En 2026, la ciberseguridad dejó de ser un asunto que pueda quedar únicamente en el área de sistemas. En los directorios empezó a ocupar el mismo nivel de conversación que las finanzas, la reputación o la continuidad operativa.
La última Encuesta Global de PwC a CEOs (capítulo Uruguay) muestra que el 28% de los ejecutivos locales identifica la ciberseguridad como la principal amenaza para su empresa. Las organizaciones son cada vez más digitales, más interdependientes y más apoyadas en servicios en la nube, proveedores tecnológicos y herramientas basadas en inteligencia artificial.
Las amenazas tradicionales siguen activas (fraude, ransomware, robo de credenciales) pero ahora se combinan con nuevos puntos de vulnerabilidad vinculados a la automatización y a la integración entre sistemas. Un incidente puede detener procesos críticos, afectar vínculos comerciales e incluso generar responsabilidades regulatorias.
Por eso hoy es más apropiado hablar de ciber-resiliencia: la capacidad de anticipar, resistir y recuperarse. No necesariamente implica grandes inversiones iniciales. En muchos casos, el diferencial está en ordenar lo esencial y sostenerlo en el tiempo.
El primer paso es asumir que se trata de un riesgo empresarial. Eso implica definir responsabilidades claras, establecer lineamientos básicos sobre contraseñas, autenticación multifactor, accesos remotos y respaldo de información, y dar seguimiento desde el nivel ejecutivo.
También es indispensable tener visibilidad sobre los activos digitales de la organización: correo y herramientas de colaboración, servidores y bases de datos, dispositivos, infraestructura de red, aplicaciones críticas y servicios en la nube. Sin esa fotografía, priorizar es casi imposible. Clasificar la información según su nivel de sensibilidad y analizar el impacto de una interrupción permite enfocar recursos donde realmente importa.
A esto se suma el frente regulatorio: la protección de datos personales, los compromisos con clientes y las exigencias vinculadas a medios de pago obligan a contar con controles verificables. En ese contexto, la relación con terceros también se vuelve crítica y requiere reglas claras de acceso y notificación ante incidentes.
En el plano operativo, mantener sistemas actualizados, aplicar configuraciones seguras y proteger los equipos sigue siendo determinante. Pero igual de importante es definir con anticipación cómo actuar si algo falla. Contar con un procedimiento claro y ensayado reduce tiempos de reacción y evita decisiones improvisadas en medio de la presión.
Por último, la continuidad. Más que preguntarse si ocurrirá un incidente, la cuestión es cuánto tiempo puede sostenerse la operación con sistemas fuera de servicio. Backups automatizados, copias externas y pruebas periódicas de restauración permiten medir la capacidad real de recuperación. Complementar esto con un análisis de impacto al negocio ayuda a tomar decisiones con mayor claridad cuando el margen de error es mínimo.