Consultoría de cibercrisis más allá de los entregables: Construir una capacidad duradera en el sector público
En el ISCRAM 2026 celebrado en La Haya, Max Tijmann y Rosa Edema, consultores de Bureau Veritas Cybersecurity, presentaron y ganaron el premio a la mejor ponencia sobre Perspectivas y Perspectivas de los Profesionales, en la que reflexionaban sobre un reto que sigue surgiendo en el sector público: la gestión de crisis cibernéticas suele contar con el apoyo de expertos externos, pero rara vez está diseñada para dejar a las organizaciones más fuertes e independientes a largo plazo.
El documento, Cyber Crisis Consulting Beyond Deliverables, se basa en la experiencia práctica de un compromiso real con una organización pública holandesa que opera en un sector crítico. En lugar de centrarse en una única assessment o ejercicio, el compromiso evolucionó hacia una reflexión más amplia sobre cómo la consultoría de cibercrisis puede y debe contribuir a una capacidad organizativa duradera.
Cuando apoyo no equivale a resiliencia
Organismos públicos dependen cada vez más de consultores externos para obtener experiencia en la gestión de crisis cibernéticas. Esto es comprensible: las ciberamenazas evolucionan con rapidez, los presupuestos internos son limitados y la competencia por profesionales cualificados es intensa. Sin embargo, el documento sostiene que muchos compromisos de consultoría refuerzan involuntariamente la dependencia.
Los enfoques tradicionales suelen hacer hincapié en los resultados tangibles, como informes, manuales o ejercicios de simulación. Aunque estos entregables tienen valor, no crean automáticamente la comprensión, la propiedad o la capacidad de actuar de forma independiente cuando se desencadena una crisis cibernética real.
La consecuencia es familiar: una vez que los consultores se marchan, los conocimientos se disipan, las responsabilidades siguen sin estar claras y las organizaciones recurren a respuestas ad hoc cuando aumenta la presión.
Un cambio de los entregables a la propiedad
El caso descrito en el documento muestra un enfoque diferente. Durante el compromiso, quedó claro que la respuesta a las crisis cibernéticas no podía tratarse como un ámbito puramente técnico o aislado. Por el contrario, requería una alineación entre la experiencia cibernética, las operaciones de TI, la gestión de incidentes y las estructuras de gestión de crisis existentes.
Junto con las partes interesadas internas, se clarificaron las estructuras de governance, se identificaron los embajadores internos y se definieron las responsabilidades compartidas. En lugar de "impartir" ejercicios, el enfoque se desplazó hacia la transferencia de conocimientos, la creación de rutinas y la integración de la gestión de crisis cibernéticas en los procesos organizativos existentes.
Este enfoque permitió que la Empresa se apropiara gradualmente de sus capacidades de gestión de crisis cibernéticas, y que los consultores externos volvieran a desempeñar un papel de asesoramiento y validación.
Tres ideas clave para la consultoría de cibercrisis
Basándose en esta experiencia, Max Tijmann y Rosa Edema identifican tres ideas clave que son relevantes para muchas organizaciones del sector público:
- La consultoría de cibercrisis debe ir más allá de las actividades puntuales. La resiliencia a largo plazo requiere una creación deliberada de capacidades, no evaluaciones o ejercicios aislados.
- La Gestión de crisis cibernéticas eficaz es intrínsecamente multidisciplinar. Cyber response must be integrated with IT, incident response and traditional crisis governance.
- Los asesores tienen la responsabilidad profesional de prevenir la dependencia. La resiliencia sostenible significa ayudar a las organizaciones a ser capaces de funcionar de forma independiente a lo largo del tiempo.
Consultoría sobre crisis cibernéticas Más allá de los entregables | Documento para profesionales
Construir una capacidad duradera en el sector público
DownloadAcerca de ISCRAM
ISCRAM (Sistemas de Información para la Gestión y Respuesta ante Crisis) es una conferencia internacional que reúne a investigadores, profesionales y responsables políticos que trabajan en los ámbitos físico, digital e híbrido de las crisis. Su fuerte orientación "práctica" la convierte en una valiosa plataforma para compartir lecciones que tienden puentes entre la teoría y la realidad operativa cotidiana.
La presentación de esta ponencia en el ISCRAM 2026 ofreció la oportunidad de contribuir con ideas basadas en la práctica a una conversación internacional más amplia sobre la gestión de crisis y la resiliencia.
¿Por qué elegir la ciberseguridad de Bureau Veritas?
Bureau Veritas Cybersecurity es su socio experto en ciberseguridad. Ayudamos a las organizaciones a identificar riesgos, reforzar sus defensas y cumplir con las normas y regulaciones de ciberseguridad. Nuestros servicios abarcan personas, procesos y tecnología, desde la formación en materia de concienciación y la ingeniería social hasta el asesoramiento en seguridad, el cumplimiento normativo y las pruebas de penetración.
Operamos en entornos de TI, TO e IoT, y damos soporte tanto a sistemas digitales como a productos conectados. Con más de 300 profesionales de la ciberseguridad en todo el mundo, combinamos una profunda experiencia técnica con una presencia global. Bureau Veritas Cybersecurity forma parte del Bureau Veritas Group, líder mundial en pruebas, inspección y certificación.