Desde la introducción de la norma ISO 22301 en 2012, las mejores prácticas para la Continuidad del Negocio se han mantenido prácticamente sin cambios. Sin embargo, las regulaciones globales de Resiliencia Operativa han introducido nuevas expectativas, elevando el nivel de la Resiliencia general. Este informe ayuda a los profesionales de la Resiliencia a evaluar sus programas, crear un caso de negocio para las mejoras y comprender cómo están evolucionando las expectativas de Resiliencia.

Los mandatos de cumplimiento impulsan la transformación de la Resiliencia

Forrester se ha asociado con el Disaster Recovery Journal para realizar estudios de mercado anuales sobre diversos temas relacionados con la Continuidad del Negocio y la Recuperación ante Desastres, con el fin de recopilar datos para realizar comparaciones y evaluaciones comparativas entre empresas, y publicar las mejores prácticas y recomendaciones. El estudio de este año se centró en la Resiliencia.

Con la cantidad de mandatos de Resiliencia Operativa en todo el mundo que ya están en vigor o que entrarán en vigor pronto, los programas deberán pasar de escenarios de pérdidas basados ​​en planes probados como graves a escenarios plausibles probados y respaldados con mapas de TI detallados de servicios críticos/importantes. Es la aspiración que muchos programas de BC siempre tuvieron pero que nunca se materializó debido a la falta de financiación, apoyo organizacional o prioridad del negocio.

Considere lo siguiente:

• El cumplimiento obliga a actuar. Desde que se introdujo la norma ISO 22301en 2012 como estándar para los sistemas de gestión de la Continuidad del Negocio, han surgido pocas normas más de Resiliencia con los mismos niveles de adopción. Recientemente, ha surgido una serie de regulaciones mundiales de Resiliencia Operativa, como la Ley de Resiliencia Operacional Digital (DORA) de la UE, la Declaración de Política sobre Resiliencia Operativa de la Autoridad de Regulación Prudencial del Banco de Inglaterra (PRA Op Res) y la Norma Prudencial CPS 230 de la Autoridad de Regulación Prudencial de Australia: Gestión del Riesgo Operacional (APRA Op Res). Estas normas ya están en vigor o lo estarán en breve. Hoy en día, estos mandatos solo son obligatorios para las instituciones financieras, pero su adopción está creciendo a medida que otras industrias reconocen y adoptan las mejores prácticas para mantener el funcionamiento de la TI en apoyo de servicios críticos/importantes (consulte la Figura 1).
• Las organizaciones apuntan a metas de Resiliencia operativa o Resiliencia empresarial. Separamos los objetivos de los programas de Resiliencia en Continuidad del Negocio, Resiliencia Operativa y Resiliencia Organizacional. Los programas de Continuidad del Negocio se enfocan principalmente en crear, mantener y probar planes de Continuidad del Negocio en preparación para un incidente. Los programas de Resiliencia Operativa se enfocan principalmente en los esfuerzos para garantizar que los servicios digitales críticos/importantes (incluidos los proporcionados por terceros) se mantengan durante un incidente. Los programas de Resiliencia Organizacional se enfocan en la planificación y preparación que realiza una organización para garantizar que las funciones de negocio críticas/importantes puedan continuar durante y después de un incidente, incluidos todos los procesos digitales y no digitales, como soluciones alternativas para procesos, empleados y consideraciones de fabricación. Hoy, el 46% de los encuestados trabaja principalmente en Continuidad del Negocio, pero un inspirador 22% trabaja en un programa de Resiliencia Operativa y otro 32% trabaja en un programa de Resiliencia empresarial.
• La transformación llevará tiempo. Incluso 24 meses después, las organizaciones siguen planificando lograr el cumplimiento de la Resiliencia Operativa. Por ejemplo, solo el 3 % de los encuestados afirman que cumplen con la APRA Op Res hoy, pero un 4 % adicional desea cumplir con ella en 24 meses. Los 50 encuestados que cumplen o desean cumplir con la normativa en este horizonte temporal de dos años habrán cumplido con un promedio de poco más de dos requerimientos de Resiliencia Operativa.

Las organizaciones se transformarán según los objetivos del programa

La Resiliencia es un programa multidisciplinario, ya sea que los objetivos sean la Continuidad del Negocio, la Resiliencia Operativa o la Resiliencia Organizacional. Sin embargo, los objetivos del programa tienen efectos directos en la organización.

Informar al Director de Operaciones (COO) es una mejor práctica emergente

Algunos mandatos, como APRA Op Res, requieren que los programas reporten al director de operaciones o a un rol similar. Para los encuestados que trabajan principalmente en programas de Resiliencia Operativa, esto es cierto: el 24% dijo que los programas reportan al director de operaciones. Aquellos con programas que reportan a otra persona, como el CISO (21%) o el CIO (10%), necesitarán reorganizarse para cumplir con estas regulaciones. Los encuestados que trabajan principalmente en un programa de BC y aquellos que trabajan principalmente en Resiliencia Organizacional tienen más probabilidades de reportar al CISO (22%). Pero ese es el único punto en común de estos programas. Después del CISO, aquellos que trabajan principalmente en Resiliencia Organizacional reportan a “otros” (17%) o al Director de Operaciones (14%), mientras que aquellos que trabajan principalmente en BC reportan al Director de Operaciones (16%), al Director de Ingresos (16%) y al Director Ejecutivo (14%). En todos los programas, la prominencia de los programas que reportan al Director de Operaciones indica una mejor práctica emergente. El Director de Operaciones sabe cómo funciona el negocio, puede apoyar una práctica compartida con herramientas comunes y puede permanecer objetivo e independiente de las líneas de negocio (que tienen un interés personal en la priorización de los servicios).

La mayoría de los programas tienden hacia la centralización

Los programas de Resiliencia deben comprender qué es lo que vale la pena proteger. Para la Resiliencia Operativa, las regulaciones han dictado que cualquier servicio de cara al cliente es importante/crítico. Sin embargo, una organización debe decidir primero cuáles son estos servicios. Algunas organizaciones tomarán una decisión basándose en un análisis formal del impacto al negocio (BIA). Otras negociarán con las líneas de negocio o los ejecutivos para decidir sobre la lista anualmente. En cualquier caso, este proceso depende de esfuerzos centralizados. Es por eso por lo que el 41% de los encuestados dijo que sus equipos tienen algunos miembros centralizados y dedicados, mientras que otros están descentralizados en las funciones o departamentos de negocio (consulte la Figura 2). Este tipo de organización federada equilibra la necesidad de una priorización centralizada de los servicios y, al mismo tiempo, mantiene vínculos estrechos con la empresa que los programas de Resiliencia deben mantener en funcionamiento. El 35% de los encuestados dijo que su equipo estaba centralizado; este tipo de organización permite esfuerzos coordinados de Resiliencia en torno a un propósito común.

Las prácticas deben finalmente evolucionar para cumplir con los mandatos de Resiliencia Operativa

Algunas prácticas, como la frecuencia y el tipo de pruebas, no han cambiado significativamente desde que comenzó nuestra encuesta hace más de 15 años. Las regulaciones de Resiliencia Operativa surgieron como un reconocimiento de que las prácticas de Resiliencia se habían estancado y las empresas no estaban manteniendo servicios críticos/importantes para los clientes que dependen de los activos de TI, especialmente en industrias interconectadas, como los servicios financieros. La TI cambia rápidamente y las prácticas de Resiliencia deben adaptarse a este ritmo.

La mayoría de las organizaciones realizan pruebas simples solo una vez al año

Lamentablemente, la situación de las pruebas no ha cambiado mucho desde 2008. Para todos los tipos de pruebas, la mayoría de las organizaciones solo realizan pruebas una vez al año con simulacros y recorridos de los planes, y a medida que las pruebas se vuelven más extensas, la frecuencia de las pruebas disminuye: el 41 % de los encuestados afirmó que nunca realizó una simulación completa (consulte la Figura 3). Las simulaciones no solo prueban las acciones, los roles, las responsabilidades y las interacciones entre los equipos en caso de incidentes, sino que también permiten cronometrar los distintos pasos del plan. El cronometraje brinda una idea de si los objetivos de recuperación son realistas y dónde identificar mejoras en el plan. Sin embargo, las pruebas requieren tiempo intencional y recursos dedicados en toda la organización, así como la inclusión de terceros críticos para identificar cuellos de botella, componentes faltantes y fallas de comunicación y conexión.

La mayoría de las pruebas no consideran la DEI

Al realizar pruebas, se deben escuchar todas las voces para identificar brechas, crear acciones y mejorar la planificación. Lamentablemente, el 53 % de los encuestados no tuvo en cuenta la diversidad, la equidad y la inclusión (DEI) al probar o poner en práctica un plan, y otro 14% no sabía si lo había hecho (consulte la Figura 4). A pesar de que algunas empresas están reduciendo las inversiones en DEI, el caso de negocio a favor de las experiencias inclusivas sigue siendo sólido, ya que los equipos diversos aportan un conjunto más amplio de perspectivas, orientaciones y experiencias a la organización. El uso de todas las perspectivas y orientaciones dentro de una organización ayudará a desbloquear el conocimiento sobre cómo funciona la organización, las vías de comunicación y las soluciones alternativas esenciales que la empresa puede implementar o mejorar.

La falta de mapas de servicios es algo común

Las regulaciones de Resiliencia Operativa requieren un mapeo de servicios críticos/importantes hasta los componentes de TI. Estos mapas también son fundamentales para adaptarse a las circunstancias individuales de un incidente. En el pasado, las organizaciones dependían de la base de datos de gestión de configuración para proporcionar el mapeo, pero era estático e incompleto, y las organizaciones de TI luchaban por incluir cambios no aprobados. Ahora, existe una aceptación de que los cambios de TI ocurren y que TI debe rastrearlos. Lamentablemente, todavía hay una falta de confianza en la integridad de los datos en tiempo real, especialmente para componentes como microservicios efímeros. La tecnología ha mejorado, especialmente en torno a AIOps; sin embargo, el uso de mapas aún es decepcionante. Alrededor del 16% de los encuestados dijo que usaban mapeos de servicios para determinar y rastrear el impacto en los clientes, así como para crear planes de restauración para pruebas/ejercicios. Solo el 15% de los encuestados usó mapas de servicios al evaluar el rendimiento de las pruebas.

La adopción de tecnologías clave sigue siendo baja

Para crear un programa de Continuidad del Negocio completo (e incluso alcanzar los objetivos de Resiliencia Operativa y Resiliencia Organizacional, los profesionales de la Resiliencia deben utilizar una gran cantidad de herramientas y tecnologías. No es de sorprender que los feeds de inteligencia de amenazas (41 %) (que DORA requiere para alimentar las pruebas de penetración basadas en amenazas) y las plataformas de gestión de Continuidad del Negocio (40 %) (que los profesionales de la Resiliencia utilizan para crear y mantener planes, realizar pruebas y gestionar la gestión de incidentes) tengan la mayor cantidad de encuestados que planean implementar o expandir (consulte la Figura 5). El software de gestión de eventos críticos (para crear paneles de incidentes con conjuntos de datos en tiempo real, como clima severo, y para enviar comunicaciones personalizadas durante un incidente a diferentes grupos internos y externos) tiene la menor cantidad de encuestados que planean implementar o expandir (24 %) y la mayoría de los que no están interesados ​​(25 %). La gestión del ciclo de vida de los contratos (CLM) tiene cantidades igualmente bajas de encuestados que planean implementar o expandir (28 %) y no están interesados ​​(20 %). CLM es una tecnología imprescindible para la Resiliencia Operativa, ya que los mandatos requieren que los contratos incluyan estrategias de salida y lenguaje de fuerza mayor.

Las invocaciones exigen un mayor enfoque en la Resiliencia Operativa

Si bien el 30% de los encuestados no sufrió ningún incidente o evento de riesgo crítico (un evento que tiene un impacto o interrupción significativos en los negocios, las finanzas o la reputación) en los últimos 12 meses, el 64 % de los encuestados tuvo al menos uno y el 15 % tuvo cuatro o más. La prevalencia de fallas de TI (59 %) e incidentes de seguridad de TI (29 %) demuestra el impulso para las regulaciones de Resiliencia Operativa y su enfoque en el mantenimiento de los activos de TI que respaldan los servicios críticos/importantes para los clientes.

Las fallas de TI encabezan la lista de causas de invocación a medida que las epidemias y pandemias se desvanecen

Después de eventos como la actualización de configuración de contenido de CrowdStrike que afectó a aproximadamente 8,5 millones de sistemas Windows en todo el mundo, no sorprende que las fallas de TI encabezaran la lista de causas de invocaciones de un plan (consulte la Figura 6). Sin embargo, después de las invocaciones continuas de 2023 debido a pandemias/epidemias, que atribuimos a COVID-19, solo el 10% de los encuestados continúa invocando incidentes de salud y seguridad. El clima extremo (33%) sigue afectando a los encuestados, pero los cortes de energía tuvieron un papel menor en las invocaciones de planes (10%). Vinculamos estas dos últimas causas: las organizaciones que no planifican fuentes de energía alternativas pueden quedar incapacitadas cuando el clima extremo interrumpe el suministro eléctrico.

La comunicación encabeza la lista de lecciones aprendidas

Un objetivo fundamental de la planificación de la Resiliencia es lograr que todos se pongan de acuerdo de antemano sobre cómo tomar decisiones durante un incidente o evento de riesgo crítico. Esto significa que la comunicación y la capacidad de tomar decisiones basadas en información actualizada son fundamentales. Sin embargo, como hemos señalado, el 25 % de los encuestados ni siquiera están interesados ​​en la gestión de eventos críticos, que no solo proporcionaría ese panel de control, sino que también permitiría comunicaciones basadas en el contexto que difieren entre: 1) responder al incidente o evento de riesgo crítico, 2) implementar soluciones alternativas y 3) tomar decisiones (consulte la Figura 7). Otro requerimiento clave de Resiliencia Operativa es que los responsables de la toma de decisiones deben tener la información que se relaciona con lo que les está sucediendo a los clientes afectados. Esto ayuda a los ejecutivos a determinar qué servicios poner en marcha y en qué orden, si el impacto en el cliente superará los niveles de tolerancia y otras acciones, como pagar un rescate durante un ataque de ransomware.

El presupuesto aumenta no solo para el cumplimiento normativo sino también para impulsar las mejores prácticas

El cumplimiento normativo es un gran motivador para el presupuesto, y el 38% de los encuestados con presupuestos en aumento confirmaron que lograr el cumplimiento regulatorio o cumplir con los hallazgos de auditoría impulsó el aumento del presupuesto. Si bien el cumplimiento regulatorio está impulsando nuevas y mejores prácticas recomendadas para la Resiliencia, las regulaciones aún representan el mínimo de lo que las organizaciones pueden hacer para lograrlo. Forrester define la Resiliencia Organizacional como la capacidad de una organización para cumplir con su visión y promesa de marca sin importar la crisis. ¿La buena noticia? El 52 % de los encuestados informó que el aumento del presupuesto fue para mitigar los riesgos crecientes o cambiantes para la organización, y el 38 % atribuyó el aumento a una mejor protección de la reputación y la marca corporativas, más cerca del objetivo de la Resiliencia Organizacional que del cumplimiento regulatorio.

Los presupuestos se reducirán sólo para el cuatro por ciento de los encuestados

Nuestra encuesta muestra que el 37% de los encuestados espera que la financiación de su programa de Resiliencia aumente en los próximos 12 meses (véase la Figura 8). Solo el 4% de los encuestados esperaba que su financiación para Resiliencia disminuyera.

Los servicios de respuesta a incidentes de ciberseguridad reciben el mayor aumento presupuestario

Se agradecerá un presupuesto adicional no solo para cumplir con los requerimientos de cumplimiento, sino también para reforzar las prácticas y tecnologías de Resiliencia. Los servicios para la respuesta a incidentes de ciberseguridad verán el mayor aumento en el presupuesto: el 32% de los encuestados informan un aumento presupuestario. El aumento más pequeño será para tecnología/servicios para la recuperación de la fuerza laboral (15%). Durante la pandemia de COVID-19, muchas organizaciones se encontraron trabajando rápidamente para garantizar que los empleados pudieran trabajar desde cualquier lugar, lo que «resolvió» la idea de la Resiliencia de la fuerza laboral. Sin embargo, al analizar más a fondo los datos, algunas áreas verán grandes aumentos de más del 10%, incluida la dotación de personal para la Resiliencia continua (10%), tecnología/servicios para facilitar los servicios de crisis y emergencia (9%) y tecnología/servicios para la recuperación de TI (9%) (ver Figura 9). En su afán por cumplir con los mandatos, las organizaciones buscan servicios y tecnologías que ayuden a llenar los vacíos que de otra manera no podrían.

Metodologías de investigación

Forrester y Disaster Recovery Journal realizaron esta encuesta conjunta entre octubre y noviembre de 2024. La encuesta estuvo dirigida a profesionales de seguridad y riesgo, recuperación ante desastres y Continuidad del Negocio a nivel mundial afiliados a Forrester y DRJ. Se recopilaron respuestas adicionales a través de LinkedIn. Se seleccionó a los encuestados para garantizar que tuvieran experiencia y responsabilidades laborales relevantes, lo que creó un conjunto de datos valioso para la evaluación comparativa de la industria.