasado que tenemos abundancia de “buitres” durante las fases de atención de los desastres.
En el Perú tenemos otros casos de capacidad de adaptación rápida, como la del sistema financiero y la de la SBS a la situación creada por el Niño Costero con diferentes medidas para ayudar a no empeorar las cosas en cuanto al riesgo crediticio. El MEF también ayudó en esta tarea con ciertos programas de apoyo muy focalizados a través de otras entidades o sectores.
O la manera del BCR de encontrar soluciones imaginativas para evitar fluctuaciones exageradamente volátiles del tipo de cambio; están como en un modo de vigilancia permanente, incluso hacen operaciones de mercado que agarran desprevenidos a los especuladores; tiene una agilidad muy notable y muy reconocida a nivel internacional. Sé que hay economistas que no aprueban ello, que dicen que la fluctuación debería ser totalmente libre, o que por el contrario se debería dejar subir el tipo de cambio por temas de competitividad. Pero ese es otro debate. Acá me concentro en el aspecto de la capacidad de adaptación rápida a cambios en la situación de los mercados y de los flujos de capitales.
Conclusión
Como ven, el tema de la capacidad de adaptación, como factor agravante del riesgo cuando no existe o falla, o como mitigante del riesgo, es transversal, se observa para todo tipo de riesgos (crediticio, operacional, de mercado, geopolítico interno y externo, de desastres, etc.). Hubiera podido dar muchos más ejemplos, pero ya con éstos pienso haberlo ilustrado de manera suficiente. Y seguramente se dan cuenta, de que muchos de los ejemplos extranjeros son también aplicables acá y de que lo que se hace en el campo militar y de la seguridad nacional también puede adaptarse a temas civiles.