Hasta hace no muchos años, la seguridad de los sistemas de información de las empresas e instituciones recaía principalmente en los responsables de los departamentos de informática. Los ataques o vulneraciones conocidos eran muy limitados, tanto en número como en sus efectos. Sin embargo, en la actualidad nos enfrentamos a un escenario que ha adquirido tintes bélicos, donde la ciberseguridad se ha convertido en una prioridad para las empresas del siglo XXI. En este contexto, la alta dirección se ve obligada, tanto por motivos legales como por necesidad, a liderar la batalla en la protección de sus organizaciones.
Para dimensionar el problema, según el INCIBE, el 94% de las empresas en España sufrió un ataque relacionado con la ciberseguridad en 2022. Estos ataques tienen graves repercusiones económicas, afectando al negocio, la pérdida de información y erosionando la reputación de las organizaciones. Estas realidades han generado un aumento significativo en la inversión en ciberseguridad que, según el último informe de Canalys, ha crecido un 13,2% en 2023.
A medida que crece la preocupación, también lo hace la tipología de los ciberataques. Los ciberdelincuentes son cada vez más hábiles en su campo, lo que provoca ataques más sofisticados y difíciles de detectar, por un lado, y en la explotación y monetización de ataques comunes, por otro. Además, en Europa no existía una normativa que exigiera responsabilidad a las empresas en cuanto a la ciberseguridad de sus estructuras, lo que brindaba a los ciberdelincuentes más oportunidades para atacar los puntos débiles de las compañías.
En respuesta a esta lucha generalizada contra los ciberataques, en Europa se han implementado medidas para aumentar la conciencia y el compromiso hacia la ciberseguridad. El 27 de diciembre de 2022, el Consejo Europeo y el Parlamento Europeo aprobaron la directiva NIS2, una normativa que implica grandes cambios para las empresas y sus directivos.
El objetivo principal de la directiva NIS2 es aumentar la resiliencia de los servicios que son claves para el funcionamiento de la sociedad, fomentando una cultura de ciberseguridad en las organizaciones y aumentando la responsabilidad legal de los directivos. Esta norma exige que la alta dirección tenga un conocimiento global de las cuestiones relacionadas con la ciberseguridad y una respuesta ante los ataques cibernéticos que sufra la organización. No cumplir con este compromiso puede acarrear graves consecuencias legales y económicas para los directivos.
Esta nueva normativa pone de manifiesto cómo el contexto actual está obligando a las empresas a transformarse. Desde una perspectiva legal, implica un cambio organizativo y una importante transformación en la forma en que se ha gestionado la seguridad de las empresas hasta ahora.
La necesidad de esta normativa se hace aún más evidente al involucrar a todos los actores con los que trabajamos. Por esta razón, la NIS2 establece un cumplimiento en cadena, que requiere la participación de todas las empresas que forman parte de la cadena de suministro. Si falla un eslabón, todo el sistema falla. De este modo, el proceso de transformación debe llevarse a cabo no solo en las grandes empresas, sino en todo el tejido empresarial, sin importar su tamaño.
En última instancia, las guerras modernas trascienden el ámbito físico, y la batalla que todos enfrentamos se libra en el campo de la ciberseguridad.
NIS2: no solo una obligación, también una oportunidad
Los desafíos también conllevan oportunidades y, en este sentido, la directiva NIS2 se presenta como un estímulo para el crecimiento conjunto de las organizaciones. Es la ocasión perfecta para fomentar la colaboración público-privada en proyectos destinados al desarrollo de nuevas tecnologías para mitigar los ataques cibernéticos. Además, es una oportunidad para sentar las bases del papel que desempeñarán los nuevos directivos en la gestión de las organizaciones, priorizando la formación tecnológica en los niveles superiores, donde la ciberseguridad solía ser responsabilidad de unos pocos.
La ciberseguridad debe ser considerada como un beneficio corporativo que brinda confiabilidad a nuestras organizaciones y garantiza nuestro compromiso con el nuevo paradigma de seguridad, al mismo tiempo que nos permite ser más efectivos en la protección de nuestros recursos. La economía digital se sustenta en la confianza y ésta se genera haciendo las cosas bien en ciberseguridad. Debemos percibir la ciberseguridad como una oportunidad de crecimiento que forme parte de los desafíos diarios que nos fortalecen para el futuro. Se trata de una batalla en la cual, con la colaboración y el compromiso de todos, saldremos victoriosos y lograremos definir a las organizaciones seguras del siglo XXI.
*** David Fernández Granado es director general de Cipher.