La International Facility Management Association (IFMA España) ha publicado recientemente el informe ‘Brechas de ciberseguridad en la administración de las instalaciones’, un estudio exhaustivo que analiza los riesgos digitales que enfrenta el sector. Este informe se basa en 372 encuestas realizadas a gestores de instalaciones en más de 100 países, lo que según IFMA lo convierte en la investigación más amplia de su tipo a nivel global.
A través de un análisis detallado, el informe identifica los principales factores que contribuyen a las brechas cibernéticas en los sistemas de gestión de edificios. En particular, destaca cómo la combinación de la preparación interna, las presiones externas y las barreras organizacionales influye en la probabilidad de sufrir ciberataques. El informe muestra los hallazgos clave del estudio y las recomendaciones de IFMA para abordar los desafíos de la ciberseguridad en el sector de la gestión de instalaciones.
Escenarios de vulnerabilidad en la gestión de edificios
El informe de IFMA revela diez escenarios de ciberseguridad que ponen en riesgo la seguridad de las instalaciones, los cuales varían desde organizaciones con una preparación interna débil hasta modelos más robustos y resistentes. Entre los perfiles de mayor riesgo se encuentran entidades sin preparación interna, que dependen en gran medida de las presiones del mercado o de la tecnología, como el perfil del minimalista sin preparación, el reactor impulsado por el mercado, el luchador enfocado en la tecnología, la olla de presión externa, solidez financiera, director operativo, campeón en ciberseguridad, defensor polivalente, protector balanceado y defensor integral.
Estos escenarios, descritos en detalle en el informe, reflejan organizaciones que, aunque puedan tener infraestructura tecnológica avanzada, carecen de una base sólida en ciberseguridad interna. En estos casos, las brechas de seguridad son más comunes debido a la falta de planificación proactiva, la insuficiente capacitación del personal y la dependencia de factores externos para la toma de decisiones. El análisis fsQCA realizado en el informe revela diversos factores significativos que desempeñan un papel crucial en la determinación de la preparación de las organizaciones en términos de ciberseguridad.
A medida que se avanza hacia escenarios intermedios, las organizaciones presentan fortalezas parciales en áreas como la ciberseguridad, la financiación o la operación, pero no tienen un enfoque equilibrado que cubra todos los aspectos necesarios para una protección efectiva. Finalmente, en el nivel más alto de resiliencia se encuentran los modelos defensores integrales, que combinan preparación operativa, capacidad financiera, ciberseguridad y atención al entorno, convirtiéndose en las entidades más protegidas frente a ciberamenazas.
El impacto de las barreras organizacionales
Uno de los hallazgos más relevantes del informe es que las barreras organizacionales y de conocimiento juegan un papel crucial en el aumento del riesgo cibernético. La falta de formación especializada, la mala coordinación interna o la asignación insuficiente de recursos para la gestión de la ciberseguridad son factores que incrementan notablemente la exposición de las organizaciones a ataques.
A pesar de la creciente digitalización de los edificios y la implementación de soluciones tecnológicas avanzadas como IoT y sistemas interconectados, muchas organizaciones todavía carecen de personal capacitado y de una estructura de gestión adecuada para afrontar estos retos. La falta de una cultura de ciberseguridad dentro de las empresas y la escasa inversión en formación y equipos especializados contribuyen a que las infraestructuras sean más vulnerables.
Este déficit organizacional también está relacionado con la deficiente coordinación entre departamentos. Las decisiones sobre ciberseguridad suelen ser tomadas de forma aislada, sin tener en cuenta el panorama general de la infraestructura del edificio o los sistemas interconectados. La falta de comunicación entre los responsables de TI, la seguridad física y los administradores de las instalaciones puede resultar en soluciones parciales e ineficaces, que no logran proteger todos los frentes vulnerables.
Preparación interna frente a las presiones externas
El informe pone de manifiesto un hallazgo relevante: la preparación interna tiene un impacto mucho mayor en la reducción del riesgo de ciberataques que las presiones externas. Mientras que las presiones del entorno, como la dinámica del mercado o las amenazas tecnológicas externas, son factores importantes, la clave para mitigar los riesgos radica en una gestión interna proactiva.
Las organizaciones con políticas claras de ciberseguridad, formación continua y sistemas robustos presentan significativamente menos incidentes, incluso en entornos de alta complejidad tecnológica. Estos modelos internos son capaces de anticipar los riesgos y actuar antes de que los ataques tengan lugar, en lugar de esperar una respuesta reactiva. Esto demuestra la importancia de contar con un plan estratégico de ciberseguridad bien definido y ejecutado internamente, independientemente de las fluctuaciones externas.
Inversión en ciberseguridad: la clave para mitigar riesgos
El informe de IFMA recomienda que las organizaciones prioricen la inversión en sistemas internos como la base para una defensa eficaz contra los ciberataques. Esta inversión debe centrarse en fortalecer la preparación operativa y las capacidades de ciberseguridad. Además, es esencial evaluar de manera continua la criticidad de los activos, especialmente los sistemas financieros y de TI, para garantizar que las inversiones se alineen adecuadamente con los riesgos y las prioridades de protección.
El estudio destaca que las organizaciones que realizan evaluaciones periódicas de sus activos más críticos están mejor posicionadas para hacer frente a posibles amenazas. Asimismo, la asignación de presupuesto suficiente para mantener actualizados los sistemas de protección es fundamental para evitar brechas de seguridad.
Adoptar un enfoque integral de ciberseguridad
Finalmente, IFMA enfatiza la necesidad de adoptar un enfoque integral de la ciberseguridad que combine diversos elementos: preparación interna, vigilancia del entorno y la correcta priorización de activos. Esta estrategia debe ser flexible, ajustándose a los cambios tecnológicos, las nuevas amenazas externas y las necesidades específicas de cada organización.
El informe aboga por un modelo holístico que involucre a todos los departamentos clave, integrando la ciberseguridad con las estrategias generales de gestión de instalaciones. El personal debe ser entrenado, los sistemas deben estar interconectados de forma segura, y la protección debe abarcar tanto el ámbito físico como el digital. Solo mediante un enfoque cohesivo y multidisciplinario será posible crear una defensa sólida frente a las ciberamenazas.
En un contexto de creciente digitalización de los edificios y la convergencia de tecnologías IT y OT, el informe de IFMA ofrece un análisis valioso sobre las brechas de ciberseguridad en la gestión de instalaciones. El estudio subraya que la clave para reducir los riesgos cibernéticos no está solo en la adopción de tecnología avanzada, sino también en una gestión adecuada y proactiva de la ciberseguridad a nivel organizacional.
La integración de un enfoque integral y la priorización de la formación y recursos internos serán esenciales para fortalecer la defensa de las infraestructuras críticas y garantizar su resiliencia frente a futuras amenazas cibernéticas.