Las discusiones sobre seguridad cibernética se han vuelto cada vez más sobre resiliencia cibernética en los últimos años, pero el concepto de poder recuperarse de la interrupción debe aplicarse en todo el negocio, especialmente a medida que las organizaciones se vuelven más dependientes de TI.
Sin embargo, la resiliencia no es algo que ocurra por sí solo en la seguridad cibernética o en cualquier otro aspecto de las operaciones comerciales. Debe planificarse y administrarse y, por lo tanto, la gestión de la resiliencia empresarial (BRM) debería estar en la agenda de la mayoría de las organizaciones.
En pocas palabras, BRM es la gestión integral y estandarizada de todos los procesos para identificar y mitigar los riesgos que amenazan a una organización.
Estos riesgos incluyen interrupciones en la continuidad de las TIC, ataques cibernéticos, demandas de los consumidores, cambios en el mercado, requisitos de cumplimiento normativo e incluso pandemias, como ha demostrado Covid-19.
BRM, por lo tanto, tiene como objetivo garantizar que las organizaciones tengan y mantengan resiliencia empresarial, que es la capacidad de adaptarse rápidamente a los riesgos y las interrupciones, al tiempo que se mantienen los flujos de trabajo comerciales clave y se protege a los empleados, los activos y la reputación de la marca.
La resiliencia es la base para la continuidad y la mitigación contra cualquier forma de disrupción económica a nivel empresarial, regional, nacional o global. Sin embargo, la resiliencia puede requerir tareas de administración complejas, según el tamaño y la naturaleza del negocio.
Como enfoque integral de la gestión de riesgos, BRM va más allá de gestión de la continuidad del negocio y recuperación de desastres. Alinea todas las disciplinas protectoras para lograr el objetivo de la resiliencia. BRM no solo incluye la continuidad del negocio, la gestión de crisis, la respuesta a crisis y la continuidad del servicio de TI, sino que añade pruebas de planes de resiliencia, simulación de crisis y sus impactos, educación de los equipos afectados y, fundamentalmente, la recopilación de ideas para la mejora continua.
Por lo tanto, BRM es un enfoque multifuncional e interdisciplinario que involucra a profesionales de riesgos, negocios y seguridad. Esto incluye manejo de reputación, la capacidad de responder a las oportunidades de crecimiento, las comunicaciones durante una crisis y las estrategias de mejora posteriores a la interrupción para evitar el tiempo de inactividad, reducir las vulnerabilidades de seguridad física y de TI, mejorar el control del fraude y mantener las operaciones comerciales frente a interrupciones inesperadas en el futuro.
Empiece por la gestión de riesgos
La resiliencia, la continuidad y la gestión de riesgos están estrechamente relacionadas. Trabajan juntos para proteger a las empresas de las interrupciones. Pero gestión de riesgos siempre debe ser el punto de partida para identificar los riesgos potenciales y luego crear controles para gestionarlos.
Sin embargo, la gestión de riesgos no necesariamente los elimina por completo. Por lo tanto, la gestión de riesgos debe complementarse con la gestión de la continuidad del negocio para garantizar que las organizaciones planifiquen las contingencias, como la planificación de proveedores alternativos de bienes y servicios.
A su vez, la gestión de la continuidad del negocio tampoco elimina necesariamente los riesgos por completo. Aquí es donde BRM realmente entra en juego porque la resiliencia se trata de construir una flexibilidad que permita a las organizaciones responder y adaptarse a circunstancias inesperadas.
La resiliencia empresarial es importante
La resiliencia empresarial es extremadamente importante para cualquier empresa porque, sin ella, es probable que pocas empresas puedan recuperarse de interrupciones inesperadas o adaptarse lo suficientemente rápido a cambios repentinos en la demanda del mercado o requisitos regulatorios.
La resiliencia empresarial puede marcar la diferencia entre la supervivencia y el fracaso empresarial, por lo que debe ocupar un lugar destacado en cualquier agenda empresarial. Solo al lograr la resiliencia, una empresa puede tener la seguridad de sobrevivir a las interrupciones.
Pero lograr la resiliencia empresarial requiere una planificación cuidadosa de la resiliencia empresarial para garantizar que los modelos comerciales sean lo suficientemente flexibles para adaptarse a los cambios del mercado y otros cambios, y que la continuidad de las TIC esté asegurada. Esto incluye la planificación y la gestión de la continuidad del negocio, así como la planificación de la recuperación ante desastres basada en una evaluación integral de riesgos en forma de Análisis de Impacto del Negocio (BIA), que es un elemento clave de un enfoque integral de BRM.
La planificación de la resiliencia empresarial también podría incluir el desarrollo de habilidades y la capacitación porque la escasez de trabajadores calificados representa un riesgo para la resiliencia si una organización no cuenta con las personas con las habilidades adecuadas para producir su producto / servicio o adaptar la producción cuando las circunstancias cambian.
Garantice la flexibilidad organizativa y evite los silos
Una organización rígida que no puede adaptarse de manera flexible enfrentará desafíos en cualquier crisis. Las estructuras organizativas tradicionales, la comunicación no transparente, la TI con financiación deficiente, la falta de digitalización y los procesos de gestión rígidos son obstáculos para la resiliencia empresarial en una crisis.
En su lugar, asegúrese de que los empleados y gerentes puedan actuar en cualquier situación, la comunicación sea clara, haya una cultura de retroalimentación honesta, TI se centre en la resiliencia, los empleados estén capacitados para ser resilientes, los procesos sean totalmente digitales, los empleados puedan actuar de forma independiente y Se evita la microgestión.
También es importante realizar todos los cambios organizativos necesarios sin demora para deshacerse de los silos, integrar la TI y el negocio, y planificar de manera integral para construir una cultura de resiliencia. Si TI, la gestión de la cadena de suministro, la seguridad cibernética y otras partes interesadas trabajan de forma aislada, existe el riesgo de fallas. En su lugar, planifique trabajar en equipos interdivisionales para prepararse para una crisis.
A continuación, asegúrese de que TI comprenda completamente qué es lo que mantiene el negocio en funcionamiento, de modo que haya una alineación más profunda entre el negocio y la TI, y las inversiones en tecnología se centren en la resiliencia, la colaboración y el autoservicio. Planifique para una crisis de manera integral y adapte el modelo de negocio, la financiación, los procesos de negocio y las operaciones de TI para ser más resilientes.
También planifique cómo funcionará el negocio durante una crisis. Elabore un plan de emergencia de TI y configure una estructura de comando de incidentes para garantizar que todos conozcan su función y responsabilidades en varios escenarios de crisis. La educación y la formación son fundamentales y no se deben pasar por alto las pruebas periódicas de los planes de continuidad empresarial en caso de crisis.
Comprender la dependencia empresarial de la TI
Es extremadamente importante que cada organización evalúe y comprenda el grado en que sus operaciones comerciales dependen de la TI porque cuanto mayor es la dependencia, mayor es la importancia de la resiliencia de la TI para la resiliencia general del negocio.
La ciberresiliencia es un elemento central de la resiliencia empresarial. Si bien la dependencia de TI variará de una organización a otra, la tendencia general hacia la transformación digital y la creciente dependencia de las organizaciones de TI para funciones y datos comerciales críticos significa que para la mayoría de las organizaciones, la resiliencia de TI se está convirtiendo en la piedra angular de la resiliencia empresarial.
A raíz de la crisis de Covid-19, esta dependencia se acelerará a medida que las organizaciones busquen volverse más digitales. Sin resiliencia de TI, por lo tanto, pocas empresas podrían mantener las funciones comerciales críticas durante y después de las interrupciones causadas por desastres naturales, incendios, brotes de enfermedades, incidentes relacionados con terroristas y ataques cibernéticos.
Gestión de riesgos de la cadena de suministro cibernética
La resiliencia de TI es crucial para la resiliencia empresarial, como lo demuestra la pandemia Covid-19, que también ha destacado la importancia de la gestión de riesgos de la cadena de suministro cibernético (C-SCRM).
El impacto comercial de los proveedores que no pueden entregar bienes físicos es bien conocido, y la mayoría de las empresas tienen planes para gestionar el riesgo de cadena de suministro interrupciones. Sin embargo, muchas organizaciones subestiman los riesgos de la cadena de suministro cibernético.
A medida que las empresas se vuelven cada vez más digitales, deben esforzarse tanto en gestionar los riesgos de su cadena de suministro cibernética como lo hacen con su cadena de suministro tradicional, ya que no hacerlo podría conducir a un tiempo de inactividad de producción potencialmente paralizante.
Dados los complejos desafíos de gestión de riesgos de la cadena de suministro y la creciente sofisticación de los ataques cibernéticos, ahora es el momento de agregar C-SCRM como un componente clave de cualquier estrategia de BRM. Esto se puede hacer acordando estándares de seguridad cibernética con los proveedores, agregando proveedores cibernéticos al monitoreo de la cadena de suministro existente, realizando verificaciones de riesgo periódicas y elaborando medidas y procesos de contingencia para hacer frente a las interrupciones.
Considere nombrar un gerente de resiliencia empresarial
Toda empresa necesita resiliencia empresarial, pero si una empresa necesita un administrador de resiliencia empresarial dedicado depende en gran medida de la naturaleza de la empresa, la flexibilidad organizativa para adaptarse a las interrupciones y el riesgo general que podría representar cualquier interrupción potencial. Sin embargo, independientemente del título de la persona encargada de la responsabilidad de la resiliencia empresarial, deben tener el poder y la autoridad para actuar. Sin el poder y la autoridad necesarios, no se puede garantizar la resiliencia.
Cuando la naturaleza del negocio es particularmente sensible a interrupciones de cualquier tipo, como empresas que se basan en transacciones de alta velocidad y gran volumen, un gerente de resiliencia empresarial dedicado y empoderado es esencial, independientemente del tamaño de la empresa, porque cualquier interrupción sería extremadamente costosa y potencialmente fatal para el negocio.
Cuando el impacto de las interrupciones en el negocio no es especialmente alto, ya sea que la empresa sea grande o pequeña, la responsabilidad de la resiliencia empresarial puede asignarse al CIO, CISO o cualquier función superior en la empresa que tenga la visión general requerida tanto del negocio como de TI. operaciones. Estos roles podrían ampliarse para incluir la gestión integral y estandarizada de todos los procesos para identificar y mitigar la gama completa de riesgos que podrían interrumpir las operaciones comerciales.
La pandemia de coronavirus ha subrayado la importancia de la resiliencia empresarial y el valor de la gestión de la resiliencia empresarial. Solo a través de la gestión integral y estandarizada de todos los procesos para identificar y mitigar el riesgo, las empresas pueden garantizar que están en la mejor posición posible para mantener las operaciones a través de interrupciones inesperadas y más allá.
Aunque la interrupción debida a las pandemias es poco común, otras causas de interrupción, como los ataques cibernéticos, son cada vez más comunes y solo es probable que crezcan a medida que las empresas se vuelven más digitales. La resiliencia empresarial es esencial, especialmente a medida que las organizaciones se vuelven más dependientes de las cadenas de suministro cibernéticas.
La resiliencia empresarial está directamente relacionada con la supervivencia de la empresa tanto a corto como a largo plazo y, por tanto, debe integrarse con los planes de sostenibilidad a largo plazo de cualquier negocio.
Sin embargo, la inversión en la construcción de una capacidad de resiliencia empresarial debe ser algo más que sobrevivir a las interrupciones y la sostenibilidad a largo plazo. A través de la estandarización de las mejores prácticas de BRM y la certificación potencial, las empresas no solo podrían mejorar la eficiencia y flexibilidad de sus operaciones y, por lo tanto, garantizar un buen gobierno corporativo, sino que también podrían utilizar BRM como un diferenciador del mercado.