Hay una versión del cuento del ransomware que casi nunca se cuenta, porque es incómoda: la del incidente que técnicamente estaba previsto, y aun así paralizó a la organización durante cinco días. No por falta de herramientas. Por falta de decisiones.
Lo que sigue es un caso anonimizado, reconstruido por sector para no identificar a nadie. La mecánica, sin embargo, se repite con una frecuencia que debería preocupar a cualquier directorio.
Lo que pasó
Un retailer regional con operación en varios países amaneció un lunes con sus sistemas de gestión cifrados. La nota de rescate era la de siempre. Y acá viene lo importante: los backups existían, eran recientes y estaban sanos. En el papel, la organización estaba preparada.
En la práctica, tardó cinco días en volver a operar con normalidad. No porque no pudiera restaurar, sino porque nadie sabía quién tenía la autoridad para decidir qué restaurar primero, con qué criterio, ni a quién había que avisar y en qué orden. El equipo técnico esperaba una definición del negocio. El negocio esperaba que el equipo técnico “lo resolviera”. Y mientras tanto, el reloj corría.
La lección no es técnica
El error de lectura más caro que comete un directorio es creer que la resiliencia ante un incidente es un problema que se compra. Que con el firewall correcto, el EDR correcto y el backup correcto, el riesgo queda tercerizado en una herramienta.
La tecnología evita algunos incidentes. Pero el costo de los que igual ocurren, y siempre ocurre alguno, no lo define la calidad del backup. Lo define la velocidad de la decisión. Y la velocidad de la decisión no se compra: se ensaya.
La organización del caso tenía un plan de continuidad. Lo que no tenía era un plan probado: nunca había corrido un ejercicio en el que el directorio tuviera que decidir, bajo presión y con información incompleta, como tendría que hacerlo en la realidad.
El efecto cascada
Cinco días de operación degradada en un retailer no son cinco días de un problema de IT. Son ventas perdidas, proveedores sin cobrar, una marca explicándose en los medios y un directorio respondiendo preguntas para las que no se preparó. El incidente técnico dura horas; sus consecuencias de negocio y reputación, meses.
Las preguntas que tu directorio debería estar haciéndose
- Si mañana cifran nuestros sistemas, ¿quién toma la primera decisión, y tiene la autoridad para tomarla sin convocar una reunión?
- ¿Alguna vez ensayamos un incidente con el directorio en la sala, o nuestro “plan” es un documento que nadie leyó bajo presión?
- ¿Sabemos cuánto nos cuesta, en pesos y en reputación, cada día de operación caída? ¿Y esa cifra está delante de quien aprueba el presupuesto de seguridad?
Tener el backup es la parte fácil; es comprar un seguro. La parte difícil, la que separa a las organizaciones que se recuperan de las que se exponen, es haber ensayado el día en que hay que usarlo. ¿Cuándo fue la última vez que tu directorio practicó perder?