Ciberresiliencia: protegerse ya no es suficiente.
- 19/06/2026
- 14:03
Tiempo de lectura : 2 min
Responsable de marketing de contenidos
La contrapartida de la transición digital es una mayor dependencia de los sistemas de información, sin los cuales ninguna empresa puede funcionar hoy en día. Ante la multiplicación de las amenazas y los riesgos que afectan a los sistemas y los datos, la ciberresiliencia se ha convertido en un objetivo prioritario para cualquier organización que desee proteger su integridad, su capacidad operativa y su reputación.
La resiliencia es la capacidad de una organización para superar un evento o condiciones adversas minimizando sus consecuencias sobre las actividades y procesos esenciales. A medida que las empresas de todos los sectores continúan avanzando en su transformación digital, deben garantizar no solo la seguridad de sus activos informáticos y digitales, sino también su capacidad para recuperarse rápidamente en caso de incidente, desastre o ciberataque. Este es precisamente el propósito de un enfoque de ciberresiliencia, que complementa una política de ciberseguridad indispensable.
Sommaire
Más indispensable que nunca: protegerse.
La diversificación de los sistemas, la generalización de la nube y de las aplicaciones SaaS, así como la circulación y transformación de los datos a través de innumerables procesos internos y externos, hacen que la tarea de los departamentos de TI y de los responsables de seguridad de la información sea cada vez más compleja. Su misión ya no consiste únicamente en proteger un perímetro bien definido y algunas bases de datos alojadas en servidores internos, sino en garantizar que los activos digitales e informacionales de la empresa —datos, sistemas, redes y procesos asociados— estén adecuadamente protegidos frente a riesgos cuya identificación es una de sus principales responsabilidades.
Cuando se habla de ciberseguridad, lo primero que viene a la mente son los ciberataques, especialmente los ataques de ransomware, cuyo número se ha disparado en los últimos años y que afectan a todo tipo de organizaciones: empresas, organismos gubernamentales, administraciones locales, universidades, hospitales, entre otros. Ya sea con fines políticos o puramente lucrativos, los ciberdelincuentes saben que ninguna organización puede operar sin acceso a sus datos. Cada vez más organizados y dotados de importantes recursos técnicos, aumentan sus exigencias porque un porcentaje de las víctimas acepta pagar el rescate para recuperar el acceso a su información, evitar su divulgación y reanudar sus actividades.
Sin embargo, los riesgos cibernéticos no se limitan a este tipo de extorsión. Aunque reciben menos atención, los ataques de denegación de servicio distribuido (DDoS), las campañas de phishing y otros fraudes digitales también son muy frecuentes y pueden tener consecuencias graves. A ello se suman riesgos imposibles de prever que afectan a proveedores de servicios de los que dependen muchas empresas para sus operaciones en línea. Ejemplos de ello son el incendio que destruyó el centro de datos de OVH en Estrasburgo en marzo de 2021 o la interrupción del servicio sufrida por la red de distribución de contenidos Fastly en junio de 2021, que dejó inaccesibles miles de sitios web y servicios digitales en todo el mundo, generando importantes pérdidas para las organizaciones afectadas.
¿Cuántas empresas habían imaginado un escenario de este tipo? ¿Cuántas contaban con un plan de contingencia capaz de garantizar la continuidad de sus actividades ante una situación semejante?
Identificar y, sobre todo, cuantificar los riesgos.
Dada la naturaleza global y sistémica de los riesgos cibernéticos, así como su carácter impredecible, ninguna empresa puede prescindir de una sólida política de seguridad basada en un análisis detallado de los riesgos a los que está expuesta debido a los sistemas, aplicaciones y datos que utiliza diariamente.
Esto nos lleva a reflexionar sobre el propio concepto de riesgo. Al definirlo como la frecuencia probable y la magnitud probable de una pérdida futura para la organización, los enfoques cuantitativos procedentes del sector asegurador permiten centrar los esfuerzos de protección en los activos digitales e informacionales esenciales para el funcionamiento de la empresa.
Estos activos críticos no siempre son los que se imaginan. Toda empresa pensará naturalmente en proteger sus datos financieros, sus aplicaciones contables y su base de datos de clientes. Sin embargo, si se trata de una empresa logística, es muy probable que su sistema más crítico desde el punto de vista operativo sea el servidor que genera las etiquetas de envío. Si este sistema deja de funcionar —ya sea por un ciberataque, una inundación en las instalaciones o simplemente una avería técnica— la actividad puede detenerse por completo.
¿Sabe cuánto tiempo podría soportar su empresa una interrupción de este tipo sin poner en peligro su continuidad? ¿Conoce el importe exacto en euros que podría perder si ese riesgo llegara a materializarse? Todos los responsables de seguridad de la información saben que traducir un riesgo en una pérdida financiera potencial, tanto directa como indirecta, permite a la dirección comprender mucho mejor la importancia de las inversiones necesarias para proteger eficazmente ese activo específico: soluciones contra ransomware, controles de acceso reforzados, redundancia de software y hardware, seguros especializados,
Garantizar los fundamentos básicos de la ciberseguridad.
Aunque todavía son poco frecuentes, los enfoques cuantitativos de los riesgos cibernéticos permiten priorizar las inversiones en seguridad informática. Además, evitan que las empresas destinen recursos a protegerse de amenazas que están de moda pero que, en realidad, no representan un riesgo significativo para ellas, ya sea porque no afectan a activos críticos o porque las normas básicas de seguridad informática ni siquiera se aplican internamente.
Todos los estudios coinciden en que los usuarios son el eslabón más débil de los sistemas de seguridad informática. Antes de desplegar un amplio arsenal de defensa o contratar costosos seguros contra riesgos cibernéticos, es fundamental garantizar que los empleados conozcan las buenas prácticas y respeten las normas básicas relacionadas con la seguridad de las contraseñas, la apertura de archivos adjuntos sospechosos, el intercambio de información, o la conexión a servicios en línea que no ofrecen suficientes garantías de seguridad.
Por otro lado, dado que los datos constituyen el activo más valioso para las organizaciones, deben estar protegidos mediante una política de copias de seguridad rigurosa, que abarque todas las aplicaciones (incluidas las aplicaciones de negocio) y todos los servidores, sin olvidar los puestos de trabajo, que a menudo almacenan información y datos operativos de gran importancia.
De la ciberseguridad a la ciberresiliencia.
Si la ciberseguridad tiene como objetivo identificar, prevenir y minimizar los riesgos, la ciberresiliencia efectiva de una empresa se mide, a posteriori, por su capacidad para reiniciar sus operaciones en el menor tiempo posible o, mejor aún, para seguir operando cuando el riesgo se ha materializado. ¡Esta capacidad no surge de forma espontánea! Se construye, se cultiva y requiere la implementación, para el conjunto de las actividades, de un plan de recuperación ante desastres (DRP, Disaster Recovery Plan) que incorpora dos nociones fundamentales.