En un contexto marcado por la aceleración digital y la creciente complejidad de los entornos tecnológicos, hablar únicamente de ciberseguridad sigue siendo imprescindible, pero no suficiente. Las amenazas ya no son eventos puntuales y aislados, sino fenómenos continuos, cada vez más sofisticados y en constante evolución. Y es por ello que entra en juego un concepto más amplio, el de ciberresiliencia. Pues la clave para proteger cualquier negocio en la actualidad no reside únicamente en evitar ataques, sino en garantizar que, cuando ocurra cualquier tipo de evento disruptivo, que ocurrirá, se pueda responder con eficacia y restaurar la operativa con rapidez. Esta evolución de la ciberseguridad no es solo tecnológica, es estratégica, cultural y transversal.
Este nuevo enfoque está siendo impulsado activamente desde los marcos normativos y estratégicos tanto a nivel nacional como europeo. De hecho, Europa está apostando fuerte por una aproximación común y obligatoria a la ciberresiliencia. Iniciativas como el Cyber Resilience Act y el Digital Operational Resilience Act (DORA) buscan reducir la fragmentación normativa y garantizar que todos los actores, incluidos los proveedores, asuman su responsabilidad en la cadena de suministro. Estas normativas, junto con NIS2, están reforzando la necesidad de contar con capacidades de recuperación operativa, planes de crisis, y pruebas periódicas que validen su eficacia real, más allá del papel, y asegurar la continuidad de las operaciones.
A diferencia del enfoque tradicional, centrado casi exclusivamente en la prevención, la ciberresiliencia plantea una visión integral que incluye detección, respuesta y recuperación. Además, supone contemplar la seguridad como una parte integral de cualquier proceso, y no como una capa posterior o adicional. Así, siguiendo las recomendaciones del NIST y de ENISA, cada elemento debería incorporar desde el inicio capacidades de resiliencia, y considerarse como un criterio de diseño, igual que lo son la escalabilidad o el rendimiento. También implica disponer de planes de continuidad operativa y crisis, y realizar simulacros que pongan a prueba esos planes y permitan conocer la capacidad y medios adecuados para restaurar los servicios.
En este sentido, el auge de la inteligencia artificial generativa, y el uso de la misma para conseguir aumentar el nivel de seguridad, ofrece oportunidades prometedoras como la automatización de tareas, mejora de la detección, o mejora de la eficacia a varios niveles, incluyendo la priorización de riesgos. El 63% de las organizaciones estima que la IA reforzará su ciberseguridad en el medio y largo plazo, y el 58% considera que liberará tiempo para que los equipos se centren funciones de mayor valor o amenazas complejas[1], contribuyendo así a una resiliencia más efectiva.
Pero más allá de estas capacidades emergentes, y si bien los fundamentos técnicos siguen siendo esenciales para contribuir a la resiliencia, la tecnología, por sí sola, no basta. Se exige adoptar una postura activa, dinámica y basada en la anticipación además de la preparación para responder frente a todo tipo de eventos disruptivos, y por tanto fomentar una mentalidad de seguridad a todos los niveles, desde la alta dirección hasta los empleados de primera línea. Por ello, la formación continua, la concienciación y la preparación para responder a incidentes son componentes clave para construir una organización resiliente, y no considerar únicamente a las áreas de TI.
Este enfoque cultural y organizativo se alinea con lo recogido en las guías de referencia de ENISA, NIST, o el Banco Central Europeo, que subrayan que la madurez en ciberresiliencia no puede lograrse sin una aproximación sistémica que contemple la cultura organizativa, el diseño seguro, la soberanía tecnológica, o la colaboración interorganizativa frente a amenazas comunes. En este modelo, compartir aprendizajes y prácticas se convierte en una ventaja competitiva más que en una debilidad, y es algo a trabajar en el corto plazo.
Importante también mencionar que la resiliencia no debe limitarse al perímetro de la organización, dado que la dependencia de proveedores, servicios o plataformas externas, convierte a la cadena de suministro en un factor crítico. Evaluar la resiliencia de terceros, integrar criterios de ciberseguridad en los contratos, y establecer mecanismos de respuesta coordinada ante incidentes son medidas imprescindibles para mitigar riesgos sistémicos. Normativas como NIS2 hacen especial hincapié en este punto, exigiendo controlar en mayor medida los elementos más críticos dentro de la cadena de valor, con el fin de establecer salvaguardas.
Es por ello que la resiliencia debe ser parte de las decisiones estratégicas del negocio, considerando que invertir en esta capacidad permitirá protegerse frente a amenazas y a la vez mejorar la competitividad. Igualmente, la confianza de los clientes, la estabilidad operativa y la capacidad de adaptarse frente a ciertos escenarios inesperados son hoy elementos diferenciales. En sectores altamente digitalizados, demostrar preparación frente a cibercrisis permitirá a las organizaciones posicionarse mejor ante inversores, reguladores y socios estratégicos, además de sus clientes.
Pero esta preparación no puede quedarse en un documento. La resiliencia se construye sobre capacidades reales, entrenadas y verificadas. Los planes deben probarse, actualizarse y adaptarse, y deben realizarse simulaciones reales que permitan afinar los tiempos de respuesta, mejorar la coordinación y detectar fallos antes de que se conviertan en un problema que suponga una paralización seria.
Como conclusión, la ciberresiliencia no consiste en evitar riesgos, sino en asegurar que, frente a su materialización, la organización mantenga el control, recupere su actividad con rapidez y salga reforzada con el mínimo impacto posible. Pero ello, en un mundo donde la única constante es el cambio, ser resiliente no es solo una opción, es una necesidad estratégica y el nuevo estándar de competitividad digital.
[1] Informe del Instituto de Investigación de Capgemini «Nuevas Amenazas, Nuevas Defensas» (2024).
Capgemini
Director de Ciberseguridad
