De la incertidumbre a la confianza: la resiliencia organizacional guiada por los estándares

En el panorama actual, cualquier organización (ya sea una pequeña empresa local, la filial de una multinacional, un ayuntamiento o una ONG) se enfrenta a sobresaltos en múltiples frentes. Ciberincidentes que interrumpen los servicios digitales, fenómenos meteorológicos que comprometen la infraestructura, alteraciones bruscas en los mercados que desequilibran los presupuestos o cambios normativos que obligan a replantear procesos sobre la marcha. Estas sacudidas, que pueden coincidir e incluso encadenarse, convierten la planificación y la continuidad de la actividad en un desafío diario para cualquiera, tanto en el ámbito privado como en el público.

El viejo paradigma de la continuidad reactiva, “volver a la normalidad cuanto antes”, se queda corto ante riesgos más sistémicos (digitales, climáticos, geopolíticos) y persistentes (escasez de talento, presión regulatoria).

En este contexto, UNE representa a España en el comité internacional ISO/TC 292 Security and resilience y participa en la revisión de la ISO/CD 22316 Security and resilience - Organizational resilience - Guidelines (cuya versión anterior fue publicada en 2017). El nuevo texto, hoy en fase Committee Draft (CD), persigue un objetivo ambicioso: convertir la resiliencia en una disciplina de diseño, medición y rendición de cuentas.

Es importante destacar que es un documento en sus fases iniciales de desarrollo y sujeto a modificaciones a lo largo de su discusión y aprobación como norma ISO. Pero también es clave resaltar que supone un salto cualitativo en el rol de la resiliencia. Por este motivo, merece la pena explorar su nuevo enfoque, que refleja el esfuerzo del ecosistema de normalización por adaptarse a las necesidades emergentes y a la realidad empresarial y social.

En el marco terminológico del ISO/CD 22316, la definición de resiliencia no ha variado y sigue siendo la capacidad de una organización para absorber y adaptarse en un entorno cambiante.

Sin embargo, el resto ha variado. Y mucho. El nuevo enfoque del ISO/CD 22316 propone que la resiliencia deje de ser una cualidad etérea y pase a ser una capacidad organizacional medible. La evolución se explicita en la tabla 1, que compara este nuevo desarrollo con la Norma UNE-ISO 22316:2020.

El nuevo marco, alineado con los últimos desarrollos en el ámbito académico, concreta el alcance en cinco dimensiones: financiera, infraestructuras y operaciones, personas, medioambiental y social.

En la práctica, a un banco ya no le basta con vigilar su solvencia. También ha de comprobar la robustez de sus sistemas tecnológicos, vigilar la huella que deja en el medioambiente, el bienestar de su plantilla y la forma en que repercute en la comunidad.

Otra novedad incluida en el borrador es la identificación de las capacidades vinculadas a la resiliencia:

Anticipar - Absorber - Adaptar

Estas capacidades integran procesos, cultura de mejora y liderazgo distribuido: la resiliencia deja de ser un lema y se convierte en competencia organizativa que puede gestionarse de forma efectiva por parte de las organizaciones.

1. Anticipar. Desarrollar buenas capacidades para el escaneo del entorno (análisis de tendencias, prospectiva, simulaciones), empleando datos y conocimiento experto que permitan detectar las señales débiles.
2. Absorber. Mantener los resultados esenciales dentro de los umbrales gracias a planes de respuesta, reservas de capacidad y equipos preparados para actuar en minutos, no en días.
3. Adaptar. Reconfigurar procesos y modelo de negocio para salir fortalecidos de la crisis, apoyándose en revisiones post-incidente (after-action reviews), aprendizaje continuo y experimentación controlada.

Este enfoque implica que una organización no opera aislada, sino que tiene en consideración el contexto en el que desarrolla su actividad para abordar de manera realista su resiliencia.

Bajo esta premisa, el borrador introduce algunos conceptos clave, que permiten hacer de la resiliencia una capacidad operativa: 

• Resultado esencial. Meta, servicio o condición crítica que la organización debe garantizar porque, si falla, pone en riesgo su viabilidad o daña gravemente a sus grupos de interés.

• Umbral de resiliencia. Valor que marca el nivel mínimo (o máximo) aceptable para cada resultado esencial; sirve de “línea roja” para saber cuándo la resiliencia está en peligro y hay que tomar medidas.

• Pruebas de estrés. Técnicas empleadas para evaluar la resiliencia en condiciones cada vez más adversas. Permite comprender cómo, cuándo, dónde y por qué se rebasa un umbral

En la práctica, la nueva propuesta indica que deben establecerse umbrales de resiliencia para cada resultado esencial en condiciones normales (objetivo) y en adversidad severa (mínimo o máximo). La propuesta requiere testar de forma periódica que las cosas funcionan. Todo ello para abarcar tanto choques agudos (por ejemplo: una inundación, una huelga) como estresores crónicos  como la digitalización acelerada o la presión normativa. Las pruebas de estrés periódicas para comprobar la idoneidad de los umbrales deberían:

1. Estimar cuánto tiempo pueden mantenerse los umbrales antes de fallar.
2. Identificar fallos en cascada entre dimensiones (por ejemplo, un incidente informático que derive en pérdidas reputacionales y de liquidez).
3. Priorizar inversiones según el retorno en resiliencia: redes redundantes, colchones de liquidez, reciclaje de competencias o simulaciones con gemelos digitales.

El ciclo toma una importancia clave:

Determinar resultado esencial → fijar umbral → ponerlo a prueba.

El resultado final es un caso de negocio que identifica dónde tiene más sentido aplicar los recursos de la empresa en materia de resiliencia. Los recursos son finitos, hay que elegir bien dónde invertirlos.

Asimismo, propone cuatro principios de diseño que actúan como bloques de construcción de la resiliencia:

• Diversidad (proveedores alternativos, fuentes de ingresos variadas).

• Modularidad (sistemas compartimentados que limitan el daño).

• Flexibilidad (contratos y plantillas que se ajustan con rapidez).

• Redundancia (capacidades críticas duplicadas, como centros de datos espejo).

El documento destaca la relevancia de la propia cultura de la organización, que apoye la resiliencia basada en: visión y propósito comunes, consciencia del contexto, capacidad para responder a cambios, liderazgo y gobernanza, información y conocimiento compartidos, gestión de riesgos integrada y mejora continua. Todo ello debe reflejarse en incentivos, valores y planes para que la resiliencia forme parte del ADN de la organización.

La organización también debería elaborar un informe de diagnóstico sobre resiliencia, que incluya toda la información relevante, con una periodicidad como mínimo anual, informar a las partes interesadas e incluir la resiliencia en los informes periódicos que elabore la entidad, como los financieros y de sostenibilidad.

Así pues, la resiliencia sube posiciones y aspira a tomar un lugar destacado en el gobierno corporativo.

Las organizaciones que ya venían aplicando los principios recogidos en el estándar de 2017 parten de una posición de privilegio. Disponen de una base tremendamente útil sobre la que implementar el enfoque operativo y de impacto que el borrador propone. Para ello deben:

1. Mapear los diez atributos cualitativos de 2017 frente a los nuevos resultados esenciales y sus métricas.
2. Fijar umbrales cuantitativos y ejecutar la primera de pruebas de estrés.
3. Nombrar un responsable ejecutivo y establecer un ciclo anual de informes.
4. Integrar indicadores de resiliencia en los cuadros de mando ambientales, sociales y de gobernanza, facilitando el seguimiento y la comparación.

El nuevo enfoque de la revisión de la Norma ISO 22316 pretende convertir a la resiliencia en un objetivo de diseño con métricas comprobables y gobierno explícito. Supone promover un estándar que no solo protege frente a la volatilidad, sino que genera confianza y valor empresarial.

Diseñar hoy la resiliencia es transformar los sobresaltos de mañana en oportunidades. Lo que no se diseña no se puede proteger; lo que no se mide no se puede mejorar.

Este documento, junto con el conjunto de normas que abordan esta materia, son la palanca que traduce la resiliencia en confianza… y la confianza, en ventaja competitiva.