Ejercicios de crisis
Tener un plan de continuidad y un plan de recuperación está muy bien, pero el día del incidente solo cuenta una cosa: que funcionen y que tu equipo sepa ejecutarlos. Los ejercicios de crisis lo comprueban cuando todavía no hay nada en juego: sentamos al comité de crisis ante un escenario realista, ponemos a prueba la recuperación técnica y observamos qué se decide, qué falla y qué falta. Sales con las carencias detectadas en frío, el equipo entrenado y un informe con evidencias para la auditoría.
Ejercicios de crisis y simulacros tabletop, en toda España.
Por qué
No sabes si tu plan funciona hasta que lo usas. Mejor descubrir las carencias en un ensayo que en plena crisis.
Un plan que jamás se ha ejecutado es una suposición. El ensayo es la única forma de saber si aguanta.
Entrenar al equipo evita el bloqueo y las malas decisiones cuando el incidente es real y el reloj corre.
El ejercicio saca a la luz los huecos del plan sin el coste, la prisa ni el daño de un incidente de verdad.
El artículo 21 de NIS2 y el artículo 11 de DORA piden probar que el plan funciona y que la dirección domina la gestión de crisis.
Qué incluye
Un ejercicio de crisis diseñado sobre tus riesgos reales, no un simulacro de manual para aprobar el expediente.
El comité de crisis decide ante un escenario, sin tocar sistemas. Pone a prueba la gestión a nivel estratégico y táctico.
Pruebas reales de recuperación: restauramos, hacemos failover y medimos los tiempos frente al RTO.
Diseñado sobre tus riesgos reales (ransomware, fuga de datos, proveedor caído), no un guion genérico.
Quién decide, quién escala y quién coordina cuando todo va en serio y el tiempo apremia.
Qué se dice, a quién y cuándo: clientes, empleados, autoridades y medios, con un portavoz claro.
Hallazgos, mejoras priorizadas y evidencia válida para NIS2, DORA e ISO 22301.
El enfoque
Un buen ejercicio no es el que sale perfecto, es el que saca a la luz lo que no funciona.
Un teléfono que nadie tiene a mano, una copia que no estaba, una decisión que nadie sabía a quién correspondía. Esas carencias es mucho mejor encontrarlas en una sala de reuniones que en plena crisis, con clientes esperando y el reloj en contra.
Por eso no montamos un teatro para aprobar el expediente. Diseñamos un escenario incómodo y realista, sin guion conocido, y observamos cómo responde tu equipo. El resultado no es un aprobado: es una lista de carencias y de lecciones aprendidas para corregir antes de que importen.
La diferencia
Un guion sabido, todos avisados y un final feliz. Tranquiliza al auditor, pero no entrena a nadie ni encuentra nada.
Un escenario realista que incomoda, sin guion conocido, donde las carencias salen a la luz y se corrigen a tiempo.
Cuándo
Un plan de continuidad o un plan de recuperación sin ensayar no sabes si aguanta el día real.
La ley te exige pruebas periódicas y demostrar que tu dirección sabe gestionar una crisis.
Nuevos sistemas, nuevos equipos o nuevos proveedores: toca volver a probar que el plan sigue valiendo.
Que el comité de dirección sepa qué decidir y cómo coordinarse el día que todo arde, sin improvisar.
Cómo trabajamos
Un método ordenado para que el ejercicio entrene de verdad y deje cosas concretas que arreglar.
El escenario a medida sobre tus riesgos reales y los planes que quieres poner a prueba.
El ejercicio, tabletop o simulacro técnico, con los roles reales y sin guion conocido.
Anotamos decisiones, tiempos, dudas y carencias mientras el equipo responde, sin interrumpir.
Hallazgos, mejoras priorizadas y la evidencia que pide una auditoría.
Encaja con
Un ejercicio no va solo: prueba y mantiene a punto el plan de continuidad y la recuperación ante desastres, y entrena a quien luego tendrá que liderar la respuesta a incidentes.
Cada ejercicio alimenta la mejora continua y deja la evidencia que pide la certificación ISO 22301. Tienes el área de continuidad y ciberresiliencia al completo.
Dudas
Es un ejercicio de mesa en el que el comité de crisis analiza cómo respondería ante un escenario, sin tocar los sistemas. Se centra en las decisiones, la coordinación y la comunicación bajo presión, no en la parte técnica.
El tabletop prueba la gestión y las decisiones del comité de crisis. El simulacro técnico prueba la recuperación real de sistemas y datos: restaura, hace failover y mide los tiempos. Lo ideal es combinar ambos.
De forma periódica y siempre que cambien tus sistemas, tu equipo o tus riesgos. Un plan se prueba para mantenerlo vivo, no una sola vez: lo que funcionaba el año pasado puede haber quedado obsoleto.
Sí. El artículo 21 de NIS2 y el artículo 11 de DORA no solo piden tener planes, piden probar que funcionan y demostrar que la dirección sabe gestionar una crisis. El informe del ejercicio deja esa evidencia, alineada con ISO 22301.
Lo ideal es probar un plan que ya existe. Pero un ejercicio también vale para descubrir que necesitas uno y por dónde empezar: revela las carencias y el orden en que conviene resolverlas.
El tabletop no toca los sistemas, así que no afecta a la operación. El simulacro técnico se planifica con cuidado para no impactar en producción, eligiendo el momento y el alcance contigo.
¿Cuándo probaste por última vez que tu plan funciona?
Si la respuesta es nunca, ahí está el motivo. Diseñemos un ejercicio sobre el escenario que más te preocupa.
Ponte en contacto