Courtney Guss | Directora de Gestión de Crisis

Llevo años colaborando con organizaciones para prepararlas para el peor de los casos: elaborando programas de gestión de riesgos, cuantificando el impacto potencial y ayudando a los directivos a comprender qué es lo más importante para la empresa.

Sin embargo, hay algo que sigue llamando la atención: muchas organizaciones siguen estando lamentablemente mal preparadas para gestionar una crisis cibernética real.

  • No es porque les falte esfuerzo.
  • No es porque les falte talento.
  • Pero porque carecen de orientaciones prácticas para tomar decisiones bajo presión.

Hoy en día, el sector de la ciberseguridad evalúa la existencia de planes, no la eficacia de la respuesta.

Figura 1: Las deficiencias en la comunicación y la coordinación están obstaculizando una respuesta cibernética eficaz, incluso en el caso de organizaciones que cuentan con planes integrados de respuesta ante crisis. (Fuente: Semperis | El estado de la preparación ante crisis cibernéticas)

La mayoría de las organizaciones creen que están preparadas porque cuentan con planes de respuesta ante incidentes, manuales de procedimientos y simulacros. Sin embargo, estos recursos suelen fallar cuando se enfrentan a la complejidad del mundo real.

¿Por qué? Porque intentan escribir un guion para lo que no tiene guion.

La verdadera preparación ante una crisis cibernética no se consigue con más documentación, sino con claridad en cuanto a las prioridades empresariales y la autoridad para tomar decisiones.


El sector se fija en lo que no debe

No se trata de un problema nuevo, pero los marcos normativos del sector siguen fomentando una mentalidad centrada en el cumplimiento normativo.

En las evaluaciones suele preguntarse:

  • ¿Tienes un plan de respuesta?
  • ¿Tenéis manuales de procedimientos?
  • ¿Realizan simulacros de mesa?

Si la respuesta es sí, se cumple el requisito. Se marca la casilla. Se considera que la organización está preparada.

Sin embargo, a la hora de gestionar de forma integral una crisis cibernética, las organizaciones rara vez se plantean las preguntas más importantes:

  • ¿Saben los líderes cómo priorizar las operaciones empresariales durante una crisis?
  • ¿Son conscientes los equipos del impacto financiero y operativo que tiene un fallo del sistema?
  • ¿Saben los miembros del equipo de respuesta quién tiene la autoridad para tomar decisiones críticas?
  • ¿Puede la organización funcionar cuando la situación no se ajusta al manual de estrategias?

Al medir los aspectos equivocados, creamos una brecha peligrosa, que genera confianza sobre el papel, pero deja a las organizaciones en una situación de fragilidad operativa ante situaciones reales.


El mito del manual perfecto para gestionar una crisis cibernética

Otra fuente habitual de confusión es la forma en que utilizamos los términos «runbook» y manual de estrategias de forma indistinta, a pesar de que tienen fines muy diferentes. Esa confusión por sí sola puede generar lagunas en la preparación.

Los runbooks son guías de ejecución táctica. Proporcionan instrucciones paso a paso para llevar a cabo una tarea técnica concreta. Están diseñados para garantizar rapidez, coherencia y repetibilidad, y funcionan bien cuando la situación es predecible.

Por su parte, los manuales de procedimientos operan a un nivel superior. Ofrecen orientación para responder a una categoría concreta de incidentes y suelen incluir medidas de coordinación, directrices de comunicación y vías de escalamiento entre equipos.

Ambos son valiosos. Pero ambos comparten la misma limitación: dan por sentado que la crisis se desarrollará según un guion conocido.

Las verdaderas crisis cibernéticas rara vez lo hacen.

Un incidente de ransomware puede implicar el robo de identidad, interrupciones del sistema, fuga de datos, presentación de informes reglamentarios, repercusiones para los clientes, revisión jurídica y la intervención de las fuerzas del orden, todo ello al mismo tiempo.

Ningún manual puede prever ese nivel de complejidad en cadena.

Lo que veo en la práctica es que los equipos dejan de lado el manual de estrategias al cabo de unas horas y se basan en la experiencia, la intuición y la improvisación.

Eso no es un fallo de los servicios de emergencia. Es un fallo del modelo.

Hemos formado a nuestros equipos para que sigan los guiones, pero no les hemos dotado de los medios necesarios para tomar decisiones cuando el guión falla.

Los manuales de procedimientos y las guías de actuación siguen siendo herramientas importantes, pero no están diseñados para resolver el mayor desafío de la gestión de crisis cibernéticas: coordinar decisiones de gran calado en toda la empresa cuando la situación no se ajusta a un escenario predefinido.


El verdadero problema durante una crisis cibernética: la parálisis en la toma de decisiones

En la mayoría de las crisis cibernéticas, los mayores retrasos no son de carácter técnico, sino que se deben a la toma de decisiones.

  • ¿Quién declara una crisis?
  • ¿Quién puede apagar los sistemas?
  • ¿Quién aprueba las comunicaciones con los clientes?
  • ¿Quién decide qué se restaura primero?
  • ¿Quién asume el riesgo cuando no hay una opción perfecta?

La incertidumbre en torno a la autoridad puede paralizar incluso las medidas más urgentes.

Para tomar decisiones eficaces bajo presión, los equipos de respuesta necesitan algo más que un plan. Necesitan un marco de toma de decisiones.

Un marco eficaz para la toma de decisiones en situaciones de crisis debe definir tres aspectos:

  1. Lo que más importa para la empresa
    : un acuerdo claro sobre las operaciones críticas, las prioridades y las concesiones aceptables
  2. Donde se toman las decisiones críticas
    Identificación de los puntos clave de decisión que surgen durante los distintos tipos de incidentes
  3. ¿Quién tiene la autoridad en esos puntos?
    Se ha definido la responsabilidad en la toma de decisiones, lo que permite a los equipos actuar sin demora

Cuando estos elementos se definen de antemano, los equipos de respuesta pueden actuar con mayor rapidez, actuar con seguridad y tomar decisiones que sigan siendo justificables una vez superada la crisis.

Sin ellos, incluso los equipos mejor preparados dudan. Y las dudas salen caras.

Figura 2: El 90 % de las organizaciones se enfrentan a importantes obstáculos que dificultan una respuesta eficaz ante los incidentes cibernéticos. (Fuente: «The State of Enterprise Cyber Crisis Readiness»)

Evaluar lo que realmente importa

Si los manuales de procedimientos y los guiones operativos no logran reflejar la complejidad de una crisis real, entonces los ejercicios de simulación de crisis cibernéticas también deben evolucionar.

Hay demasiados simulacros que se limitan a validar el plan en lugar de cuestionarlo .

Los ejercicios eficaces deben centrarse en cuestiones como:

  • ¿Están realmente de acuerdo los líderes en cuanto a las prioridades empresariales?
  • ¿Entienden los responsables de la toma de decisiones las compensaciones?
  • ¿Son capaces los equipos de coordinarse bajo presión?
  • ¿Puede la organización funcionar con información incompleta o contradictoria?

Los ejercicios deben simular:

  • Efectos en cadena
  • Información incierta o sujeta a cambios
  • Puntos clave para la toma de decisiones a nivel directivo
  • Retos de coordinación interfuncional

El objetivo no es demostrar que el plan funciona. El objetivo es demostrar que la organización es capaz de adaptarse cuando el plan no funciona.

La verdadera preparación consiste en desarrollar la capacidad de adaptarse sin perder de vista lo que realmente importa.


El camino a seguir: Empezar por una estrella polar

Si aceptamos que no podemos prever todos los incidentes, la gestión de crisis cibernéticas debe partir de otro punto.

Todo empieza por la coordinación. Hazle a tu equipo directivo una pregunta sencilla:

¿Qué es lo más importante para esta empresa?

A menudo me refiero a esto como la «estrella polar» de la organización .

Cuando los equipos comprenden cuál es su objetivo principal, pueden tomar decisiones incluso cuando la situación no está clara. Pueden preguntarse:

  • ¿ Protege esta medida nuestras operaciones más críticas?
  • ¿Se ajusta esta decisión a las prioridades de nuestras partes interesadas?
  • ¿Nos acerca esta medida a la recuperación donde más importa?

Si la respuesta es sí, la decisión es justificable. Si la respuesta es no, no debería ser una prioridad durante una crisis.

North Star no sustituye a los manuales de procedimientos ni a las guías de actuación. Lo que hace es facilitar su uso.

Porque cuando el guion falle —y fallará—, la organización seguirá sabiendo cómo tomar decisiones.

Y en una crisis cibernética real, la capacidad de tomar decisiones es lo que marca la diferencia entre el caos y el control.


Recursos relacionados