La evaluación de la resiliencia tecnológica ha evolucionado significativamente. Durante mucho tiempo, los parámetros a tener en cuenta eran el RTO (tiempo de recuperación de operaciones) y el RPO (cantidad de información que se podía perder). Sin embargo, en la actualidad, en un entorno tecnológico y regulatorio más exigente, estas métricas resultan insuficientes. Las nuevas normas del juego no solo exigen una recuperación rápida, sino también la capacidad de explicar y demostrar, con trazabilidad y evidencias, el manejo de datos durante el incidente, los controles implementados y la reanudación del servicio sin discrepancias en los registros.
Este nuevo paradigma se conoce como «resiliencia basada en la explicabilidad». Se trata de un enfoque que implica la inclusión de un «modo auditoría» en los procesos operativos, lo que garantiza registros consistentes, evidencias automatizadas y un robusto manejo de la información que puede soportar cualquier escrutinio externo.
El cambio hacia este enfoque más riguroso no es un fenómeno aislado de Europa, sino que refleja tendencias globales impulsadas por tres factores clave: regulación, riesgo y confianza. Reguladores en diferentes regiones demandan medidas verificables de control, gestión de riesgos de terceros, pruebas periódicas y notificación de incidentes. Paralelamente, los clientes empresariales exigen garantías más allá de acuerdos contractuales, mientras que las aseguradoras buscan promesas menos vagas y más evidencias tangibles de seguridad operativa.
En Europa, el marco DORA, vigente a partir del 17 de enero de 2025, establece normas estrictas de resiliencia digital para el sector financiero y sus proveedores. En EE.UU., aunque el concepto de resiliencia no se menciona explícitamente, la Comisión de Bolsa y Valores (SEC) requiere la divulgación de incidentes materiales en un plazo de cuatro días hábiles, fomentando la trazabilidad y el registro como estándares operativos.
La «resiliencia explicable» no se materializa en un producto específico, sino en un enfoque holístico que incorpora trazabilidad de datos, auditabilidad por diseño, recuperación repetible y controles demostrables. A diferencia del tradicional DR (disaster recovery), este enfoque va más allá de la simple reactivación de servicios para abordar en detalle qué datos fueron afectados, qué controles funcionaron o fallaron, y cómo se justificó el retorno a un estado de normalidad ante una auditoría.
A nivel práctico, las evidencias de resiliencia tecnológica se han convertido en un «producto» indispensable en auditorías y situaciones críticas. Las organizaciones ahora necesitan un inventario detallado de sus sistemas y dependencias, mapas de flujo de datos, pruebas de restauración documentadas y otras evidencias de integridad y control, todo ello de forma automática, sin depender de procesos manuales.
El diseño de una estrategia efectiva de resiliencia desde el cumplimiento comienza por identificar qué datos son críticos, personales y regulados, para después establecer qué implica una recuperación confiable. Las prácticas como las restauraciones verificadas, el uso de entornos de cuarentena y la centralización de logs juegan un papel crucial, mientras que la relación con proveedores externos se gestiona como una extensión del perímetro de la organización.
Finalmente, se destaca la importancia de convertir las pruebas de resiliencia en una práctica rutinaria, asegurando que se almacenen y archiven como parte de un «examen continuo». En este nuevo contexto, la resiliencia ya no es solo un ejercicio de continuidad operativa; es un modelo auditable que debe demostrar, de manera fehaciente, que la recuperación fue íntegra y gobernada. Este enfoque integra la confianza en la ecuación de la resiliencia al garantizar que todas las acciones puedan ser verificadas con robustez y transparencia.
