Guía de supervivencia para la resiliencia tecnológica
En esta era de digitalización, la resiliencia tecnológica es esencial para las empresas. Prepara a las organizaciones para superar los desafíos en caso de un ataque cibernético, corrupción de datos y otras fallas catastróficas del sistema, y les permite recuperarse rápidamente en el caso de tales eventos. El mercado asegurador no es la excepción. En un nuevo artículo, el socio de McKinsey, Jim Boehm, junto a Wolfram Salmanian y Daniel Wallance, analizan la importancia de la resiliencia tecnológica, que definen como «la suma de prácticas y fundamentos necesarios para diseñar e implementar tecnología de manera segura en toda la cadena de valor digital».
No es ningún secreto que, en entornos comerciales altamente competitivos, la demanda de las organizaciones para crecer y aumentar los ingresos y las ganancias sigue aumentando. Mientras satisfacen la demanda y se mantienen actualizadas a través de la digitalización, las organizaciones deben ser conscientes de ser eficientes, mantener o reducir los costos y mantener los gastos de los empleados en línea.
Avanzar en esas dos áreas ya es bastante difícil, pero moverse en esas direcciones agrega estrés a los sistemas tecnológicos corporativos en toda la pila de tecnología, desde datos hasta aplicaciones e infraestructura de red. Las restricciones tecnológicas incluyen limitaciones de capacidad, tiempo de actividad del sistema, calidad de los datos y la capacidad de recuperarse de un evento tecnológico, físico o cibernético catastrófico.
La tecnología resistente es fundamental para mantener servicios ininterrumpidos para los clientes y atenderlos durante las horas pico. Esto requiere una infraestructura resistente con mayor visibilidad y transparencia en toda la pila de tecnología para mantener una organización en funcionamiento en caso de un ataque cibernético, corrupción de datos, falla catastrófica del sistema u otros tipos de incidentes.
La tecnología resistente debe ser ágil, escalable, flexible, recuperable e interoperable. Además, la resiliencia debe existir no solo en la arquitectura y el diseño, sino también a través de la implementación y el monitoreo continuo.
Comprender la criticidad
Para lograr la resiliencia, una organización necesita comprender la criticidad de un proceso determinado, evaluar la tecnología subyacente, reconocer el impacto comercial correspondiente y conocer la tolerancia al riesgo de la organización y las partes interesadas externas. Para llegar allí, una organización necesita comprender dónde y cuál es su resiliencia hoy y ser capaz de responder a la pregunta: ¿podríamos recuperarnos y reconstruirnos después de un evento catastrófico?
En una encuesta de McKinsey de 2022 sobre resiliencia tecnológica que evaluó el nivel de madurez de ciberseguridad de más de 50 organizaciones líderes en América del Norte, Europa y otros mercados desarrollados, el 10 por ciento de los encuestados indicó que se vieron obligados a reconstruir desde cero (por ejemplo, debido a a un evento catastrófico), con el 2 por ciento afirmando que ya han intentado recuperarse desde cero pero no tuvieron éxito (por ejemplo, pruebas deliberadas).
Además, el 20% de los encuestados indicó que ya había intentado recuperarse desde cero y tuvo éxito, el 8% intentó recuperarse desde cero, el 18% señaló que tenía planes para intentar recuperarse desde cero, mientras que el 36% afirmó que no había planes para recuperarse de metal desnudo.
La resiliencia tecnológica es la suma de prácticas y fundamentos necesarios para diseñar e implementar la tecnología de manera segura en toda la pila de tecnología. La resiliencia tecnológica prepara a las organizaciones para superar los desafíos cuando su pila de tecnología se ve comprometida, reduciendo la frecuencia de eventos catastróficos y permitiéndoles recuperarse más rápido en caso de un evento.
En la encuesta de McKinsey, cuando se preguntó cuál era el objetivo de tiempo de recuperación para sus aplicaciones más críticas, el 28% de los encuestados dijo que era inmediato, mientras que el 34% dijo que era menos de una hora, el 14% dijo menos de dos horas y el 20% dijo menos de cuatro horas. Uno de los encuestados en la encuesta declaró: «Los sistemas y aplicaciones críticos inactivos durante un período de tiempo significativo pueden costar a las instituciones financieras miles de millones de dólares».
Las capacidades de resiliencia caen en un espectro de madurez que va desde la redundancia simple a servidores duplicados hasta capacidades avanzadas con resiliencia integrada en la arquitectura por diseño.
Arquitectura y diseño: las organizaciones maduras incorporan la resiliencia tecnológica en el diseño y la arquitectura empresarial. Los diseños resilientes incorporan elementos de las lecciones aprendidas de las operaciones, los incidentes y las tendencias de la industria para realizar inversiones en tecnología informadas sobre el riesgo.
Implementación y operaciones: las operaciones resilientes deben considerar no solo las contingencias operativas, como la recuperación ante desastres o las demandas de rendimiento que aumentan exponencialmente, sino también la causa raíz de los incidentes que surgen durante el funcionamiento habitual para mejorar los procedimientos, la capacitación y las soluciones tecnológicas.
Monitoreo y validación: esto consiste en métricas reactivas o retrospectivas en niveles de madurez más bajos. En niveles de madurez más altos, las organizaciones cambian a medidas más proactivas (y, en última instancia, predictivas) para hacer pruebas de estrés de las soluciones antes de implementarlas o perforar respuestas planificadas previamente y planes de contingencia para las eventualidades más probables.
Respuesta y recuperación: las organizaciones con resiliencia de alta tecnología no solo responden a medida que ocurren los incidentes, sino que también alimentan continuamente las lecciones de sus propias operaciones, las tendencias de la industria y los eventos catastróficos en el diseño, la operación, el monitoreo y la planificación de sus empresas.
FUENTE: 100seguro.com.ar
