Durante años, cuando hablábamos de continuidad operativa, pensábamos en incidencias técnicas, interrupciones de servicios, averías o situaciones de emergencia que podían afectar al funcionamiento normal de una organización. Hoy, sin embargo, existe un factor que ha pasado a ocupar una posición central en cualquier estrategia de continuidad: la ciberseguridad.
La digitalización ha transformado la manera en que trabajan las empresas, las administraciones públicas, los hospitales, las infraestructuras críticas y los edificios corporativos. Esta transformación nos ha aportado eficiencia, conectividad y capacidad de gestión, pero también ha incrementado considerablemente nuestra exposición a los riesgos digitales.
Cuando se produce un ciberincidente, las consecuencias van mucho más allá de la pérdida de datos. Un ataque puede paralizar servicios, interrumpir procesos críticos, afectar la relación con clientes y ciudadanos o comprometer la prestación de servicios esenciales. Por ello, hoy hablar de continuidad operativa implica necesariamente hablar de ciberseguridad.
Desde ASCICAT observamos una realidad que se repite con frecuencia: muchas organizaciones siguen asociando la ciberseguridad exclusivamente a la tecnología, cuando en realidad sus principales desafíos suelen estar relacionados con las personas, los procesos y la gobernanza.
Las personas siguen siendo la primera línea de defensa
A pesar de los avances tecnológicos, una parte muy importante de los incidentes de seguridad sigue teniendo su origen en el factor humano.
Los ataques de phishing, las suplantaciones de identidad, los fraudes por correo electrónico o la obtención fraudulenta de credenciales continúan siendo algunas de las técnicas más utilizadas por los ciberdelincuentes. Y funcionan porque aprovechan un elemento difícil de proteger: la confianza de las personas.
Podemos invertir en las mejores herramientas de seguridad, pero si una persona no sabe identificar un correo fraudulento o una solicitud sospechosa, podemos estar abriendo la puerta a los atacantes.
Por este motivo, la concienciación y la formación deben ser una prioridad estratégica. No se trata de realizar una acción puntual, sino de construir una cultura de seguridad que permita a los profesionales identificar riesgos y actuar correctamente ante situaciones cada vez más sofisticadas.
Una organización preparada es aquella en la que las personas saben reconocer una amenaza antes de que esta se convierta en un incidente.
La seguridad de los proveedores también es nuestra seguridad
Otro de los grandes desafíos actuales es la cadena de suministro.
Las organizaciones dependen cada vez más de proveedores externos, plataformas digitales, servicios gestionados y aplicaciones de terceros. Esta realidad genera nuevas oportunidades, pero también nuevos riesgos.
Todavía hoy encontramos entornos sensibles que utilizan aplicaciones o sistemas que no cumplen los niveles de seguridad exigibles. Algunos de estos entornos dan soporte a actividades especialmente críticas, como hospitales, infraestructuras esenciales o servicios que afectan directamente a la ciudadanía.
Esto obliga a las organizaciones a ir más allá de la seguridad interna y a exigir garantías también a sus proveedores.
La ciberseguridad debe formar parte de los criterios de contratación, supervisión y evaluación de cualquier servicio tecnológico. No podemos considerar seguro un entorno si una parte relevante de sus sistemas depende de terceros que no cumplen las medidas adecuadas de protección.
El cumplimiento normativo como herramienta de mejora
Con frecuencia, normativas como el Esquema Nacional de Seguridad (ENS) o la Directiva NIS2 se perciben como una obligación regulatoria más.
La realidad es que estos marcos aportan una metodología sólida para gestionar los riesgos y mejorar la resiliencia de las organizaciones. Más allá del cumplimiento legal, ayudan a definir procesos, establecer responsabilidades, identificar vulnerabilidades y crear mecanismos de respuesta ante incidentes.
Desde ASCICAT consideramos que el cumplimiento normativo debe verse como una oportunidad para profesionalizar la gestión de la seguridad y elevar los estándares de protección de nuestras organizaciones.
Un ejemplo real de resiliencia
Hace unos años vivimos un caso que ilustra perfectamente la importancia de prepararse antes de que se produzca un incidente.
Una administración local catalana sufrió un ataque de ransomware durante el período navideño. Los atacantes lograron comprometer los sistemas e intentaron eliminar también las copias de seguridad disponibles para impedir cualquier recuperación y forzar el pago del rescate.
A primera vista, la situación parecía crítica. Los datos habían sido cifrados, las copias de seguridad aparentemente eliminadas y la organización se encontraba ante la posibilidad de tener que detener parte de sus servicios.
Sin embargo, la estrategia de protección implementada incorporaba mecanismos adicionales que preservaban las copias de seguridad incluso cuando estas eran borradas por los atacantes. Esta capa de protección permitió recuperar íntegramente la información y restablecer la operativa sin tener que negociar ni pagar ningún rescate.
La principal enseñanza de este caso es que la diferencia entre una crisis y una incidencia gestionable suele estar en la preparación previa. Las organizaciones que planifican su recuperación antes de sufrir un ataque son las que tienen mayor capacidad para continuar operando cuando este llega.
Prepararse para resistir
La pregunta ya no es si una organización sufrirá un intento de ataque. La pregunta es cuándo ocurrirá y hasta qué punto estará preparada para responder.
La ciberseguridad no consiste en eliminar completamente los riesgos, porque eso es imposible. Consiste en reducirlos, gestionarlos y garantizar que, cuando se produzca un incidente, la organización sea capaz de continuar operando y recuperarse con la máxima rapidez posible.
Esa es, en definitiva, la verdadera esencia de la continuidad operativa.
En un mundo cada vez más conectado, la ciberseguridad ya no es solo una cuestión tecnológica. Es una responsabilidad compartida que afecta a personas, procesos, proveedores y organizaciones. Y es también una de las garantías más importantes para asegurar que los servicios de los que dependemos cada día sigan funcionando cuando más los necesitemos.
Josep Guasch, Presidente de ASCICAT – Asociación de Ciberseguridad de Cataluña