¿Qué objetivo tiene la ciberresiliencia?
La ciberresiliencia tiene como objetivo fundamental garantizar que una organización pueda mantener sus operaciones y recuperarse efectivamente ante cualquier tipo de incidente de ciberseguridad. Pensemos en ella como un sistema inmunológico digital: no solo protege contra las amenazas, sino que permite que la organización se mantenga funcionando incluso cuando sufre un ataque.
A diferencia de la ciberseguridad tradicional, que se centra principalmente en prevenir ataques mediante herramientas como firewalls y antivirus, la ciberresiliencia adopta un enfoque más holístico. Incluye la capacidad de mantener las operaciones críticas durante un incidente, minimizar los daños potenciales y, crucialmente, recuperarse y adaptarse después de un ataque. Esta adaptabilidad es especialmente importante en el actual panorama digital, donde las amenazas evolucionan constantemente.
La ciberresiliencia también juega un papel fundamental en la construcción de confianza con clientes y socios comerciales. Cuando una organización demuestra que puede mantener sus servicios y proteger los datos incluso en situaciones adversas, fortalece su reputación y posición en el mercado. Esto es particularmente valioso en sectores donde la confianza del cliente es primordial, como la banca o la salud.
¿España es de los países que más la utiliza o por el contrario sus pymes y empresas aún la mantienen al margen?
En España, la adopción de la ciberresiliencia presenta un escenario diverso. Las grandes empresas españolas, especialmente en sectores regulados como el financiero o las telecomunicaciones, han realizado avances significativos en la implementación de estrategias de ciberresiliencia. Estas organizaciones han comprendido que, en un mundo cada vez más digitalizado, la capacidad de resistir y recuperarse de los ciberataques es tan importante como prevenirlos.
Sin embargo, la situación es diferente en el ámbito de las pymes, que constituyen la mayoría del tejido empresarial español. Muchas pequeñas y medianas empresas todavía mantienen la ciberresiliencia al margen de sus prioridades. Esta situación se debe principalmente a limitaciones presupuestarias, pero también a una percepción errónea de que son objetivos menos atractivos para los ciberdelincuentes. La realidad es que los atacantes frecuentemente ven a las pymes como objetivos más fáciles precisamente por estas carencias en su protección.
En los últimos años, especialmente tras la aceleración digital provocada por la pandemia, se ha observado un cambio gradual en esta tendencia. Más pymes están comenzando a buscar soluciones de ciberresiliencia que se ajusten a sus recursos y necesidades específicas. Este cambio está siendo impulsado tanto por una mayor conciencia de los riesgos como por la aparición de soluciones más accesibles y adaptadas a empresas de menor tamaño.
¿Se animan con ella y una vez que la prueban siguen o por el contrario no les convence?
La experiencia demuestra que las empresas que dan el paso de implementar estrategias de ciberresiliencia tienden a mantenerlas y reforzarlas con el tiempo. El proceso de adopción suele comenzar con cierta cautela, principalmente debido a las preocupaciones sobre la inversión inicial y los cambios organizativos necesarios. Sin embargo, una vez que las organizaciones experimentan los beneficios prácticos de la ciberresiliencia, raramente dan marcha atrás.
La razón principal de esta continuidad es que las empresas descubren que la ciberresiliencia va más allá de la simple protección técnica. Comienzan a ver mejoras tangibles en su capacidad para mantener las operaciones ante adversidades, en la confianza de sus clientes y en su posición competitiva. Además, desarrollan una cultura organizativa más consciente de la seguridad, donde todos los empleados comprenden su papel en la protección de los activos digitales de la empresa.
Un aspecto particularmente convincente es cómo la ciberresiliencia ayuda a las empresas a cumplir con las regulaciones y estándares del sector de manera más efectiva. Esto no solo reduce el riesgo de sanciones, sino que también abre nuevas oportunidades de negocio, especialmente cuando se trata de trabajar con grandes organizaciones o entidades gubernamentales que exigen altos estándares de seguridad a sus proveedores.
¿Qué sectores la utilizan más?
En España, los sectores que más han adoptado la ciberresiliencia son aquellos que manejan información especialmente sensible o que forman parte de las infraestructuras críticas del país. El sector financiero lidera esta adopción, con bancos y entidades financieras implementando medidas exhaustivas de ciberresiliencia. Esto no es sorprendente, dado que manejan información extremadamente sensible y están sujetos a regulaciones estrictas. Sus sistemas no solo deben proteger el dinero de los clientes, sino también garantizar la continuidad de servicios esenciales como pagos y transferencias.
El sector sanitario también destaca en la adopción de la ciberresiliencia, impulsado por la digitalización de los registros médicos y el aumento de la telemedicina. Los hospitales y centros de salud necesitan garantizar tanto la privacidad de los datos de los pacientes como la disponibilidad constante de los sistemas críticos para el cuidado de la salud.
Las empresas de telecomunicaciones representan otro sector fundamental en la adopción de la ciberresiliencia, dado su papel crucial en mantener la conectividad nacional. Un fallo en sus sistemas podría afectar a millones de usuarios y tener un impacto significativo en la economía digital.
El sector energético, que incluye empresas de electricidad, gas y petróleo, también ha hecho de la ciberresiliencia una prioridad. Como parte de la infraestructura crítica nacional, estas empresas deben garantizar la continuidad del suministro energético y proteger sus sistemas de control industrial de posibles ataques.
¿Cuáles son las nuevas legislaciones que afectan a temas digitales?
El panorama legislativo en materia digital está experimentando una transformación significativa en la UE y España. El Reglamento General de Protección de Datos (RGPD) continúa siendo la piedra angular de la protección de datos personales, estableciendo estándares estrictos para el manejo de información personal y consecuencias significativas para las infracciones. Esta normativa ha transformado fundamentalmente la forma en que las organizaciones gestionan los datos de sus usuarios.
La Directiva NIS2 representa un paso adelante en la regulación de la ciberseguridad, ampliando significativamente el alcance de las obligaciones de seguridad a más sectores y empresas. Esta directiva está especialmente enfocada en fortalecer la resiliencia de servicios esenciales y digitales, requiriendo medidas específicas de seguridad y procedimientos de notificación de incidentes.
El Reglamento sobre la Resiliencia Operativa Digital (DORA) está transformando específicamente el sector financiero. Esta nueva normativa establece requisitos detallados para la gestión de riesgos tecnológicos y la capacidad de recuperación ante incidentes en entidades financieras, desde bancos hasta proveedores de servicios de pago.
Los Reglamentos de Servicios Digitales (DSA) y Mercados Digitales (DMA) están introduciendo cambios fundamentales en la regulación de las plataformas en línea y los mercados digitales. Estas normativas buscan crear un entorno digital más seguro y justo, estableciendo obligaciones específicas para las grandes plataformas y garantizando una mejor protección para los usuarios.
Reglamento de Ciberresiliencia: esta norma asegura que los productos con componentes digitales, como software y dispositivos IoT, cumplan con requisitos de seguridad a lo largo de su ciclo de vida. Los fabricantes deben mitigar vulnerabilidades de seguridad, proteger los datos de los usuarios y notificar incidentes de seguridad.
Por último, el Reglamento sobre IA. Este nuevo marco legal pone especial atención en aquellas aplicaciones de IA que pueden afectar aspectos cruciales de nuestra vida cotidiana (clasificados como de alto riesgo). Por ejemplo, cuando un sistema de IA participa en decisiones sobre nuestra salud, trabajo o la educación de nuestros hijos, la norma exige controles y garantías especiales. Lo interesante de esta regulación es que no solo se preocupa por lo que la IA puede hacer, sino también por cómo lo hace. Exige que estos sistemas sean como libros abiertos: debemos poder entender cómo toman sus decisiones. Además, insiste en que debe haber supervisión humana en las decisiones importantes que toma la IA. También se asegura de que estos sistemas no discriminen a nadie por su género, edad, origen o cualquier otra característica. En esencia, la UE está intentando crear un ecosistema donde la IA sea como un colaborador confiable: innovador y útil, pero siempre respetando nuestros derechos y valores europeos fundamentales.
¿Cómo afecta la ciberseguridad en este tema?
La ciberseguridad juega un papel fundamental en la ciberresiliencia, actuando como su base y componente esencial. Sin una sólida estrategia de ciberseguridad, sería imposible construir una verdadera capacidad de resiliencia digital.
La implementación efectiva de medidas de ciberseguridad proporciona los cimientos necesarios para desarrollar la ciberresiliencia. Esto incluye no solo la protección contra amenazas conocidas, sino también la capacidad de detectar y responder a nuevos tipos de ataques. Las organizaciones que han invertido en ciberseguridad tienen una base más sólida para desarrollar sus capacidades de resiliencia, ya que comprenden mejor sus vulnerabilidades y tienen experiencia en la gestión de riesgos digitales.
Además, la ciberseguridad contribuye significativamente a la capacidad de una organización para mantener la confianza. Cuando una empresa puede demostrar que tiene controles de seguridad robustos y una capacidad probada para proteger sus activos digitales, esto fortalece su posición en el mercado y su relación con clientes y socios comerciales. La combinación de ciberseguridad sólida y ciberresiliencia efectiva crea una organización más fuerte y mejor preparada para los desafíos del mundo digital actual.
Entrevistado: Marc Gallardo
Socio de Derecho Digital de la consultora RSM
