58 red seguridad cuarto trimestre 2025 monográfico entidades críticas caciones, pero deben complementarse con game days y pruebas de caos controlado en preproducción para validar tolerancias, failover y procedimientos de degradación. Del mismo modo que un equipo de emergencias no improvisa el día del incendio, un comité de crisis no puede improvisar el día de la caída del servicio. En tercer lugar, está la ciberresiliencia integrada en la cadena de suministro. El ransomware ha demostrado que el perímetro ya no existe (y que el proveedor más pequeño puede convertirse en la puerta más grande). Las evaluaciones de terceros, la segmentación de accesos y los planes de continuidad compartidos con proveedores críticos son ahora inseparables de la continuidad del negocio. Si un proveedor estratégico no puede demostrar su propio RTO/RPO, tu continuidad está en riesgo. Pero antes de todo eso, debemos mirar seriamente la brecha global de competencias, que se amplía con la proliferación de tecnologías emergentes y vuelve obsoleto el conocimiento de la fuerza laboral no en cuestión de meses, sino de semanas. Todo empieza con una formación holística (especialmente en ciberseguridad y assurance), ya que será esta fuerza laboral la que diseñe e implemente el camino a seguir. El factor humano He insistido a menudo en que todos (no solo los profesionales de TI) debemos entender cómo funciona la inteligencia artificial, cómo se propaga el riesgo digital y qué decisiones humanas sostienen la resiliencia. Porque el factor humano es el primer vector de resiliencia: un empleado que sabe operar en modo degradado, que reconoce un incidente y que entiende su rol en el plan gana minutos inestimables cuando la automatización se detiene y la presión aumenta. Por tanto, la formación debe ir más allá de “cómo evitar el phishing”. Debemos establecer priorización, criterios de degradación elegante de procesos, comunicación con clientes, proveedores y reguladores y revisiones posteriores a la acción para aprender de cada incidente. Aquí, los marcos de certificación profesional y las comunidades globales de profesionales que mantienen actualizada a la fuerza laboral aportan un valor distintivo: proporcionan un lenguaje común y verificable sobre riesgos, controles y continuidad, elevan el listón técnico y ético y hacen visibles las competencias que realmente importan el día del incidente. Las grandes interrupciones demuestran que la resiliencia va más allá de cada empresa y toca el interés público. De ahí la necesidad de marcos regulatorios que se extiendan más allá de la infraestructura crítica, que eleven el listón de forma transversal, fomenten la ciberresiliencia en empresas y administraciones públicas y armonicen las obligaciones para proveedores críticos en todos los sectores clave de una economía. Por último, es sensato aceptar que no podremos prevenir todos los incidentes (ni debemos perseguir la ilusión de la invulnerabilidad), pero sí podemos construir una cultura de aprendizaje de cada uno de ellos y actuar para proteger nuestros ecosistemas digitales de cara al siguiente. Las pandemias digitales ya están aquí. Su duración e impacto pueden ser significativos, pero tolerables hoy… Mañana puede que no sea así. Debemos entender cómo funciona la IA, cómo se propaga el riesgo digital y qué decisiones humanas sostienen la resiliencia
RkJQdWJsaXNoZXIy MTI4MzQz