En un entorno hiperconectado y crecientemente automatizado, la ciberseguridad ha dejado de ser una cuestión técnica para convertirse en un activo estratégico de negocio. La irrupción de la IA, la presión normativa y la escasez de talento convierten el contexto actual en un auténtico punto de inflexión. ¿Está el tejido empresarial preparado para asumir este nuevo marco de exigencias?
En esta entrevista en el marco del 6 Congreso APD de CIOs, Xabier Mitxelena, Presidente Ejecutivo de Cybertix, analiza los desafíos reales a los que se enfrentan organizaciones de todos los tamaños: desde la necesidad urgente de integrar la seguridad como cultura organizativa hasta el impacto reputacional de una buena o mala gestión de crisis. Porque hoy, la resiliencia digital no es solo una defensa: es una ventaja competitiva.
Estamos en un proceso de evolución constante. En tecnología, la velocidad del cambio suele ir por delante de nuestra capacidad de reacción. En ciberseguridad llevamos muchos años trabajando con modelos tecnológicos cada vez más sofisticados, capaces de abordar los nuevos retos que impone la digitalización de empresas y organizaciones.
La automatización es, hoy por hoy, el único camino para cubrir los gaps existentes. Siempre hablamos de la falta de talento: en España se estima que faltan más de 100.000 profesionales, y en el mundo más de 4 millones. Por eso debemos entender bien cuál es el rol de la ciberseguridad en la digitalización. Si conseguimos integrarla como un elemento cultural, los sistemas de automatización jugarán un papel clave.
Cuando hablamos de IA, como ocurre con cualquier tecnología, hay una doble cara: la habilitadora y la del riesgo. Europa, en este sentido, se ha movido con rapidez para regular su uso. Las sanciones que incorpora el nuevo marco normativo van a obligarnos a todos a ser más transparentes, a entender bien qué hacen los algoritmos y cómo aplicarlos correctamente.
Uno de los grandes retos de la ciberseguridad es simplificar. Las grandes organizaciones han hecho inversiones importantes, impulsadas por la regulación y porque tienen capacidad económica para dotarse de tecnología y talento. Pero si bajamos un escalón y miramos a las pymes -que representan más del 90% de la economía- no podemos aplicar el mismo enfoque. Necesitamos soluciones eficaces, escalables y accesibles.
Entrevista a Xabier Mitxelena, Presidente Ejecutivo de CYBERTIX
This is «Entrevista a Xabier Mitxelena, Presidente Ejecutivo de CYBERTIX» by APD on Vimeo, the home for high quality videos and the people who love them.
El tiempo ha sido determinante en este cambio de percepción. Hoy, quien no incorpora la ciberseguridad como elemento estratégico de negocio no va a subsistir. Desde hace años, en plena transformación digital e Industria 4.0 -ahora ya se habla de 5.0 y 6.0-, la seguridad es parte esencial de la cadena de suministro. Ya no solo por regulación, sino porque es una auténtica ventaja competitiva.
Durante muchos años, la ciberseguridad fue vista como un gasto. No aparecía en los presupuestos, especialmente en pymes, y la figura del CISO era residual, solo se le llamaba cuando había un incidente. Afortunadamente, esto ha cambiado. La responsabilidad de la seguridad debe estar en la alta dirección.
Hoy trabajamos desde el ámbito público y privado para concienciar a los comités de dirección y dotarlos de conocimiento. Solo así pueden tomar decisiones informadas sobre las tecnologías que quieren aplicar. Y hay otro factor: la confianza. Cometimos errores subastando la ciberseguridad, haciendo que el precio fuera el único criterio. Eso debe cambiar. Invertir en ciberseguridad es invertir en futuro, en resiliencia y en competitividad.
Las nuevas normativas europeas como el Cyber Resilience Act exigen que cualquier producto conectado esté certificado. Si no lo está, quedará fuera de las cadenas de suministro. Las grandes compañías solo subcontratarán productos seguros. Esto ya no es solo una cuestión de negocio: puede haber incluso responsabilidades penales si no se integra la ciberseguridad en la estrategia empresarial.
Tengo muchos ejemplos, pero mencionaré dos. Una compañía que sufrió un ciberincidente sin estrategia clara ni transparencia perdió el 30% de sus clientes, bajó en bolsa y recibió sanciones importantes del regulador. En cambio, otra empresa, de origen nórdico, que paró sus sistemas de producción por un ransomware, reaccionó de forma ejemplar: el CEO se comunicó de inmediato con clientes, proveedores, accionistas y reguladores, y hasta buscó soluciones alternativas para sus clientes. Resultado: subió más de un 30% en bolsa.
La resiliencia no es solo continuidad operativa, es confianza. Cuando se aprueba DORA, el primer reglamento europeo de resiliencia operativa, se establece un principio claro: no importa tanto si tienes un ciberataque o una caída, lo que importa es cuánto tardas en recuperarte y seguir dando servicio. Las organizaciones deben garantizar la continuidad del negocio, y eso exige preparación, infraestructura y cultura.
Más que formar, hay que entrenar y aprender. En este sector solemos hablar de “cumplo y miento”: hago lo básico para cumplir, pero no interiorizo la cultura de seguridad. La clave está en el ADN de la organización. Solo con una cultura sólida, quien invierta en ciberseguridad competirá mejor.
Necesitamos acciones y dinámicas que conviertan la seguridad en hábito. No solo en las empresas, también en la sociedad. Desde la infancia hay que educar en el uso responsable de la tecnología. Prohibir no es eficaz; educar, sí lo es.
En el ámbito corporativo, llevamos años haciendo ciber ejercicios y simulacros que ayudan a entender la importancia de la información y el impacto de un ciberataque. A menudo se dice que el usuario es el eslabón más débil de la cadena, pero si lo entrenamos correctamente, es el más fuerte. Un usuario consciente, bien informado, es la mejor línea de defensa.
Durante mucho tiempo se habló del dinero como principal obstáculo, pero es un factor temporal. Las nuevas generaciones buscan algo más: proyectos innovadores, entornos con valores claros, respeto, posibilidades de aprendizaje. Quieren formar parte de un equipo que escuche y que construya.
Hoy las organizaciones son más planas, más líquidas, y la jerarquización excesiva puede ser un freno en el entorno tecnológico. Las empresas que quieran atraer talento deben construir futuro, no esperar a que llegue. Solo así serán atractivas.
Los perfiles especializados buscan un entorno donde puedan crecer profesional y personalmente. El dinero importa, pero lo fundamental es tener un proyecto de carrera y un entorno donde la innovación esté siempre presente.
