Opinión

Un nuevo enfoque de la gestión de crisis cibernéticas: por qué fracasan los planes y qué hay que hacer realmente

Por Courtney Guss, Directora de Gestión de Crisis de Semperis.

Llevo años colaborando con organizaciones para que se preparen para el peor de los casos: elaborando programas de gestión de riesgos, cuantificando el impacto potencial y ayudando a los directivos a comprender qué es lo más importante para la empresa. Sin embargo, hay algo que me sigue llamando la atención: muchas organizaciones siguen estando mal preparadas para gestionar una crisis cibernética real. No es porque les falte esfuerzo ni talento, sino porque carecen de orientaciones prácticas para tomar decisiones bajo presión.

Hoy en día, el sector de la ciberseguridad evalúa la existencia de planes, no la eficacia de la respuesta. La mayoría de las organizaciones creen que están preparadas porque cuentan con planes de respuesta ante incidentes, manuales de procedimientos y simulacros. Sin embargo, estos recursos suelen fallar cuando se enfrentan a la complejidad del mundo real. La verdadera preparación ante una crisis cibernética no se consigue con más documentación, sino con claridad en cuanto a las prioridades empresariales y la autoridad para tomar decisiones.

El sector se fija en lo que no debe

El problema no es nuevo, pero los marcos normativos del sector siguen fomentando una mentalidad centrada en el cumplimiento. En las evaluaciones suele preguntarse si existe un plan de respuesta, si hay manuales de procedimientos o si se realizan simulacros de mesa. Si la respuesta es afirmativa, se considera que la organización está preparada. Sin embargo, a la hora de gestionar de forma integral una crisis cibernética, las organizaciones rara vez se plantean las preguntas más importantes. ¿Saben los líderes cómo priorizar las operaciones empresariales durante una crisis? ¿Son conscientes los equipos del impacto financiero y operativo que tiene un fallo del sistema? ¿Saben los miembros del equipo de respuesta quién tiene la autoridad para tomar decisiones críticas? ¿Puede la organización funcionar cuando la situación no se ajusta al manual de estrategias? Al medir los aspectos equivocados, se crea una brecha peligrosa que genera confianza sobre el papel, pero deja a las organizaciones en una situación de fragilidad operativa ante situaciones reales.

El mito del manual perfecto para gestionar una crisis cibernética

Otra fuente habitual de confusión es la forma en que se utilizan indistintamente los términos runbook y manual de estrategias o manual de gestión de crisis, a pesar de que tienen fines muy diferentes. Los runbooks son guías de ejecución táctica que proporcionan instrucciones paso a paso para llevar a cabo una tarea técnica concreta. Están diseñados para garantizar rapidez, coherencia y repetibilidad, y funcionan bien cuando la situación es predecible. Por su parte, los manuales de gestión de crisis operan a un nivel superior, ofreciendo orientación para responder a una categoría concreta de incidentes e incluyendo medidas de coordinación, directrices de comunicación y vías de escalamiento entre equipos. Ambos son valiosos, pero comparten la limitación de suponer que la crisis se desarrollará según un guion conocido, algo que rara vez ocurre en la práctica. Un incidente de ransomware puede implicar el robo de identidad, interrupciones del sistema, fuga de datos, presentación de informes reglamentarios, repercusiones para los clientes, revisión jurídica y la intervención de las fuerzas del orden, todo ello al mismo tiempo. Ningún manual puede prever ese nivel de complejidad en cadena. En la práctica, los equipos suelen dejar de lado el manual de estrategias al cabo de unas horas y se basan en la experiencia, la intuición y la improvisación. Esto no es un fallo de los servicios de emergencia; es un fallo del modelo. Hemos formado a nuestros equipos para que sigan los guiones, pero no les hemos dotado de los medios necesarios para tomar decisiones cuando el guion falla.

El verdadero problema durante una crisis cibernética: la parálisis en la toma de decisiones

Los manuales de procedimientos y las guías de actuación siguen siendo herramientas importantes, pero no están diseñados para resolver el mayor desafío de la gestión de crisis cibernéticas: coordinar decisiones de gran calado en toda la empresa cuando la situación no se ajusta a un escenario predefinido. En la mayoría de las crisis cibernéticas, los mayores retrasos no son de carácter técnico, sino que se deben a la toma de decisiones. Preguntas como quién declara la crisis, quién puede apagar los sistemas, quién aprueba las comunicaciones con los clientes, quién decide qué se restaura primero o quién asume el riesgo cuando no hay una opción perfecta pueden paralizar incluso las medidas más urgentes. La incertidumbre en torno a la autoridad puede ser un obstáculo crítico. Para tomar decisiones eficaces bajo presión, los equipos de respuesta necesitan algo más que un plan: necesitan un marco de toma de decisiones.

Un marco eficaz para la toma de decisiones en situaciones de crisis debe definir tres aspectos fundamentales. En primer lugar, determinar qué es lo que más importa para la empresa, estableciendo un acuerdo claro sobre las operaciones críticas, las prioridades y las concesiones aceptables. En segundo lugar, dónde se toman las decisiones críticas, identificando los puntos clave que surgen durante los distintos tipos de incidentes. Y, por último, quién tiene la autoridad en esos puntos, definiendo responsabilidades para que los equipos puedan actuar sin demora. Cuando estos elementos se definen de antemano, los equipos de respuesta pueden actuar con mayor rapidez, con seguridad y tomar decisiones que sigan siendo justificables una vez superada la crisis. Sin ellos, incluso los equipos mejor preparados dudan, y esas dudas son costosas.

Evaluar lo que realmente importa

Si los manuales de procedimientos y los guiones operativos no logran reflejar la complejidad de una crisis real, entonces los ejercicios de simulación de crisis cibernéticas también deben evolucionar. Muchos simulacros se limitan a validar el plan en lugar de cuestionarlo. Los ejercicios eficaces deben centrarse en si los líderes están realmente de acuerdo en cuanto a las prioridades empresariales, si los responsables comprenden las compensaciones, si los equipos pueden coordinarse bajo presión y si la organización puede funcionar con información incompleta o contradictoria. Deben simular efectos en cadena, información incierta o sujeta a cambios, puntos clave para la toma de decisiones a nivel directivo y retos de coordinación interfuncional. El objetivo no es demostrar que el plan funciona, sino demostrar que la organización es capaz de adaptarse cuando el plan no funciona. La verdadera preparación consiste en desarrollar la capacidad de adaptarse sin perder de vista lo que realmente importa.

Si aceptamos que no podemos prever todos los incidentes, la gestión de crisis cibernéticas debe partir de otro punto: la coordinación. Todo empieza por hacerle a tu equipo directivo una pregunta sencilla: ¿qué es lo más importante para esta empresa? A menudo me refiero a esto como la “estrella polar” de la organización. Cuando los equipos comprenden cuál es su objetivo principal, pueden tomar decisiones incluso cuando la situación no está clara. Pueden preguntarse si la medida protege las operaciones más críticas, si se ajusta a las prioridades de las partes interesadas o si nos acerca a la recuperación donde más importa. Si la respuesta es afirmativa, la decisión es justificable; si no, no debería ser una prioridad durante la crisis. La estrella polar no sustituye a los manuales de procedimientos ni a las guías de actuación, pero facilita su uso. Porque cuando el guion falle —y fallará—, la organización seguirá sabiendo cómo tomar decisiones. En una crisis cibernética real, la capacidad de tomar decisiones es lo que marca la diferencia entre el caos y el control.


Descubre más desde Revista Ciberseguridad

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Fuente independiente de noticias y análisis sobre la ciberseguridad, que cubre las últimas noticias y la investigación de ciberamenazas, malware, phishing, etc.

Noticias Relacionadas

1 of 56

Leave A Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Secret Link
Revista Ciberseguridad
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.