Operar en un estado de “negocios como siempre” ya no es sinónimo de ausencia de interrupciones o crisis. Los desafíos que enfrentan las instituciones se han vuelto predeciblemente impredecibles. Desde eventos geopolíticos hasta desastres naturales y mala gestión de riesgos, existen interrupciones de negocio globales que se enfrentan a diario. La «nueva normalidad» es un estado de gestión y mitigación casi constantes de la interrupción de los servicios.

La posibilidad de que se produzcan crisis agravantes es una preocupación importante para los equipos de riesgo, resiliencia, seguridad y operaciones. Existe una presión cada vez mayor (tanto de los reguladores como de los consumidores) para que las organizaciones adopten un enfoque proactivo para garantizar su resiliencia futura, suponiendo que los controles regulares puedan fallar y que los escenarios sean más severos de lo previsto. Dicho esto, hay tres consideraciones clave para recordar al implementar un estado más resistente.

Romper los silos

En el nivel más simple, el liderazgo de una empresa necesita saber dónde su organización podría tener vulnerabilidades, qué se debe hacer para evitar que se sientan los impactos y cómo implementar medidas de resiliencia para estar mejor preparados para futuras interrupciones. En algunas organizaciones, sus programas de riesgo operativo, seguridad cibernética, recuperación de desastres de TI, cadena de suministro, cumplimiento y continuidad del negocio operan de forma aislada unos de otros. Trabajan con diferentes conjuntos de datos y tienen diferentes prioridades, lo que conduce a diferentes procesos y herramientas. Esto da como resultado silos departamentales que producen informes y tomas de decisiones inconsistentes.

Para resolver esto, las organizaciones están estableciendo comités directivos multifuncionales, reuniendo a líderes de resiliencia operacional, continuidad del negocio y recuperación ante desastres, ciberseguridad y gestión de riesgos de terceros para alinear programas, equipos, datos y métricas complementarios. Además de garantizar la coherencia y la racionalización de los procesos, romper estos silos también aumenta la transparencia, el conocimiento y la alineación en toda la empresa.

Por supuesto, estos programas de colaboración requieren un fuerte liderazgo (algunos de los cuales incorporan un director de resiliencia), así como un cambio significativo en la cultura y el enfoque de riesgo y resiliencia de la empresa. Estos líderes están mejor situados para proporcionar información y análisis clave para que los equipos ejecutivos los consideren al tomar decisiones críticas de la empresa sobre asuntos que involucran transformación digital, expansión geográfica o iniciativas de terceros.

Aumentar el enfoque en la gestión de riesgos de terceros

Las organizaciones también deben agudizar su enfoque en sus exposiciones al riesgo de terceros en lo que respecta a servicios del negocio importantes o críticos. Los equipos de resiliencia están trabajando con equipos de administración de terceros para evaluar mejor las posibles vulnerabilidades de la cadena de suministro y comprender los perfiles de riesgo de sus terceros críticos.

Recientemente ha habido una plétora de regulaciones en torno a proveedores externos críticos para el sector de servicios financieros, como la Ley de resiliencia operacional digital (DORA) de la UE, la «tercerización PS7/21 y la gestión de riesgos de terceros» del Reino Unido, así como » DP3/22 Resiliencia operacional: Terceros críticos para el sector financiero del Reino Unido” y “CPS 230 Operational Risk Management” de Australia (incluida la gestión de riesgos de terceros). Esto está poniendo en marcha un cambio en las metodologías de mejores prácticas en torno a la resiliencia de la cadena de suministro, incluso aquellos que no se ven afectados por las regulaciones buscan alinearse con los requisitos.

Las interrupciones de la cadena de suministro y los consiguientes impactos son especialmente difíciles de gestionar debido a la cantidad de tiempo que puede llevar incorporar y desvincular empresas y luego reconstruir los recursos para satisfacer los requerimientos de todos los propietarios de procesos y servicios. Esto se agrava cuando se lucha contra las infracciones de seguridad cibernética basadas en proveedores, que solo aumentan a medida que los atacantes reconocen el valor que aportan en los puntos de acceso a una amplia gama de empresas. Para combatir esto de manera efectiva, nunca ha sido más necesario que los equipos cibernéticos, de resiliencia y de terceros trabajen en conjunto.

Piensa globalmente actúa localmente

Con el aumento del escrutinio regulatorio, las empresas enfrentan un nuevo obstáculo: la creciente complejidad de ejecutar un programa holístico que cumpla con todas las regulaciones globales. Hay mucho en juego en términos de multas; la Autoridad de Conducta Financiera (FCA) y la Autoridad de Regulación Prudencial (PRA) emitieron su primera multa (de £ 48 millones / $58 millones) contra la falta de medidas de resiliencia operacional al TSB Bank en diciembre de 2022. Los riesgos operacionales, legales y de reputación pueden ser aún mayores para remediar, con un costo de millones a incluso miles de millones.

La mayoría de estas regulaciones tienen un requerimiento común: las empresas deben poder mapear sus servicios de negocio críticos e interrogar todos los procesos, activos y recursos que respaldan esos servicios, tanto dentro de la empresa como a lo largo de su cadena de suministro. Este enfoque holístico exige una plataforma completa e integrada que permita a las organizaciones ver sus datos y análisis a través de una sola lente.

Ha llegado el momento de la resiliencia operacional

Actualizar o revisar el programa de resiliencia operacional de una empresa puede parecer desalentador, pero se ha demostrado una y otra vez que un programa de resiliencia que funcione bien es el mejor seguro contra la pérdida financiera y de reputación. Eventos, como el reciente colapso de Silicon Valley Bank, pueden sugerir que muchos riesgos son impredecibles, pero las causas profundas y la falta de una gestión de riesgos adecuada están ahí si nos fijamos. Las empresas pueden ser proactivas y deben centrarse en lo que están facultados para hacer ahora. Al optimizar los equipos y los procesos, volver a priorizar las inversiones en función de las vulnerabilidades y encontrar la tecnología adecuada, las empresas estarán mejor preparadas para superar las disrupciones del futuro.