Artículo
07 mayo 2025

El futuro digital exige resiliencia, no solo protección

La ciberresiliencia no consiste en evitar riesgos, sino en asegurar que, frente a su materialización, la organización mantenga el control, recupere su actividad con rapidez y salga reforzada con el mínimo impacto posible.

En un contexto marcado por la aceleración digital y la creciente complejidad de los entornos tecnológicos, hablar únicamente de ciberseguridad sigue siendo imprescindible, pero no suficiente. Las amenazas ya no son eventos puntuales y aislados, sino fenómenos continuos, cada vez más sofisticados y en constante evolución. Y es por ello que entra en juego un concepto más amplio, el de ciberresiliencia. Pues la clave para proteger cualquier negocio en la actualidad no reside únicamente en evitar ataques, sino en garantizar que, cuando ocurra cualquier tipo de evento disruptivo, que ocurrirá, se pueda responder con eficacia y restaurar la operativa con rapidez. Esta evolución de la ciberseguridad no es solo tecnológica, es estratégica, cultural y transversal.

Este nuevo enfoque está siendo impulsado activamente desde los marcos normativos y estratégicos tanto a nivel nacional como europeo. De hecho, Europa está apostando fuerte por una aproximación común y obligatoria a la ciberresiliencia. Iniciativas como el Cyber Resilience Act y el Digital Operational Resilience Act (DORA) buscan reducir la fragmentación normativa y garantizar que todos los actores, incluidos los proveedores, asuman su responsabilidad en la cadena de suministro. Estas normativas, junto con NIS2, están reforzando la necesidad de contar con capacidades de recuperación operativa, planes de crisis, y pruebas periódicas que validen su eficacia real, más allá del papel, y asegurar la continuidad de las operaciones.

A diferencia del enfoque tradicional, centrado casi exclusivamente en la prevención, la ciberresiliencia plantea una visión integral que incluye detección, respuesta y recuperación. Además, supone contemplar la seguridad como una parte integral de cualquier proceso, y no como una capa posterior o adicional. Así, siguiendo las recomendaciones del NIST y de ENISA, cada elemento debería incorporar desde el inicio capacidades de resiliencia, y considerarse como un criterio de diseño, igual que lo son la escalabilidad o el rendimiento. También implica disponer de planes de continuidad operativa y crisis, y realizar simulacros que pongan a prueba esos planes y permitan conocer la capacidad y medios adecuados para restaurar los servicios.

En este sentido, el auge de la inteligencia artificial generativa, y el uso de la misma para conseguir aumentar el nivel de seguridad, ofrece oportunidades prometedoras como la automatización de tareas, mejora de la detección, o mejora de la eficacia a varios niveles, incluyendo la priorización de riesgos. El 63% de las organizaciones estima que la IA reforzará su ciberseguridad en el medio y largo plazo, y el 58% considera que liberará tiempo para que los equipos se centren funciones de mayor valor o amenazas complejas[1], contribuyendo así a una resiliencia más efectiva.

Pero más allá de estas capacidades emergentes, y si bien los fundamentos técnicos siguen siendo esenciales para contribuir a la resiliencia, la tecnología, por sí sola, no basta. Se exige adoptar una postura activa, dinámica y basada en la anticipación además de la preparación para responder frente a todo tipo de eventos disruptivos, y por tanto fomentar una mentalidad de seguridad a todos los niveles, desde la alta dirección hasta los empleados de primera línea. Por ello, la formación continua, la concienciación y la preparación para responder a incidentes son componentes clave para construir una organización resiliente, y no considerar únicamente a las áreas de TI. ​

Este enfoque cultural y organizativo se alinea con lo recogido en las guías de referencia de ENISA, NIST, o el Banco Central Europeo, que  subrayan que la madurez en ciberresiliencia no puede lograrse sin una aproximación sistémica que contemple la cultura organizativa, el diseño seguro, la soberanía tecnológica, o la colaboración interorganizativa frente a amenazas comunes. En este modelo, compartir aprendizajes y prácticas se convierte en una ventaja competitiva más que en una debilidad, y es algo a trabajar en el corto plazo.

Importante también mencionar que la resiliencia no debe limitarse al perímetro de la organización, dado que la dependencia de proveedores, servicios o plataformas externas, convierte a la cadena de suministro en un factor crítico. Evaluar la resiliencia de terceros, integrar criterios de ciberseguridad en los contratos, y establecer mecanismos de respuesta coordinada ante incidentes son medidas imprescindibles para mitigar riesgos sistémicos. Normativas como NIS2 hacen especial hincapié en este punto, exigiendo controlar en mayor medida los elementos más críticos dentro de la cadena de valor, con el fin de establecer salvaguardas.

Es por ello que la resiliencia debe ser parte de las decisiones estratégicas del negocio, considerando que invertir en esta capacidad permitirá protegerse frente a amenazas y a la vez mejorar la competitividad. Igualmente, la confianza de los clientes, la estabilidad operativa y la capacidad de adaptarse frente a ciertos escenarios inesperados son hoy elementos diferenciales. En sectores altamente digitalizados, demostrar preparación frente a cibercrisis permitirá a las organizaciones posicionarse mejor ante inversores, reguladores y socios estratégicos, además de sus clientes.

Pero esta preparación no puede quedarse en un documento. La resiliencia se construye sobre capacidades reales, entrenadas y verificadas. Los planes deben probarse, actualizarse y adaptarse, y deben realizarse simulaciones reales que permitan afinar los tiempos de respuesta, mejorar la coordinación y detectar fallos antes de que se conviertan en un problema que suponga una paralización seria.

Como conclusión, la ciberresiliencia no consiste en evitar riesgos, sino en asegurar que, frente a su materialización, la organización mantenga el control, recupere su actividad con rapidez y salga reforzada con el mínimo impacto posible. Pero ello, en un mundo donde la única constante es el cambio, ser resiliente no es solo una opción, es una necesidad estratégica y el nuevo estándar de competitividad digital.

[1] Informe del Instituto de Investigación de Capgemini «Nuevas Amenazas, Nuevas Defensas» (2024).

¿Te ha parecido útil este contenido?

 
Más información en: https://www.capgemini.com/es-es/
Guillermo Hernández
Capgemini
Director de Ciberseguridad
Business Intelligence (BI) Data Analytics Data Driven Businesses Data Governance Data Resilience Ransomware

Te puede interesar

Infraestructura resiliente y conectividad inteligente en el entorno universitario
07 Nov 2025
El correo electrónico: un activo estratégico en la gobernanza digital
05 Nov 2025
¿Por qué el gobierno del dato es clave para las organizaciones?
04 Nov 2025
Buenas prácticas de gobierno del dato y cumplimiento regulatorio: hacia una gestión responsable de la información
28 Oct 2025
El Digital Workplace como catalizador del cumplimiento del Esquema Nacional de Seguridad (ENS)
28 Oct 2025
Gobernar el dato como palanca para liderar la innovación
30 Sep 2025
Data analytics & Business intelligence
16 Feb 2025
CAPGEMINI: Las organizaciones aseguran que se ha cuadruplicado el despliegue de IA generativa desde 2023
24 Jul 2024
CAPGEMINI es reconocida como “Líder” en servicios de IA por una firma de investigación independiente
24 May 2024
“La IA va a sacudir el tablero de juego habilitando vectores de ataque hasta ahora no utilizados”
17 Jul 2023
Asociación @aslan
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.