La seguridad corporativa no es un gasto; es una infraestructura estratégica que permite que el negocio siga funcionando cuando todo lo demás falla.

                                                                                                                                   Peter Bäckman

Durante más de treinta años, Peter Bäckman ha estado en la primera línea de la seguridad y la resiliencia en más de 70 países, apoyando a compañías Fortune 100 y organizaciones complejas en la protección de activos críticos y la continuidad de sus operaciones. Reconocido como Global Risk Influencer (2021, 2022 y 2024), Chartered Security Professional (CSyP) y asesor del sector privado ante el Centro de Operaciones de Emergencias (COE) de República Dominicana, ha sido un puente técnico entre empresas y gobiernos del Caribe y Latinoamérica. En esta conversación para la edición #19 de Factor de Éxito de New York, dedicada a la sostenibilidad, Bäckman explica por qué la seguridad deja de ser gasto operativo y se convierte en infraestructura estratégica para la permanencia del negocio, la gobernanza responsable y las alianzas público–privadas que realmente funcionan en crisis.

Después de más de treinta años trabajando en seguridad y resiliencia en más de 70 países, ¿en qué momento dejó de ver la “seguridad” como un costo operativo y empezó a verla como una condición estratégica para la sostenibilidad del negocio? ¿Hubo algún hito o crisis que cambiara definitivamente su perspectiva?

Para mí no hubo un momento “Eureka”. No fue una revelación súbita, sino el resultado acumulado de experiencia operativa en entornos reales.

En los primeros años, es fácil caer en la visión táctica y reducida de la seguridad corporativa. Ves al oficial, ves la cámara, ves el contrato de monitoreo. Y si lo presentas así, la organización también lo ve así: un gasto obligatorio.

El punto de inflexión llega cuando la experiencia te obliga a levantar la mirada y ver el ecosistema completo. Entiendes que la seguridad corporativa no existe para proteger activos, sino para proteger la capacidad organizacional de operar sin interrupciones. Dejas de vender dispositivos y empiezas a asegurar continuidad, reputación y desempeño financiero.

En ese momento la seguridad deja de ser un silo táctico y se convierte en una función estratégica, alineada con los objetivos de sostenibilidad, gobernanza y gestión integral del riesgo. Ya no hablas de cámaras ni de guardias; hablas de resiliencia, madurez operacional, dependencia crítica y obligaciones fiduciarias.

Y ahí ocurre el cambio clave: la seguridad corporativa deja de ser OpEx reactivo (lo que se compra a última hora cuando aparece una amenaza) y se convierte en CapEx estructural, una inversión que fortalece la arquitectura del negocio.

Porque cada vez que tratamos la preparación corporativa como gasto operativo, creamos Riesgo de Latencia: el intervalo peligroso entre identificar una amenaza y poder desplegar controles efectivos. Ese intervalo es lo que detiene operaciones, destruye confianza del mercado y expone a la alta dirección a responsabilidades que no se pueden delegar.

La única manera de eliminar ese riesgo es tratar la preparación como un activo fijo: planes, protocolos, tecnología, entrenamiento, comunicaciones internas, continuidad de operaciones, todo integrado antes de la crisis.

Ha trabajado con empresas de la lista Fortune 100 y organizaciones complejas para proteger activos críticos y garantizar la continuidad del negocio. ¿Podría compartir un caso donde una inversión bien diseñada en resiliencia haya cambiado el desenlace de una crisis? ¿Y qué métricas utilizó para demostrar su impacto a la alta dirección?

Hace unos años trabajé con una empresa Fortune 100 que me contrató para algo puntual: coordinar la logística y la seguridad de su C-Suite y clientes VIP en grandes eventos globales como la Fórmula 1 y el Super Bowl. Al llegar, vi el problema típico: silos operativos. El equipo de eventos hacía lo suyo, el de protección ejecutiva lo mismo, y el equipo de crisis operaba desde otra ciudad. Todos eficientes, sí, pero sin una visión integrada del riesgo.

Aunque mi rol inicial era logístico, diseñé un programa completo de gestión de crisis que unificara comunicaciones, responsabilidades y toma de decisiones. Y la prueba llegó rápido.

Fue en Las Vegas. Lluvias torrenciales, calles colapsadas, accesos cerrados, miles de personas atrapadas en un caos que la ciudad no estaba preparada para manejar. Un escenario perfecto para que cada silo tirara para su lado.

Pero no ocurrió. 

Gracias al sistema integrado, la comunicación fluyó sin fricciones, se mantuvo trazabilidad total de ejecutivos y staff, y la operación continuó incluso cuando la ciudad estaba literalmente bajo agua. La coordinación fue limpia, precisa, profesional.

Ese día quedó claro algo que repito constantemente: la seguridad corporativa no es un gasto; es una infraestructura estratégica que permite que el negocio siga funcionando cuando todo lo demás falla.

En su experiencia, ¿cuáles son los mayores puntos ciegos que encuentra en las juntas directivas de América Latina y el Caribe cuando se habla de riesgos extremos (clima severo, crimen organizado, fallas críticas de infraestructura)? ¿Qué decisiones de gobernanza marcan la diferencia entre un comité que “escucha reportes de riesgo” y uno que realmente integra la resiliencia en la estrategia corporativa?

En la región, los puntos ciegos más frecuentes en las juntas directivas provienen de dos vacíos estructurales. El primero es un déficit de alfabetización en riesgo. La mayoría domina temas de cumplimiento o asuntos legales, pero no los marcos de evaluación de riesgos extremos, como la exposición operativa, el tiempo de latencia, las fallas sistémicas o las dependencias críticas que determinan si una empresa puede absorber un impacto severo.

El segundo es la falsa percepción de preparación. Al no contar con métricas ni con un lenguaje técnico para interpretar vulnerabilidades, muchas juntas asumen que todo está bajo control simplemente porque los indicadores internos no reportan señales de alerta. Sin embargo, la ausencia de ruido no significa ausencia de riesgo.

La diferencia real en gobernanza se basa en la existencia de una responsabilidad estructural clara. Un comité que solo escucha reportes opera en modo pasivo. En cambio, cuando la junta asigna responsabilidad final a un miembro con un mandato explícito sobre continuidad operativa, planificación de contingencias y asignación de recursos, la resiliencia deja de ser un accesorio y se integra en la arquitectura corporativa.

Hoy muchas empresas hablan de sostenibilidad, pero no siempre han fortalecido su continuidad operativa. ¿Qué señales concretas le indican que una organización no está preparada para una interrupción seria, aunque tenga un discurso muy robusto en ESG y sostenibilidad?

La diferencia entre narrativa y resiliencia está en la arquitectura técnica, los recursos y el entrenamiento. Ahí es donde se mide si la empresa realmente puede soportar un evento extremo.

La sostenibilidad real implica capacidad de permanencia, y eso solo existe si el ESG está conectado con gestión de crisis, apetito de riesgo y un marco robusto de continuidad del negocio.

Las señales técnicas de que una organización no está preparada son cuatro:

La primera es la falta de una cadena de mando clara. Si en un incidente no saben quién decide, quién ejecuta y quién informa, la organización va a entrar en modo desorden. La responsabilidad sin ambigüedad es el fundamento de la resiliencia.

La segunda son los planes genéricos. Un plan de continuidad que no tiene procedimientos operativos específicos para sus riesgos críticos es una ilusión de control. La ingeniería de resiliencia no se copia y pega.

La tercera es la brecha de recursos. Muchas compañías tienen planes impecables, pero sin comunicaciones redundantes, sin herramientas críticas y sin capacidad logística real. Eso no es resiliencia, es documentación.

La cuarta es la falta de validación. Si no entrenan, si no prueban, si no estresan el sistema con ejercicios, están operando con un riesgo de latencia enorme. En crisis siempre caes al nivel de tu entrenamiento, no al nivel de tu PowerPoint. En resumen, un buen discurso ESG no equivale a continuidad.

Usted trabaja con un enfoque muy práctico y orientado a la acción. Cuando entra a una organización nueva, ¿cuáles son las tres primeras preguntas que hace para entender si la empresa está construyendo resiliencia real o solo acumulando documentos, manuales y simulacros simbólicos?

Para saber si una organización tiene resiliencia real con tres preguntas técnicas basta. Siempre hago el mismo ejercicio. Reúno al comité de crisis, planteo un escenario extremo, por ejemplo, un terremoto severo, y les pido que escriban las cinco primeras acciones que ejecutarían.

El primer filtro es simple. Si no pueden describir su función operativa en el minuto cero y solo escriben acciones personales o genéricas, significa que tienen cargos, pero no misiones. Sin rol claro no hay capacidad de respuesta.

El segundo filtro es la brecha entre intención y medios. Muchos saben qué hacer, pero no tienen el equipamiento crítico para ejecutarlo. Si su plan depende de comunicaciones y no cuentan con redundancias como telefonía satelital o canales alternos, su continuidad es teórica

El tercer filtro es la autonomía. Les pregunto si saben activarse sin que nadie los llame. En una crisis real las comunicaciones pueden fallar, y si no existen protocolos de autoactivación, la organización pierde horas vitales esperando instrucciones que nunca llegarán.

Si fallan en estos tres puntos, lo que tienen no es resiliencia, es suerte. Y la suerte no es un sistema de gestión.

Desde su rol como asesor y representante del sector privado ante el COE en República Dominicana, ha participado en simulacros nacionales y protocolos interinstitucionales. ¿Qué aprendizajes clave han surgido de ese trabajo sobre cómo deben diseñarse las alianzas público–privadas para que funcionen en una emergencia real y no se queden en la foto y el comunicado de prensa?

Esta iniciativa comenzó en 2021 y, aunque suene extraño en el Caribe, ha sido consistente y disciplinada. Ahora empezamos a ver los frutos. La historia es simple: me invitaron al primer Simulacro Nacional de Evacuación por Terremoto como un observador, terminé en el comité de planificación, luego como asesor, y muy rápido me convertí en el representante del sector privado ante el COE. Con eso abrimos un canal permanente entre organizaciones industriales y empresas, y Estado. A partir de ahí, comenzamos a producir recursos, directrices y, sobre todo, confianza.

El mayor aprendizaje es bastante incómodo: si seguimos trabajando en silos, ninguna alianza público–privada funciona. La vieja lógica de “nosotros y ellos” colapsa en cuanto llega la primera lluvia fuerte. En una emergencia real, nadie tiene tiempo para egos. La gestión moderna exige responsabilidad compartida. El Estado tiene el mandato, sí, pero los recursos no son infinitos. El sector privado necesita capacidad de autogestión para sostenerse hasta que llegue la ayuda. Ese es el estándar mínimo de madurez operativa.

Para evitar que todo se quede en la foto y el comunicado, hemos avanzado en tres cosas muy concretas. Primero, comunicación directa entre gremios y el COE. Nada de cadenas de WhatsApp que distorsionan datos; decisiones basadas en realidad, no en rumores. Segundo, simulacros conjuntos. Gobierno, empresas y ciudadanía entrenando al mismo tiempo. Hoy casi una cuarta parte del país participa. Eso valida protocolos en terreno, no en PowerPoint. Tercero, democratizar los estándares. Una multinacional, una pyme y un ciudadano deben tener herramientas claras y útiles. La resiliencia no puede ser un lujo corporativo.

Por eso lo repito siempre: la alianza público–privada no es un gesto simbólico; es el único mecanismo capaz de gestionar la complejidad de una crisis moderna. Si queremos reducir riesgo real en el país, este es el camino.

Usted escribe de forma frecuente en revistas especializadas, traduciendo temas complejos de riesgo a lenguaje accionable. ¿Cómo debería comunicar una empresa sus vulnerabilidades y planes de preparación sin generar pánico, pero tampoco caer en la narrativa superficial de “todo bajo control” que vemos en muchos reportes corporativos?

Lo primero es entender que no existe una fórmula única para comunicar vulnerabilidades. No es lo mismo una empresa pública regulada por ley que una organización privada. En Estados Unidos, por ejemplo, las empresas que cotizan en bolsa están obligadas a reportar ciertos riesgos por mandato regulatorio. Pero más allá de lo legal, cuando hablo de comunicación efectiva me refiero al ámbito que llamamos Infraestructura Crítica Nacional.

En los países desarrollados, ese concepto está muy claro. Sectores como telecomunicaciones, energía, transporte o agua tienen estándares obligatorios de transparencia, auditorías externas y planes validados. No es opcional. El problema en nuestra región es que ese nivel de regulación no siempre existe, lo que permite que muchas empresas se protejan detrás de la opacidad.

Mi consejo es simple y muy técnico: la transparencia es fortaleza, no debilidad.

Recuerdo una conversación con un alto directivo del sector turismo. Le propuse comunicar abiertamente sus protocolos de evacuación y respuesta ante desastres naturales. Su reacción fue inmediata: “Eso asusta a los turistas”.
Mi respuesta fue igual de inmediata: Esto no asusta, genera confianza.
Comunicar preparación no es admitir debilidad; es demostrar liderazgo y responsabilidad.

En lo personal, después de tantas crisis acompañadas y tantos escenarios de riesgo extremo, ¿hay alguna experiencia que haya marcado su manera de ver la vida y el trabajo más allá de los indicadores? ¿Qué le diría hoy a un líder joven que cree que la resiliencia se resuelve solo con tecnología y un plan en una carpeta?

Te lo digo con total sinceridad. Haber estado en escenarios extremos me enseñó algo que no aparece en ningún manual: lo rápido que una situación puede pasar de controlada a catastrófica. Cuando estás en la oficina no piensas en eso, pero basta un corte de fibra óptica o la caída de una aplicación como WhatsApp para paralizar toda una operación. Somos una sociedad hiperconectada y, por tanto, altamente dependiente.

Ese es el mensaje clave para un líder joven. Si crees que la tecnología es la solución absoluta, ya empezaste mal. La tecnología es extraordinaria, pero depende de una infraestructura física que puede fallar en minutos. En un huracán categoría 5 o un ciberataque masivo, la señal, la energía y las comunicaciones desaparecen. En ese momento tu resiliencia “digital” vale cero.

La verdadera resiliencia exige dos capas. Una solución high-tech y una solución no-tech. Debes poder operar con sistemas inteligentes, IA y drones, pero también liderar, comunicar y decidir cuando la pantalla se apaga. Eso fue evidente en Puerto Rico tras María y en Jamaica después de sus huracanes. No los salvó la tecnología. Los salvó la preparación humana y la capacidad de adaptarse.

Si tu resiliencia depende solo de software, no eres resiliente. Eres frágil.

Factores Clave 

• La seguridad corporativa pasa de gasto operativo a inversión estructural cuando se integra a continuidad, reputación y desempeño financiero, reduciendo el “Riesgo de Latencia”.
• La resiliencia real se evidencia en cadena de mando clara, planes específicos, recursos disponibles y entrenamiento probado, no en discursos ESG sofisticados.
• Las alianzas público–privadas efectivas requieren comunicación directa, simulacros conjuntos y estándares accesibles para multinacionales, pymes y ciudadanía.
• La resiliencia sostenible combina soluciones high-tech con capacidad humana de liderazgo y decisión cuando la tecnología falla.

En un entorno donde los riesgos extremos se aceleran y las dependencias tecnológicas se multiplican, el aporte de Peter Bäckman está en traducir la seguridad en un lenguaje que entienden el directorio, el regulador y la comunidad: infraestructura de resiliencia al servicio de la sostenibilidad del negocio y del país. Sus métricas no solo hablan de países y compañías atendidas, sino de madurez operativa, reducción del riesgo de latencia y alianzas que funcionan en la práctica. De cara al futuro, su mensaje es claro: la verdadera ventaja competitiva será de quienes integren tecnología, preparación humana y responsabilidad compartida en una misma arquitectura de resiliencia.