Simulacro de incidentes en el marco del ENS

Practique la respuesta a un incidente antes de que ocurra

El ejercicio tabletop (simulacro de incidente) es la forma más económica de comprobar si su equipo sabe de verdad qué hacer durante un incidente de seguridad. Reglyze lo conduce con un facilitador de IA, en un escenario situado por completo en el marco español (Esquema Nacional de Seguridad, RD 311/2022), siguiendo la secuencia de notificación al CSIRT de referencia. Al final recibe un informe posterior listo.

Por qué importa: el Anexo II del ENS exige medidas de gestión de incidentes. Una preparación ante incidentes probada en la práctica es la evidencia esperada de que esa obligación funciona de verdad.

¿Qué es un ejercicio tabletop?

Un ejercicio tabletop es una prueba estructurada y sin coste operativo de la respuesta a un incidente. El equipo se reúne (alrededor de una mesa o en videoconferencia) y recorre un escenario realista de ciberataque, discutiendo paso a paso: cómo se detecta el evento, quién toma las decisiones, cómo se comunica internamente y cuándo se activa la notificación.

Característica clave: no se toca ningún sistema de producción. Solo se practican las decisiones, los roles y los procedimientos. Así el ejercicio puede hacerse en cualquier momento, sin riesgo y sin interrumpir el servicio. Un buen tabletop saca a la luz las carencias (roles poco claros, contactos que faltan, decisiones que tardan) antes de que las saque un ataque real.

Por qué el Anexo II del ENS lo espera

El Anexo II del ENS exige a las organizaciones dentro del ámbito medidas de gestión de incidentes dentro del marco operacional: la capacidad de detectar, gestionar y notificar un incidente de seguridad.

Tener un plan de respuesta escrito es solo la mitad del camino. Un plan que nadie ha ensayado suele fallar bajo la presión del tiempo. El ejercicio tabletop aporta lo que falta: la evidencia de que la preparación se ha probado y una lista de carencias concretas que cerrar.

  • verifica que los roles y las responsabilidades están claros cuando el reloj de la respuesta ya corre;
  • comprueba que el equipo entiende los umbrales: cuándo un evento se convierte en un incidente que hay que notificar;
  • saca a la luz las carencias de comunicación y de decisión antes de que lo haga un ataque real;
  • genera un registro auditable (el informe posterior) que encaja en la obligación del Anexo II del ENS.

Cómo conduce Reglyze el ejercicio

Cuatro pasos, por completo dentro de la plataforma. Sin preparar materiales a mano y sin un consultor externo.

  1. 1

    Escenario adaptado a la organización

    Reglyze genera un escenario situado en el perfil de su organización (tipo de entidad y categoría de los sistemas). La situación es realista: ransomware, compromiso de un proveedor, filtración de credenciales, ataque a la continuidad del servicio.

  2. 2

    Conducción del ejercicio por IA

    El facilitador de IA va introduciendo eventos (inyectos de información) a un ritmo realista y plantea al equipo preguntas de decisión. Cada decisión queda registrada, y el moderador mantiene el ritmo del ejercicio sin necesidad de preparar materiales a mano.

  3. 3

    Secuencia de notificación al CSIRT de referencia

    El escenario lleva al equipo por la secuencia de la gestión de incidentes del ENS: detección, clasificación de la peligrosidad y el impacto según las guías CCN-STIC, y notificación al CSIRT de referencia (INCIBE-CERT para el sector privado, CCN-CERT para el sector público). Practican la toma de decisiones cuando el reloj ya corre.

  4. 4

    Informe posterior al ejercicio (after-action report)

    Al terminar, Reglyze redacta automáticamente el informe posterior: desarrollo del ejercicio, decisiones del equipo, carencias detectadas y recomendaciones para el plan de mejora. Es una evidencia lista de que la preparación ante incidentes se ha probado.

Escenario situado en el marco español

La situación de crisis en sí (ataque de ransomware, compromiso de un proveedor, filtración de datos) es universal. Lo que distingue a un buen ejercicio es la capa de decisión: cuándo activar la notificación, a quién y con qué contenido. Reglyze lleva al equipo justamente por la secuencia de la gestión de incidentes del Esquema Nacional de Seguridad.

  • Detección y clasificación: el equipo practica en qué momento el evento se convierte en un incidente y cómo clasificar su peligrosidad e impacto según las guías CCN-STIC.
  • Notificación al CSIRT de referencia: practica qué trasladar a INCIBE-CERT (sector privado) o CCN-CERT (sector público) y con qué urgencia, según la clasificación.
  • Resolución y cierre: practica el cierre de la respuesta y el análisis posterior, enlazando las conclusiones con el plan de mejora.

El ejercicio no genera ninguna notificación real. Es una simulación por completo interna. Ante un incidente real, la notificación al CSIRT de referencia (INCIBE-CERT para el sector privado, CCN-CERT para el sector público) la presenta siempre la persona operadora. Reglyze nunca notifica por usted.

El informe posterior como evidencia de preparación

Al terminar el ejercicio, Reglyze redacta automáticamente el informe posterior (after-action report). No tiene que escribirlo a mano ni transcribir notas tras la reunión.

  • El desarrollo del ejercicio y los eventos (inyectos de información) introducidos por el facilitador;
  • Las decisiones del equipo en cada punto del escenario;
  • Las carencias detectadas (roles poco claros, contactos que faltan, decisiones que tardan);
  • Las recomendaciones para el plan de mejora, que cierran el ciclo de la gestión de incidentes.

Ese informe es un registro concreto y auditable de que la preparación ante incidentes se ha probado, coherente con la obligación del Anexo II del ENS. La capa metodológica es coherente con las guías CCN-STIC publicadas por el CCN.

Preguntas frecuentes

¿Qué es un ejercicio tabletop?
Un ejercicio tabletop (simulacro de incidente sobre la mesa) es una prueba estructurada y sin coste operativo de la respuesta a un incidente. El equipo discute cómo reaccionaría ante un escenario realista de ciberataque, recorriendo paso a paso la detección, las decisiones, la comunicación y la notificación. No se toca ningún sistema de producción: solo se practican las decisiones y los procedimientos.
¿Se esperan los ejercicios tabletop en el marco del ENS?
El Anexo II del ENS exige medidas de gestión de incidentes y de continuidad del servicio dentro del marco operacional. Una preparación ante incidentes probada en la práctica es un elemento natural de esa obligación. El ejercicio tabletop es la forma más económica de generar la evidencia de que el plan de respuesta funciona de verdad antes de que ocurra un incidente real.
¿Cómo conduce Reglyze el simulacro de incidente?
Reglyze genera un escenario adaptado al perfil de su organización y conduce el ejercicio con un facilitador de IA. El moderador introduce eventos, plantea preguntas de decisión y mantiene el ritmo, y todas las decisiones del equipo quedan registradas. El escenario está situado por completo en el marco español (Esquema Nacional de Seguridad, RD 311/2022) y recorre la secuencia de notificación al CSIRT de referencia.
¿Qué contiene el informe posterior al ejercicio?
El informe posterior (after-action report) resume el desarrollo del ejercicio, las decisiones tomadas por el equipo, las carencias detectadas y las recomendaciones para el plan de mejora. Se genera automáticamente al terminar y constituye una evidencia auditable de que la preparación ante incidentes se ha probado en el marco del Anexo II del ENS.
¿Durante el ejercicio Reglyze notifica algo a INCIBE-CERT o CCN-CERT?
No. El ejercicio tabletop es una simulación completamente interna: no se genera ninguna notificación real. Solo se practican las decisiones y el ritmo. Ante un incidente real, la notificación al CSIRT de referencia (INCIBE-CERT para el sector privado, CCN-CERT para el sector público) la presenta siempre la persona operadora, y Reglyze solo prepara el contenido del paquete.

Compruebe su preparación ante incidentes

Empiece por el diagnóstico gratuito de 2 minutos para conocer su situación frente al ENS (entidad pública, proveedor o fuera del ámbito). El módulo de simulacros y el informe posterior automático están en el plan de pago.

El ejercicio tabletop es una simulación interna. Reglyze no sustituye al asesoramiento jurídico y nunca presenta una notificación al CSIRT en su nombre.

Las notificaciones reales de incidentes las presenta usted ante el CSIRT de referencia, como INCIBE-CERT para el sector privado y CCN-CERT para el sector público.