Red Seguridad 107

92 red seguridad cuarto trimestre 2024 entidades esenciales monográfico La ciberresiliencia se ha convertido en un pilar clave para la continuidad ope- rativa de las organizaciones que prestan servicios esenciales. Esto va más allá de las obligaciones de cumplimiento impuestas por la Directiva NIS2, la cual introduce un marco normativo enfocado en la protección de las infraestructuras críticas frente a ciberamenazas. Sin embargo, la implementación efec- tiva de la ciberresiliencia varía según el tamaño y la estructura organizativa de las empresas, lo que plantea desafíos específicos tanto para grandes entida- des como para pequeñas y medianas empresas (pymes). Estructuras organizativas Las organizaciones se enfrentan a distin- tos retos en función de su tamaño, lo que afecta directamente a cómo diseñan e implementan sus estrategias de ciberres- iliencia. Mientras que las grandes corpo- raciones suelen contar con departamen- tos especializados en ciberseguridad, las pymes a menudo tienen que depender de recursos más limitados, lo que les obliga a adoptar enfoques más flexibles y externalizar algunos servicios clave. Las grandes organizaciones, como operadores de infraestructuras críticas que prestan servicios de agua, energía o transporte, suelen tener una estructu- ra organizativa compleja, con divisiones específicas dedicadas a la ciberseguri- dad. Estas entidades pueden permitirse equipos robustos de ciberseguridad, in- tegrados dentro de sus áreas operativas (OT) e IT. Además, el enfoque normativo de la Directiva NIS2 demanda una super- visión estricta y procesos bien definidos para la notificación de incidentes y la gestión de riesgos. En este tipo de empresas, la ciberres- iliencia se basa en una estructura jerár- quica donde cada área tiene asignadas responsabilidades claras. Los equipos de IT y OT deben trabajar en conjunto, aunque la fragmentación de responsabi- lidades aún puede suponer un reto. La clave para mantener la ciberresiliencia en grandes entidades reside en una co- municación eficiente y la integración de la seguridad en todos los niveles orga- nizativos. Las entidades medianas y pymes en sectores esenciales, a diferencia de las grandes entidades, tienen limitaciones significativas en cuanto a recursos finan- cieros y humanos dedicados a la ciber- seguridad. En muchos casos, no cuen- tan con equipos internos de seguridad y dependen de proveedores externos para la gestión de incidentes y el cumplimien- to normativo. Este enfoque, aunque eco- nómico, puede comprometer la rapidez de respuesta ante incidentes. Para estas organizaciones, la cibe- rresiliencia debe ser entendida como un enfoque descentralizado, donde las responsabilidades de ciberseguridad se reparten entre varios roles. La falta de un equipo dedicado no es excusa para una menor seguridad, sino que debe incentivarse la formación continua y la concienciación de todos los empleados, con el objetivo de crear una cultura orga- nizativa resiliente ante ciberamenazas. Ciberresiliencia: imprescindible en estructuras organizativas J osé V aliente Director del Centro de Ciberseguridad Industrial (CCI) La implementación de la ciberresiliencia no puede ser una estrategia única para todas las organizaciones