El entorno empresarial se enfrenta a una nueva dimensión de riesgos donde los ataques cibernéticos ya no son una posibilidad remota, sino una realidad. Así lo pusieron de manifiesto Luis Miguel Simarro, presidente de Congalsa, y Constantino Fernández, presidente de ALTIA, en el último Diálogo AED celebrado en Galicia titulado Ciberseguridad: Visión estratégica del CEO.
Los ponentes coincidieron en que la continuidad operativa de las compañías está hoy directamente ligada a la protección del dato. “Sin datos, no sabemos qué fabricar, ni qué cobrar, ni qué debemos”, afirmó Simarro al recordar cómo un incendio en 2008 le cambió la perspectiva empresarial. Fernández, por su parte, subrayó que cada conexión digital es una puerta potencial para los atacantes, y que el entorno actual exige una implicación real y decidida de la alta dirección de la empresa.
Uno de los mensajes clave del encuentro fue la necesidad de que tanto el consejo como el comité de dirección incorporen la ciberseguridad a su lenguaje y a su agenda de trabajo. “No se trata de entender la tecnología, sino de liderar desde la estrategia y exigir métricas y planes claros”, defendió Fernández. Ambos insistieron en que este reto no se puede delegar únicamente en los equipos de IT.
Ambos líderes defendieron la necesidad de incluir la ciberseguridad como un punto fijo en el orden del día del consejo de administración y de institucionalizar mecanismos internos de prevención, como simulaciones de ataques de phishing, campañas de concienciación y sistemas de detección de comportamientos anómalos mediante inteligencia artificial. Para ambos, formar, sensibilizar y hablar abiertamente del riesgo es tan importante como invertir en tecnología.
El coste fue otro de los temas abordados. “Invertimos 70.000 euros al año en protección activa. ¿Es caro? Solo si no te paras a pensar cuánto costaría una parada de cuatro días sin datos ni producción”, apuntó Simarro. Fernández reforzó: “La verdadera pregunta no es si es caro, sino si puedes permitirte no hacerlo”.
Los ponentes destacaron que las grandes compañías y los sectores regulados como el bancario, el asegurador, y el energético, están mejor posicionados. Sin embargo, sectores como el agroalimentario o la construcción aún presentan demoras. “Galicia está en fase de desarrollo, con esfuerzos notables, pero aún dispersos entre distintos sectores. Europa tiene un enfoque más regulador y defensivo, con enfoque y prioridades distintos a los de China y EE.UU., que van por delante en cuanto a innovación y desarrollo de soluciones propias”, explicó Fernández.
La nueva directiva europea NIS2 fue presentada como una guía ineludible. “Designar un responsable de seguridad, establecer controles y preparar a la plantilla es ya una obligación en muchos sectores”, advirtió Simarro. Además, se recalcó la dificultad añadida que supone trasladar estos estándares a toda la cadena de suministro, especialmente en relaciones con proveedores internacionales.
La inteligencia artificial también ocupó parte del debate. “Asusta por lo que puede hacer, pero impresiona por su utilidad”, confesó Simarro. Desde la elaboración de planes de negocio hasta la automatización de alertas, la IA se está integrando en múltiples procesos empresariales, también en la detección de amenazas. Sin embargo, ambos alertaron del riesgo de exposición si se usan datos sensibles sin control.
La conclusión fue contundente: la ciberseguridad ha dejado de ser una función meramente operativa para convertirse en una responsabilidad a nivel ejecutivo. “Si no estás preparado, te sustituyen. Ya no se trata de una ventaja competitiva, sino de un requisito indispensable para seguir formando parte del ecosistema”, afirmó Fernández. Es el CEO, junto con su comité de dirección, quien debe liderar, formar, exigir y anticiparse. Porque hoy, más que nunca, los ciberataques no discriminan por el tamaño de la empresa.
