Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Simulacros de Ciberseguridad

Los simulacros de incendios son obligatorios en todas las empresas. Así lo establecen la Ley 31/1995 de Prevención de Riesgos Laborales y el Real Decreto 393/2007 (Norma Básica de Autoprotección). Su objetivo principal es verificar y comprobar, de forma práctica y periódica, cinco aspectos clave:

  • La eficacia de la organización de respuesta ante una emergencia.
  • La capacitación del personal asignado a la gestión de crisis.
  • El entrenamiento de todo el personal en la respuesta correcta ante una emergencia.
  • La suficiencia e idoneidad de los medios y recursos disponibles.
  • La adecuación y actualización de los procedimientos de actuación.

Estos mismos objetivos son perfectamente trasladables al ámbito de la ciberseguridad. La gran diferencia es que, en el caso de los ciberincidentes, los simulacros no son obligatorios para todas las empresas, aunque sí son altamente recomendables.

Ventajas de los simulacros

Un simulacro bien diseñado es la herramienta más efectiva para:

  • Probar en un entorno seguro que el Plan de Respuesta a Incidentes funciona realmente.
  • Identificar vulnerabilidades y puntos débiles, antes de que un ataque real los ponga al descubierto.
  • Entrenar al equipo directivo, técnico y operativo para que actúe con rapidez, coordinación y criterio.
  • Cumplir con las crecientes exigencias regulatorias (NIS2, ENS, DORA, etc.), que cada vez demandan más pruebas y ejercicios de validación.

¿Por qué muchas empresas siguen sin hacer simulacros?

A pesar de sus evidentes beneficios, muchas organizaciones siguen siendo reacias a realizar simulacros de ciberseguridad por tres razones principales:

  1. Falta de profesionales capacitados para diseñar y ejecutar un ejercicio realista y seguro.
  2. Perciben que contratar un simulacro profesional es caro.
  3. Temen que el simulacro paralice la operativa diaria de la empresa.

Ninguna de esas razones sirve de justificación, pues hay profesionales capacitados en el mercado; no es caro, incluso hay programas subvencionados; y no paraliza la actividad de la empresa (existen simulacros en formato Tabletop que se realizan sin tocar sistemas reales ni detener la actividad).

Soluciones para PYMES

En el País Vasco existe un programa denominado Simulacros de Ciberseguridad, organizado por SPRI, una entidad del Departamento de Industria, Transición Energética y Sostenibilidad del Gobierno Vasco. El programa ofrece seis temáticas de simulacros reales, personalizados y sin riesgo, con el objetivo de mejorar la capacidad de respuesta de las empresas. Estos simulacros están adaptados al sector de actividad, al nivel de exposición digital y a las necesidades operativas. Además, están subvencionados al 100%.

A nivel nacional no existe un programa equivalente, aunque en varias comunidades autónomas se han aprobado planes similares, si bien no están subvencionados en su totalidad. Es cuestión de que consulten en los servicios de su comunidad autónoma si existe alguna solución a su alcance, especialmente si su empresa no puede asumir el coste de un simulacro.

Conclusión

En empresas con cierta complejidad en el tratamiento de datos, un simulacro resulta indispensable para evaluar la capacidad de reacción de la organización.

En manos expertas, un simulacro no se vive como algo traumático, y las lecciones aprendidas aportan un valor extraordinario para la organización.

Índice de artículos
error: Contenido protegido por derechos de autor. Queda prohibida la reproducción, distribución, transformación, transcripción y almacenamiento de este contenido, sin la autorización previa y expresa del titular de los derechos. Para pedir dicha autorización, diríjase al titular enviando un correo electrónico a info@protecciondata.es