Un reciente informe del Comité de Cuentas Públicas del Reino Unido envía un mensaje claro y urgente: las amenazas cibernéticas están evolucionando más rápido de lo que nuestras defensas pueden seguir el ritmo. La infraestructura digital que sostiene nuestros servicios críticos está cada vez más expuesta, no solo por amenazas externas, sino también por deficiencias internas en estrategia, capacidad y gestión de sistemas antiguos.

Reemplazar tecnología obsoleta puede ser parte de la solución, pero no es todo. Necesitamos un cambio fundamental en la mentalidad: hacia una garantía continua, un diseño de sistemas más inteligente y un enfoque dinámico en el desarrollo de habilidades que anticipe los desafíos del futuro, no solo los de hoy.

La ciberseguridad debe ser un compromiso continuo. Durante demasiado tiempo, la ciberseguridad ha seguido un modelo estático, basado en el cumplimiento: implementar una vez, marcar la casilla y seguir adelante. En el panorama de amenazas actual, esta mentalidad de “construir y olvidar” ya no es viable.

La seguridad debe integrarse en cada etapa de diseño, desarrollo y operaciones a través de un enfoque “Seguro por Diseño”. Con los Sistemas Ciberfísicos y los entornos de TI empresarial en constante cambio, reevaluar regularmente la postura de seguridad asegura que las defensas se mantengan adaptativas y efectivas. El gobierno del Reino Unido ha priorizado correctamente el enfoque “Seguro por Diseño” en su estrategia de ciberseguridad 2022-2025. Sin embargo, a pesar de esta ambición, la adopción en diferentes sectores sigue siendo desigual, con muchas organizaciones aún dependiendo de marcos de riesgo obsoletos y medidas reactivas.

La ciberseguridad debe evolucionar más allá de los procesos estáticos. Requiere una evaluación continua, defensa proactiva y estrategias de seguridad resilientes para mantenerse por delante de los riesgos emergentes.

Los sistemas antiguos: equilibrando riesgo y progreso. Pocas áreas ilustran mejor la tensión entre innovación y practicidad que los sistemas legados. Originalmente construidos para un paisaje tecnológico diferente, muchos estaban aislados y nunca diseñados para soportar el nivel de conectividad y amenazas cibernéticas actuales. En busca de eficiencia y reducción de costos, las organizaciones han conectado y gestionado estos sistemas de forma remota, a menudo sin implementar salvaguardias de seguridad adecuadas. Esto mejora la flexibilidad operativa, pero también expone la infraestructura crítica a nuevas vulnerabilidades.

La solución no es simplemente reemplazar los sistemas antiguos. La decisión de actualizar o extender la vida de las plataformas legadas requiere una cuidadosa evaluación de riesgos cibernéticos, asegurando el equilibrio adecuado de estrategias de mitigación y medidas de aislamiento. Las organizaciones también deben considerar las limitaciones financieras, aplicando controles de riesgo apropiados para optimizar las inversiones en seguridad sin incurrir en costos excesivos.

“Seguro por Diseño” no es solo una palabra de moda en ciberseguridad, es un principio esencial para construir una infraestructura digital resiliente. Asegura que un nivel adecuado de seguridad se integre desde el inicio en cada fase de diseño, desarrollo y operación. Sin embargo, a pesar de su inclusión en marcos de política y directrices de la industria, la implementación a menudo es incompleta o superficial. Muchas organizaciones solo mencionan la seguridad sin integrarla en equipos y procesos, tratándola como una función aislada en lugar de una prioridad organizacional.

La regulación jugará un papel vital en cerrar esta brecha. El próximo Proyecto de Ley de Ciberseguridad y Resiliencia mejorará la supervisión, impondrá estándares más estrictos e introducirá informes obligatorios de incidentes para sectores de alto riesgo. Junto con el intercambio mejorado de inteligencia sobre amenazas, esta legislación podría cambiar las estrategias de ciberseguridad de una defensa reactiva a una resiliencia proactiva.

Otro gran desafío en ciberseguridad es construir una fuerza laboral capaz de responder a amenazas en evolución. A medida que la tecnología avanza, las habilidades se vuelven obsoletas más rápido que nunca, lo que requiere una inversión continua en el desarrollo de capacidades cibernéticas. Las asociaciones con la industria ofrecen una alternativa escalable, permitiendo a organizaciones especializadas capacitar a profesionales a través de aprendizajes y simulaciones inmersivas.

Este modelo proporciona beneficios duales: equipa a los aprendices con experiencia en diversos escenarios de amenazas y fomenta una fuerza laboral ágil que puede adaptarse rápidamente a tecnologías emergentes como la inteligencia artificial y la computación cuántica. La ciberseguridad no solo se trata de corregir vulnerabilidades del pasado, sino de anticipar y protegerse contra las amenazas del futuro.

La ciberseguridad ya no puede verse como un problema aislado; las amenazas no respetan fronteras organizacionales y las debilidades en un sistema pueden exponer toda una red. La transparencia, la colaboración y los informes obligatorios de incidentes son esenciales para la seguridad nacional, asegurando que las vulnerabilidades se aborden antes de que se conviertan en riesgos generalizados.

Cada ataque cibernético no reportado es una oportunidad perdida para refinar las estrategias de seguridad. Una mayor visibilidad de las amenazas cibernéticas mejora la inteligencia colectiva, permitiendo a las organizaciones tomar decisiones más rápidas y acertadas ante riesgos emergentes.

La ciberseguridad moderna requiere más que simplemente parchear vulnerabilidades o marcar casillas de cumplimiento; exige una reconsideración estratégica de cómo se diseñan, mantienen y protegen los sistemas. Comprender cómo interactúan los entornos legados y modernos es clave, junto con el desarrollo de talento cibernético que pueda anticipar y mitigar riesgos futuros. “Seguro por Diseño” debe ser el estándar, no la excepción. Con el equilibrio adecuado de políticas, medidas de seguridad proactivas y profesionales capacitados, las organizaciones pueden pasar de una defensa reactiva a una resiliencia sostenible, asegurando que estén preparadas para las amenazas futuras, no solo respondiendo a las que ven hoy.