Inicio Salud Ciberseguridad Resiliencia cibernética: un llamado a la realidad

Resiliencia cibernética: un llamado a la realidad

Por Dave Russell, vicepresidente senior y jefe de estrategia en Veeam

Por

2 septiembre, 2025

151

Por años, muchas empresas, entre ellas las dedicadas al cuidado de la salud, han relegado la resiliencia cibernética a un segundo plano. Pero el aumento en los niveles de amenazas, las regulaciones y las mejores prácticas han hecho que hoy la resiliencia sea una prioridad. Sin embargo, la concientización es apenas la mitad de la batalla; la preparación es otra historia.

Ahora que las organizaciones tienen una idea más precisa de qué buscar, se están dando cuenta de la incómoda realidad. No están tan preparadas como deberían. El informe Introducción al modelo de madurez de la resiliencia de datos (DRMM): un marco para el avance de la resiliencia de datos empresarial, de Veeam (en colaboración con McKinsey), reveló que aspectos clave de la resiliencia cibernética, incluso fundamentos tradicionales como “personas y procesos”, se autodeclaraban con frecuencia como significativamente deficientes.

¿Cómo llegamos hasta aquí? Y más aún ¿cómo pueden las empresas corregir estas deficiencias? Para los líderes de negocio, la resiliencia quizá no sea la preocupación más emocionante ni la prioritaria para el negocio. Históricamente, se solía agrupar con la ciberseguridad general y se asumía que ya estaba implementada. Desafortunadamente, como ocurre con la mayoría de las contingencias, el verdadero valor de la resiliencia cibernética no se aprecia hasta que las cosas salen mal. Salvo el CISO, los demás directores ejecutivos solían tratar los procesos de respaldo y recuperación como si fueran los airbags del auto. Es decir, se olvidaban de ellos hasta que se veían involucrados en un incidente; sólo entonces, de pronto, daban gracias a la buena suerte de haberlos implementado.

Deficiencias conocidas

Ahora que las fuerzas de la ley están tomando medidas enérgicas contra algunos de los grupos de ransomware más destacados, incluidos BlackCat y LockBit, podría haberse asumido que los ciberataques en general tienden a disminuir. Nada más alejado de la realidad.

Sólo el año pasado, de acuerdo con el informe mencionado, 69% de las empresas sufrieron un ataque en algún momento. Sin embargo, 74% del total todavía no cumplen con las mejores prácticas de resiliencia de datos.

La amenaza está en evolución, con grupos más pequeños y los llamados atacantes “solitarios” que aprovechan la oportunidad. Y con una nueva subsección de atacantes, nace un nuevo conjunto de métodos, con los ataques rápidos de exfiltración de datos en pleno auge.

El reporte reveló que 74% de las organizaciones carecían de la madurez necesaria para recuperarse de una disrupción con rapidez y seguridad. Aunque las brechas de resiliencia cibernética suelen deberse a “no darse cuenta sino hasta que es demasiado tarde”, muchas de estas deficiencias fueron autodeclaradas. La pregunta es: si las empresas son conscientes de las brechas, ¿por qué no las han subsanado?

Para algunos, podría deberse simplemente a que acaban de darse cuenta. La reciente ola de regulaciones, como NIS2 y DORA, han puesto de relieve el problema al exigir mayor resiliencia en todos los ámbitos. En el último año, antes de que se cumplieran los plazos de cumplimiento, las organizaciones debieron evaluar críticamente la resiliencia total de sus datos. Muchas lo hicieron por primera vez, lo cual reveló puntos ciegos que antes desconocían.

Fortalecer la resiliencia cibernética

Sin importar cómo detectaron sus brechas, las organizaciones no se han ido quedando atrás de la noche a la mañana. Muchas se han rezagado gradualmente, pues sus estándares de resiliencia de datos no se han adaptado a la adopción de nuevas tecnologías y aplicaciones.

La mayoría de las empresas implementan la IA a voluntad para mantenerse vigentes ante la competencia y optimizar sus procesos de negocio. Sin embargo, el impacto en sus perfiles de datos ha pasado prácticamente desapercibido. La enorme cantidad de datos que estas aplicaciones requieren y generan, ha dado lugar a perfiles de datos desmesurados que superan con creces las medidas de resiliencia cibernética existentes.

Si a ello sumamos una comprensión insuficiente de la resiliencia de datos moderna, se crea la receta perfecta para el desastre. Con frecuencia, el tema es que “uno no sabe lo que no sabe”, lo que lleva a muchas organizaciones a compararse con criterios erróneos. En un ejercicio práctico estándar, esto es mejor que nada, pero la resiliencia de datos no se puede medir en papel. En teoría los procesos pueden funcionan, pero en la realidad la historia es otra.

¿Qué sigue? En vez de esperar a que ocurra un incidente que ponga a la organización a prueba, se debe aceptar la incomodidad. Es decir, descubrir y abordar las brechas de forma proactiva, por muy incómodas que puedan resultar.

El primer paso para cualquier organización con una resiliencia cibernética deficiente debería ser obtener una visión clara de su perfil de datos. Debe saber qué tiene, dónde está almacenado y por qué lo necesita o no. Con esto, puede reducir al menos parte de la proliferación de datos filtrando los obsoletos, redundantes o triviales para proteger los que realmente requiere. Después, necesita ocuparse de su protección.

Tarea inevitable

Pero el trabajo no termina ahí. Una vez que la organización tenga implementadas sus nuevas y brillantes medidas de resiliencia de datos, es hora de someterlas a pruebas de estrés. Y no sólo una vez; las medidas de resiliencia cibernética deben probarse de forma constante y exhaustiva para llevarlas al límite, como ocurre en la realidad. Los ciberatacantes no se detendrán cuando los sistemas comiencen a fallar. Y no esperarán al momento perfecto.

Se debe examinar escenarios donde las partes interesadas clave estén de vacaciones o cuando los equipos de seguridad estén ocupados con otra cosa. El objetivo es exponer todas las posibles brechas en sus medidas. Puede parecer excesivo, pero por lo demás, lo primero que oirá hablar de estas vulnerabilidades será durante o después de un ataque real.

Es un trabajo considerable, pero la resiliencia de datos vale cada centavo. El informe citado indica que los ingresos de las empresas con capacidades avanzadas de resiliencia cibernética crecen 10% más anualmente en comparación con las que se quedan atrás.

No es que una mayor resiliencia de datos aumente las cifras por arte de magia. Simplemente, elevar los estándares inevitablemente tendrá un efecto dominó en los procesos en general. Como mínimo, se puede estar seguro de que las ciberamenazas se volverán más complejas y que la huella de datos no se reducirá a corto plazo. Es un problema que todas las organizaciones tendrán que afrontar. Por ende, lo mejor es lanzarse ahora antes de que un ciberataque lo lleve al límite.