📚 Riesgos de la planificación de la capacidad

1. Alegoría

Imagina que gestionas un restaurante gourmet en el centro de una ciudad muy turística.
Si contratas a pocos cocineros, uno enferma y todo el servicio colapsa. Si contratas demasiados, tu presupuesto se desangra.
Si dependes de un único proveedor de verduras y falla, te quedas sin menú.
Si no tienes sustitutos preparados, el jefe de cocina se va y el caos reina.
Así como planificas la plantilla, los turnos, las reservas, el stock y las recetas, una arquitectura de seguridad sólida necesita planificación de capacidad humana y tecnológica equilibrada para sobrevivir y adaptarse a cualquier situación.

2. Definición técnica clara y precisa

La planificación de capacidad – Capacity Planning – es el proceso de anticipar y dimensionar adecuadamente los recursos humanos, técnicos y de infraestructura necesarios para asegurar la operatividad, la seguridad y la resiliencia del sistema a lo largo del tiempo. Una mala planificación puede generar tanto déficit como exceso, afectando directamente la ciberseguridad, la continuidad y el rendimiento organizacional.

3. Justificación de seguridad

Una capacidad mal dimensionada (por falta o por exceso) compromete la seguridad de la organización:

• Riesgos por carencia:

  • Sobrecarga de sistemas, ataques DoS más efectivos, errores humanos, pérdida de datos, mal uso de accesos.

  • Vulnerabilidad ante la ausencia de personal clave.

• Riesgos por exceso:

  • Aumento de superficie de ataque, complejidad innecesaria, dispersión de esfuerzos, mal uso de recursos.

4. Casos de uso y ejemplos aplicables

• Teletrabajo mal planificado → caos en soporte, fallos de comunicación, riesgo de shadow IT.

• Despido sin estrategia de revocación de accesos → ataques internos post-desvinculación.

• No hay backup del jefe de infraestructura → ausencia crítica ante incidentes o vacaciones.

• Sistemas sobrecargados por falta de escalado → caída en plena campaña de ventas.

5. Mapa de riesgos y amenazas asociadas

Riesgos humanos:

• Falta de habilidades o capacitación cruzada (Cross-training).

• Dependencia de una sola persona (SPOF humano).

• Comunicación deficiente.

• Falta de planes de sucesión y estructuras de respaldo.

Riesgos tecnológicos:

• Subdimensionamiento → Caídas, DoS, bajo rendimiento.

• Sobreestimación → Derroche, complejidad innecesaria, consumo energético alto.

Riesgos de seguridad física y lógica tras despidos:

• Acceso no revocado.

• Robo o sabotaje.

• Conocimiento explotado contra la organización.

6. Buenas prácticas y estándares aplicables

• ✅ Capacitación cruzada – Cross-training

  📖 ¿Qué es?
  Consiste en formar a los empleados en tareas que no son parte directa de sus funciones habituales para que puedan sustituir a otros en caso de ausencia o crisis.
  Por ejemplo, si el único administrador de backups falta, otra persona debe poder restaurar datos críticos.

  🔐 Impacto en seguridad:

  • Reduce los puntos únicos de fallo (SPOF – Single Point of Failure).

  • Mejora la continuidad operativa ante bajas imprevistas.

  • Refuerza la resiliencia del equipo y disminuye la dependencia personal.

  🧠 Alegoría: Es como enseñar a todos los camareros de un restaurante a manejar la caja registradora. Si el cajero se ausenta, el servicio no se detiene.

  ✅ Plan de continuidad operativa – Continuity of Operations Plan (COOP)

  📖 ¿Qué es?
  Es un conjunto de procesos y protocolos que garantizan que la organización pueda continuar sus funciones críticas durante y después de eventos disruptivos (apagones, ciberataques, pandemia, etc.).

  🔐 Impacto en seguridad:

  • Asegura la disponibilidad (CIA).

  • Define los roles, contactos, líneas de mando y sistemas prioritarios.

  • Está vinculado a BCP (Business Continuity Plan) y DRP (Disaster Recovery Plan).

  🧠 Alegoría: Imagina que se va la luz en una operación de cirugía. El hospital ya tiene un protocolo COOP que activa el generador, reasigna tareas, y prioriza pacientes de forma automática.

  ✅ Plan de trabajo remoto – Remote Work Plan

  📖 ¿Qué es?
  Estrategia que define cómo los empleados pueden trabajar de forma segura desde casa o ubicaciones remotas, incluyendo herramientas, accesos, canales de comunicación y medidas de seguridad.

  🔐 Impacto en seguridad:

  • Previene shadow IT (uso no autorizado de tecnología).

  • Garantiza la conexión segura con VPN (Virtual Private Network) o VDI.

  • Protege la información fuera del perímetro físico de la empresa.

  🧠 Alegoría: Es como darle a cada trabajador un kit seguro para hacer su trabajo desde casa, evitando que improvisen con herramientas personales y pongan en riesgo la información.

  ✅ Política de desvinculación segura – Offboarding Policy

  📖 ¿Qué es?
  Conjunto de pasos obligatorios cuando un empleado deja la empresa, que incluye:

  • Revocación inmediata de accesos.

  • Recuperación de dispositivos.

  • Firma de acuerdos post-contrato.

  • Transferencia de conocimiento y tareas.

  🔐 Impacto en seguridad:

  • Elimina amenazas internas.

  • Previene sabotajes, fugas de información y accesos no autorizados.

  • Facilita una salida profesional, ética y controlada.

  🧠 Alegoría: Como cambiar la cerradura cuando un exinquilino se muda. No por desconfianza, sino por buena práctica de seguridad.

  ✅ Planificación escalable y elástica – Elastic Capacity Management

  📖 ¿Qué es?
  En vez de asignar recursos fijos, se diseña la arquitectura para que crezca o reduzca automáticamente según la demanda (por ejemplo, más servidores durante el Black Friday, menos durante vacaciones).

  🔐 Impacto en seguridad:

  • Evita sobrecarga de recursos.

  • Mejora la eficiencia y la capacidad de respuesta.

  • Reduce el desperdicio de presupuesto y energía.

  • Mejora la capacidad de recuperación (resilience) sin sacrificar rendimiento.

  🧠 Alegoría: Como un elástico que se estira o encoge según lo que necesitas guardar dentro. Siempre justo, nunca de más ni de menos.

7. Tecnologías y herramientas relacionadas

• VPN (Virtual Private Network)

• VDI (Virtual Desktop Infrastructure)

• Herramientas de colaboración: Microsoft 365, Google Workspace, Slack, Zoom, Teams, Webex

• Herramientas de gestión de proyectos: Trello, Asana, Jira

• Sistemas de control de acceso, cámaras, refrigeración redundante

• Herramientas SIEM para correlación de accesos post-despido

8. Perspectivas desde Red Team, Blue Team y Purple Team

🔴 Red Team

• Objetivo: Explorar escenarios donde la planificación deficiente facilita ataques internos.

• Ejemplo: Uso de credenciales no revocadas tras despido.

• Ataque: Ingeniería social durante fallos de comunicación interna.

🔵 Blue Team

• Objetivo: Monitorizar señales de sobrecarga o subutilización de sistemas y personas.

• Tareas:

  • Validar que los accesos se revocan.

  • Asegurar que las estructuras de reporte de respaldo estén activas.

  • Evaluar la resiliencia ante bajas imprevistas del equipo.

🟣 Purple Team

• Objetivo: Coordinar ejercicios de simulación de incidentes con pérdida de personal clave o saturación de recursos.

• Acción: Evaluar el rendimiento de la arquitectura durante una situación de alta demanda con recursos reducidos.

• Lección: Seguridad ≠ solo herramientas. Se sustenta sobre personas, procesos y previsión.

9. Lecciones aprendidas y errores comunes

Errores comunes:

• No anticipar el impacto de despidos.

• No formar reemplazos.

• No revocar accesos ni monitorizar actividad post-despido.

• No invertir en herramientas de soporte remoto seguras.

Lecciones:

• La seguridad es tan fuerte como la persona menos formada.

• Un solo punto humano de fallo puede colapsar un plan entero.

• La planificación adaptativa evita tanto el caos como el despilfarro.

10. Resultados esperados y señales de éxito

✅ Todos los sistemas tienen personal backup formado.
✅ Todos los accesos están definidos y revocados al finalizar contratos.
✅ Las comunicaciones durante eventos críticos son claras y probadas.
✅ El uso de recursos está optimizado, ni infra ni sobreutilizado.
✅ Los incidentes internos han disminuido por buena gestión de personal y activos.