Ciberresiliencia: la estrategia de negocio que ninguna empresa mexicana puede ignorar

El entorno digital mexicano ha cambiado radicalmente en los últimos tres años. Ya no se trata solo de prevenir ataques cibernéticos (una tarea cada vez más compleja) sino de prepararse para resistir, responder y recuperarse cuando inevitablemente ocurran. Esta transformación en la forma de entender la seguridad digital, también llamada ciberresiliencia, representa un cambio fundamental en la estrategia empresarial de las organizaciones en el país.

“La ciberresiliencia no es un tema de TI, es un mensaje que debemos llevar al negocio”, plantea Roberto de Jesús García Hernández, Cyber Security Presales Manager de T-Systems México, en entrevista para Fast Company México.

Evolución acelerada

En los últimos tres años, los niveles de inversión en seguridad de las organizaciones han estado concentrados en tres conceptos principales.

Primero, la integración de inteligencia artificial (IA). Las empresas ya no ven a la IA como una opción complementaria, sino como un elemento esencial para detectar y responder ante amenazas en tiempo real.

Segundo, la protección de sistemas industriales, un área que hace apenas tres años prácticamente no existía en las estrategias corporativas. “Hace tres años no había ni una estrategia, ni una inversión para proteger sistemas industriales”, comenta García. Este cambio es particularmente significativo en sectores como manufactura y GPC (Grandes Propiedades Comerciales), donde un ataque a equipos de producción puede tener consecuencias que van mucho más allá de lo financiero.

“Si un ciberatacante logra acceder a estos equipos, podemos ver incluso temas de pérdidas humanas”. Un ataque que interrumpa sistemas de control industrial o interfases de usuario (HMI) puede comprometer operaciones críticas, afectando tanto la continuidad del negocio como la seguridad del personal.

El tercer concepto, que abraza los dos anteriores, es la ciberresiliencia: la capacidad de una organización de mantener la disponibilidad de sus servicios incluso bajo ataque, y de recuperarse rápidamente cuando lo logran.

La mentalidad que necesita cambiar

Una de las barreras más grandes para implementar una estrategia robusta de ciberresiliencia es que muchas empresas mexicanas aún operan bajo la creencia de que un ataque sofisticado es algo que “le sucede a otros”.

“Si una empresa piensa que no fue atacada o no va a ser atacada, pues no está del todo correcto”, explica García. Más aún, existe una infraestructura para verificarlo. En capas de internet menos conocidas como la dark web, se pueden encontrar bases de datos públicas de credenciales expuestas, información personal comprometida y datos de empresas que han sido atacadas sin saberlo. “Cualquier empresa que piensa que no ha sido atacada, hay elementos en donde pueden prácticamente consultar si existe alguna data pública, incluso una credencial expuesta”.

La recuperación rápida es el nuevo diferenciador

La respuesta a qué hacer cuando ocurren los ataques está en cambiar el enfoque de “prevención total” a “recuperación eficiente”. En el mundo de la ciberseguridad, existe una máxima: quien logre reaccionar más rápido ganará. Y la velocidad depende de dos factores: automatización e inteligencia artificial.

“El diferenciador será quién va a automatizar y responder más rápido y mejor”, comenta García cuando se le pregunta cómo conciliar la aparente contradicción de invertir en prevención cuando sabemos que los ataques sucederán de todas formas.

La estrategia incluye una arquitectura sólida de prevención, combinada con sistemas automatizados de detección y respuesta que pueden actuar en milisegundos.

Un SOC (Security Operations Center) moderno es central en esta ecuación. Con capacidades de inteligencia artificial y agentes de nueva generación, permite visibilidad total del ambiente interno y externo de la organización en un esquema 24/7. Pero no es suficiente tener la tecnología; también se necesita tener planes, documentación y pruebas periódicas.

El factor humano sigue siendo el eslabón más vulnerable

Con toda la inversión en tecnología, existe un dato que sobresale en los estudios de seguridad: el 85% de los ataques tienen algún componente de error humano. Phishing, credenciales comprometidas compartidas entre múltiples servicios, falta de conciencia sobre amenazas básicas (estos siguen siendo los vectores de ataque más efectivos).

Pero hay otro factor preocupante: existe una escasez masiva de talento en ciberseguridad. “Hay un estudio que recientemente leí que prácticamente hay más del doble de posesiones que hoy existen en el mundo de seguridad que no están siendo cubiertas”, señala García.

Para abordar esto, T-Systems ha creado iniciativas de capacitación a través de academias orientadas a egresados, con el objetivo de cerrar esta brecha de talento. Pero la responsabilidad no solo recae en las empresas de seguridad. Cada organización debe invertir en capacitación y conciencia interna.

“Al menos el 60% de los empleados no son personal de TI”, comenta García. Esto significa que la capacitación en seguridad no puede ser un seminario técnico; debe ser un programa de concientización accesible que permita a cualquier empleado identificar un ataque de suplantación de identidad, reconocer un mensaje de phishing o detectar un enlace falso (apócrifo).

Hacia dónde debe dirigirse la inversión en ciberresiliencia

Para que una estrategia de ciberresiliencia sea efectiva en México, García sugiere cuatro pilares de acción inmediata:

1. Sistemas de monitoreo continuo 24/7: El primer paso es tener visibilidad. Sin ella, es imposible responder. Un SOC moderno que integre inteligencia artificial debe estar monitoreando constantemente, tanto eventos internos como externos.

2. Protección robusta de identidades: Con la migración hacia la nube y el trabajo remoto, las identidades se han convertido en el nuevo perímetro de defensa. La autenticación multifactor, la gestión de privilegios y el control de acceso son componentes no negociables.

3. Planes de recuperación y continuidad de negocio: Esto incluye respaldos (backups) de sistemas críticos, pruebas semestrales de recuperación ante desastres (DRPs o Disaster Recovery Plans) y planes de continuidad de negocio (BCP). Estos no son documentos que se crean una vez y se guardan; son planes vivos que deben probarse regularmente.

4. Extensión a sistemas OT (Operational Technology): Históricamente, la seguridad se ha enfocado en IT. Hoy, es imperativo proteger también la parte operacional, especialmente en manufactura e industrias críticas.

El rol de la regulación en México

Aunque existe un marco regulatorio emergente en México (como la Ley de Protección de Datos Personales en Posesión de los Particulares) el país está en un momento de transición. Actualmente, la regulación más estricta existe en tres sectores: financiero, retail y salud. Estos tienen que cumplir con normas específicas que deben ser documentadas y probadas con base en frameworks reconocidos como ISO27001.

Sin embargo, García considera que “la regulación no delimita que el resto de las organizaciones deben de tener una estrategia”. La buena práctica es voluntaria, pero cada vez más crítica. Con la cantidad creciente de datos que fluyen hacia la nube e internet, los riesgos aumentan exponencialmente.

El mensaje final es quizás el más importante: la ciberresiliencia no es un proyecto con una fecha de conclusión. Es una capacidad que debe actualizarse, probarse y mejorarse continuamente.

“Es una capacidad continua que se tiene que estar invirtiendo, probando, y que al final va a beneficiar a todas las organizaciones y a sus clientes”, asegura García.