El mapa de riesgos que nadie quiere actualizar

Hay una frase que escucho demasiado en los despachos de dirección: "Ya tenemos un plan de crisis". La dicen con la misma tranquilidad con que se menciona una póliza de seguro firmada hace cinco años. Y ahí está el problema: confunden tener un documento con estar preparados.

Llevo más de dos décadas gestionando crisis reputacionales para empresas, instituciones y personas con exposición pública. He visto cómo estalla una narrativa adversa antes de que el comité de dirección termine de leer el primer párrafo del informe de situación.

He acompañado a organizaciones que, con protocolos impecables sobre el papel, llegaron tarde porque su modelo de respuesta seguía siendo lineal en un entorno que ya operaba en paralelo, a tiempo real y en cinco idiomas simultáneos.

Lo que antes era suficiente, hoy es insuficiente. Y no es un matiz: es una brecha estructural.

El tablero ha cambiado. El mapa, no

Durante años, los mapas de riesgos corporativos se construyeron sobre un conjunto de amenazas más o menos estables: conflictos laborales, contingencias regulatorias, crisis de producto, algún capítulo de reputación online añadido con el tiempo, y, en los más avanzados, un bloque de ciberseguridad tratado como silo técnico, apartado de la gestión reputacional.

Ese modelo respondía a un mundo con más fricción, más tiempo de reacción y más compartimentos estancos. Un mundo que ya no existe.

Hoy existen cuatro ejes de riesgo que han dejado de ser excepcionales para convertirse en estructurales. No son amenazas emergentes: son la nueva normalidad del entorno en el que operan las organizaciones. Y cualquier arquitectura de prevención que no los integre de forma permanente está, sencillamente, operando con nostalgia.

El primero es geopolítico. La guerra de Ucrania no fue solo un conflicto territorial: fue el momento en que la geopolítica dejó de ser una conversación reservada a las cancillerías para convertirse en una variable de negocio.

Desinformación, ataques híbridos, disrupciones en cadenas de suministro, presión regulatoria cruzada, polarización social amplificada digitalmente. Todo esto impacta ya en empresas medianas, en marcas con huella pública y en la reputación de directivos que, hace cinco años, jamás habrían considerado la geopolítica como una variable de su gestión de riesgos.

El segundo es climático. Las danas, los apagones, los temporales extremos y los incendios no son metáforas de un futuro ESG: son disrupciones operativas presentes, con impacto directo en la continuidad de negocio, seguridad de personas, movilidad y , cada vez más, en la percepción pública de la capacidad real de respuesta de una organización. La gestión climática ha dejado de ser un apartado de compliance para convertirse en un indicador de credibilidad institucional.

El tercero es sanitario. La Covid nos dejó una lección que todavía no hemos procesado del todo: la velocidad del contagio informativo puede superar a la del contagio biológico. Una organización sin mecanismos de observación, verificación y respuesta coordinada ante una crisis de alcance global llega tarde aunque sus intenciones sean irreprochables. Y llegar tarde, en gestión de crisis, tiene consecuencias que ningún comunicado posterior puede reparar del todo.

El cuarto eje es cibernético, aunque en realidad atraviesa a los otros tres. Filtraciones de datos, ransomware, suplantación de identidad, campañas de desprestigio coordinadas, manipulación documental, doxing, accesos no autorizados.

Desde mi posición como perito judicial especializada en ciberinvestigación, puedo afirmar con base empírica lo que muchos todavía prefieren no escuchar: la indisposición cibernética no es un incidente puntual. Es un estado permanente de exposición. Y la diferencia entre una organización que lo gestiona y una que lo ignora no es técnica: es de criterio directivo.

Del informe a la alerta. Del dato a la decisión

El modelo de observatorio también ha cambiado. Durante años, el valor de la monitorización se midió en volumen de entregables: informes diarios, dossiers periódicos, fotografías del entorno más o menos bien redactadas y con frecuencia recibidas tarde. Ese modelo no ha muerto, pero ha perdido el protagonismo en contextos donde la crisis no espera al cierre del día.

Lo que el mercado exige ahora, lo que yo exijo en cada proyecto que gestionamos en OnbrandinG, es otra cosa: alerta, contexto, interpretación y recomendación accionable. No simplemente saber qué está pasando, sino entender qué significa, a quién afecta, quién lo está moviendo, con qué intensidad y con qué nivel de urgencia debe escalar internamente.

No es lo mismo una conversación marginal que una narrativa en aceleración. No es lo mismo un actor oportunista que un nodo coordinado. No es lo mismo una filtración técnica sin tracción pública que un incidente con capacidad de activar desconfianza social en cuestión de horas. Aprender a distinguirlo, y hacerlo con rapidez, es la diferencia entre anticiparse y reaccionar.

La jerarquización de señales no es un lujo metodológico. Es la competencia central de cualquier equipo que gestione reputación e inteligencia corporativa hoy.

Cintura real, no cintura de uralita

Hay una cualidad que en gestión de crisis se menciona mucho y se practica poco: la agilidad real. No como declaración de principios en una presentación de comité, sino como capacidad efectiva de mover estructura, relato y decisión sin rigidez burocrática.

Las crisis actuales castigan especialmente a las organizaciones enamoradas de sus propios procedimientos. A quien confunde tener un protocolo archivado con estar preparado. A quien, mientras la conversación pública escala tres pisos, sigue esperando "el informe de mañana". Y castigan también, esto lo digo con conocimiento de causa, a quienes creen que la gestión de crisis es responsabilidad exclusiva del departamento de comunicación, cuando en realidad es una competencia transversal que implica a dirección, legal, tecnología y operaciones al mismo tiempo.

Lo que hay que revisar, ya

Si diriges una organización con exposición pública, la pregunta no es si tu mapa de riesgos incluye estos cuatro ejes. La pregunta es si los tiene integrados de forma operativa, no como capítulos en un PowerPoint, sino como variables activas en tu modelo de decisión, , si tu sistema de monitorización genera alertas con criterio o simplemente acumula señales sin jerarquizarlas, y si tu equipo tiene la capacidad real de responder antes de que el relato adverso se consolide.

El riesgo no pide permiso. No respeta horarios. No distingue entre grandes y medianas empresas, entre marcas globales y perfiles personales con exposición pública. Solo distingue entre organizaciones que leen el entorno con precisión y organizaciones que llegan tarde.

Hay una diferencia enorme entre tener un mapa de riesgos y tener uno que sirva. El momento de revisarlo no es cuando llegue la crisis. Es ahora.