Courtney Guss | Directora de Gestión de Crisis

A medida que las amenazas cibernéticas —entre ellas, el ransomware y los ataques patrocinados por Estados— ganan en intensidad y sofisticación, la respuesta ante incidentes cibernéticos ha pasado a ocupar el primer lugar en la lista de prioridades de todos los consejos de administración.

Pero incluso en aquellas empresas que han cumplido todos los requisitos y cuentan con el marco adecuado de respuesta ante incidentes, observo que hay un problema que se repite una y otra vez cuando se producen incidentes reales:

Las organizaciones saben lo que deben hacer, pero no logran coordinarse con la rapidez necesaria para llevarlo a cabo.

En la primera entrada de esta serie («Reconsiderar la gestión de crisis cibernéticas: por qué fracasan los planes y qué se debe hacer en su lugar») sostuve que la mayoría de las medidas de respuesta ante incidentes cibernéticos fracasan no porque las organizaciones carezcan de planes, sino porque carecen de claridad en la toma de decisiones.

Los manuales de procedimientos, los guiones operativos y los simulacros son muy útiles, pero no pueden prever la complejidad de una crisis real. Cuando el guion se desvía, los equipos deben basarse en prioridades claras, una jerarquía bien definida y la capacidad de tomar decisiones fundamentadas bajo presión.

Crisis tras crisis, es aquí donde veo que la mayoría de las iniciativas de respuesta a incidentes empiezan a desmoronarse.

  • No se debe a un fallo técnico.
  • No es por falta de experiencia.
  • Pero como la organización no puede comunicarse, asignar tareas, realizar un seguimiento y adaptarse en tiempo real.

Y es precisamente aquí donde la gestión de crisis se convierte en el eslabón que faltaba.


Toda crisis cibernética se convierte en un problema de coordinación

No se pueden tomar decisiones si no se puede comunicar. En una crisis, esto es aún más cierto.

Los equipos de seguridad, TI, jurídico y de comunicaciones, así como los ejecutivos, los líderes empresariales y los socios externos, deben actuar al unísono, a menudo con información incompleta y prioridades cambiantes.

Sin un método estructurado para coordinar esa actividad, los equipos recurren a las herramientas que tienen a su disposición:

  • Hilos de correo electrónico
  • Mensajes de chat
  • Hojas de cálculo
  • Notas personales
  • Reuniones telefónicas
  • Pizarras blancas
Figura 1: Disponer de demasiadas herramientas dispares supone un obstáculo para una respuesta cibernética eficaz.

Por separado, estas herramientas funcionan. Juntas, provocan fragmentación.

Las tareas se pierden. La responsabilidad no queda clara. La información es incoherente. Las decisiones se toman sin conocer todo el contexto. Y los líderes se ven obligados a actuar sin saber realmente qué está pasando.

En una crisis, esa falta de coordinación no solo es ineficaz, sino que resulta peligrosa.

  • No se pueden tomar buenas decisiones si no se tiene una visión global de la situación.
  • No se puede llevar a cabo un plan si nadie sabe quién es el responsable del siguiente paso.
  • No podrás justificar tus actos más adelante si no puedes demostrar lo que ocurrió.

La gestión de crisis no consiste solo en responder a los incidentes, sino en coordinarlos

Los incidentes cibernéticos actuales ya no son gestionados por un solo equipo. Requieren una actuación coordinada por parte de toda la organización.

Esto significa que la respuesta ante incidentes ya no es solo una cuestión técnica.

  • Ya está en funcionamiento.
  • Es ejecutivo.
  • Es legal.
  • Es una cuestión económica.
  • Es una cuestión de reputación.

Gestionar ese nivel de complejidad requiere algo más que documentos.
Requiere una buena coordinación.

Una capacidad eficaz de gestión de crisis debería ofrecer:

  • Asignación clara de tareas y responsabilidades
  • Visibilidad en tiempo real del progreso y los obstáculos
  • Flujos de trabajo definidos y adaptados al tipo de incidencia
  • Seguimiento de decisiones y vías de escalamiento
  • Coordinación de la comunicación entre equipos
  • Documentación centralizada de las acciones y los resultados

Sin estos elementos, incluso el plan de gestión de crisis mejor diseñado fracasa en la fase de ejecución.

Gracias a ellas, las organizaciones pueden actuar con mayor rapidez, mantener la coherencia y conservar el control incluso cuando la situación cambia.


La realidad de la gestión de incidentes en la actualidad: equipos distribuidos y falta de tiempo para reunirse

La gestión de crisis solía partir de una premisa que ya no es válida: que las personas adecuadas pudieran reunirse en una misma sala.

Las organizaciones actuales operan en distintas regiones del mundo, entornos de trabajo híbridos, plataformas en la nube y con proveedores externos. El personal de respuesta a emergencias puede encontrarse en diferentes ciudades, países o zonas horarias. El departamento jurídico puede trabajar a distancia. Los ejecutivos pueden estar de viaje. Los recursos técnicos clave pueden estar a cargo de proveedores de servicios gestionados o socios externos.

En una crisis cibernética real, no hay tiempo para montar una sala de crisis física. E incluso si lo hubiera, es posible que las personas que más se necesitan no puedan llegar a tiempo. Esperar a que se reúnan todos lleva tiempo, y en una crisis, el tiempo es el recurso más valioso con el que se cuenta.

Cada hora perdida por retrasos en la coordinación puede suponer:

  • Cortes prolongados
  • Mayor impacto financiero
  • Mayor exposición de los datos
  • Incumplimiento de los plazos reglamentarios
  • Pérdida de confianza de los clientes

El modelo tradicional de gestión de crisis —reunir a todo el mundo en un mismo lugar para coordinarse— no se adapta a las organizaciones modernas.

Por eso el concepto de centro de mando virtual se ha convertido en algo imprescindible.

Figura 2: Para mejorar la preparación ante crisis, las organizaciones deben realizar periódicamente simulacros que pongan a prueba a todas las partes interesadas mediante escenarios prácticos y realistas de crisis cibernéticas.

La sala de crisis virtual: coordinación en situaciones de crisis sin límites físicos

La gestión moderna de las crisis requiere un espacio en el que la coordinación pueda llevarse a cabo de forma inmediata, independientemente de dónde se encuentren las personas.

Un centro de mando virtual —o sala de crisis virtual— permite a las organizaciones reunir a las personas adecuadas sin necesidad de que estén físicamente juntas. Este espacio virtual ofrece ventajas fundamentales:

  • Los equipos pueden unirse al instante desde cualquier lugar
  • Los directivos pueden mantener una visión general en tiempo real
  • Las tareas se pueden asignar sin confusiones
  • La comunicación sigue estando centralizada
  • Las decisiones se documentan a medida que se toman
  • Se puede recurrir a socios externos cuando sea necesario

En lugar de esperar a que todos se reúnan en la misma sala, es la sala la que va a ellos.

Esto es más que una simple comodidad. Es lo que permite a las organizaciones empezar a gestionar la crisis de inmediato, en lugar de perder un tiempo valioso tratando de organizar la respuesta.

En entornos distribuidos, la orquestación no solo es útil, sino que es imprescindible.

Sin un punto de coordinación virtual, la respuesta se fragmenta rápidamente en conversaciones paralelas, actualizaciones inconexas y decisiones sin control. Debemos reunir a los equipos de respuesta esenciales para que puedan comunicarse, compartir información, tomar decisiones basadas en lo que observan y reducir la falta de información entre los equipos.

Una sala de crisis virtual ofrece una fuente única de información fiable en los momentos más caóticos, lo que permite a los equipos distribuidos actuar como una única unidad de respuesta coordinada, incluso cuando se encuentran repartidos por todo el mundo.


La visibilidad permite tomar mejores decisiones

En «Reconsiderar la gestión de crisis cibernéticas», analicé la importancia de definir la autoridad para la toma de decisiones y las prioridades empresariales.

Pero la autoridad por sí sola no basta. Los líderes no pueden tomar decisiones eficaces sin visibilidad.

En una crisis, los responsables de la toma de decisiones deben comprender:

  • Lo que ya se ha completado
  • Lo que aún está en curso
  • ¿Qué está bloqueado?
  • ¿Qué sistemas se ven afectados?
  • ¿Qué riesgos están aumentando?
  • ¿Qué medidas tendrán mayor repercusión?

Sin esa visibilidad, las decisiones se convierten en conjeturas y resultan difíciles de justificar o defender, lo que contribuye a la parálisis decisoria.

Cuando se cuenta con un sistema de coordinación, los responsables pueden ver el estado de la respuesta en tiempo real. Pueden establecer prioridades basándose en hechos, no en suposiciones. Pueden ajustar el rumbo sin perder el control de la ejecución.

Esto es lo que permite a una organización pasar de actuar de forma reactiva a hacerlo de forma deliberada, incluso en plena crisis.


La rendición de cuentas es importante una vez que el incidente ha concluido

Uno de los aspectos que más se pasan por alto en la gestión de crisis es lo que ocurre después del suceso.

Todo incidente cibernético grave acaba suscitando preguntas:

  • ¿Qué ha pasado?
  • ¿Cuándo nos dimos cuenta?
  • ¿Quién tomó la decisión?
  • ¿Por qué tomamos esa medida?
  • ¿Hemos seguido nuestro proceso?
  • ¿Podríamos haberlo hecho mejor?

Estas preguntas pueden provenir de organismos reguladores, clientes, auditores, consejos de administración, aseguradoras o la dirección interna.

Si la gestión de la respuesta se llevó a cabo a través de correos electrónicos, registros de chat y notas dispersas, reconstruir la cronología resulta casi imposible. Esto genera riesgos mucho después de que se haya resuelto el incidente técnico.

Una respuesta coordinada ofrece algo diferente:

  • Relación de las medidas adoptadas
  • Cronología de las decisiones
  • Documentación de las autorizaciones
  • Pruebas de coordinación
  • Prueba de que la organización siguió su procedimiento

Esto va más allá de garantizar el cumplimiento normativo. Protege a la organización. Permite a los responsables defender sus decisiones con confianza.

Y, en el contexto normativo y jurídico actual, eso es tan importante como la propia respuesta.


La coordinación mejora la madurez en todos los niveles

Uno de los mayores errores es pensar que la orquestación es solo para organizaciones muy consolidadas.

En realidad, ocurre todo lo contrario.

  • Las organizaciones con un bajo nivel de madurez necesitan estructura.
  • Las organizaciones con un alto grado de madurez necesitan coordinación.
  • Las organizaciones de tamaño medio necesitan coherencia.

La coordinación resulta útil en todas las etapas.

  • Las organizaciones menos maduras adquieren una estructura.
  • Las organizaciones más consolidadas ganan velocidad.
  • Las organizaciones con un alto grado de madurez logran el control y la capacidad de defenderse.

La coordinación no sustituye a la planificación. Permite aplicar la planificación incluso bajo presión.

Figura 3: El Modelo de Madurez de Capacidades (CMM), un marco ampliamente aceptado para evaluar las operaciones empresariales, se aplica habitualmente para ayudar a las organizaciones a mejorar su madurez en materia de ciberseguridad.

Cómo las organizaciones salen adelante tras un incidente cibernético

Todas las organizaciones esperan evitar una crisis. Pero los incidentes son inevitables .

La diferencia entre las organizaciones que se recuperan rápidamente y las que tienen dificultades no radica en el número de manuales de estrategias que tienen.

La cuestión es si pueden:

  • Centrémonos en lo que realmente importa
  • Toma decisiones sin dudar
  • Coordinarse en toda la empresa
  • Mantener la calma bajo presión
  • Documenta lo que ocurrió
  • Justificar sus acciones a posteriori

Esto es lo que permite una gestión eficaz de las crisis.

  • Convierte los planes en realidad.
  • Convierte las decisiones en acciones.
  • Convierte el caos en orden.

Y cuando se calme la situación, las organizaciones más sólidas podrán decir algo que pocas otras pueden.

No nos limitamos a reaccionar. Gestionamos la crisis.


Descubre más