Courtney Guss | Directora de Gestión de Crisis

Una gestión eficaz de las crisis cibernéticas no se define por documentos ni por modelos de madurez. Se define por cómo actúa una organización en las primeras horas de un incidente real, y por los recursos que utiliza para respaldar esas medidas.

En esta serie de entradas del blog, hemos estado analizando por qué la gestión de crisis cibernéticas suele fallar precisamente cuando más se necesita.

En «Replanteamiento de la gestión de crisis cibernéticas: por qué fracasan los planes y qué hay que hacer en su lugar», analizamos cómo fracasan los planes cuando la toma de decisiones se viene abajo ante la presión del mundo real, no porque los equipos no estén preparados, sino porque, cuando los acontecimientos se suceden más rápido de lo previsto, la autoridad, las prioridades y la responsabilidad dejan de estar claras.

En «La pieza que falta en la respuesta ante incidentes cibernéticos: la coordinación de crisis», analizamos lo que ocurre a continuación. Aunque las organizaciones sepan lo que deben hacer, les cuesta llevarlo a la práctica. La comunicación se fragmenta. Las responsabilidades se difuminan. La información se encuentra dispersa en demasiados lugares. Y sin una forma de coordinar las acciones en tiempo real, los esfuerzos de respuesta comienzan a desmoronarse.

A estas alturas, los problemas están claros. Ahora la pregunta es: ¿cómo pueden las organizaciones resolver esos problemas de forma significativa y práctica?

¿Cómo es realmente una buena gestión de crisis cibernéticas cuando los planes se ven superados por la presión, hay que tomar decisiones con información incompleta y la coordinación determina los resultados?

Para responder a esa pregunta no basta con recurrir a otro marco de referencia o lista de verificación. Hay que partir de una visión clara de los comportamientos, las estructuras y las capacidades que definen hoy en día una gestión eficaz de las crisis cibernéticas.


¿Cómo se aplica una buena gestión de crisis cibernéticas en un incidente real?

A pesar de los mayores esfuerzos por prepararse para los incidentes cibernéticos, muchas organizaciones siguen viéndose sorprendidas por la realidad de la gestión de crisis cibernéticas.

Figura 1. El estudio de Semperis pone de manifiesto una diferencia significativa entre la preparación percibida y los resultados reales cuando se produce un incidente. (Fuente: «The State of Enterprise Cyber Crisis Readiness»)

Eso no significa que esas organizaciones se equivoquen al prepararse. Una gestión eficaz de las crisis cibernéticas no implica renunciar a la planificación, la preparación o los simulacros. De hecho, las organizaciones que gestionan bien los incidentes son casi siempre aquellas que invierten en esas iniciativas.

Los planes, los manuales de procedimientos y las simulaciones son fundamentales. Permiten alcanzar un entendimiento común, ponen de manifiesto y cuestionan las suposiciones, y permiten a los equipos analizar diferentes situaciones antes de que la presión sea real.

El problema no es que las organizaciones no realicen simulacros ni elaboren planes, sino que, con demasiada frecuencia, esos planes se diseñan y se ponen a prueba de formas que no se pueden aplicar en las primeras horas críticas de un incidente real. Muchas iniciativas de preparación se centran en el «plan A» sin tener en cuenta qué ocurre cuando ese plan falla. Cuando el curso previsto se ve interrumpido, ¿saben los equipos cómo adaptarse?

  • ¿Hay algún plan B —o plan C— al que recurrir?
  • ¿Estamos todos de acuerdo en lo que más importa?
  • ¿Quién tiene la autoridad para tomar decisiones cruciales en tiempo real?

Prepárate para adaptar el plan de gestión de crisis

Cuando se produce una verdadera crisis cibernética, los acontecimientos rara vez siguen el guion previsto. La información es incompleta. Las prioridades entran en conflicto. Cada minuto surgen nuevos riesgos. En ese momento, el valor de la preparación ya no se mide por el grado de fidelidad con que los equipos siguen un documento, sino por la eficacia con la que son capaces de aplicar el espíritu del plan bajo presión.

Cuando los equipos gestionan bien una crisis, hay algunas cosas que se hacen evidentes de inmediato, incluso para quienes no forman parte del equipo de respuesta:

  • Las decisiones se toman sin largos debates sobre quién tiene la autoridad
  • Las medidas se llevan a cabo sin que haya confusión sobre la titularidad
  • Los responsables pueden ver lo que está pasando sin tener que estar pendiente de las actualizaciones
  • La organización mantiene el control, incluso cuando las circunstancias cambian

Esto no ocurre porque la situación sea sencilla.

Esto ocurre porque la preparación está concebida de tal manera que se mantiene firme cuando la realidad se aleja de lo esperado.


En esencia, una buena gestión de las crisis cibernéticas consiste en la capacidad de traducir la preparación en una acción coordinada, alineando el criterio de los responsables con la ejecución en tiempo real, al tiempo que se mantienen la transparencia, la rendición de cuentas y la justificación a lo largo de toda la respuesta.

Esa alineación es lo que más cuenta en las primeras horas de una crisis.


En los incidentes que no se gestionan adecuadamente, los equipos suelen estar muy ocupados, pero poco coordinados. La comunicación es constante, pero fragmentada. Las decisiones se estancan o se revisan porque la autoridad no está clara o falta contexto. Los responsables se basan en resúmenes en lugar de en una visión compartida, lo que ralentiza la respuesta cuando el tiempo es lo más importante.

En los incidentes bien gestionados, ocurre justo lo contrario.

  • La organización actúa con cautela.
  • Las personas adecuadas se involucran desde el principio.
  • Se comprende y se ejerce la facultad de decisión.
  • La información circula a través de un panorama operativo compartido.
  • La ejecución se adapta a medida que evoluciona la situación sin perder coherencia ni impulso.

Y, lo que es más importante, el éxito no se mide por la perfección.

Toda crisis conlleva incertidumbre y la capacidad de replantearse las decisiones a medida que surge nueva información. Lo que define una buena gestión de crisis no es acertar en todo a la primera, sino mantener la capacidad de actuar, adaptarse y defender las decisiones a medida que evoluciona la situación.

Esa capacidad no se consigue solo con la planificación. Se consigue preparando a la organización para actuar cuando los planes se enfrentan a la realidad.


Centrémonos en lo que más importa: la estrella polar que guía la toma de decisiones en situaciones de crisis

Antes de que la autoridad pueda ejercerse con eficacia —y antes de que la ejecución pueda avanzar con rapidez— debe haber consenso sobre algo más fundamental: qué es lo más importante cuando las concesiones se vuelven inevitables.

En toda crisis cibernética, las organizaciones se enfrentan a decisiones que no pueden resolverse únicamente con precisión técnica.

  • No es posible restaurar todos los sistemas a la vez.
  • No es posible eliminar todos los riesgos al mismo tiempo.
  • La información llega de forma irregular.
  • El tiempo es limitado.

En esos momentos, la cuestión no es simplemente quién tiene la autoridad para decidir, sino qué es lo que esas decisiones deben procurar optimizar.


Las organizaciones que atraviesan dificultades durante las crisis suelen carecer de esta coordinación. Los equipos actúan según prioridades diferentes, a veces contrapuestas:

  • La seguridad se centra en la contención.
  • Las tecnologías de la información se centran en la restauración.
  • El ámbito jurídico se centra en la exposición.
  • Los líderes empresariales se centran en la continuidad.
  • La comunicación se centra en la reputación.

Estas perspectivas no son erróneas. Pero, al carecer de un objetivo común, compiten entre sí en lugar de converger.

Las organizaciones que gestionan bien las crisis cibernéticas dedican tiempo desde el principio a ponerse de acuerdo sobre lo que más importa cuando la presión es máxima. Ese consenso puede centrarse en proteger la seguridad de los pacientes, preservar la confianza de los clientes, mantener las operaciones críticas, cumplir los plazos reglamentarios o minimizar el daño a la reputación a largo plazo.

Las prioridades concretas varían según la organización. Lo importante es que se comprendan, se acuerden y se pongan en práctica antes de que se produzca una crisis.

Cuando existe esta coherencia, la toma de decisiones se vuelve más clara, incluso cuando los acontecimientos no siguen el plan. Los líderes pueden improvisar sin desviarse del rumbo. Los equipos pueden adaptarse sin fragmentarse. Las decisiones tomadas en momentos de incertidumbre siguen estando en consonancia con los valores y las obligaciones de la organización.

Es aquí donde fallan muchas de las iniciativas tradicionales de preparación. Los ejercicios de simulación suelen centrarse en acciones específicas para cada escenario, en lugar de en las decisiones basadas en prioridades. Los planes describen los pasos a seguir, pero no el objetivo empresarial que hay detrás de ellos. Cuando la realidad se aleja de las expectativas, los equipos pierden el rumbo, no porque no sepan qué hacer, sino porque no tienen claro qué es lo que deben priorizar.

La alineación cambia eso.

  • Cuando las prioridades están claras, la autoridad puede ejercerse con decisión.
  • Cuando se comparten las prioridades, la ejecución es más rápida y coherente.
  • Cuando las prioridades están claras, la coordinación mejora incluso aunque las circunstancias cambien.

Esa coherencia debe integrarse en el mismo entorno operativo que la toma de decisiones y la ejecución. Si las prioridades solo existen en documentos normativos o presentaciones, desaparecen ante la presión. Cuando se integran en la gestión de las crisis —reflejándose en la priorización de tareas, en la justificación de las decisiones y en la visibilidad del liderazgo—, siguen guiando el comportamiento cuando es necesario improvisar.


La coordinación desempeña aquí un papel fundamental.

Plataformas como Ready1 no solo ayudan a los equipos a coordinar sus acciones, sino que también ayudan a las organizaciones a vincular las actividades de respuesta a las prioridades acordadas en tiempo real. Al hacer visibles las decisiones, las acciones y el contexto en un solo lugar, la coordinación garantiza que la improvisación se mantenga alineada en lugar de dispersa.

En una crisis cibernética, la coordinación es lo que permite que la autoridad ejerza su función y que se lleve a cabo la ejecución. Sin ella, incluso unas funciones claramente definidas y una comunicación ágil pueden hacer que los equipos actúen en direcciones opuestas. Con ella, la organización puede avanzar unida, guiada por una visión común de lo que realmente importa cuando más importa.


Establece de antemano las competencias para que las decisiones no se paralicen

La falta de claridad en las competencias y la comunicación fragmentada hacen que las decisiones se estanquen o se dividan bajo presión. Para cuando se alcanza el consenso, se han perdido oportunidades, los riesgos han aumentado y la confianza se ha visto mermada.

En una crisis bien gestionada, la autoridad para tomar decisiones no se descubre en pleno incidente. Se ha ejercido anteriormente, todos los equipos la conocen y se ha reforzado mediante una preparación que refleja las condiciones reales.

Eso no significa que los líderes tengan todo decidido de antemano. Significa que la organización ha acordado previamente quién toma las decisiones, qué es lo que importa, qué concesiones están autorizados a hacer y cómo se comunican y ejecutan esas decisiones una vez tomadas.


Una de las señales más evidentes de una crisis cibernética bien gestionada es la rapidez con la que la organización es capaz de tomar decisiones —y respaldarlas— mientras la situación aún se está desarrollando.


Cuando la autoridad está debidamente preparada:

  • Los equipos remiten las decisiones a instancias superiores en lugar de debatir quién debe asumir la responsabilidad
  • Los líderes toman decisiones con seguridad, en lugar de con vacilación
  • La ejecución sigue adelante sin esperar a que se den las aprobaciones informales
  • Las decisiones se documentan de forma natural como parte de la respuesta

Muchas organizaciones malinterpretan el papel que desempeña la preparación en este contexto. Los ejercicios de simulación suelen centrarse en qué decisión debe tomarse, pero rara vez ponen a prueba cómo se toma, se comunica, se asigna y se supervisa esa decisión cuando la presión es real.

Esa distinción supone un punto de inflexión.

Durante las situaciones de emergencia, el reto no consiste en identificar la decisión «correcta», sino en garantizar que esa decisión se traduzca en acciones: de forma rápida, visible y coherente en toda la organización.

Es precisamente en este paso, desde la decisión hasta la ejecución, donde la coordinación se vuelve esencial.

Sin una coordinación adecuada, incluso una estructura de mando bien definida se deteriora en la práctica. Las decisiones se comunican verbalmente, se pierden entre los mensajes de chat o se transmiten de forma inconsistente. Las tareas se dan por supuestas en lugar de asignarse. Los líderes creen que se está actuando, mientras que los equipos esperan aclaraciones.

Una vez establecida la coordinación, la autoridad se refuerza a través de la estructura:

  • Las decisiones se registran en el momento en que se toman
  • La titularidad se transfiere de forma inmediata y explícita
  • Los responsables pueden ver la ejecución en tiempo real
  • Los obstáculos surgen desde el principio, en lugar de aparecer tras los retrasos

El resultado no es la rapidez por sí misma, sino decisiones que se mantienen porque se ejecutan tal y como se pretendía.

Esto es lo que hace que las primeras horas de una crisis cibernética sean decisivas, no porque todos actúen con mayor rapidez, sino porque todos actúan al unísono, guiados por una autoridad clara y una visión operativa compartida.


Replantearse la preparación ante la realidad de la gestión de crisis cibernéticas

A lo largo de esta serie, he defendido que la gestión de crisis cibernéticas suele fracasar cuando la realidad se aleja de lo previsto. Pero la solución no consiste en planificar menos, sino en prepararse de otra manera.

Las organizaciones que gestionan bien las crisis no son aquellas que cuentan con más manuales de procedimientos o con los árboles de respuesta más detallados. Son aquellas que centran su preparación en lo que más importa cuando los planes fallan, porque saben que eso acabará sucediendo.

Una preparación eficaz asume que la improvisación es inevitable y prepara a la organización para improvisar con acierto.

Esto significa resistirse a la tentación de complicar en exceso los manuales de procedimientos y centrarse, en cambio, en los escenarios que realmente suponen una amenaza para la empresa: los clientes, los pacientes, la seguridad, las operaciones, las obligaciones normativas y la confianza.

También implica prepararse para la toma de decisiones, no solo para los pasos técnicos.

  • ¿Quién decide cuándo las concesiones son inevitables?
  • ¿Qué autoridad tienen en este momento?
  • ¿Qué prioridades guían las decisiones cuando la información es incompleta y el tiempo apremia?

Cuando las organizaciones se ponen de acuerdo sobre estas cuestiones con antelación, la improvisación se convierte en algo disciplinado en lugar de caótico. Las decisiones evolucionan, pero siguen basadas en valores y responsabilidades compartidos.

La preparación también debe llevarse a cabo de otra manera.

Los ejercicios más valiosos no son aquellos en los que todo sale según lo previsto, sino aquellos en los que las hipótesis fallan: cuando falta información, los sistemas se comportan de forma inesperada y los equipos deben adaptarse en tiempo real.

Es aquí donde la coordinación se vuelve imprescindible.

Los incidentes cibernéticos actuales no son meros sucesos técnicos, sino crisis empresariales que exigen capacidad de decisión por parte de los responsables, coordinación entre departamentos y rendición de cuentas en tiempo real.

Las organizaciones que replantean su preparación —centrándose menos en guiones perfectos y más en una improvisación coordinada— están mejor preparadas para hacer frente a esa realidad.

No solo responden más rápido.
Responden con un propósito.

Y cuando llega la siguiente crisis, no se limitan a reaccionar. La gestionan.


Más información sobre cómo replantearse la gestión de crisis y la ciberresiliencia