7 Min. de lectura<\/p>\n
Muchas empresas tienen un plan de respuesta a incidentes. Pocas lo han ensayado bajo presi\u00f3n. Precisamente esta diferencia marca la pauta en caso de emergencia: las organizaciones que prueban su plan con regularidad y cuentan con un equipo bien coordinado registran, seg\u00fan IBM, costes de da\u00f1os significativamente menores que aquellas cuyo plan permanece en un archivador. El plan es la teor\u00eda; el ejercicio de mesa, el ensayo general.<\/strong><\/p>\n Lo m\u00e1s importante en resumen<\/p>\n Relacionado:<\/span>Security Awareness: la tasa de clics mide lo incorrecto<\/a> \/<\/span> Backup contra ransomware: 3-2-1-1-0 en lugar de 3-2-1<\/a><\/p>\n \u00bfQu\u00e9 es un ejercicio de mesa?<\/strong> Un ejercicio de mesa es un simulacro moderado en el que el equipo de crisis analiza un escenario de ataque realista alrededor de una mesa, sin tocar sistemas reales. Los participantes toman decisiones bajo presi\u00f3n, identifican lagunas en el plan de respuesta a incidentes y practican la colaboraci\u00f3n antes de que el caso real les obligue a hacerlo.<\/p>\n Un plan de respuesta a incidentes se lee impecable en el escritorio. Los roles est\u00e1n definidos, los pasos numerados y las listas de contactos actualizadas. Pero cuando suena el tel\u00e9fono a las 03:40, la mitad de la lista de contactos est\u00e1 de vacaciones y nadie sabe si la decisi\u00f3n de detener la producci\u00f3n corresponde al responsable de guardia o al CISO. Es aqu\u00ed donde se revela si el plan era una herramienta o un simple placebo.<\/p>\n La brecha rara vez est\u00e1 en el documento en s\u00ed, sino en las suposiciones sobre c\u00f3mo act\u00faan las personas bajo estr\u00e9s. Un plan asume mentes claras, interlocutores disponibles y responsabilidades definidas. La realidad ofrece lo contrario. Un ejercicio cierra esta brecha porque genera precisamente la fricci\u00f3n que el documento ignora.<\/p>\n Los hallazgos m\u00e1s valiosos de un ejercicio de mesa no aparecen en ning\u00fan plan. \u00bfQui\u00e9n puede detener la producci\u00f3n sin esperar tres niveles de escalada? \u00bfQui\u00e9n habla con la autoridad supervisora, qui\u00e9n con la prensa y qui\u00e9n mantiene a ambos separados? \u00bfEn qu\u00e9 momento un incidente de TI se convierte en un tema para la junta directiva? Estas preguntas se resuelven en minutos durante el ensayo, pero en un incidente real cuestan horas, durante las cuales el da\u00f1o sigue aumentando.<\/p>\n Adem\u00e1s, un buen ejercicio re\u00fane en una misma mesa a las personas adecuadas, que normalmente nunca se encuentran: seguridad inform\u00e1tica, legal, comunicaci\u00f3n, recursos humanos y direcci\u00f3n. En caso de emergencia, estas funciones deben colaborar en cuesti\u00f3n de minutos. Si logran coordinarse por primera vez durante el ejercicio, ya se ha ganado mucho, mucho antes de que un atacante aparezca en la red.<\/p>\n A lo largo de numerosos ejercicios, se repiten las mismas debilidades. En primer lugar, la autoridad para tomar decisiones: nadie se atreve a asumir la responsabilidad de una decisi\u00f3n costosa en solitario, por lo que esta asciende en la cadena y se pierde tiempo. En segundo lugar, la comunicaci\u00f3n externa, que bajo NIS2 est\u00e1 sujeta a plazos y, sin embargo, a menudo sigue sin estar clara. En tercer lugar, la dependencia de personas individuales cuyo conocimiento nadie m\u00e1s posee.<\/p>\n Adem\u00e1s, est\u00e1 la interfaz con la recuperaci\u00f3n. Un equipo de crisis puede comunicarse de manera impecable y, aun as\u00ed, fracasar si el backup nunca se ha probado en una restauraci\u00f3n real<\/a>. Por eso, el ejercicio de mesa y la prueba de restauraci\u00f3n van de la mano: uno eval\u00faa las decisiones, y el otro verifica si la tecnolog\u00eda puede respaldarlas. Tambi\u00e9n deben incluirse en el mismo guion las v\u00edas de notificaci\u00f3n desde el personal<\/a>.<\/p>\n En Alemania, sobre la comunicaci\u00f3n de crisis pesa un plazo estricto. NIS2 exige a las entidades afectadas una primera notificaci\u00f3n al BSI en un plazo de 24 horas tras conocer un incidente significativo, seguida de una notificaci\u00f3n m\u00e1s detallada en 72 horas. Quien en este intervalo a\u00fan est\u00e9 aclarando qui\u00e9n puede notificar y qu\u00e9 informaci\u00f3n debe incluir la notificaci\u00f3n, suele haber perdido ya el plazo. Un ejercicio de mesa con un reloj de notificaci\u00f3n integrado hace tangibles esas 24 horas.<\/p>\n Adem\u00e1s, est\u00e1 el comit\u00e9 de crisis como \u00f3rgano. En muchas empresas del espacio DACH existe sobre el papel, pero nunca se ha reunido. La codeterminaci\u00f3n entra en juego en cuanto hay datos personales o consecuencias laborales de por medio. Quien re\u00fana a estos participantes por primera vez en una situaci\u00f3n real, pierde un tiempo que el plazo de notificaci\u00f3n no perdona.<\/p>\n El inicio no requiere un entorno de simulaci\u00f3n costoso. Basta con un escenario realista, como una infecci\u00f3n por ransomware con sistemas de producci\u00f3n cifrados, un moderador y dos horas con las funciones adecuadas en la sala: seguridad inform\u00e1tica, legal, comunicaci\u00f3n, recursos humanos y un miembro de la direcci\u00f3n. El escenario se escala paso a paso, cada decisi\u00f3n se toma en voz alta y se registra. Al final, no hay una calificaci\u00f3n, sino una lista de las lagunas que el plan no ha cubierto. Esta lista es el verdadero resultado. Quien la aborda y la perfecciona en dos o tres ejercicios al a\u00f1o convierte el plan en papel en una capacidad que, en caso de emergencia, marca la diferencia.<\/p>\n Como regla general, dos o tres veces al a\u00f1o, complementado tras cambios importantes en los sistemas, la organizaci\u00f3n o la regulaci\u00f3n. M\u00e1s importante que la frecuencia en s\u00ed es que cada ejercicio concluya con una lista de lagunas y que esta se aborde antes del siguiente ejercicio. As\u00ed, la pr\u00e1ctica se convierte en un ciclo de mejora en lugar de un mero tr\u00e1mite.<\/p>\n Un ejercicio de mesa eval\u00faa decisiones, roles y comunicaci\u00f3n sobre la mesa, sin intervenir en los sistemas. Un test de penetraci\u00f3n examina la vulnerabilidad t\u00e9cnica de los sistemas en s\u00ed. Ambos se complementan: el pentest muestra c\u00f3mo entra un atacante, mientras que el ejercicio de mesa revela si la organizaci\u00f3n controla el incidente despu\u00e9s.<\/p>\n M\u00e1s que solo el departamento de TI. Adem\u00e1s de seguridad inform\u00e1tica, deben estar presentes representantes de asuntos legales, comunicaci\u00f3n corporativa, recursos humanos y un miembro de la direcci\u00f3n. Precisamente en estas interfaces surgen, en caso de emergencia, los costosos retrasos, y esta colaboraci\u00f3n solo puede practicarse en equipo.<\/p>\n NIS2 exige a las entidades afectadas una primera notificaci\u00f3n al BSI en un plazo de 24 horas tras tener conocimiento de un incidente significativo. Un ejercicio con un reloj de notificaci\u00f3n integrado garantiza que, en caso de emergencia, quede claro qui\u00e9n notifica, qu\u00e9 se notifica y cu\u00e1ndo comienza a correr el plazo.<\/p>\n La lista de brechas detectadas. Una buena sensaci\u00f3n no es preparaci\u00f3n suficiente. Un ejercicio que no encuentra ninguna debilidad suele ser demasiado sencillo. El valor real surge cuando se cierran esas brechas y el siguiente ejercicio se basa en un escenario m\u00e1s exigente.<\/p>\n Lecturas recomendadas por la redacci\u00f3n<\/p>\n M\u00e1s del MBF Media Network<\/p>\n\n
El plan en el archivador se enfrenta a las 03:40<\/h2>\n
Lo que realmente revela el ejercicio<\/h2>\n
Las lagunas que aparecen una y otra vez<\/h2>\n
El factor DACH: NIS2 acelera el reloj<\/h2>\n
C\u00f3mo lograr el primer ejercicio en los pr\u00f3ximos 90 d\u00edas<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfCon qu\u00e9 frecuencia debe practicarse un plan de respuesta a incidentes?<\/h3>\n
\u00bfQu\u00e9 diferencia un ejercicio de mesa de un verdadero test de penetraci\u00f3n?<\/h3>\n
\u00bfQui\u00e9n debe participar en un ejercicio de mesa?<\/h3>\n
\u00bfQu\u00e9 papel juega NIS2 en los ejercicios de respuesta a incidentes?<\/h3>\n
\u00bfCu\u00e1l es el resultado m\u00e1s importante de un ejercicio?<\/h3>\n
\n