La ciberseguridad, una responsabilidad de la cúpula directiva


Los ciberataques son un asunto cada vez más recurrente en las conversaciones de los empresarios y de los ciudadanos. Sin embargo, no es fácil acotar su frecuencia porque muchos de ellos se mantienen en secreto para evitar daños reputacionales. El gobernador del Banco de España, José Luis Escrivá, manifestó hace días que se producen unos 400.000 ciberdelitos al año en España. El supervisor sigue de cerca estos asuntos porque una buena parte de ellos están relacionados con las entidades financieras y con sus clientes.

Si se amplía el foco a toda Europa, existen informes independientes como el de ENISA (Agencia de la Unión Europea para la Ciberseguridad)1 que revelan que la UE está viviendo un aumento considerable en ciberataques, particularmente en sectores como la sanidad y las cadenas de suministro empresarial. ENISA también subraya el impacto de la pandemia y el trabajo remoto en la expansión de los ataques, así como el uso creciente de tecnologías emergentes, como Inteligencia Artificial (IA), que representan nuevas oportunidades para los cibercriminales. El hecho es que se están realizando ataques más sofisticados, como deepfakes y spear phishing, complicando aún más la detección y mitigación de estas amenazas, como apunta también el IOCTA (Informe de Evaluación de Amenazas de Crimen Organizado en Internet),2 publicado este año por Europol.

Descubre nuestros servicios de ciberseguridad

Más información 

Nadie puede dudar de que los ataques están subiendo en cantidad y en calidad y que proceden de organizaciones particulares y de países que quieren golpear o provocar inestabilidad en otros. Las tensiones geopolíticas, con dos guerras en primer plano, y la mayor digitalización de las instituciones públicas occidentales en sectores críticos son el caldo de cultivo para la sofisticación de estos asaltos.

La reacción de la Unión Europea ha sido implantar DORA (Digital Operational Resilience Act),3 una normativa que establece un marco para fortalecer la ciberresiliencia de las entidades financieras. Su objetivo principal es garantizar que estas organizaciones puedan resistir, responder y recuperarse de incidentes de ciberseguridad, minimizando interrupciones en sus operaciones. DORA abarca a bancos, aseguradoras, mercados financieros y proveedores de servicios tecnológicos como la nube o el análisis de datos.

La normativa de la UE introduce requisitos sobre la gestión de riesgos tecnológicos, la notificación de incidentes de ciberseguridad y pruebas de resistencia operativa. También establece reglas para la supervisión y la cooperación entre autoridades competentes.

DORA debe estar implementada en las compañías afectadas el 17 de enero de 2025. Su propósito es aumentar la seguridad y la confianza en el sistema financiero digital de la UE y su incumplimiento está castigado con fuertes multas que van desde los cinco millones hasta el 2% de la facturación anual de la empresa.

El propósito es adecuado pero cumplir con DORA exige mucho trabajo: supone implantar 40 políticas diferentes, 70 cláusulas contractuales obligatorias añadidas a los contratos con los proveedores y cumplimentar unos 100 campos de datos para reportar incidentes.

La magnitud y la complejidad de los requerimientos de DORA, como mapear los procesos críticos de negocio de la compañía así como los proveedores que los apoyan, hace necesario que exista un incremento de colaboración entre las distintas áreas de las organizaciones. Es por este motivo que la norma ha hecho responsable a todo el consejo de administración y a los diferentes ejecutivos del negocio, entre los que se encuentran no solo los de tecnología, sino también los de Cumplimiento y Legal, entre otros. Ellos deberán asumir la responsabilidad –que puede ser económica o incluso penal- en el caso de que la firma sufra ataques y no cuente con la protección adecuada.

En nuestra ya larga experiencia en este sector, sabemos que la protección tecnológica en sí misma es necesaria pero no es suficiente porque la mayoría de los ataques llegan por errores humanos, normalmente por accidente, pero a veces con intención maliciosa. Se debe concienciar a la plantilla de los riesgos ciberseguridad en el uso de los diferentes soportes, aunque no debe olvidarse lo importante que es contar con un control detallado del funcionamiento de los proveedores y de la cadena de suministro, que son potenciales vectores de entrada de ataques.

Además de DORA, también está pendiente de entrar en vigor la Directiva NIS2 (Network and Information Security Directive 2),4 que es una actualización de la Directiva NIS de la Unión Europea. También está destinada a mejorar la ciberseguridad así como reforzar la resiliencia y las capacidades de respuesta a ciber incidentes en los sectores críticos como infraestructuras esenciales, energía, transporte, salud y sectores digitales. Se publicó en 2022 y establece requisitos estrictos en la gestión de riesgos, la notificación de incidentes y la cooperación y armonización entre los Estados miembros. Entrará en vigor cuando cada país trasponga la Directiva.

Para hacer frente a estas normativas, las organizaciones necesitan contar con el conocimiento y la experiencia necesarias tanto para su implementación como para el diseño estratégico de la ciberseguridad de la empresa. Es crucial sistemas eficientes e inteligentes para identificar las funciones críticas y sus controles de seguridad con una visión de 360 grados en caso de que lleguen los problemas. Lo importante es minimizar el golpe y seguir prestando el servicio a los clientes.

Los ciberataques están considerados como el negocio criminal más lucrativo de esta década. Según algunos expertos se prevé que este año se duplique el número de ciberataques a las empresas en Europa en comparación con 2023.5 Se estima que el importe total de estos ataques para las empresas alcanzará los 10.000 millones de euros6  y los más afectados serán las Administraciones y los sectores transporte, tecnología y retail. DORA y NIS2 son armas interesantes, pero no hay tiempo que perder para contar con una estrategia adecuada en ciberseguridad porque nadie está a salvo de ataques.

Footnotes:

1: ENISA THREAT LANDSCAPE 2024. July 2023 to June 2024. Published on September 2024.

2: IOCTA 2024 report.

3: Link

4: Link

5: NTT Data. Global Threat Intelligence Report.

6: NTT Data. Global Threat Intelligence Report.

Servicios relacionados

Publicado

enero 10, 2025

temp Contactos clave

Ollie Gower

Senior Managing Director

Andrés Parro

Managing Director

Insights más visitados

  1. What Directors Think Report
  2. The Long Game on Tariffs
  3. U.S. Renewable Energy M&A: Review of 2024 and Outlook for 2025
  4. Healthcare M&A for 2025: Key Trends and Strategic Considerations
  5. AI Investment Landscape in 2025: Opportunities in a Volatile Market

Regístrate para acceder a los insights de FTI Consulting

Suscríbete