En un entorno en el que las ciberamenazas evolucionan constantemente y normativas como DORA, PCI DSS 4.0 y NIS2 exigen un enfoque robusto de la seguridad, las organizaciones necesitan mejores estrategias para garantizar la protección integral de aplicaciones y redes, gestionar proactivamente los incidentes, cumplir con los marcos normativos y reforzar la seguridad de la cadena de suministro. El pasado 17 de junio, CIONET España organizó una mesa redonda en colaboración con Radware bajo el título 'Ciberseguridad como ventaja competitiva: Visión estratégica para reducir dependencias, securizar aplicaciones y afrontar NIS2 y DORA', en la que exploramos los principales retos que nos plantea esta normativa.
¿Estamos marcando casillas o construyendo resiliencia operativa?
Cumplir con los requisitos de NIS2 y DORA es, sin duda, un paso necesario. Pero el gran debate que atraviesa muchas organizaciones es si este cumplimiento está realmente generando valor o si se limita a "marcar casillas". ¿Estamos cumpliendo por obligación, para evitar sanciones, o porque entendemos que una buena gestión de ciberseguridad nos hace más fuertes como empresa?
La NIS2, por ejemplo, exige a las organizaciones notificar incidentes significativos en un plazo de 24 horas, además de establecer medidas de prevención, detección y respuesta claras. DORA, en el caso del sector financiero, va aún más allá: obliga a realizar pruebas de resiliencia operativa, evaluar riesgos tecnológicos en toda la cadena de suministro y disponer de planes de continuidad del negocio detallados y actualizados.
Estas obligaciones no deberían verse como una carga, sino como una oportunidad para desarrollar capacidades internas reales. Es decir, no basta con tener políticas escritas o herramientas desplegadas: hay que integrarlas en la operativa diaria, probarlas con simulacros reales, formar al personal y, sobre todo, crear una cultura de seguridad que sea compartida por todos los niveles de la organización.
La ciberseguridad como decisión estratégica
Cuando hablamos de estrategia, normalmente pensamos en crecimiento, innovación, posicionamiento. Rara vez pensamos en seguridad. Pero eso está cambiando. La ciberseguridad ya no se limita a proteger los activos digitales: ahora está profundamente ligada a la sostenibilidad del negocio y a la capacidad de competir en entornos regulados y exigentes.
Por ejemplo, DORA no solo aplica a bancos o aseguradoras, sino también a proveedores de servicios TIC que trabajen con entidades financieras. Esto significa que incluso una startup tecnológica que provee software a un banco deberá cumplir con ciertas garantías de seguridad. De ahí que muchas organizaciones estén revisando sus relaciones con terceros, exigiendo niveles de seguridad similares a los propios.
En este sentido, invertir en ciberseguridad —en personas, en procesos, en tecnología— no es un gasto más. Es una inversión en reputación, en confianza del cliente y en continuidad operativa. Las empresas que lo entienden así están tomando la delantera y convirtiendo la seguridad en una ventaja competitiva tangible.
Uno de los cambios más evidentes en los últimos años ha sido el desplazamiento del foco de los ataques: antes se centraban en la infraestructura; ahora, cada vez más, en las aplicaciones. Las aplicaciones web, móviles y en la nube se han convertido en la puerta de entrada preferida para los atacantes, especialmente a través de ataques DDoS en la capa 7, que buscan saturar los servicios simulando tráfico legítimo.
Aquí la protección tradicional no es suficiente. Se necesita una estrategia que contemple la seguridad desde la fase de desarrollo (DevSecOps), pasando por la protección en producción (WAF, anti-DDoS, control de bots) hasta la monitorización continua. Además, la nube introduce un nuevo nivel de complejidad: los entornos son más dinámicos, los perímetros difusos y la escalabilidad una necesidad constante.
Las empresas que operan en la nube deben ser capaces de adaptar sus medidas de seguridad al mismo ritmo que su negocio crece y cambia. Esto exige soluciones flexibles, basadas en inteligencia y que puedan integrarse fácilmente en arquitecturas modernas.
Visibilidad y gobernanza
En la práctica, muchas organizaciones sufren el "síndrome de las mil herramientas": múltiples plataformas, paneles, alertas... pero poca visión integrada. Esto genera retrasos en la respuesta, pérdida de información clave y fatiga del equipo de seguridad.
Una de las recomendaciones más claras del debate fue consolidar toda la información relevante en un único dashboard. Un centro de mando desde el que se pueda tener una visión global, tomar decisiones rápidas y evaluar el estado de la seguridad en tiempo real.
Además, se habló de la importancia de empoderar al CISO con un rol más estratégico y transversal. No se trata solo de defender la red, sino de influir en las decisiones de negocio, en las inversiones tecnológicas y en la gestión de crisis.
Blockchain y trazabilidad
Aunque aún es una tecnología emergente en este campo, el uso de blockchain para reforzar la trazabilidad y la integridad de la información empieza a ganar atención. Durante la mesa, se discutió cómo podría ayudar a registrar eventos de seguridad de forma inmutable, verificar la identidad de usuarios o dispositivos y mejorar la transparencia en entornos colaborativos.
El potencial es grande, pero también lo son los desafíos: escalabilidad, interoperabilidad, consumo energético. No obstante, el enfoque general fue que blockchain debe explorarse con mentalidad práctica, buscando casos de uso donde realmente aporte valor añadido.
La inteligencia artificial está transformando todos los sectores, y la ciberseguridad no es una excepción. Las soluciones basadas en IA permiten detectar comportamientos anómalos, anticipar patrones de ataque y automatizar respuestas. En teoría, suena ideal. Pero en la práctica, la IA también se ha convertido en una herramienta para los atacantes.
Hoy en día, los cibercriminales usan modelos generativos para crear phishing casi indistinguible de correos legítimos, diseñar malware que aprende de su entorno o analizar vulnerabilidades en sistemas complejos. Esto ha elevado el nivel del juego y obliga a las defensas a ser igual de inteligentes y adaptativas.
Aquí entra un nuevo reto: ¿estamos preparados para gobernar esa IA? Porque además de desplegarla, hay que entender cómo funciona, qué decisiones toma, con qué datos se entrena y qué sesgos puede introducir. La transparencia, la explicabilidad y la ética se están convirtiendo en pilares de una ciberseguridad moderna y responsable.
La ciberseguridad ya no es un campo aislado, ni un centro de coste. Es una capacidad organizativa clave. Cumplir con NIS2 o DORA puede ser el punto de partida, pero el verdadero objetivo debe ser construir una empresa más preparada, más confiable y más resiliente. Esto implica liderazgo, compromiso y una visión transversal de la seguridad. Desde el desarrollo de software hasta la atención al cliente, desde los partners tecnológicos hasta la cultura interna, todos tienen un papel que jugar.
Recomendaciones finales