Tal y como se anunció en el transcurso del II Ciber Resilience Forum organizado por ISMS Forum en la sede  Caixaforum Madrid el pasado mes de junio, el  Cyber Resilience Center (CRC), grupo de trabajo de ISMS Forum, ultima la publicación en  un Libro Blanco con las mejores prácticas de esta actividad en materia de resiliencia, donde quedará definido el papel de un nuevo actor líder, gestor de esta actividad el Chief Resilience Officer (CRO).

Así lo confirma Cristina Pereira, directora del CRC desde el pasado año y miembro de su Board: “El año pasado pusimos en marcha el CRC definiendo su hoja de ruta y las primeras iniciativas de este grupo de trabajo. Lanzamos en la comunidad de ISMS Forum una primera encuesta, a través de LinkedIn, para identificar donde situaban las principales preocupaciones de los expertos. Esa encuesta se ha cristalizado en la definición del “Libro Blanco del CRO” que presentaremos este próximo mes de junio en el III Ciber Resilience Forum”. El objetivo es ofrecer información estructurada y mejores prácticas para aquellas empresas que quieran implantar una función de resiliencia desde cero en su organización.

Para esta experta, “la idea es que los contenidos de esta publicación sean válidos para cualquier tipo de empresa”, entendiendo que hay algunas que presentan mayor grado de madurez y tienen más claro este ámbito, mientras que otras necesitarán mayor asesoramiento e información. Seguimos la línea de ISMS Forum en otras iniciativas. Ya están publicados el Libro Blanco del CISO  y también el Libro Blanco del DPO que hablan de las mejores prácticas para estos profesionales. Nuestra iniciativa se alinea con ese enfoque y busca definir con claridad qué se espera de un CRO. La obra incorpora modelos de gobernanza que están funcionando como referencia y buenas prácticas a seguir”, ha añadido.

Claves de las funciones del CRO

En opinión de Cristina Pereira, el debate no debe centrarse tanto en quién asume el cargo, sino en definir con precisión el alcance y las responsabilidades del puesto. “No importa tanto quién debe asumir ese papel, sino tener muy bien definidas las funciones de este profesional”, subraya. A su juicio, la función de resiliencia exige un mandato claro y una delimitación rigurosa de competencias, con independencia del tamaño o la estructura organizativa de cada compañía.

La directora del CRC explica que el CRO debe liderar la integración efectiva de la resiliencia en la organización, como evolución del tradicional concepto de continuidad de negocio hacia un enfoque más estratégico y transversal. “El CRO es el responsable de aplicar la resiliencia en las compañías; es un concepto con valor estratégico y holístico, que impacta en todos los niveles”, afirma. El Libro Blanco, añade, analiza qué se espera de esta figura y cómo debe articular su relación con otros roles directivos para asegurar una gobernanza coherente y eficaz.

La publicación nace a partir de la constitución de un grupo multidisciplinar integrado por profesionales de distintas industrias, tipologías de empresa y perfiles técnicos y ejecutivos, vinculados a la resiliencia. El objetivo, según explica Cristina Pereira, ha sido garantizar una aproximación amplia y equilibrada. “Contamos con profesionales que representan diferentes sectores y tamaños de empresa, lo que nos permite preparar un Libro Blanco sólido y sin sesgos en las propuestas”, señala.

El documento recoge las mejores prácticas en materia de resiliencia desde una perspectiva transversal, apoyada en la experiencia directa de quienes desempeñan esta función en sus organizaciones. El grupo ya dispone de una primera versión del texto, que será sometida a una revisión exhaustiva antes de su publicación. “Queremos asegurarnos de que el contenido esté plenamente contrastado y alineado con la realidad empresarial”, afirma Pereira.

El grupo de trabajo del CRC se ha fijado como objetivo presentar el Libro Blanco del CRO el próximo 3 de junio, en el marco de la III Edición del Ciber Resilience Forum, que volverá a organizar ISMS Forum. La iniciativa se enmarca en una hoja de ruta más amplia orientada a consolidar el posicionamiento del CRC como referente en materia de resiliencia integral dentro del ecosistema profesional.

“Queremos que la comunidad impulsada por ISMS Forum nos identifique como referencia en el ámbito de la resiliencia operativa y organizacional”, explica Cristina Pereira. En paralelo a la elaboración del Libro Blanco, el grupo ha activado nuevas líneas de trabajo, entre ellas una campaña de sensibilización en Resiliencia en LinkedIn que también incluye la recopilación de nuevas ideas y sugerencias de la comunidad para considerar en la hoja de ruta. “En función de las sugerencias también valoraremos el relanzamiento en los próximos meses de una nueva encuesta para identificar otros temas de interés y seguir alineados con las prioridades del mercado”, añade.

A corto plazo, el CRC analiza posibles interconexiones con otros grupos ya consolidados dentro de ISMS Forum. “Estamos evaluando qué sinergias podemos establecer con iniciativas como GIA, DPO o Cloud, entre otras”, señala Pereira. El objetivo es aportar una visión transversal de resiliencia a proyectos que se desarrollan en otros ámbitos. “Podemos y debemos contribuir con un enfoque de resiliencia a las iniciativas que se esté impulsando desde ISMS Forum, aprovechando nuestro músculo para anticiparnos a los futuros retos y asegurando que la resiliencia se considera desde el minuto cero en cualquier iniciativa estratégica y de transformación. Estamos identificando estas posibles colaboraciones y, previsiblemente, surgirán sinergias tanto a corto como a medio plazo”, concluye.

Enfoque holístico de la resiliencia

El CRC está impulsando una aproximación integral al concepto de resiliencia, más allá del perímetro estrictamente tecnológico. Cristina Pereira subraya que el planteamiento del grupo es “holístico”, orientado a anticipar y gestionar cualquier tipo de interrupción del negocio, ya tenga origen geopolítico, operativo o derivado de la caída de un proveedor crítico. “La preocupación ciber es relevante, pero la resiliencia empresarial abarca muchos más vectores de riesgo”, afirma.

En este contexto, el grupo prevé profundizar en ámbitos como la dependencia de terceros críticos o grandes proveedores tecnológicos, una realidad transversal para compañías de cualquier sector. El objetivo es generar contenido técnico de alto valor añadido, elaborado por profesionales con experiencia directa, y trasladarlo a la comunidad de ISMS Forum como marco de referencia.

El Comité contempla también el desarrollo de guías prácticas que orienten a las organizaciones en la implementación efectiva de la resiliencia. “Hoy cualquier herramienta puede ofrecer procedimientos teóricos, pero la clave está en cómo implementarlos con rigor y adaptarlos a la realidad de cada empresa”, señala Pereira. El primer paso, explica, consiste en delimitar el concepto, clarificar su alcance y definir su interacción con otras funciones dentro de la organización. La meta es consolidar una visión 360 grados de la resiliencia corporativa.

Desde esta perspectiva, la resiliencia debe abordarse desde la anticipación. No se limita a la capacidad de respuesta ante un incidente, sino que integra la identificación previa de riesgos, su mitigación y la preparación estructurada para garantizar la recuperación y adaptabilidad sostenida del negocio. “Ser resiliente implica estar preparado para cualquier escenario crítico y contar con la capacidad real de sobrevivir, recuperar y adaptar la actividad a un contexto muy retador y cambiante”, resume. Este enfoque debe aplicarse a todos los niveles: estratégico, tecnológico, organizativo, humano y de cadena de suministro.

Para Pereira, esta evolución exige respaldo estratégico por parte de la alta dirección. “La resiliencia debe estar apoyada de forma incondicional por la dirección y formar parte de la cultura corporativa”, sostiene. Se trata de una progresión natural desde los modelos iniciales de contingencia tecnológica y continuidad de negocio hacia un marco más amplio que incorpora resiliencia operativa y organizacional. “Una empresa resiliente necesita personas y proveedores resilientes”, apunta.

Asimismo, el uso de inteligencia artificial abre nuevas oportunidades en este ámbito, aunque también introduce riesgos específicos que deben ser identificados y mitigados dentro del propio modelo de resiliencia.

El trabajo impulsado por el grupo de CRC de ISMS Forum busca aportar claridad conceptual, un marco metodológico sólido y directrices aplicables para que las organizaciones integren la resiliencia como capacidad estructural y diferencial competitivo.