Continuidad de negocio en la era de la “permacrisis”

En la última década, el liderazgo ejecutivo dejó de preguntarse si habrá una próxima disrupción para pasar a preguntarse cuándo y con qué profundidad impactará en sus operaciones. 

Los estudios globales de riesgo coinciden: el entorno se percibe como una “permacrisis”, donde factores geopolíticos, climáticos, regulatorios, tecnológicos y sociales interactúan de forma no lineal y, muchas veces, inesperada. 

En aquí donde, la continuidad del negocio deja de ser un anexo técnico o un requisito de auditoría para convertirse en una ventaja competitiva: la capacidad de seguir operando —o de recuperarse rápidamente— cuando otros quedan paralizados. 

Un futuro más imprevisible que nuestro pasado de referencia 

Para un C-Level, lo realmente desafiante no son los riesgos “conocidos”, sino las combinaciones inesperadas de eventos que ponen en jaque la propuesta de valor y la confianza del mercado. Hoy convergen, entre otros: 

  • Ataques cibernéticos de alto impacto que no solo cifran información, sino que interrumpen cadenas de suministro, canales de atención y procesos financieros clave. 

  • Rupturas en la cadena de suministro por conflictos, restricciones regulatorias o eventos climáticos extremos que vuelven inviables proveedores antes considerados “seguros”. 

  • Dependencia crítica de terceros tecnológicos (nube, comunicaciones, procesamiento) donde una falla puede significar horas o días sin operación digital. 

  • Nuevos riesgos de inteligencia artificial, desde errores en decisiones automatizadas hasta fugas masivas de datos por un uso no gobernado de modelos y plataformas de IA. 

Lo central no es que estos eventos existan —siempre existieron crisis—, sino que hoy se caracterizan por tres atributos que los vuelven más peligrosos para la continuidad: 

  1. Velocidad: pasan de incidente técnico a crisis reputacional en minutos. 

  1. Interdependencia: un problema en TI se vuelve rápidamente problema regulatorio, financiero y de marca. 

  1. Invisibilidad: muchos riesgos nacen en ecosistemas digitales y cadenas extendidas donde la organización tiene visibilidad parcial. 

La paradoja actual es clara: mientras los ejecutivos declaran que el riesgo es una prioridad estratégica, muy pocas organizaciones operan con una gestión de riesgo verdaderamente proactiva. 

De gestionar incidentes a diseñar resiliencia 

Frente a esta realidad, muchas empresas siguen ancladas en un modelo reactivo: políticas dispersas, algunos planes de recuperación tecnológica y comités de crisis que se convocan “cuando algo pasa”. Ese enfoque ya no alcanza. 

La diferencia entre organización vulnerable y organización resiliente no es la ausencia de incidentes, sino la capacidad de absorber el golpe y seguir en pie. Esa resiliencia se construye, en esencia, sobre tres pilares: 

  • Continuidad de negocio (BCM): procesos, personas y proveedores críticos identificados, con prioridades claras y escenarios de contingencia definidos. 

  • Continuidad tecnológica (DRP/Sistemas): infraestructura preparada para fallar “de forma controlada”, con planes de recuperación por sitio, servicio y nivel de criticidad. 

  • Gobierno de ciberseguridad y datos: marcos que integran identificar, proteger, detectar, responder y recuperar, evitando que un incidente digital se convierta en colapso operativo. 

El giro cultural clave para el C-Level es dejar de ver la continuidad como una colección de documentos y verla como una capacidad organizacional medible, al mismo nivel que liquidez, EBITDA o NPS. 

Dos empresas, un mismo evento, resultados opuestos 

Imaginemos un escenario muy plausible: un ataque de ransomware impacta la plataforma central de operaciones de una compañía de servicios. En cuestión de horas, los sistemas de facturación, atención al cliente y acceso remoto quedan comprometidos. 

  • En la Empresa A, sin un programa robusto de continuidad: No hay claridad sobre qué procesos priorizar ni qué servicios se pueden degradar sin perder clientes clave. TI trabaja contra reloj, pero sin coordinación formal con finanzas, legales ni comunicaciones. Los equipos comerciales se enteran por rumores, la atención al cliente improvisa respuestas y la prensa se adelanta al comunicado oficial. El daño final no es solo económico: la pérdida de confianza de clientes y socios de negocio se traduce en renegociaciones, penalidades y rotación de cuentas estratégicas. 

  • En la Empresa B, con un servicio de continuidad maduro ya implementado: Se activan protocolos claros: comité de crisis, vocería definida, rutas de escalamiento establecidas. Los sistemas críticos migran a capacidades alternativas previamente probadas; quizá con degradación temporal de ciertos servicios, pero sin interrupción total. Los equipos comerciales y de atención reciben guías precisas sobre qué comunicar, durante cuánto tiempo y por qué canales. Los reportes a autoridades y reguladores se realizan según marcos ya acordados, reduciendo el riesgo de sanciones por omisiones o demoras. 

Ambas sufren un incidente grave. Pero solo una preserva su narrativa de confiabilidad. Y, en mercados saturados, esa narrativa es un activo tan valioso como cualquier producto estrella. 

Anticipar lo que aún no vemos 

La mayor trampa para los comités ejecutivos hoy no es subestimar los riesgos que conocen, sino ignorar los que todavía no se ven con claridad. En este punto, la continuidad deja de ser puro downside protection para convertirse en plataforma de crecimiento disciplinado. 

Algunas implicancias estratégicas que, en mi opinión, ningún C-Level debería postergar: 

  1. Elevar la continuidad al nivel de agenda de directorio. Revisar, al menos una vez al año, los escenarios de disrupción clave, los tiempos de recuperación comprometidos y las lecciones aprendidas de simulaciones y eventos reales. 

  1. Vincular resiliencia con decisiones de inversión y expansión. Cada nueva geografía, modelo de negocio digital o adopción intensiva de IA debería llevar asociada una discusión explícita sobre qué cambia en la continuidad del negocio y cómo se absorberán esos nuevos riesgos. 

  1. Medir la resiliencia, no solo la eficiencia. Incorporar indicadores como tiempo real de recuperación de servicios, porcentaje de procesos críticos con planes probados o nivel de madurez en ciberseguridad y privacidad, junto a los KPIs tradicionales. 

  1. Ver la continuidad como contrato de confianza con el cliente. En un entorno donde las interrupciones son noticia diaria, la promesa de marca ya no es solo “qué ofrezco”, sino “qué tan presente estaré cuando el entorno falle”. 

En un mundo donde “jugar a lo seguro” puede ser la forma más rápida de perder crecimiento, la continuidad del negocio deja de ser un seguro caro y pasa a ser un multiplicador de valor: permite asumir riesgos estratégicos —innovar, digitalizar, expandirse— con la tranquilidad de que lo imprevisible ha sido, al menos, anticipado y ensayado. 

Transforma el caos del entorno en decisiones informadas, el miedo a la disrupción en disciplina de ejecución y, sobre todo, la incertidumbre en una oportunidad para reforzar la confianza de clientes, colaboradores y mercados.