La ciberresiliencia ha dejado de ser un concepto aspiracional para convertirse en una necesidad operativa. Así se constató en una mesa redonda organizada por Ciberilatam en Ciudad de México, donde los participantes analizaron cómo deben prepararse las empresas para mantener la continuidad del negocio ante ciberataques, interrupciones o fallos.
Desde la perspectiva financiera, Horacio Toraya, CISO de ICBC México, defendió que la ciberresiliencia debe traducirse en decisiones de negocio comprensibles para la alta dirección. A su juicio, «no basta con presentar controles técnicos; sino que hay que explicar qué riesgo se mitiga, qué exposición se reduce y qué impacto puede tener no actuar». En este sentido, subrayó la importancia de identificar proveedores críticos, aplicar controles compensatorios cuando no existe un parche disponible, reforzar la segregación de funciones, limitar privilegios y establecer permisos granulares. Para Toraya, «la ciberseguridad no puede abordarse solo desde la tecnología, porque al final, es una decisión de negocio».
Esa visión fue compartida por Luis Espejel, profesional de la ciberseguridad industrial, quien situó la continuidad operativa en el centro de la conversación. En entornos OT, explicó, el objetivo no es únicamente proteger datos, sino «mantener en funcionamiento procesos esenciales como la generación eléctrica, el transporte de gas o los sistemas ciberfísicos». Por ello, defendió la necesidad de conocer el negocio, identificar procesos críticos, documentar activos, definir planes de continuidad y probarlos de forma periódica. Además, recordó que «las empresas de hoy deben saber que la ciberseguridad es una responsabilidad de toda la organización; no solo del CISO o del área de TI».
Industria tecnológica y ciberresiliencia
La mesa también abordó el papel de la industria tecnológica. Carlos Eng, Key Account Sales Manager de ESET Latinoamérica, señaló que muchas organizaciones aún ven la continuidad de negocio como un gasto, aunque cada vez más empiezan a asumirla como una obligación. En su opinión, el sector debe ayudar a definir protocolos, aportar servicios especializados y acompañar a aquellas compañías que no cuentan con un CISO o cuyos equipos están sobrecargados. En cualquier caso, insistió en que se trata de un tema de educación: «Si no tenemos una formación adecuada, por más tecnología que haya, vamos a sufrir algún incidente».
Respecto al plano tecnológico, la inteligencia artificial (IA) ocupó buena parte del debate. Toraya destacó su potencial para acelerar procesos, automatizar flujos y mejorar la productividad, aunque también advirtió sobre riesgos como el uso de herramientas no corporativas o la exposición de datos sensibles.
Espejel coincidió en que la IA llegó para quedarse y que no adoptarla también supone un riesgo competitivo. A su juicio, las organizaciones deben aprender a usar estas herramientas de forma medida, conociendo sus implicaciones y acompañando a los empleados en su uso.
Eng también defendió una aproximación responsable. La IA, señaló, puede ayudar a mejorar documentos, contratos, procesos y dinámicas de trabajo, pero solo si las empresas controlan qué información introducen y cómo la gestionan. Por ello, consideró necesario «formar a los equipos, utilizar entornos adecuados y evitar un uso indiscriminado que pueda terminar exponiendo información sensible o estratégica».
Finalmente, los ponentes coincidieron en que la resiliencia depende tanto de la tecnología como de las personas. Toraya defendió una concienciación diferenciada según perfiles; Espejel insistió en que la ciberseguridad debe abordarse como un trabajo de equipo, con responsabilidades claras, documentación, inventario de activos y capacidad de decisión ante un evento crítico; y Eng subrayó que la educación debe extenderse a toda la organización, apoyándose en campañas, simulaciones y programas de concienciación.
La conclusión del encuentro fue que la ciberresiliencia no se improvisa durante una crisis. Requiere gobernanza, entrenamiento, tecnología, colaboración entre áreas y una dirección capaz de asumir el riesgo como parte de la estrategia del negocio. Solo así las organizaciones podrán responder con eficacia cuando un incidente ponga a prueba su continuidad.
Archivado en:






