/ Enero-Febrero 2026 180 Opinión Cuando un incidente impacta en la operación, la organización entra en un terreno donde las certezas desaparecen rápidamente. Los procedimientos dejan de ofrecer respuestas exactas, la información llega incompleta, los impactos se solapan y el tiempo juega en contra. La continuidad no se audita en verde; se demuestra en gris. En ese contexto, las organizaciones no suelen fallar por falta de planes, sino por la dificultad para tomar decisiones cuando el escenario se vuelve incierto. En muchas compañías, la crisis sigue entendiéndose como un evento puntual: una caída de sistemas, un fallo operativo o una interrupción del servicio que ocurre, se gestiona y se cierra. Sin embargo, la experiencia demuestra que los incidentes más críticos no se definen por su impacto inicial, sino por los minutos posteriores, cuando hay que decidir bajo presión y con intereses contrapuestos. En esos primeros momentos, la diferencia no la marca la tecnología ni la rapidez de la respuesta técnica, sino la claridad en la toma de decisiones: quién lidera, qué se prioriza y cuándo se comunica. La resiliencia operativa comienza cuando la seguridad corporativa es capaz de transformar planes en decisiones ejecutivas, incluso cuando no existe una respuesta perfecta. El error más común La mayoría de las organizaciones cuentan hoy con planes de continuidad, protocolos de emergencia y procedimientos documentados. Muchos de ellos están auditados, certificados y alineados con estándares reconocidos. Sobre el papel, todo parece estar bajo control. El problema aparece cuando esos planes no gobiernan el incidente real. En demasiados casos, los planes existen como documentos de referencia, pero no como herramientas de dirección. No están integrados en la toma de decisiones, no activan automáticamente estructuras de liderazgo ni escalan la información de forma eficaz. Se consultan tarde, se interpretan de forma parcial o, directamente, se ignoran cuando la presión aumenta. Un plan que nadie consulta en una crisis no es un plan, es un documento. El error no es técnico, es organizativo. Se asume que tener un plan equivale a estar preparado, cuando en realidad la preparación empieza cuando ese plan condiciona decisiones reales. Si el documento no tiene autoridad sobre la operación, si no define claramente quién decide y bajo qué criterios, se convierte en un mero ejercicio de cumplimiento. La resiliencia no falla por falta de planificación, falla porque la planificación no gobierna. Operativa vs. ejecutiva Aquí aparece una distinción clave que muchas organizaciones aún no han interiorizado: la diferencia entre seguridad operativa y seguridad ejecutiva. La seguridad operativa es imprescindible. Controla, monitoriza, detecta, informa y ejecuta medidas. Es la primera línea de respuesta y la que tiene el pulso del incidente. Sin ella, no hay visibilidad ni capacidad de reacción. Pero la seguridad ejecutiva es otra cosa. Es la que decide. Prioriza impactos, asume riesgos y equilibra continuidad, reputación y negocio. Es la que tiene autoridad para parar una operación, modificar un servicio crítico o comunicar externamente en un contexto de incertidumbre. El problema no suele ser que seguridad no vea el riesgo. El problema es quién tiene la autoridad para decidir si se sigue o se detiene la operación, y en qué momento. Cuando esta frontera no está clara, los incidentes se gestionan en modo reactivo. La información fluye, pero la decisión se retrasa. Nadie quiere asumirla sin respaldo, nadie quiere ser el primero Resiliencia y seguridad corporativa: del protocolo a la decisión ejecutiva Santiago Pacheco Head of Security & BCM Iberia de DHL Supply Chain
RkJQdWJsaXNoZXIy MTI4MzQz