Las amenazas de gran alcance y alta incertidumbre, cada vez más presentes en aspectos como ciberseguridad, salud pública, redes de información, sistemas de energía y muchas otras facetas interconectadas de las infraestructuras y de la actividad humana, están impulsando a los gobiernos de los países más desarrollados, incluidos los de la U.E., a promover esfuerzos para reforzar la resiliencia y la seguridad que a su vez afecta de forma incremental y relevante a las organizaciones.
Las preocupaciones surgen de la cada vez mayor interconexión global, donde los sistemas e infraestructuras dependen de las nuevas tecnologías, que al mismo tiempo que expanden los servicios y promueven el desarrollo y el crecimiento de los sistemas, nos exponen a nuevos riesgos que antes no teníamos y que se interfieren en cascada, pudiendo devastar el funcionamiento normal de procesos importantes.
Dichos riesgos, representan desafíos crecientes para la gobernanza de las organizaciones como gestores de riesgos en el siglo XXI, tanto en las empresas privadas, como en las administraciones públicas.
Ello requiere el desarrollo de las estrategias de gestión de riesgos convencionales, pero también de otras medidas como el pensamiento basado en la resiliencia, para proteger adecuadamente a las organizaciones contra las consecuencias indeseables de eventos inciertos, inesperados y a menudo, dramáticos.
La ACADEMIA NACIONAL DE CIENCIAS (NAS), http://www.nasonline.org/, define la Resiliencia Ante Desastres como «la capacidad de planificar y prepararse, absorber, recuperarse y adaptarse ante eventos adversos» (NAS 2012).
La definición de la NAS destaca la necesidad organizacional de abordar eventos de riesgo altamente inciertos y de gran impacto, que no se abordan fácilmente a través de enfoques tradicionales de gestión de riesgos con medidas de seguridad centradas en proteger los activos concretos inventariados.
Con esta idea en mente, la gobernanza ha de utilizar el concepto de resiliencia para evaluar la capacidad de los sistemas complejos para mantener la seguridad y la flexibilidad, recuperándose de todo un surtido de potenciales eventos adversos.
Además, la adaptación para la recuperación ofrece la capacidad de revisar mejor cómo los sistemas pueden ajustarse continuamente a la información, las relaciones, los objetivos, las amenazas y otros factores cambiantes para adaptarse ante el cambio, particularmente aquellos cambios que podrían producir resultados negativos.
En general, se considera que la preparación para reducir las consecuencias negativas de tales eventos cuando ocurran, incluya la mejora de la resiliencia de los sistemas en estados operativos, en base necesariamente al imprescindible análisis de riesgos, así como las acciones de resiliencia adecuadas antes, durante y después de que una brecha de seguridad tenga lugar, para que los riesgos que puedan acumularse debido a los cambios en el rendimiento, no minoren la capacidad de absorberlos del sistema.
El pensamiento basado en la resiliencia tiene la capacidad de cambiar radicalmente la forma en que una organización se prepara para las posibles interrupciones de servicios clave, así como de la información y de los sistemas, al estar preparados para la recuperación ante ataques externos de una cierta magnitud significativa.
El análisis de resiliencia mantiene fundamentalmente gran parte del mismo fondo filosófico que el análisis de riesgos tradicional. Sin embargo, el análisis de resiliencia también profundiza en lo desconocido, incierto e inesperado con el foco de escala en los sistemas en lugar de en los activos individuales.
El pensamiento basado en la resiliencia requiere de reflexión específica sobre posibles amenazas futuras a la estabilidad de los sistemas y en que se desarrollen contramedidas o salvaguardas para evitar pérdidas remanentes.
El análisis de resiliencia mantiene una diferencia principal en el sentido de que se centra principalmente en los resultados: las personas que llevan la gobernanza han de preocuparse directamente por la capacidad de la organización, infraestructuras o entorno afectados, para recuperarse de las conmociones externas, recuperarse y adaptarse a las nuevas condiciones.
En otras palabras, cuando los métodos tradicionales de evaluación de riesgos buscan fortalecer un activo vulnerable del sistema basado en una instantánea en el tiempo, el análisis de resiliencia busca ofrecer un «aterrizaje suave» para el sistema en cuestión.
La gestión de la resiliencia es el proceso sistemático para garantizar que las amenazas externas significativas, no se conviertan en vulnerabilidades, debido a causas como la innovación técnica, los piratas informáticos, los ataques a la ciberseguridad o cualquier enfermedad electrónica para la salud de los sistemas, lo cuales se conviertan en daños duraderos en la funcionalidad o la eficiencia de cualquiera de las dimensiones de seguridad, tales como el acceso, la disponibilidad, la autenticidad, la integridad, la confidencialidad, la trazabilidad y la conservación.
Esta diferencia conceptual, es compleja pero necesaria frente a los crecientes desafíos e incertidumbres de un mundo cada vez más global e interconectado. Al revisar las similitudes y diferencias en los campos de riesgo y resiliencia, tanto en cuanto a enfoques como a metodologías, es necesario considerar los factores filosóficos, analíticos y temporales involucrados en el despliegue de cada campo.
Los factores filosóficos incluyen la actitud general y la perspectiva cuando una organización comprende y se prepara para los riesgos. Los factores analíticos incluyen modelos cuantitativos y prácticas cualitativas implementadas para evaluar formalmente el riesgo. Por último, los factores temporales incluyen el periodo durante el cual el riesgo se considera tradicionalmente utilizando los modelos de análisis disponibles.
Si bien el análisis de resiliencia difiere un poco de la evaluación de riesgos más convencionalmente utilizada, el pensamiento basado en la resiliencia es altamente compatible con los métodos existentes, siendo sinérgico con los enfoques tradicionales del análisis de riesgos.