La ciberseguridad ha dejado de ser una cuestión técnica para convertirse en una responsabilidad directa de la alta dirección. Esta fue una de las principales conclusiones del Diálogo de AED celebrado en Valencia el pasado 16 de junio, bajo el título ‘Ciberseguridad: decisiones clave para la alta dirección‘, con la participación de José Miguel Rosell, socio director y cofundador de S2GRUPO, y José Luis Rojo, socio de Ciberseguridad de EY España. La sesión fue moderada por Arturo Peña, Director de Centros de Empresas de la Comunidad Valenciana y Región de Murcia de CaixaBank, y contó con la bienvenida de Jesús García Valcarce, presidente de AED en la Comunidad Valenciana.
El encuentro puso el foco en una idea central: gestionar la ciberseguridad es gestionar un riesgo de negocio. Un incidente puede paralizar operaciones, comprometer datos, afectar a clientes y proveedores, dañar la reputación y generar responsabilidades para el Comité de Dirección y el Consejo. Por ello, la conversación se alejó del lenguaje técnico para centrarse en aquello que corresponde decidir a CEOs, directores generales, consejeros y perfiles C-Level.
Una de las primeras reflexiones compartidas fue que el Consejo y la alta dirección deben conocer el nivel real de madurez de la organización en ciberseguridad y, sobre todo, decidir dónde quieren situarse. No se trata únicamente de saber “dónde estamos”, sino de definir qué nivel de riesgo está dispuesta a asumir la compañía y qué inversión, capacidades y mecanismos de seguimiento son necesarios para sostener esa posición. Esta decisión no puede dejarse en manos de la inercia ni del área técnica, porque afecta directamente a la estrategia, la continuidad del negocio y la exposición de la compañía.
También se abordó la diferencia entre una empresa realmente preparada y una organización que simplemente ha comprado herramientas. La preparación no se mide solo por el presupuesto invertido, sino por la existencia de una gobernanza clara, por la posición y autoridad del responsable de ciberseguridad, por la capacidad de detectar incidentes, por la realización de simulacros y por el conocimiento de los riesgos asociados a la cadena de suministro. La ausencia de incidentes conocidos no debe interpretarse como una señal de seguridad; en muchos casos, puede ser precisamente un indicio de falta de visibilidad.
La gestión de crisis ocupó una parte relevante del diálogo. Ante un ataque crítico, como un ransomware o una paralización operativa, los primeros minutos pueden marcar la diferencia entre un problema controlado y un desastre. Los ponentes insistieron en la importancia de no improvisar: debe existir un comité de crisis previamente definido, con liderazgo ejecutivo, presencia del negocio, comunicación, legal, recursos humanos, finanzas, tecnología y especialistas en ciberseguridad. En una crisis de este tipo, las decisiones son técnicas, pero también reputacionales, legales, operativas y de negocio.
En este punto, se subrayó una idea especialmente relevante para la alta dirección: recuperar no siempre debe ser la primera decisión; primero hay que contener y entender qué ha ocurrido. Antes de reconectar sistemas o restaurar copias de seguridad, es imprescindible saber por dónde ha entrado el atacante, desde cuándo está dentro, qué ha podido afectar y si ha habido filtración de información. Una recuperación precipitada puede reactivar el problema o agravar el impacto. Por ello, la organización debe distinguir entre la fase de contención e investigación y la fase posterior de recuperación segura de la operación.
Otro de los grandes aprendizajes fue la necesidad de contar con indicadores útiles para el Consejo y el Comité de Dirección. Más allá de métricas técnicas, la alta dirección debería hacerse preguntas muy concretas: qué amenazas pueden afectarnos por nuestro sector y exposición; si lo que ocurre a otras compañías podría ocurrirnos a nosotros; si seríamos capaces de detectarlo a tiempo; y si estamos preparados para gestionarlo cuando ocurra. Estas preguntas deben extenderse también a los proveedores críticos, porque la seguridad de una compañía ya no termina en sus propias fronteras.
La sesión también puso de relieve algunos puntos débiles recurrentes en las organizaciones: las personas, las copias de seguridad, los accesos, los sistemas heredados, la falta de simulacros y la cadena de suministro. En empresas medianas e industriales, los ponentes destacaron especialmente la importancia de cuidar lo básico. Una copia de seguridad mal diseñada, conectada o no probada puede no servir en el momento crítico. Del mismo modo, confiar en que proveedores o clientes tienen un nivel adecuado de seguridad sin comprobarlo supone asumir un riesgo que, en muchos casos, ya no es aceptable.
Por último, el diálogo abordó el impacto de la inteligencia artificial en el mapa de amenazas. La IA está aumentando la velocidad, escala y sofisticación de los ataques, no solo en ámbitos visibles como el phishing o los deepfakes, sino también en la identificación y explotación de vulnerabilidades. Este cambio obliga a las organizaciones a revisar sus modelos operativos: quién autoriza cambios, cómo se despliegan parches, qué ocurre en entornos industriales con ciclos de vida largos y cómo se toman decisiones con la rapidez que exige el nuevo contexto.
La conclusión fue clara: la ciberseguridad no puede abordarse como una presentación periódica del área tecnológica ni como un problema que se resolverá únicamente con más herramientas. Requiere criterio directivo, gobernanza, preparación, entrenamiento y capacidad real de decisión bajo presión. Para cualquier CEO o Consejo, el reto no es evitar todo riesgo —algo imposible—, sino saber qué puede pasar, si la organización lo detectaría, quién tomaría las decisiones y cómo se protegería la continuidad del negocio.
En los próximos 90 días, cualquier compañía debería revisar al menos cinco cuestiones: el nivel de riesgo que está dispuesta a asumir, la autoridad real del responsable de ciberseguridad, la composición y entrenamiento del comité de crisis, la calidad de sus indicadores de resiliencia y la exposición derivada de sus proveedores críticos. En ciberseguridad, prepararse antes del incidente es la única forma de decidir mejor cuando el tiempo juega en contra.
El análisis completo forma parte del Executive Insight exclusivo para socios de AED, con los principales aprendizajes para comités de dirección y consejos de administración que quieren avanzar en inteligencia artificial con criterio, foco y visión de negocio.
