¿Qué es un «ejercicio de mesa» (tabletop exercise) y cómo organizar uno?

El arte de anticipar el caos: ¿Qué es realmente un ejercicio de mesa?

Imagina que el lunes por la mañana, justo cuando el café empieza a hacer efecto, los sistemas de tu empresa se bloquean. Un mensaje de ransomware aparece en cada pantalla. O peor aún, recibes una alerta de seguridad física sobre un incidente en una de tus plantas industriales. En ese instante, la teoría de los manuales de 500 páginas se siente lejana e inútil. Aquí es donde entra el ejercicio de mesa o Tabletop Exercise (TTX).

Un ejercicio de mesa no es una charla técnica ni una presentación de PowerPoint aburrida. Es una simulación basada en la discusión donde los líderes y equipos clave se sientan a ‘jugar’ un escenario de crisis del mundo real en un entorno controlado y sin riesgos. Es, en esencia, un laboratorio de toma de decisiones. El objetivo no es demostrar que somos perfectos, sino encontrar dónde nos vamos a romper antes de que la realidad nos rompa a nosotros.

La genealogía de la simulación: de la guerra a la oficina

Aunque hoy lo asociamos a la ciberseguridad o la seguridad corporativa, el concepto tiene raíces profundas en los juegos de guerra (wargaming) del siglo XIX. Los oficiales prusianos utilizaban el ‘Kriegsspiel’ para ensayar tácticas sin sacrificar un solo soldado. Trasladado al mundo empresarial, el TTX permite a una organización ensayar su resiliencia. No estamos moviendo tropas, estamos moviendo flujos de información, decisiones legales, comunicados de prensa y protocolos de recuperación.

Por qué tu empresa necesita un TTX (y no es solo por cumplimiento)

Muchas organizaciones realizan estos ejercicios para marcar una casilla en una auditoría ISO o cumplir con regulaciones locales. Sin embargo, el valor estratégico va mucho más allá. Un ejercicio de mesa bien ejecutado revela las costuras invisibles de tu organización. ¿Sabía el director legal que el CISO tiene autoridad para apagar los servidores? ¿Sabe comunicación qué decir si el ataque ocurre un domingo a las 3:00 AM? Estas son las preguntas que salvan empresas.

• Validación de planes: ¿Tus playbooks de respuesta a incidentes son realistas o son solo literatura técnica?
• Clarificación de roles: Evita el efecto espectador donde todos asumen que alguien más está llamando a la policía o al seguro.
• Cohesión del equipo: En una crisis, la confianza es la moneda más valiosa. El TTX construye esa confianza antes del fuego real.
• Identificación de brechas: Descubres que falta un contacto clave o que un proceso depende de una sola persona que podría no estar disponible.

Guía paso a paso para organizar un ejercicio de mesa de alto impacto

Organizar un TTX requiere método. No puedes simplemente improvisar un desastre. Aquí te detallo el proceso que sigo como consultor para garantizar que el ejercicio sea transformador.

1. Definición del alcance y objetivos (El ‘Por qué’)

Antes de escribir una sola línea del escenario, define qué quieres probar. ¿Es la comunicación interna? ¿Es la capacidad de recuperación de datos? ¿Es la respuesta ante un tirador activo? Usa el criterio SMART. No intentes probarlo todo en una mañana; es mejor ser quirúrgico. Un objetivo claro podría ser: «Evaluar la capacidad del comité de crisis para decidir sobre el pago de un rescate en menos de dos horas».

2. Selección de los participantes (El ‘Quién’)

Un error común es invitar solo a IT. Una crisis corporativa es multidimensional. Necesitas a los sospechosos habituales y a los que suelen quedar fuera:

• Liderazgo Ejecutivo: Para decisiones de alto nivel y financieras.
• Legal y Cumplimiento: Para implicaciones regulatorias (como GDPR o leyes locales).
• Recursos Humanos: Si el incidente afecta a empleados o implica amenazas internas.
• Comunicación/PR: Para gestionar la reputación y la narrativa externa.
• Operaciones y Seguridad Física: Si el escenario tiene componentes tangibles.

3. Desarrollo del escenario: La ‘Inyección’ de realismo

Aquí es donde el diseño gráfico y la narrativa se encuentran. El escenario debe ser creíble. Si trabajas en una firma financiera, un ataque de phishing masivo es más relevante que un terremoto (a menos que estés en una zona sísmica). Divide el ejercicio en etapas o ‘módulos’.

4. La figura del facilitador: El director de orquesta

El facilitador es la pieza clave. Su trabajo no es dar respuestas, sino lanzar preguntas incómodas. Debe mantener el ritmo, evitar que una sola persona domine la conversación y asegurarse de que se exploren los puntos ciegos. Un buen facilitador usa ‘inyecciones’ (nuevos datos que cambian la situación) para mantener la presión alta pero constructiva.

Análisis técnico y crítico: El informe posterior a la acción (AAR)

El ejercicio no termina cuando todos se levantan de la mesa. El valor real reside en el After-Action Report. Este documento debe ser honesto, a veces brutalmente honesto. No se trata de señalar culpables, sino de identificar fallos sistémicos.

Cómo estructurar un AAR efectivo

Un informe de calidad debe incluir una cronología de las decisiones tomadas, una lista de las brechas detectadas y, lo más importante, un plan de acción con responsables y fechas límite. Si el ejercicio reveló que el plan de comunicación está desactualizado, el AAR debe asignar la actualización al Director de Comunicación con un plazo de 30 días. Sin este seguimiento, el TTX fue solo un ejercicio de relaciones públicas internas.

Preguntas Frecuentes (FAQs)

Preguntas Frecuentes (FAQs)