Playbook CTO. En una crisis tecnológica, el trabajo del CTO en las primeras 24 horas es: (1) establecer mando y prioridades, (2) detener el daño, (3) conocer el alcance real, (4) elegir estrategia de recuperación, (5) gestionar proveedores y dependencias, y (6) comunicar con claridad. El éxito depende menos de “la herramienta perfecta” y más de decisiones rápidas + roles claros + talento entrenado.
La crisis no avisa. Pero deja pistas.
El 2024 mostró un recordatorio durísimo de dependencia de terceros: una actualización defectuosa de un proveedor de ciberseguridad generó disrupción global en sistemas Windows. Microsoft explicó que no fue “incidente Microsoft”, pero sí afectó al ecosistema y requirió coordinación amplia para remediar.
CrowdStrike publicó después el análisis de causa raíz y la evolución de recuperación (incluyendo el retorno de ~99% de sensores Windows en línea hacia fines de julio).
En 2021, un cambio de configuración y efectos sobre BGP dejó fuera de línea servicios masivos de una big tech; Cloudflare explicó la caída como un evento ligado a cambios de red y retiro de rutas.
Y cuando el ataque es malicioso, la historia puede ser peor: CISA documentó el evento de ransomware que llevó a Colonial Pipeline a detener operaciones en 2021.
Moraleja: tu crisis puede ser ataque, error, tercero o mezcla de todo. El playbook debe funcionar igual.
Playbook CTO: Las 7 decisiones en 24 horas
1) Declarar “Severidad” y activar mando (primeros 15 minutos)
Decisión: ¿Es SEV-1? ¿Quién es el Incident Commander?
- Nombra a 1 líder operativo (no un comité).
- Activa una estructura tipo “incident command”: operaciones, comunicaciones, enlace con negocio, seguridad, proveedores.
Error común: “Esperar confirmación” para no “alarmar”.
En crisis, la demora cuesta más que el “exceso de formalidad”.
2) Detener el sangrado (0–60 minutos)
Decisión: ¿Qué se congela YA?
Ejemplos de “stop the bleed”:
- Pausar despliegues (freeze).
- Aislar segmentos de red / cuentas comprometidas.
- Revocar tokens/credenciales si hay sospecha de fuga.
Inspiración real: la disrupción por actualización defectuosa mostró que la capacidad de coordinar mitigación y contención con terceros es crítica.
3) Definir la “verdad operativa” (1–3 horas)
Decisión: ¿Qué sabemos con certeza y qué no?
Crea un documento vivo con 4 bloques:
- Hechos confirmados
- Hipótesis
- Impacto (servicios, clientes, ingresos, seguridad)
- Próximas decisiones con deadline
Error común: que cada área tenga “su verdad” en Slack/Teams sin consolidación.
4) Elegir el objetivo de continuidad: “¿Qué debe seguir vivo?” (3–6 horas)
Decisión: ¿Priorizas por sistemas o por servicios?
Prioriza por servicios críticos:
- Cobranza/pagos
- Ventas/canales
- Operación/logística
- Seguridad y cumplimiento
- Atención al cliente
Aquí se define el “modo degradado” (lo mínimo viable para operar).
5) Estrategia de recuperación: restaurar, reconstruir o conmutar (6–12 horas)
Decisión: ¿Restauramos desde backup? ¿Rebuild? ¿Failover?
- Restaurar: rápido si backups están sanos y probados.
- Reconstruir: más lento, pero más seguro si hay compromiso.
- Failover: exige arquitectura preparada.
Caso real (ciber): Colonial Pipeline debió actuar frente a un ransomware que afectó sistemas TI, con impacto operativo. CISA publicó el aviso del incidente.
6) Gestión de terceros: “¿quién está dentro de tu crisis aunque no quieras?” (12–18 horas)
Decisión: ¿Qué vendors entran al war room?
Incluye:
- Proveedor cloud
- Telco/ISP
- Proveedor EDR/SIEM
- Proveedor ERP/CRM
- Partner de continuidad / DR
Lección 2024: cuando el incidente nace en un tercero, necesitas procedimientos claros para soporte, escalamiento y comunicación técnica.
7) Comunicación: interna, externa y hacia el directorio (18–24 horas)
Decisión: ¿Qué dices, a quién y con qué frecuencia?
Plantilla simple que funciona:
- Qué pasó (sin especular)
- Qué estamos haciendo
- Qué pueden esperar (tiempos, alternativas)
- Qué pedimos (acciones del negocio / clientes)
Error común: “comunicar perfecto” en vez de “comunicar útil”.
La credibilidad se gana diciendo la verdad operativa, incluso si es “aún no sabemos”.
El factor que decide si el playbook funciona: talento (no herramientas)
La diferencia entre crisis controlada y crisis caótica rara vez está en comprar más software durante el incendio. Está en:
- SRE/Plataforma que entiende degradación y recuperación
- Redes que maneja BGP/SD-WAN/ISP
- Seguridad que sabe contener sin apagar el negocio
- Arquitectura que diseñó failover antes del incidente
- Liderazgo que toma decisiones con información imperfecta
Esto es exactamente el tipo de músculo que se construye con estrategia de talento (y se pierde cuando “todo estaba funcionando”).
En Qibit Chile apoyamos a organizaciones a reforzar equipos tech críticos (headhunting y outsourcing TI) para que innovación y resiliencia avancen juntas. Contáctanos
Mini-checklist imprimible (para el CTO)
- Incident Commander nombrado
- Freeze/contención activada
- Lista de servicios críticos acordada
- Estrategia de recuperación definida (restore/rebuild/failover)
- Vendors en puente técnico
- Actualizaciones cada X horas al negocio
- Registro de decisiones y postmortem agendado
FAQs
¿Qué es un SEV-1?
Un incidente crítico con impacto alto (clientes/ingresos/seguridad) que requiere mando centralizado y prioridad total.
¿Qué hago primero: ciber o continuidad?
Ambas: primero contienes el daño (seguridad) mientras aseguras modo mínimo viable (continuidad). CISA insiste en respuesta coordinada en incidentes como ransomware en infraestructura crítica.
¿Cómo justifico inversión post-crisis?
Cuantifica downtime: ITIC reporta que el costo de 1 hora de caída supera US$300.000 para más del 90% de empresas medianas y grandes.
