El plan de emergencia que nadie ha puesto en práctica

7 Min. de lectura

Muchas empresas tienen un plan de respuesta a incidentes. Pocas lo han ensayado bajo presión. Precisamente esta diferencia marca la pauta en caso de emergencia: las organizaciones que prueban su plan con regularidad y cuentan con un equipo bien coordinado registran, según IBM, costes de daños significativamente menores que aquellas cuyo plan permanece en un archivador. El plan es la teoría; el ejercicio de mesa, el ensayo general.

Relacionado:Security Awareness: la tasa de clics mide lo incorrecto  /  Backup contra ransomware: 3-2-1-1-0 en lugar de 3-2-1

¿Qué es un ejercicio de mesa? Un ejercicio de mesa es un simulacro moderado en el que el equipo de crisis analiza un escenario de ataque realista alrededor de una mesa, sin tocar sistemas reales. Los participantes toman decisiones bajo presión, identifican lagunas en el plan de respuesta a incidentes y practican la colaboración antes de que el caso real les obligue a hacerlo.

El plan en el archivador se enfrenta a las 03:40

Un plan de respuesta a incidentes se lee impecable en el escritorio. Los roles están definidos, los pasos numerados y las listas de contactos actualizadas. Pero cuando suena el teléfono a las 03:40, la mitad de la lista de contactos está de vacaciones y nadie sabe si la decisión de detener la producción corresponde al responsable de guardia o al CISO. Es aquí donde se revela si el plan era una herramienta o un simple placebo.

La brecha rara vez está en el documento en sí, sino en las suposiciones sobre cómo actúan las personas bajo estrés. Un plan asume mentes claras, interlocutores disponibles y responsabilidades definidas. La realidad ofrece lo contrario. Un ejercicio cierra esta brecha porque genera precisamente la fricción que el documento ignora.

Lo que realmente revela el ejercicio

Los hallazgos más valiosos de un ejercicio de mesa no aparecen en ningún plan. ¿Quién puede detener la producción sin esperar tres niveles de escalada? ¿Quién habla con la autoridad supervisora, quién con la prensa y quién mantiene a ambos separados? ¿En qué momento un incidente de TI se convierte en un tema para la junta directiva? Estas preguntas se resuelven en minutos durante el ensayo, pero en un incidente real cuestan horas, durante las cuales el daño sigue aumentando.

Además, un buen ejercicio reúne en una misma mesa a las personas adecuadas, que normalmente nunca se encuentran: seguridad informática, legal, comunicación, recursos humanos y dirección. En caso de emergencia, estas funciones deben colaborar en cuestión de minutos. Si logran coordinarse por primera vez durante el ejercicio, ya se ha ganado mucho, mucho antes de que un atacante aparezca en la red.

Las lagunas que aparecen una y otra vez

A lo largo de numerosos ejercicios, se repiten las mismas debilidades. En primer lugar, la autoridad para tomar decisiones: nadie se atreve a asumir la responsabilidad de una decisión costosa en solitario, por lo que esta asciende en la cadena y se pierde tiempo. En segundo lugar, la comunicación externa, que bajo NIS2 está sujeta a plazos y, sin embargo, a menudo sigue sin estar clara. En tercer lugar, la dependencia de personas individuales cuyo conocimiento nadie más posee.

Además, está la interfaz con la recuperación. Un equipo de crisis puede comunicarse de manera impecable y, aun así, fracasar si el backup nunca se ha probado en una restauración real. Por eso, el ejercicio de mesa y la prueba de restauración van de la mano: uno evalúa las decisiones, y el otro verifica si la tecnología puede respaldarlas. También deben incluirse en el mismo guion las vías de notificación desde el personal.

El factor DACH: NIS2 acelera el reloj

En Alemania, sobre la comunicación de crisis pesa un plazo estricto. NIS2 exige a las entidades afectadas una primera notificación al BSI en un plazo de 24 horas tras conocer un incidente significativo, seguida de una notificación más detallada en 72 horas. Quien en este intervalo aún esté aclarando quién puede notificar y qué información debe incluir la notificación, suele haber perdido ya el plazo. Un ejercicio de mesa con un reloj de notificación integrado hace tangibles esas 24 horas.

Además, está el comité de crisis como órgano. En muchas empresas del espacio DACH existe sobre el papel, pero nunca se ha reunido. La codeterminación entra en juego en cuanto hay datos personales o consecuencias laborales de por medio. Quien reúna a estos participantes por primera vez en una situación real, pierde un tiempo que el plazo de notificación no perdona.

Cómo lograr el primer ejercicio en los próximos 90 días

El inicio no requiere un entorno de simulación costoso. Basta con un escenario realista, como una infección por ransomware con sistemas de producción cifrados, un moderador y dos horas con las funciones adecuadas en la sala: seguridad informática, legal, comunicación, recursos humanos y un miembro de la dirección. El escenario se escala paso a paso, cada decisión se toma en voz alta y se registra. Al final, no hay una calificación, sino una lista de las lagunas que el plan no ha cubierto. Esta lista es el verdadero resultado. Quien la aborda y la perfecciona en dos o tres ejercicios al año convierte el plan en papel en una capacidad que, en caso de emergencia, marca la diferencia.

Preguntas frecuentes

¿Con qué frecuencia debe practicarse un plan de respuesta a incidentes?

Como regla general, dos o tres veces al año, complementado tras cambios importantes en los sistemas, la organización o la regulación. Más importante que la frecuencia en sí es que cada ejercicio concluya con una lista de lagunas y que esta se aborde antes del siguiente ejercicio. Así, la práctica se convierte en un ciclo de mejora en lugar de un mero trámite.

¿Qué diferencia un ejercicio de mesa de un verdadero test de penetración?

Un ejercicio de mesa evalúa decisiones, roles y comunicación sobre la mesa, sin intervenir en los sistemas. Un test de penetración examina la vulnerabilidad técnica de los sistemas en sí. Ambos se complementan: el pentest muestra cómo entra un atacante, mientras que el ejercicio de mesa revela si la organización controla el incidente después.

¿Quién debe participar en un ejercicio de mesa?

Más que solo el departamento de TI. Además de seguridad informática, deben estar presentes representantes de asuntos legales, comunicación corporativa, recursos humanos y un miembro de la dirección. Precisamente en estas interfaces surgen, en caso de emergencia, los costosos retrasos, y esta colaboración solo puede practicarse en equipo.

¿Qué papel juega NIS2 en los ejercicios de respuesta a incidentes?

NIS2 exige a las entidades afectadas una primera notificación al BSI en un plazo de 24 horas tras tener conocimiento de un incidente significativo. Un ejercicio con un reloj de notificación integrado garantiza que, en caso de emergencia, quede claro quién notifica, qué se notifica y cuándo comienza a correr el plazo.

¿Cuál es el resultado más importante de un ejercicio?

La lista de brechas detectadas. Una buena sensación no es preparación suficiente. Un ejercicio que no encuentra ninguna debilidad suele ser demasiado sencillo. El valor real surge cuando se cierran esas brechas y el siguiente ejercicio se basa en un escenario más exigente.

Lecturas recomendadas por la redacción

• Concienciación en ciberseguridad: la tasa de clics mide lo incorrecto
• Copias de seguridad contra ransomware: 3-2-1-1-0 en lugar de 3-2-1
• Zero Trust en empresas energéticas: lo que exigen ahora las auditorías NIS2

Más del MBF Media Network

Imagen de portada: generada por IA (junio 2026)

Fuente de la imagen: generada por IA (junio 2026), certificado C2PA incluido en la imagen

Sobre el autor: Alec Chizhik

Más artículos de Alec Chizhik