Cuando se habla de resiliencia de negocio, normalmente se tiende a equipararla con el concepto de continuidad de negocio. Pero si se quiere definir con mayor exactitud, realmente habría que incluirla bajo el paraguas de la noción de resiliencia del negocio. De hecho, así lo vemos en la Guía de gestión de planes de continuidad de negocio para pymes que hemos desarrollado en ISMS Forum.

Por un lado, la ISO 22300 define la continuidad de negocio como la capacidad de una organización para continuar la entrega de productos o servicios a niveles aceptables después de una interrupción.

Por otro lado, la ISO 22316 define la resiliencia del negocio como la capacidad de una organización para absorber los cambios del entorno y adaptarse a ellos, cumpliendo sus objetivos y sobreviviendo y prosperando.

Se trata de dos definiciones muy similares, pero cuyo contexto es radicalmente distinto. Mientras la continuidad de negocio se sitúa en un escenario disruptivo que ha mermado las capacidades operativas, la resiliencia trata la adaptación al cambio, ya venga este impuesto por un evento disruptivo o de otro tipo, pero siempre con impacto en el negocio.

Toda organización debería tener el objetivo de ser resiliente, y para ello hay que recorrer un largo camino

Para que estas relaciones cobren sentido para el negocio es importante entender sus mutuas dependencias y cómo una planificación adecuada ayuda a implementarlas correctamente.

Resiliencia y continuidad

Tal como explicamos en la guía, las organizaciones han de plantearse la resiliencia del negocio como uno más de los objetivos que desean alcanzar, para lo cual han de percibir y gestionar de forma adecuada el riesgo. En este artículo vamos a plantear una serie de caminos que conectan la resiliencia con la continuidad, pero es necesario entender que existen otras sendas paralelas a la continuidad, tales como la aparición de un competidor o de cambios culturales en nuestros clientes.

Con esta línea trazada, se inicia la identificación del camino mediante los siguientes pasos:

1. Fijando el objetivo estratégico para convertirse en una organización resiliente.
2. Estableciendo un modelo de gestión de crisis.
3. Todo lo anterior basado en unos escenarios de continuidad de negocio que estarán…
4. operativamente resueltos por planes que den respuesta a los riesgos identificados.

Una vez que se ha definido el camino es necesario recorrerlo en orden inverso, describiendo y aplicando cada uno de los pasos, pero, sobre todo, probando que mejoran e incrementan progresivamente la capacidad y madurez de la organización.

Cuando se ha desandado el camino, es momento de ampliar de manera horizontal todos los niveles, con el objetivo de incrementar su alcance y madurez. Es importante que este crecimiento horizontal sea visto desde la perspectiva de la mejora continua.

Para lograr que cualquier organización llegue a ser resiliente, y a contar con capacidades de continuidad de negocio, el enfoque adecuado es concebir el proceso como algo paulatino, no como una especie de big bang. O, en caso de que así sea, entender la explosión inicial como el primer paso de una iteración que continuará en un proceso recurrente. Se trata de un camino largo y complejo que dotará a la organización de una resiliencia real.

Ejercicio de resiliencia

A continuación se plantea un ejemplo para describir el ejercicio que se ha de realizar una vez que se ha fijado el objetivo de alcanzar la resiliencia; es el siguiente: la organización ACME desea incrementar su resiliencia. La primera pregunta que se formula es “¿en qué ámbito?”. El primer objetivo es estar preparada para adaptarse a cualquier cambio: en el mercado por la aparición de nuevos competidores, en los hábitos y cultura de los clientes que consumen los productos o servicios de ACME, u otros inesperados o disruptivos…; y así un largo etcétera.

El comité de crisis debe estar preparado para valorar en cada momento cómo se ha de actuar y reaccionar

Después de la pandemia ha aumentado la percepción de que los eventos disruptivos pueden tener un impacto a corto plazo, tal y como ocurrió también en ACME. A partir de este escenario se decide establecer un comité de crisis que inicialmente esté preparado para valorar en cada momento cómo se ha de actuar y reaccionar. Esto lleva a plantear la creación de un modelo de gestión de crisis.

ACME, que todavía no tiene identificados los tipos de crisis que quiere tratar, decide implementar un plan de continuidad de negocio. Se trata de un proceso complejo que se basa en identificar los factores críticos para la compañía, si es que aún no dispone de ellos. Se inventarían activos y procesos y se efectúa un análisis de riesgo para poder ponderar la criticidad de dichos activos y procesos desde criterios de negocio lo más objetivos posible.

Además, a alto nivel, se identifican varios escenarios que, agregados, permiten tratar múltiples riesgos de manera común y organizada. Cada uno de estos escenarios requiere que se implemente un plan de recuperación y respuesta, lo que implica un gran esfuerzo para definir y establecer los procedimientos necesarios.

Ahora ACME dispone de un inventario claro de los riesgos asociados a los activos y a los procesos críticos de la compañía

De esta manera se obtiene una lista que permite priorizar las acciones operativas. En el caso de ACME, por ejemplo, eso se traduce en dotarse de un plan de recuperación ante desastres tecnológicos, el cual a su vez defina un conjunto de instrucciones técnicas para disponer de copias de seguridad, procesos documentados de recuperación de los sistemas, identificación de roles y un largo etcétera. Para quienes estén familiarizados con este tipo de modelos, ya sea por el tamaño de la organización o por la regulación asociada, esto puede parecer obvio, pero puede no serlo dependiendo del tipo de negocio, y en algunos casos, como el de las pymes, prácticamente no se contempla.

Ahora ACME dispone de un inventario claro de los riesgos asociados a los activos y a los procesos críticos de la compañía, y tiene estos riesgos asociados a un objetivo de negocio. Solucionar de manera ordenada y paulatina cada uno de los elementos de esta lista irá aumentando poco a poco el grado de resiliencia de la organización.

ACME, que por necesidades del negocio debe continuar incrementando la resiliencia, puede expandir horizontalmente el alcance y profundidad de las acciones derivadas del plan de respuesta y recuperación e ir completando escenarios de continuidad de negocio.

Estos escenarios se integrarán como planes definidos dentro de la gestión de crisis, los cuales librarán a la organización de uno de los riesgos más graves: la toma de decisiones erróneas. Por otra parte, un subobjetivo esencial que debe plantearse ACME es establecer con claridad que toda decisión basada en datos objetivos, contrastados y meditados es siempre mejor que la improvisación. Por sí sola, esta estructura de capas apiladas ayuda a incrementar la resiliencia de un negocio.