Hasta hace poco, la ciberseguridad se percibía como un asunto meramente técnico que se delegaba por especialidad a las áreas de tecnología y se veía como un costo que las empresas debían resignarse a asumir. Hoy, la ciberseguridad dejó de ser una opción; es una necesidad competitiva para las empresas que va más allá del CISO y de los expertos en tecnología. En un entorno empresarial de hiperconectividad, dependencia de proveedores tecnológicos, desarrollos cada vez más audaces en materia de inteligencia artificial (IA) generativa y vectores de ataques sofisticados, la prevención de ataques por medio de la ciberseguridad es necesaria, pero no suficiente. Lo novedoso y responsable es adoptar la ciberresiliencia como un enfoque estratégico para asegurar la estabilidad de la actividad empresarial y la continuidad del negocio.
En términos generales, la ciberresiliencia es la capacidad organizacional para resistir, responder y recuperarse de eventos cibernéticos sin que se afecten sustancialmente las operaciones empresariales. Desde una perspectiva jurídica, este concepto trasciende lo tecnológico: el enfoque legal de ciberresiliencia implica integrar el cumplimiento normativo, la gestión contractual, el manejo adecuado del riesgo, la responsabilidad civil y administrativa, así como la toma de decisiones informadas y estratégicas por parte de la alta dirección.
En Colombia, los ciberincidentes ya no son escenarios hipotéticos: hoy constituyen contingencias reales con impactos financieros, reputacionales, contractuales y regulatorios significativos. Incluso las empresas más cuidadosas, diligentes y con medidas de seguridad robustas y avanzadas, son vulnerables a sufrir incidentes informáticos. La pregunta correcta no es ¿le va a suceder a mí empresa?, sino ¿qué tan bien preparada está mi empresa cuando suceda?
No cabe duda de que las medidas de seguridad preventivas son esenciales para proteger los sistemas, aplicaciones y datos frente a accesos no autorizados. Sin embargo, estas acciones ya no bastan, por sí solas, para neutralizar y eliminar las amenazas que existen en un entorno digital sofisticado e imprevisible. Bajo un enfoque de ciberresiliencia, las empresas asumen que los incidentes son inevitables y que no siempre es posible prevenirlos. Esto permite que la atención se redirija a la capacidad de responder de forma oportuna y eficaz, mitigar los daños, contener los efectos negativos sobre la organización y las personas, y asegurar la continuidad de la operación empresarial.
Desde esta óptica, el rol de los abogados cada vez debe ser más relevante. Aunque todavía persisten escépticos de la relación entre la ciberseguridad y el Derecho, la función del área jurídica es clave para traducir los ineludibles riesgos cibernéticos en decisiones organizacionales acertadas, políticas internas y marcos contractuales que fortalezcan la prevención de ciberincidentes, orienten la actuación de la empresa durante la crisis y reduzcan la exposición legal con posterioridad al evento.
La exfiltración de información, el acceso no autorizado a bases de datos o la pérdida de disponibilidad de datos personales pueden derivar en consecuencias jurídicas significativas: multas económicas, órdenes administrativas, reclamaciones de los titulares de datos personales, incumplimientos contractuales con clientes y proveedores, así como severas afectaciones reputacionales. El cumplimiento de las normas de protección de datos debe incluir la implementación de mecanismos para gestionar el riesgo ciber y reducir las consecuencias adversas cuando un ciberincidente afecta datos personales. La seguridad de la información es una obligación permanente que debe cumplirse durante todo el ciclo de vida de los datos personales. Por esa razón, en caso de una brecha de seguridad, las autoridades no solo analizan sus efectos, sino, también, la diligencia demostrada por la organización antes, durante y después de su ocurrencia.
Sin embargo, cumplir con las normas de protección de datos no es suficiente para construir ciberresiliencia. La creciente digitalización de las actividades empresariales ha llevado a la dependencia de terceros para el soporte de la operación tecnológica. El uso extendido de soluciones SaaS, servicios en la nube y proveedores de soporte especializado ha ampliado el alcance y la complejidad de los riesgos legales de las organizaciones que los contratan. Esto exige a las empresas ser mucho más rigurosas al contratar y supervisar a sus proveedores tecnológicos. Un fallo –o un ataque– a un proveedor de servicios en la nube no es un problema ajeno ni menor: puede paralizar la operación, afectar a clientes y generar consecuencias legales significativas que deben gestionarse cuidadosamente.
A pesar de la existencia de este riesgo, las empresas no deberían cuestionar o frenar la contratación de proveedores externos; en el entorno actual, es difícil imaginar una operación empresarial sin los servicios de estos terceros. Más bien, la existencia del riesgo ciber derivado de terceros debería llevar a las empresas a construir estrategias legales ciberresilientes; por ejemplo, incorporando mecanismos contractuales que les permitan asignar adecuadamente los riesgos, definir las medidas de seguridad que exigirán a sus proveedores, regular los niveles de servicio esperados, los derechos de auditoría o la notificación de incidentes, y establecer quién asume la responsabilidad frente a terceros en caso de un ciberincidente.
En el mercado ya se empiezan a ver cambios relevantes. Cada vez son más comunes los contratos con proveedores tecnológicos que incluyen cláusulas de seguimiento permanente, así como derechos de acceso, inspección y auditoría periódica. Esto no es casualidad. En sectores como el financiero, resulta cada vez más habitual (y necesario) revisar y ajustar los acuerdos de subcontratación de los propios proveedores, pues eso permite evaluar el riesgo cibernético y tecnológico que esos subcontratistas pueden representar para la operación de una entidad financiera. Una gestión contractual deficiente puede convertir un ciberincidente en un problema jurídico de gran relevancia e impacto financiero.
Los tomadores de decisión en una empresa también tienen un rol relevante en la construcción de ciberresiliencia. Ellos son los llamados a definir el apetito de riesgo en materia de ciberseguridad, a diseñar los protocolos necesarios en función de los riesgos especiales del negocio y a implementar las estrategias para generar una cultura organizacional que priorice la gestión adecuada de los riesgos tecnológicos.
Desde la alta dirección deberían promoverse iniciativas para que la capacitación en materia de seguridad de la información sea frecuente y de calidad. Expertos en ciberseguridad destacan que el factor (error) humano sigue siendo uno de los principales vectores de ataque: el phishing, la ingeniería social y la suplantación de identidad mediante el uso de IA y deepfakes están a la orden del día y presentan enormes desafíos. Por ello, el talento humano debe estar en capacidad de detectar intentos de fraude o ataques, notificar potenciales incidentes de seguridad, así como saber gestionarlos y a quién dirigirse para resolverlos. La formación continua, la concientización del personal y el compromiso visible de la alta gerencia son tan relevantes como los controles técnicos y las medidas de seguridad que se implementan desde el área de tecnología.
En este contexto, la ciberresiliencia no debe entenderse únicamente como un mecanismo para evitar sanciones, sino como una estrategia para proteger la continuidad del negocio, preservar la confianza de los clientes y fortalecer la reputación corporativa. El mensaje para los empresarios es claro: la ciberresiliencia no es un tema exclusivo del área de tecnología ni un proyecto aislado que algún día habrá de implementarse; es un asunto que involucra a toda la compañía. En un entorno en el que un solo error humano puede desencadenar sanciones, fraudes, pérdidas económicas y daños reputacionales, preparase adecuadamente para responder a un ciberincidente no es algo accesorio: es una prioridad estratégica.
