Liderar el paradigma del riesgo desde la resiliencia organizativaEl entorno macroeconómico y empresarial actual no pide únicamente digitalización, sino la certeza de que las estructuras que sostienen el negocio son capaces de resistir el embate de un entorno digital hiperconectado y amenazado. Hoy en día, la digitalización ha abierto un océano de oportunidades de mercado para la pequeña y mediana empresa, pero, simultáneamente, ha multiplicado de forma exponencial la exposición a los riesgos cibernéticos. En este nuevo paradigma tecnológico, la seguridad de la información ha dejado de ser una cuestión exclusivamente técnica, relegada a los sótanos del área de informática, para convertirse en un elemento estratégico de primer orden, vital para garantizar la continuidad del negocio, la salvaguarda de la reputación corporativa y la retención de la confianza de los clientes.Esta realidad golpea directamente al corazón de nuestro tejido productivo. En Catalunya, donde las pymes representan a la inmensa mayoría de las empresas, sostienen la mayor parte del empleo y generan el grueso del producto interior bruto (PIB), la construcción de una infraestructura digital resiliente es sinónimo de competitividad pura. Si el tejido empresarial busca consolidar su crecimiento y dar el salto definitivo a la era de la inteligencia artificial (IA), la ciberseguridad debe asumirse como el verdadero combustible de su transformación.Para analizar en profundidad estas dinámicas, Pimec y La Vanguardia, junto con la colaboración de Banc Sabadell y The Valley Business & Tech, organizó, el 7 de julio, la jornada estratégica Ciberseguridad para las pymes en el nuevo paradigma digital, en el auditorio de la patronal catalana.La bienvenida institucional corrió a cargo de Juanjo Berbel, presidente de la Comisión de Digitalización e Innovación de Pimec. Durante su apertura, Berbel aportó datos muy contundentes para concienciar al empresariado de la magnitud del reto que tenemos delante: actualmente, en España, 9 de cada 10 empresas reciben un ciberataque de forma recurrente y, de ellas, 6 de cada 10 se ven empujadas a cerrar en un plazo de únicamente seis meses. El representante de Pimec incidió con fuerza en el coste implícito e invisible de no prepararse adecuadamente, y realizó un llamamiento a la necesidad de la divulgación, el conocimiento y la formación para minimizar vulnerabilidades, reivindicando las diferentes iniciativas y servicios de acompañamiento que promueve pimec en este ámbito.A continuación, Inés Masriera, directora de Empresas de Vanguardia, presentó este proyecto dirigido a las pymes y detalló que se está convirtiendo en un recurso clave de apoyo para modernizar el tejido empresarial, destacando con orgullo que el programa ha superado ya con éxito el hito de las mil empresas adheridas.El objetivo de la sesión, que tuve el placer de moderar, era absolutamente claro y pragmático: aterrizar los vectores de riesgo de la ciberseguridad al día a día del empresario, huyendo de teorías abstractas y aportando pautas claras para evitar, tal como se remarcó en la sesión, que una pyme pueda perder su negocio.El nuevo mapa de las amenazas: el impacto de la IA generativaEl primer bloque de ponencias dibujó el mapa de la situación a pie de calle. Laura Caballero, directora de la Agència de Ciberseguretat de Catalunya, abrió el debate presentando un dato tan contundente como preocupante para la alta dirección: en la actualidad, el 82% de los correos de phishing que circulan por la red ya se generan de forma automatizada, mediante inteligencia artificial. La tecnología se ha convertido en una herramienta ambivalente: de la misma forma en que nos permite automatizar tareas corporativas legítimas, los atacantes la utilizan para diseñar campañas de ingeniería social casi perfectas, hiperpersonalizadas y libres de los tradicionales errores ortográficos que antes permitían detectar un fraude a primera vista.Caballero subrayó que la identidad digital es, en estos momentos, la puerta de entrada principal de los cibercriminales. Fenómenos como los ataques BEC (business e-mail compromise), la estafa del directivo o el ransomware viven un proceso de industrialización masiva. Los atacantes ya no buscan objetivos de forma aleatoria: utilizan entornos especializados del mercado negro para atacar de forma dirigida a los eslabones más débiles de la cadena de suministro. Para una pequeña empresa, un secuestro de datos críticos o una filtración de información de sus trabajadores o clientes puede traducirse en un daño financiero irreversible y en la pérdida de su reputación en el mercado de la noche a la mañana, e incluso su desaparición como empresa.Uno de los elementos que destacó más allá de las medidas preventivas por parte de las pymes es la resiliencia; por consiguiente, la capacidad de recuperar rápidamente la actividad y nuestros activos fundamentales. En este sentido, es necesario subrayar la necesidad de identificar esos activos críticos, y desplegar medidas para su protección para garantizar nuestra actividad.La gestión de dependencias y la arquitectura de la confianza.Ante este escenario de riesgos compartidos, la mirada tecnológica experta corrió a cargo de Juan Caubet, director de ciberseguridad de Eurecat - Centre Tecnològic de Catalunya. Caubet realizó una reflexión clave de management: “La tecnología se ha democratizado de forma espectacular, comprar o activar una licencia en la nube es extremadamente fácil, pero la confianza digital debe construirse todavía”. El reto real del empresario de hoy en día ya no es adquirir sistemas, sino saber exactamente quién y cómo los gobierna. En el ecosistema actual, ninguna empresa es una isla aislada. Las pymes operan conectadas de forma permanente a un tejido complejo de aplicaciones de terceros, automatizaciones cruzadas, proveedores de servicios en la nube y agentes de IA. “En la práctica, ya no gestionamos sistemas internos; lo que estamos gestionando son dependencias externas”, advirtió el director de Eurecat. Por lo tanto, en la toma de decisiones estratégicas, la dirección debe plantearse cuatro preguntas esenciales de forma sistemática: ¿Qué datos de la empresa estamos compartiendo? ¿Con qué terceros o proveedores las estamos cruzando? ¿Quién ha autorizado exactamente esos flujos de información? Y, finalmente, ¿qué ocurre si alguno de los componentes de esta cadena falla? Únicamente respondiendo a estas cuestiones se puede conseguir que la digitalización se traduzca en un crecimiento seguro y en una competitividad real.El factor humano: la regla del 20/80 en la cultura de seguridadLa clausura de las ponencias puso el foco en la pieza que a menudo determina el éxito o el fracaso de cualquier estrategia corporativa: el talento y el liderazgo de las personas, además del marco legal. Daniel Vidal, experto en Ciberseguridad de The Valley Business & Tech School, recordó una verdad incómoda para los directivos que buscan soluciones mágicas basadas únicamente en talonario y software: “La ciberseguridad responde a una proporción muy clara: únicamente un 20% es tecnología pura, mientras que el 80% restante es formación, cultura interna y personas con conocimiento real”.Según Vidal, no sirve de nada invertir en cortafuegos de última generación o en auditorías complejas si la plantilla no cuenta con el criterio y la conciencia básica para detectar una anomalía o un intento de estafa. El gran freno de la pequeña y mediana empresa sigue siendo el desconocimiento ejecutivo y la falta de una hoja de ruta clara. Para combatirlo, no es necesario diseñar estructuras burocráticas inasumibles, sino implementar lo que los expertos definen como una governanza light. Eso implica establecer protocolos sencillos y transparentes: definir de forma firme qué datos y en qué plataformas se pueden introducir (especialmente en cuanto al uso de modelos de IA generativa públicos), verificar dónde se almacena la propiedad intelectual de la empresa y aplicar mecanismos básicos como la doble autenticación de identidad o el uso de seguros contra ciberbrechas.Por otra parte, como jurista, mencionó el marco legal y las obligaciones a las que estamos sometidos, y destacó que ante un ciberataque podemos tener responsabilidades tanto por las medidas de prevención como por las respuestas y acciones que llevamos a cabo. Así que ya no se trata únicamente de una política imprescindible desde la perspectiva de negocio que hemos ido destacando, sino obligatoria desde una perspectiva de responsabilidad jurídica.Del debate a la acción: herramientas reales para la transformación de la pymeEn el posterior turno de preguntas y conclusiones, que tuve la suerte de coordinar, la interacción del público reflejó un gran pragmatismo. Lejos de solicitar soluciones abstractas, varios representantes de pymes catalanas trasladaron directamente a la mesa su inquietud de cómo dar el primer paso: ¿dónde puede acudir una empresa pequeña para encontrar un marco de referencia claro y sencillo, sin tener que hacer frente a grandes inversiones de consultoría inicial?Ante esta demanda compartida, la directora de la Agència de Ciberseguretat de Catalunya, Laura Caballero, apuntó a una excelente herramienta pública que a menudo es desconocida por el tejido empresarial: la propia web institucional de la Agència (ciberseguretat.gencat.cat). Caballero explicó que el portal cuenta con guías específicas, itinerarios detallados de cinco pasos y listados de buenas prácticas diseñados específicamente para pymes. Son recursos de acceso libre que permiten a cualquier organización evaluar su nivel de madurez actual, establecer políticas de seguridad mínimas y formar a su personal de forma autónoma.La conclusión de la mesa redonda fue unánime: la ciberseguridad ya no debe verse como un freno o un gasto superfluo que resta agilidad al negocio. Por el contrario, resulta la infraestructura invisible sobre la que se construye la rentabilidad del futuro. Además, con el horizonte normativo de la directiva europea NIS2 a la vuelta de la esquina, la capacidad de demostrar que sabemos proteger nuestros activos digitales, responder ante un incidente y garantizar la resiliencia operativa de la cadena de suministro resultará un requisito obligatorio para seguir compitiendo. En el mercado digital, la confianza es el único motor real para crecer. El momento de la verdad es ahora.