La resiliencia operativa es la capacidad de una empresa de prestar servicios a sus clientes, proporcionar productos y servicios, y proteger a su fuerza laboral a pesar de los eventos adversos.
Una organización puede ser operativamente resiliente cuando anticipa los eventos operativos adversos, los previene, se recupera de ellos y se adapta a los mismos. Estos eventos pueden incluir ataques, incendios, pandemias, clima e interrupciones de la red.
Vivimos en un mundo impredecible. En el desafiante panorama empresarial actual, abundan los riesgos operativos y pueden llegar en momentos completamente imprevistos. La crisis de la COVID-19 es un claro ejemplo: la aparición de una pandemia mundial durante los primeros meses de 2020 interrumpió por completo la actividad empresarial de organizaciones de todo el mundo. Muchas empresas en crecimiento se quedaron estancadas, y otras fallaron completamente.
Pero entre todas estas historias que sirven de advertencia, también existen aquellas empresas que han sido capaces de cerrar efectivamente las escotillas y capear el temporal. ¿Qué distingue a estas empresas a la hora de tener éxito de otras muchas que experimentaron pérdidas devastadoras? En muchos casos, la respuesta es la resiliencia operativa.
Los contratiempos empresariales son inevitables. Los sistemas fallarán y se producirán ciberataques y desastres locales. Y, si bien puede que las pandemias mundiales no sucedan a diario (o en cada generación), otros tipos de interrupciones pueden surgir y surgirán. Al identificar dónde se encuentran las vulnerabilidades de tu organización y tomarte el tiempo necesario para desarrollar tus elementos fundamentales, puedes ayudar a tu organización a prepararse para las interrupciones y recuperarse de ellas rápidamente, y con un impacto mínimo en tus clientes.
Cada función de la empresa desempeña un papel importante en el mantenimiento y fomento de la resiliencia operativa. Sin embargo, los gerentes de nivel ejecutivo dentro de una empresa se enfrentan a presiones y perspectivas únicas. Reflexiona sobre lo siguiente:
Es importante contar con la gobernanza adecuada para identificar los riesgos operativos y responder rápidamente ante ellos.
El equipo de TI debe identificar y abordar las amenazas existentes y desconocidas, especialmente a medida que las empresas migran a la nube y digitalizan los procesos de DevOps.
La resiliencia operativa depende en gran medida de los ingresos y el flujo de caja. Mantente al tanto de los problemas y los contratos problemáticos para garantizar que la empresa pueda acceder a financiación cuando surjan nuevos proyectos.
Debe haber visibilidad e informes de varios lugares para ayudar a los equipos de seguridad a responder a las amenazas emergentes de forma proactiva.
Recopilar los datos correctos y abordar los matices geopolíticos es un desafío, especialmente cuando los equipos de las instalaciones necesitan una visión instantánea de los puntos fuertes y débiles de cualquier sitio global.
El equipo de Recursos humanos debe recopilar, solicitar y compilar datos cuando los empleados y contratistas se unen a un equipo o cambian de equipo para asegurarse de que las personas tengan el acceso y los derechos adecuados.
Cuando se trabaja para contrarrestar una interrupción, se aplica la misma precaución que con cualquier emergencia: seguir un plan y no entrar en pánico. Para contrarrestar los eventos emergentes y salir airosas, las empresas exitosas siguen un ciclo de vida de resiliencia de cuatro etapas.
A raíz de eventos desastrosos, puede ser difícil identificar qué servicios, personas y procesos son fundamentales para las operaciones en curso, desde los silos organizativos hasta datos deficientes y diferentes herramientas. Realiza un análisis del escenario de situaciones hipotéticas y crea planes para obtener los mejores resultados, los peores resultados y los resultados más probables.
Los procedimientos operativos tienden a diseñarse para lograr eficiencia en lugar de riesgos y cumplimiento; también tienden a depender de herramientas correctivas en lugar de medidas preventivas más automatizadas. Desafortunadamente, esto puede dejar lagunas en las defensas de una empresa y hacer que la respuesta sea mucho más difícil. En su lugar, incorporar actividades de riesgo y cumplimiento en los procesos diarios, automatizar cuando sea posible, utilizar una fuente de datos común en toda tu organización y supervisar continuamente los incidentes pueden optimizar la respuesta a incidentes hasta el punto en el que muchos eventos emergentes pueden contrarrestarse antes de que tengan un impacto negativo.
Quizás el peor enfoque para la continuidad operativa es esperar a que ocurra un desastre antes de decidir cómo responder. La mala comunicación entre proveedores, información inexacta o incompleta y el personal con una formación incorrecta pueden llevar a que las empresas tomen decisiones desinformadas y apresuradas que en realidad pueden causar más daños que beneficios. Al crear un plan de continuidad detallado, proporcionas a tu organización una guía para mantener la calma, reducir los riesgos y recuperarse rápidamente. Asegúrate de que los encargados de la toma de decisiones clave revisan y aprueban tu plan, y pruébalo para comprobar su eficacia antes de su implementación.
La resiliencia operativa eficaz permite a una organización recuperarse de los desastres. Sin embargo, con un enfoque tan centrado en la supervivencia, las organizaciones pueden perder de vista las experiencias de aprendizaje que proporcionan las interrupciones. La capacidad de adaptarse y aprender información clave significa que tienes la oportunidad de mejorar tu organización y tu plan de respuesta para contrarrestar mejor las interrupciones en el futuro. En caso de que se produzca una emergencia, implementa programas para recopilar datos relevantes, revisar y analizar los resultados, y comunicar conclusiones esenciales a tus equipos.
La resiliencia operativa es la capacidad de detectar las interrupciones en las operaciones que podrían afectar la entrega de productos o servicios empresariales importantes, prevenirlas, responder a ellas y aprender o recuperarse de ellas. La gestión de continuidad empresarial (BCM, del inglés “Business Continuity Management”) diseña, desarrolla, mantiene estrategias e implementa planes de acción que proporcionan protección o métodos alternativos de funcionamiento para un negocio cuando se ve interrumpido.
Es importante tener en cuenta los factores internos y externos que influirán en tu organización, como los sistemas, procesos, líneas de negocio, activos, personas y terceros. Una operación resiliente ve la interconexión e interdependencia del riesgo, y cómo afecta a una organización. Una cartera de gestión de riesgos gestionada de manera eficaz examina las divisiones y operaciones para evaluar, de manera holística, todas las posibles amenazas.
Traducir el riesgo en términos que todos puedan comprender. El lenguaje común ofrece la oportunidad de realizar un análisis más completo y documentar los posibles riesgos dentro de la organización; también proporciona una serie más sólida de debates sobre riesgos y retornos sobre riesgos a medida que tu organización se toma el tiempo de considerar la adaptación al riesgo y las condiciones cambiantes.
No hay dos eventos que sean iguales, pero hay mucho que aprender de cada evento. Evalúa dónde se encuentran tus riesgos clave en toda tu organización e implementa posibles soluciones alternativas para ayudar a tu organización con su adaptación a las condiciones cambiantes. Los sistemas sólidos, los procesos flexibles, la cultura resiliente y un entorno colaborativo son factores clave.
Tu organización depende de tecnologías y sistemas esenciales. La resiliencia operativa exige una visión completa de estos activos y servicios críticos, así como información sobre incidentes abiertos importantes y un registro de activos que actualmente no tienen planes fiables. Identifica tus activos más importantes, así como los riesgos clave a los que se enfrentan. Estos riesgos pueden incluir autenticaciones, conectividad, cifrado y respuesta a vulnerabilidades.
El bienestar de tus empleados debe ser tu principal preocupación en caso de un desastre u otra emergencia. Garantiza su seguridad y ayúdales a mantener su productividad centrándote en la colaboración proactiva, la comunicación y el liderazgo. Verifica el cumplimiento de los controles establecidos mediante el aprovechamiento de los datos de aplicaciones y sistemas de RR. HH., y proporciona alertas, formación y políticas para preparar mejor a tu fuerza de trabajo para situaciones potencialmente peligrosas o perjudiciales.
Las interrupciones en las instalaciones, en forma de cortes de suministro de energía, inundaciones, incendios, etc., pueden hacer que tu empresa se detenga. La resiliencia operativa ayuda a preservar la seguridad y el cumplimiento dentro de tus instalaciones, y garantiza un acceso fiable a la información de estado y a los controles esenciales.
Incluso si tu organización está bien preparada y es extremadamente resiliente, los terceros con los que haces negocios pueden introducir posibles problemas. Las evaluaciones de riesgo y cumplimiento ayudan a evaluar la continuidad empresarial y los programas de gestión de riesgos de tus proveedores, consultores y proveedores. Cuando sea necesario, incluye el cumplimiento de las políticas en los contratos y mejora la diversificación a través de una segunda externalización.
Supera las brechas, la sobrecarga y los retrasos impuestos por los habituales silos organizativos y de los datos.