La resiliencia se ha definido con mayor frecuencia como una adaptación positiva a pesar de la adversidad y ha tenido un enfoque muy marcado en las personas, ya que los primeros estudios de resiliencia se centraron en factores o características que ayudaban a las personas a prosperar a pesar de entornos adversos.

En las organizaciones, la resiliencia es la capacidad de resistir y recuperarse de ataques deliberados, accidentes o amenazas o incidentes naturales.

La resiliencia identifica la importancia de los factores protectores y las competencias que se tienen para protegerse, y a partir de estas, se evalúan las fortalezas que permiten la pronta recuperación ante incidentes que amenazan a la organización.

De entrada, podría pensarse que seguridad y resiliencia son sinónimos, ya que la seguridad busca responder a un incidente o a una crisis, sin embargo, desde una perspectiva de seguridad estaríamos atendiendo el incidente tal como se presente, en el momento en el que se presente y con los elementos que contamos, pero en un esquema resiliente, Seguridad no solo responde a una crisis única, tiene una perspectiva a largo plazo y tiene la intención de anticipar y ajustarse continuamente a las tendencias que amenazan a nuestra organización, buscando elementos que permitan la continuidad de esta, a pesar de las circunstancias e incluso si la seguridad fallase.

De forma general podríamos decir que el esquema “tradicional” de la seguridad se trata de protegernos y la resiliencia se trata de mantenerse, es prepararse para lo inesperado, subsistir y recuperarse.

Para entender más claramente pondremos ejemplos de medidas de seguridad y medidas de resiliencia.

Ejemplos de medidas de seguridad:

• Controles de acceso en las instalaciones
• Uso de software antivirus
• Bardas perimetrales en las instalaciones.
• Bloquear las pantallas en las computadoras.

Ejemplos de medidas de resiliencia:

• Desarrollar un plan de continuidad del negocio
• Tener un generador para energía de respaldo
• Usar materiales de construcción que sean más duraderos

Como vimos anteriormente, ambos planes son elementos de un esquema resiliente, ya que son herramientas que permiten, por un lado, la continuidad (BCP) y por el otro la gestión (Plan de Crisis).

Sin embargo, para efectos de resiliencia es más importante un plan de continuidad, ya que este es el documento que apoya la permanencia, pues identifica los peligros que afectan su capacidad para ofrecer productos y/o servicios, además de los procesos comerciales más importantes. Incluye los riesgos que ocurren fuera de la organización, por ejemplo, los que afectan a los clientes, proveedores o subcontratistas. Por ejemplo, un fabricante necesita un suministro confiable de materias primas y una cadena de suministro consistente para llevar el producto a sus clientes, ambos elementos deben ser analizados e integrados en un plan de continuidad y solo así estamos armando un esquema resiliente.

La organización resiliente mide la magnitud y la frecuencia de la transformación estratégica contra el tiempo, el gasto y la energía emocional necesarios para efectuar esta transformación.

La expectativa de una organización resiliente es ser eficiente en su diaria evolución en materia de seguridad y protección, esta mejora debe ser una consecuencia innata de la organización.

Imaginemos una relación donde el numerador mide la magnitud y la frecuencia de la transformación estratégica y el denominador refleja el tiempo, el gasto y la energía emocional necesarios para efectuar esa transformación. Cualquier empresa que espera seguir siendo relevante en un mundo al revés no tiene más remedio que hacer crecer el numerador. El verdadero truco es reducir constantemente el denominador al mismo tiempo.

Debemos iniciar estableciendo una meta y esta debe ser restablecer la operación normal en el menor tiempo posible.

Pero es muy importante entender que el objetivo cambia constantemente, muta con la aparición de nuevas amenazas y, por tanto, debes estarlo revisando constantemente para poder adaptar nuestro plan a estos cambios. En una organización verdaderamente flexible, hay mucha emoción, pero no debe haber traumas.

En el proceso de construcción de resiliencia, se pueden establecer cuatro pilares:

• El primero es el aspecto cognitivo: la organización debe comprender la naturaleza de su negocio, las amenazas que puede enfrentar y cómo éstas van evolucionando (y, por supuesto, la organización junto con ellos), definir sus actividades primordiales y generar su plan de continuidad de negocios con todo lo que esto implica.
  
  

• El segundo es el aspecto estratégico: la resiliencia requiere contemplar distintas alternativas de problemas con sus respectivas soluciones, debe tener la capacidad de ver la imagen en grande de las amenazas pasadas, presentes y futuras (que tarde o temprano se convertirán en las presentes). Este aspecto es revisado constantemente y el plan debe adaptarse a esto.
  
  

• El tercero es el aspecto político: Todas las políticas y procedimientos también deben considerar un esquema resiliente, especialmente como parte de un proceso de mitigación y restablecimiento de nuestras operaciones, pero sobre todo deberá integrarse un componente estratégico de análisis continuo y de mejora del esquema resiliente de la organización.

El cuarto es el aspecto ideológico: quizá el más difícil de implementar, ya que requiere adoptar una doctrina de optimización de los modelos de negocio en función con las amenazas y los medios para gerenciarla, solo así podremos comprender la importancia de atenderlas: usualmente en la alta dirección es donde encontraremos la mayor resistencia a adoptar un modelo resiliente, toda vez que existe una resistencia natural a los cambios de paradigmas, además de un exceso de confianza (“eso no nos puede pasar”, “nunca ha pasado”

En la seguridad, la construcción de un modelo preventivo usualmente se basa en la verificación de factores que se hayan materializado en nuestra propia organización o en otra.

En un modelo resiliente el enfoque es a futuro, pero no en los incidentes tal cual, sino en los efectos que estos puedan tener en la organización, de tal forma que el análisis no parte del incidente tal cual, parte de los efectos de este en las operaciones. Es reorientar el modelo preventivo basado en incidentes a uno de restablecimiento basado en efectos.

Más claramente: si en el pasado hemos tenido intrusiones cuyos resultados son robos, vandalismo o sabotaje, la experiencia tradicional nos dirá que establezcamos esquemas de seguridad que impidan estas acciones, pero en un modelo resiliente debemos analizar los posibles efectos de este ingreso y, por tanto, operar para minimizar la posibilidad de ocurrencia (con elementos de seguridad), su mitigación (gestión de la emergencia) y el restablecimiento (plan de continuidad de negocios). Operar bajo esta óptica nos ayudará a fortalecer la resiliencia organizacional.

La construcción de un modelo de resiliencia requiere establecer medidas que vayan más allá de un incidente. Es hacer de la seguridad un elemento del concepto integral de continuidad, no olvidemos que las empresas no hacen seguridad como parte de su negocio (excepto obviamente las que si hacen), dan servicios o producen, por tanto, la seguridad es un elemento que debe permitir que la empresa siga operando y cumpliendo su objetivo (producir o generar un servicio), esta es una óptica resiliente de seguridad corporativa.

El Gobierno australiano, en su documento de posición sobre resiliencia organizativa (2011), destaca que "un enfoque de todos los riesgos y todas las amenazas para mejorar la resiliencia de una organización lo preparará mejor para los imprevistos".

Los objetivos de resiliencia organizacional serán diferentes para las diferentes organizaciones, por ejemplo, con respecto a la infraestructura crítica, hay una expectativa para que el gobierno debe trabajar para mejorar la resiliencia de servicios esenciales frente a todos los peligros, sin embargo, una organización no debería esperanzarse en esta estrategia, por tanto, también debe considerarla (aunque parezca redundante).

Por lo tanto, es necesario lidiar con eventos como condiciones meteorológicas adversas, daños a la reputación o situaciones de desastre que muevan a una organización de la normalidad a una situación de crisis en la que no se aplican las reglas normales de negocio habitual. Para que una organización logre resiliencia, es necesario que pueda, por un lado, evitar situaciones, y por el otro, lidiar con las que no estaban previstas.

Existen diversos documentos que abordan este concepto desde una perspectiva organizacional.

Mencionaremos algunos de los más importantes:

ASIS aborda el concepto en ANSI/ASIS Standard, Security and Resilience in Organizations and Their Supply Chains (ORM.1) que sustituye a dos estándares integrándolos en este concepto (y por sí mismo nos da una idea general de lo que hemos venido explicando a lo largo de esta presentación): ANSI/ASIS Organizational Resilience: Security, Preparedness and Continuity Management Systems (SPC.1) and ANSI/ASIS/BSI Business Continuity Management Standard (BCM.1).

En cuanto a gobiernos, podemos encontrar el Programa de Preparación del Sector Privado del Departamento de Seguridad Nacional de los EE. UU. (PS-Prep) y también los de países como el Reino Unido y Australia (AS 0000-2: 2010) quienes están desarrollando sus propias directrices.

La aparición de estándares y el consiguiente interés de las organizaciones en la actualidad se deriva de la creciente incertidumbre con el aumento de la volatilidad geopolítica, económica y climática.

Esta mayor importancia de la gestión de riesgos subraya la necesidad de pasar de un enfoque basado en el cumplimiento a otro en el que las organizaciones cierran activamente el ciclo de acción correctiva entre el riesgo y el incidente.

Remitiéndonos a los lamentables hechos del 11 de septiembre en Nueva York, expondré el caso de la compañía Morgan Stanley y su jefe de seguridad Rick Rescorla.

Habiendo hecho una visita de evaluación, invitado por un amigo en 1990 al World Trade Center (WTC), le fue preguntado ¿en dónde atacaría si él fuera terrorista?, su respuesta fue simple: en el sótano.

Años después su opinión se materializó, cuando en 1993 estalló una bomba en el sótano del edificio sin causar grandes daños.

Tiempo después fue contratado como jefe de seguridad de Morgan Stanley, quienes tenían sus oficinas en el WTC.

Creyendo que el WTC era un objetivo terrorista particularmente vulnerable, Rescorla recomendó que su compañía que encontrara un espacio diferente, lo cual no ocurrió debido a las obligaciones contractuales.

Por lo anterior, Rescorla se enfocó en definir y ejercitar a conciencia un modelo de evacuación con los empleados de Morgan Stanley, ya que sabía que la evacuación del edificio había ido tan mal que se comprometió a que un éxodo tan confuso como el de aquella ocasión nunca más volvería a suceder.

El 11 de septiembre esta preocupación se materializó, pero los empleados ya estaban listos.

Cuando la Autoridad Portuaria emitió un anuncio, a través de su sistema de megafonía, de que todos en la Torre Sur del World Trade Center debían mantener la calma y permanecer en sus escritorios, Rescorla no podía creer lo que estaba oyendo. Inmediatamente, activó su proceso de evacuación y con el megáfono en la mano, ordenó a los empleados de Morgan Stanley que evacuaran el edificio.

 Antes de que el segundo avión golpeara la Torre Sur, sus colegas ya estaban bajando las escaleras.

Debido a la previsión de Rick Rescorla y al análisis previo de los elementos de riesgo, vulnerabilidad y de respuesta, casi todos los empleados de Morgan Stanley (2700 para ser precisos) salieron de la Torre Sur antes de que esta colapsara.

La habilidad de reconstruir una comunidad está relacionada con las fuerzas y capacidades de los individuos y las organizaciones. La resiliencia es la habilidad de evitar que el impacto de un agente perturbador (que usualmente es de corto plazo) se prolongue más de lo necesario, es operar para asegurar un futuro más allá del momento de impacto.

Cuando la Torre Sur colapsó, Rick todavía estaba en el edificio apoyando la evacuación. Su cuerpo nunca fue encontrado.

Parece haber poco consenso sobre qué exactamente cómo lograr la resiliencia organizacional al ser un tema relativamente nuevo (desde la perspectiva de la seguridad), mucho depende en donde se coloca el énfasis, es decir, enfoque a la orientación de prevención o enfoque de recuperación.

Yo diría que un buen enfoque de peligros abarca ambos. No veo ninguna razón por la que el objetivo de resiliencia de una organización no sea mejorar realmente el funcionamiento de la organización, reputación, condición del activo, gestión del riesgo futuro o moral del personal para que no solo se recupere, sino que también se beneficie de la adversidad.

Si la organización comprende lo anterior, el nivel de éxito en la implementación de un plan de resiliencia corporativa tendrá un impacto muy positivo.