Por Manuel Monterrubio, coautor de Cómo transformar desde el Consejo (LID Editorial), consejero independiente y miembro de Governance Lab

En un mundo cada vez más digitalizado, la ciberseguridad ha pasado de ser una preocupación “técnica” de CIOs y procedimental de CISOs, a ser un imperativo estratégico (y legal en algunas industrias) para los Consejos de Administración.

Especialmente en las empresas de mediana capitalización (midcaps) que atienden a grandes clientes. Las recientes normativas europeas, como DORA y NIS2, han puesto en relieve la necesidad de que estas empresas se adapten rápidamente para proteger no solo sus activos, sino también su reputación y su negocio con su cadena de suministro ascendente. Los que por ley van a tener que cumplir con altos estándares de ciberresiliencia.

España ha demostrado estos años estar a la vanguardia en ciberseguridad, ocupando el quinto lugar en el Global Cybersecurity Index gracias a su preparación tecnológica y su gran labor en inteligencia que se labró en la época en que el terrorismo nos golpeaba. Sin embargo, aún existe un reto importante: ¿hasta qué punto están los Consejos de Administración de las midcaps preparados para entender y gestionar los riesgos cibernéticos?

LOS RETOS EN CIBERREESILIENCIA DE LAS MIDCAPS

Las grandes corporaciones cuentan con Chief Information Security Officers (CISOs) y equipos especializados que gestionan sus estrategias de seguridad. En cambio, muchas midcaps carecen de los recursos necesarios para contratar personal dedicado. Aquí es donde entra en juego soluciones efectivas: el CISO-as-a-Service y la oficina externa de ciberseguridad. Unas opciones competitivas que permite a las empresas contar con expertos en este área sin la necesidad de un equipo interno completo.

Pero, más allá de contratar talento externo, lo que realmente falta en muchas organizaciones es una cultura de ciberseguridad en el seno de sus Consejos de Administración. Es fundamental que los directivos asuman un papel proactivo en la protección de la empresa, en lugar de delegar la responsabilidad únicamente al departamento técnico.

LAS NUEVAS NORMATIVAS: UN CAMBIO NECESARIO

Las normativas DORA y NIS2 obligan a 18 sectores clave a cumplir con el Esquema Nacional de Seguridad (ENS). No cumplir con estas regulaciones puede poner en riesgo la continuidad del negocio, especialmente si la empresa forma parte de la cadena de suministro de sectores críticos. La clave es adelantarse, informarse y prepararse para auditorías y cuestionarios que validen el nivel de seguridad.

LA CIBEREDUCACIÓN: UNA PRIORIDAD INMEDIATA

La ciberseguridad no se limita a la oficina; empieza en casa. Es crucial educar a los empleados sobre la importancia de proteger su identidad digital y la de sus familias. Iniciativas como el teléfono 017 de INCIBE en España son recursos valiosos que muchas empresas y familias desconocen. Como país tenemos que educar en este ámbito igual que lo hacemos en muchos otros. La educación y la concienciación son el primer paso para una defensa sólida.

INTELIGENCIA ARTIFICIAL Y CIBERSEGURIDAD: UNA ALIANZA ESTRATÉGICA

La inteligencia artificial (IA) ya está transformando la ciberseguridad. Soluciones que detectan intrusiones y responden automáticamente en tiempo real avisando al SOC (Security Operation Center) que atienda a la empresa, pueden marcar la diferencia entre un incidente controlado y una crisis. Sin embargo, la tecnología por sí sola no es suficiente. Es necesario contar con asesores especializados que guíen a las empresas en la integración de estas herramientas. Estos asesores ahorran dinero en tecnología y a su vez protegen mejor la misma.

PREPARANDO EL FUTURO: UN LIBRO PARA CONSEJEROS

Si eres CEO o consejero en una midcap, ahora es el momento de actuar. El capítulo de ciberseguridad del libro “Como transformar desde el consejo” proporciona una guía práctica sobre cómo cumplir con las nuevas normativas y cómo aprovechar tecnologías como la IA para proteger la empresa. La ciberseguridad no es un lujo, sino una necesidad estratégica. Como siempre ha ocurrido, la diferencia entre las empresas que avanzan y sobreviven y las que quedarán atrás radica en su capacidad para adaptarse y protegerse. Y cuando las grandes empresas empiecen a evaluar la ciberseguridad de sus proveedores, para protegerse ellas, elegirán a las que hayan hecho los deberes y ofrezcan garantías de tranquilidad.