Históricamente, la resiliencia en las organizaciones se ha centrado en la capacidad de soportar y recuperarse rápidamente de imprevistos e interrupciones. Esta concepción se ha basado en la premisa de que los incidentes y las crisis son eventos aislados y manejables a través de planes de contingencia robustos y respuestas de emergencia eficientes. La planificación de la resiliencia se ha enfocado en proteger los activos críticos, mantener las operaciones en funcionamiento y asegurar una rápida recuperación tras un incidente, con la expectativa de que la estabilidad y la normalidad previas se puedan restaurar.
Este enfoque tradicional ha sido una piedra angular en la estrategia de gestión de riesgos de muchas organizaciones, pero está siendo replanteado en un mundo donde los desafíos son más complejos y conectados.
Aunque eficaz en el pasado, esta aproximación presenta varios problemas en el actualidad.
Primero, la suposición de que las crisis son eventos aislados ya no se sostiene en un mundo interconectado donde los incidentes son frecuentes, transfronterizos y multifacéticos.
Segundo, la rápida recuperación a un estado ‘normal’ anterior a menudo ignora la necesidad de adaptación y aprendizaje continuos. Además, la concentración en la protección de activos críticos puede llevar a una visión de túnel, descuidando aspectos como la visión sistémica de IT, la innovación, la agilidad y dinamismo de los entornos en Cloud híbridos.
Estos desafíos exigen un replanteamiento de la resiliencia, reconociendo que la adaptabilidad y la preparación para un cambio constante son igualmente cruciales.
El rediseño de la resiliencia implica un cambio fundamental en su concepción y aplicación. Ya no es suficiente con enfocarse en la recuperación rápida; ahora se trata de adaptarse y evolucionar en respuesta a los desafíos. Esto significa integrar la resiliencia en la estrategia y cultura de la organización, fomentando la innovación y la adaptabilidad.
La resiliencia debe ser dinámica para permitir a las organizaciones no solo sobrevivir, sino también prosperar, en un entorno empresarial que cambia constantemente. La clave está en construir la estrategia de seguridad sobre la resiliencia de los procesos de negocio. Equilibrar la protección con la capacidad de aprovechar oportunidades en tiempos de incertidumbre y ser sensible a los distintos requerimientos y niveles de madurez de cada proceso productivo.
Aproximadamente el 20% de la infraestructura soporta el núcleo crítico del negocio. Este segmento clave merece una atención y protección más intensivas en términos de resiliencia, dada su importancia desproporcionada para la operatividad general de la empresa. Por otro lado, el restante 80% de la infraestructura, aunque importante, puede requerir un enfoque de resiliencia diferenciado, con medidas que sean proporcionales a su impacto en el negocio. Esta diferenciación en la estrategia de resiliencia no solo es eficiente en términos de recursos, sino que también permite una gestión de riesgos más matizada y adaptada a la naturaleza específica de cada proceso.
Para ello, la ciberseguridad ya no puede ser una consideración posterior. Es imprescindible una estrecha colaboración entre los equipos de seguridad y los responsables de los principales procesos que sustentan el negocio (como conocedores reales del mismo y propietarios del riesgo asociado), así como los departamentos y proveedores de aplicaciones y infraestructuras (redes, almacenamiento y backup, desarrollo, etc.).
Para aplicar este nuevo enfoque de resiliencia, las organizaciones deben comenzar por realizar una evaluación exhaustiva de su infraestructura y procesos. Identificar los elementos que constituyen el 20% crítico y establecer y probar regularmente las medidas de resiliencia específicas. Esto podría incluir inversiones en tecnologías avanzadas de protección y recuperación, pruebas de restauración periódicas, así como en formación especializada para el personal.
Paralelamente, para el 80% restante, se deben aplicar estrategias de resiliencia adecuadas que equilibren coste y beneficio. Implementar un enfoque de resiliencia diferenciado no solo optimiza los recursos, sino que también garantiza que las áreas más cruciales del negocio reciban la atención y protección necesarias.
En definitiva, una de las claves que hará que las empresas puedan avanzar y ser competitivas en el entorno actual es integrar la resiliencia como parte de su estrategia y cultura para asegurar que la empresa es capaz de adaptarse y dar respuesta a los retos que se le plantean en cada momento. Y esto, ante un panorama de amenazas muy complejo, también pasa por construir una estrategia de ciberseguridad sobre la resiliencia de los procesos de negocio.
Joel Espunya, Cybersecurity Line Manager en IPM, a Ricoh Company, y Security IT Architect Leader en Ricoh España
