¿Qué es la resiliencia operativa?

La resiliencia operativa es la capacidad de prevenir y detectar interrupciones operativas, de responder a ellas, y de recuperarse y aprender de estas. Para las organizaciones, la resiliencia operativa asegura la estabilidad y continuidad de los negocios, en el presente y el futuro. Las empresas que demuestran resiliencia generan retornos más altos, incluso en tiempos de recesión económica¹.

¿Qué requiere la resiliencia operativa? Planificación minuciosa y una estrategia de marco de trabajo de personas, procesos y tecnología (PPT). La resiliencia operativa efectiva es una estrategia de gestión y mitigación de riesgos que mejora los procesos de respuesta y recuperación. Las interrupciones pueden provocar la pérdida de ingresos, falta de confianza por parte de los clientes y daños a la reputación. La resiliencia operativa minimiza el impacto de eventos potencialmente disruptivos en una organización, sus socios y clientes. En otras palabras, asegura que el show continúe.

Los pilares de la resiliencia operativa mantienen a tu empresa funcionando sin interrupciones, incluso cuando hay disrupciones. La resiliencia operativa puede desglosarse en cinco pilares:

Identificación y evaluación de riesgos: identificar y evaluar riesgos es fundamental para la estrategia de gestión de riesgos, una iniciativa de resiliencia operativa esencial. Escalar y crecer es un negocio riesgoso. Las vulneraciones de seguridad, los cambios económicos, las disrupciones en la cadena de suministro, las transformaciones intraorganizacional y demás representan amenazas potenciales.

Los métodos para identificar y evaluar riesgos incluyen: lluvia de ideas, revisiones de documentación, recopilación de información, análisis de fortalezas, oportunidades, debilidades y amenazas (FODA), análisis de causa raíz (ACR), análisis de suposiciones y registros de riesgos. La priorización de riesgos mejora las capacidades de respuesta. Los equipos implicados pueden actuar sin interrupciones, o con interrupciones mínimas, en las actividades comerciales.

Planificación de continuidad de los negocios: para que un negocio continúe "como siempre" de cara a una disrupción, debes establecer un orden de operaciones y una lista de partes interesadas para cualquier escenario de disrupción dado. Esto es la planificación de continuidad de los negocios, que parte de las metodologías de identificación y evaluación de riesgos para brindar soluciones a disrupciones potenciales. Un comité de planificación compuesto por líderes ejecutivos, de seguridad y de IT prepara las medidas que deben tomarse frente a disrupciones con el objetivo de minimizar su impacto.

Un plan de continuidad de los negocios exitoso está sujeto a varios pasos: recopilación de información (evaluación de riesgos), desarrollo y diseño de un plan, implementación, pruebas y mantenimiento y actualizaciones constantes. Los factores del entorno cambian; desde factores externos, como nuevas leyes y normativas, hasta factores internos, como nueva tecnología en la empresa. Por lo tanto, revisar con frecuencia tu plan de continuidad de los negocios es esencial para que sea viable.

Según el tamaño de tu organización, hay diversos elementos a tener en cuenta y una cantidad variable de riesgo para contemplar. Un buen plan de continuidad de los negocios es simple. Identifica los recursos vitales para las operaciones continuas, las ubicaciones relevantes para las operaciones continuas, las personas encargadas de las operaciones continuas y los costos potenciales.

Respuesta ante incidentes y recuperación: las empresas se enfrentan a vulnerabilidades de ciberseguridad, amenazas o ataques como algo inevitable en la era digital. Los planes de respuesta ante incidentes y recuperación son tecnologías y procesos formalizados que evitan ciberataques y minimizan su impacto, en caso de que ocurran. Los incidentes comunes de seguridad incluyen ransomware, phishing e ingeniería social, ataques de denegación de servicio distribuido (DDoS), ataques de cadena de suministro o amenazas internas.

Los planes de respuesta ante incidentes y recuperación son típicamente creados por un equipo de respuesta ante incidentes de seguridad informática (CSIRT) dedicado. Los miembros de este equipo suelen ser un director de seguridad de la información (CISO) de una organización, su centro de operaciones de seguridad (SOC), personal de IT, partes interesadas de la gerencia y personal de los departamentos de legal, RR. HH., gestión de riesgos y cumplimiento normativo. Estos planes detallan los roles y las responsabilidades de cada parte interesada en caso de cualquier incidente dado. Describen los protocolos para restaurar los sistemas afectados durante una interrupción, un set detallado de medidas que deben tomarse en respuesta a un incidente, un protocolo de comunicaciones para informar a todas las partes afectadas y metodologías de recopilación de datos para revisiones posteriores al incidente y aprendizajes futuros.

Un proceso de respuesta ante incidentes y recuperación también debe incluir los pasos de detección y análisis, protocolos de contención y soluciones para la erradicación. Una vez detectada y analizada una amenaza por parte de los equipos de ciberseguridad, se la debe contener a fin de limitar el daño que pueda causar. Las medidas de contención a corto plazo abordan la amenaza para neutralizarla de inmediato, mientras que las medidas de contención a largo plazo se enfocan en fortalecer las defensas de los sistemas no afectados. Una vez contenida una amenaza, los equipos pueden remediar el problema erradicándolo por completo. Solo entonces entrará en juego la recuperación: los equipos restauran los sistemas al funcionamiento normal mediante parches o volviéndolos a activar.

Gestión de crisis: la gestión de crisis se define por cómo las organizaciones responden a cualquier crisis dada, sea grande o pequeña. Se produce un evento de disrupción, una organización reacciona y pone en marcha su plan de continuidad de los negocios. Eso es la gestión de crisis. Un liderazgo efectivo, protocolos eficientes y rápida movilización distinguen a una operación de gestión de crisis exitosa de una fallida.

Cultura y gobernanza adaptables: la gestión de crisis efectiva requiere agilidad y adaptación por parte de las organizaciones. Las respuestas rápidas a disrupciones son solo una parte de lograr la resiliencia operativa. Adoptar una cultura y gobernanza adaptables significa que las organizaciones también aprenden de forma activa de su entorno e incidentes para informar la toma de decisiones futura. Es como practicar una mentalidad de crecimiento a nivel de la organización.

La resiliencia operativa es importante para los resultados de cualquier organización. Cuando hay una demora o interrupción de los servicios, o los hackean, esto afecta a los clientes y su seguridad. Según la industria, las ramificaciones puede variar de ser inconvenientes a ser una amenaza para la vida, como en el caso de la atención médica. Pueden dañar la confianza de los clientes y tener repercusiones legales; una filtración de datos puede incluso constituir un incumplimiento normativo. ¿A corto plazo? Estás atascado en esfuerzos de resolución. Pero a largo plazo, tu reputación se ve afectada.

La resiliencia operativa permite a los equipos de IT minimizar el tiempo de inactividad, lo cual asegura una recuperación rápida, disminuye las interrupciones operativas y mantiene la productividad. Prevenir las interrupciones o resolverlas rápido también mantiene la confianza del cliente y la reputación de la organización. Esto, a su vez, protege a las organizaciones de la pérdida de ingresos y la inestabilidad financiera resultante.

La continuidad de los negocios y la resiliencia operativa a veces se usan indistintamente, pero varían en cuanto al alcance y el enfoque. La continuidad de los negocios es un pilar de la resiliencia operativa; se refiere a un tipo formal y específico de planificación cuyo objetivo es asegurar que el negocio continúe rápido y sin inconvenientes en caso de una disrupción.

La resiliencia operativa es un enfoque proactivo y global que ayuda a las organizaciones a soportar, adaptarse y prosperar durante las disrupciones y luego de estas. Involucra evaluaciones regulares para lograr mejoras continuas. Cada aspecto de la organización se reevalúa, incluidas las cadenas de suministro, las tecnologías, las comunicaciones y su fuerza laboral.

La resiliencia operativa depende de la gobernanza adaptable y la mejora continua para suplementar los procedimientos de recuperación. Para que una empresa demuestre resiliencia, son necesarias tanto la planificación de continuidad de los negocios como las metodologías de resiliencia operativa.

Lograr la resiliencia operativa es sumamente desafiante debido a que surgen nuevas tecnologías antes de que las organizaciones tengan tiempo de adaptarse a sus iteraciones más recientes anteriores. Las ciberamenazas también son cada vez más sofisticadas, por lo que requieren que las organizaciones realicen importantes inversiones en tecnologías y profesionales de ciberseguridad. Las cadenas de suministros son más complejas que nunca; dependen de una intrincada red de actores globales, todos gobernados por diferentes requisitos normativos.

Para cualquier organización, equilibrar los costos y asegurar la resiliencia es un desafío constante. Después de todo, la resiliencia operativa tiene un gran impacto en la productividad de cualquier organización y, por lo tanto, en su viabilidad financiera. Las empresas deben identificar sus prioridades para comprender cómo asignar los fondos y recursos de la mejor manera para mantener la estabilidad y el crecimiento.

La mitigación de las amenazas cibernéticas y las vulneraciones de datos también requiere más recursos que nunca. Los actores de amenazas están mejor equipados, y las empresas tienen superficies de ataque más amplias, lo cual aumenta la cantidad de vulnerabilidades. Un entorno digital ampliado, al mismo tiempo que ofrece a una organización mayor flexibilidad y velocidad de desarrollo, también es un importante desafío de resiliencia operativa.

Mejorar la resiliencia operativa comienza con el desarrollo de un marco de trabajo de resiliencia integral. Las empresas necesitan tomar un enfoque estructurado e integrar marcos de trabajo de resiliencia en todos los aspectos de la organización, desde la planificación estratégica hasta las operaciones cotidianas.

Para lograr una resiliencia de ciberseguridad efectiva, las organizaciones deben implementar medidas robustas y realizar pruebas y ejercicios con regularidad. Un enfoque proactivo es la mitad de la batalla para una organización con resiliencia cibernética. También asegura que se hayan formalizado planes de respuesta ante incidentes y recuperación detallados y relevantes. La preparación es la clave.

En última instancia, la resiliencia es una cuestión de la cultura en la organización. La comunicación efectiva en todos los canales y un compromiso con el aprendizaje continuo demostrado por el liderazgo son vitales para mejorar la resiliencia operativa.

A medida que las empresas continúan aumentando su gasto en tecnologías de AI y machine learning, podremos verlas implementadas para respaldar la resiliencia operativa. Los modelos de resiliencia operativa, que aprovechan las analíticas de datos y el machine learning, pueden impulsar las iniciativas de gestión de riesgos aprendiendo a anticipar potenciales disrupciones, más rápido y con mayor detalle que los analistas de forma individual.

La colaboración global y el uso compartido de la información también tendrán un rol importante en fomentar organizaciones más resilientes. A medida que las cadenas de suministro cruzan límites y la mayoría de las empresas contratan empleados en distintas zonas horarias sin indicios de retirarse, la cooperación internacional en el realm del cumplimiento normativo, las amenazas recientes y las estrategias de seguridad ayudarán a asegurarse de que las organizaciones sean resilientes.

A fin de esperar lo inesperado, las empresas deben considerar estrategias de resiliencia sostenibles y a largo plazo. Debido a la crisis climática que avanza y causa eventos climáticos capaces de generar grandes disrupciones, la resiliencia va de la mano con elecciones sostenibles. No está limitada a medidas de protección; la verdadera resiliencia operativa requerirá la reinvención y la innovación.

• Achieve operational resilience with a flexible data store (Cómo lograr la resiliencia operativa con un almacén de datos flexible)
• From vision to reality: Your guide to using generative AI to improve operational resilience (De la visión a la realidad: Tu guía de uso de AI generativa para mejorar la resiliencia operativa)
• Mejorar la resiliencia operativa con AI generativa
• Generative AI for business observability: What IT leaders need to know (AI generativa para observabilidad comercial: Lo que necesitan saber los líderes de IT)
• Mejora la resiliencia operativa resolviendo los datos ocultos
• DORA: A paradigm shift in cybersecurity and operational resilience (DORA: Un cambio de paradigma en la ciberseguridad y la resiliencia operativa)
• GovLoop playbook: Strengthening operational resilience (Cuaderno de estrategias de GovLoop: Cómo fortalecer la resiliencia operativa)

McKinsey, Resilience for sustainable, inclusive growth (Resiliencia para un crecimiento sostenible e inclusivo). 2022.