El punto de vista de suscripción - Cyber
Head of Financial Lines, Cyber & Specialty Markets
Desde la suscripción ciber, y desde la experiencia de trabajar de forma recurrente con empresas del sector, la construcción es uno de los mejores ejemplos para entender cómo un incidente digital puede convertirse rápidamente en una interrupción del negocio.
La razón es sencilla: nunca se ha utilizado tanta tecnología ni de una forma tan interconectada. Sistemas informáticos, tecnología operativa, plataformas de terceros y cadenas de suministro digitales se combinan en tiempo real, y además en múltiples proyectos de manera simultánea. Esa complejidad, que aporta eficiencia y agilidad, también abre nuevas vías de exposición al riesgo.
En España, este escenario se desarrolla en un contexto cada vez más exigente. La entrada en vigor de la Directiva NIS2 y el refuerzo del marco nacional de ciberseguridad están elevando claramente las expectativas sobre cómo las empresas gestionan estos riesgos. Ya no se trata únicamente de evitar incidentes, sino de demostrar que la organización es capaz de seguir funcionando cuando algo falla. En la práctica, la resiliencia ciber empieza a tener un peso creciente en la relación con clientes, promotores y socios, e incluso a convertirse en un factor relevante a la hora de acceder a determinados proyectos.
Esta evolución se refleja también en el tipo de incidentes que estamos viendo en el mercado. Cada vez es más habitual que un ataque no se limite a un problema de datos o de privacidad. Lo verdaderamente crítico aparece cuando se interrumpe la operativa, se bloquea el acceso a sistemas clave o se generan impactos directos en procesos físicos a través de entornos conectados. En muchos casos, el mayor daño no es técnico, sino operativo y económico: obras paralizadas, retrasos acumulados y decisiones críticas que deben tomarse bajo una fuerte presión de tiempo. En construcción, hablar de riesgo ciber es hablar directamente de riesgo operativo.
Desde el punto de vista de la suscripción, y atendiendo a casos reales observados, llama la atención que muchos de los incidentes más graves no tienen su origen en ataques especialmente sofisticados. Con frecuencia están ligados a problemas bien conocidos: sistemas heredados difíciles de actualizar, una separación insuficiente entre entornos de IT y tecnología operativa, técnicas de ingeniería social o proveedores de confianza que, sin pretenderlo, acaban convirtiéndose en una vía de entrada para un atacante.
Trabajar de forma consistente sobre estos aspectos básicos marca una diferencia material. La correcta segmentación entre entornos de IT y OT sigue siendo una de las medidas más eficaces para limitar el impacto de un incidente. Lo mismo ocurre con disponer de visibilidad sobre sistemas legacy, corregir vulnerabilidades conocidas o invertir en formación para que las personas sepan identificar un correo de phishing o una llamada fraudulenta. Son medidas sencillas en apariencia, pero con un impacto claro en la reducción del Riesgo.
No obstante, la gestión del riesgo ciber no termina en la prevención. La capacidad de responder de forma rápida y ordenada cuando ocurre un incidente es igual de crítica. Contar con planes de respuesta probados, estructuras claras de toma de decisiones y una visión realista de los tiempos de recuperación es clave para minimizar el impacto en la actividad. En este contexto, disponer de un programa de seguros bien estructurado, alineado con la realidad operativa del negocio y respaldado por un enfoque técnico sólido, se convierte en una pieza esencial dentro de la estrategia global de resiliencia. Por todo ello, también están evolucionando las conversaciones con los corredores, con quienes cada vez trabajamos de forma más estrecha para trasladar este enfoque al cliente final. Las empresas muestran hoy menos interés por amenazas abstractas y más por cuestiones muy concretas: cuánto tiempo podrían estar paradas, cómo se verían afectados sus proyectos en curso y con qué rapidez podrían volver a la normalidad. En el sector de la construcción, este cambio de enfoque es especialmente relevante, porque en la práctica lo que se está asegurando cada vez más es el riesgo ciber y la interrupción del negocio como dos caras de una misma realidad.
El punto de vista de suscripción - Cyber
Head of Financial Lines, Cyber & Specialty Markets
Desde la suscripción ciber, y desde la experiencia de trabajar de forma recurrente con empresas del sector, la construcción es uno de los mejores ejemplos para entender cómo un incidente digital puede convertirse rápidamente en una interrupción del negocio.
La razón es sencilla: nunca se ha utilizado tanta tecnología ni de una forma tan interconectada. Sistemas informáticos, tecnología operativa, plataformas de terceros y cadenas de suministro digitales se combinan en tiempo real, y además en múltiples proyectos de manera simultánea. Esa complejidad, que aporta eficiencia y agilidad, también abre nuevas vías de exposición al riesgo.
En España, este escenario se desarrolla en un contexto cada vez más exigente. La entrada en vigor de la Directiva NIS2 y el refuerzo del marco nacional de ciberseguridad están elevando claramente las expectativas sobre cómo las empresas gestionan estos riesgos. Ya no se trata únicamente de evitar incidentes, sino de demostrar que la organización es capaz de seguir funcionando cuando algo falla. En la práctica, la resiliencia ciber empieza a tener un peso creciente en la relación con clientes, promotores y socios, e incluso a convertirse en un factor relevante a la hora de acceder a determinados proyectos.
Esta evolución se refleja también en el tipo de incidentes que estamos viendo en el mercado. Cada vez es más habitual que un ataque no se limite a un problema de datos o de privacidad. Lo verdaderamente crítico aparece cuando se interrumpe la operativa, se bloquea el acceso a sistemas clave o se generan impactos directos en procesos físicos a través de entornos conectados. En muchos casos, el mayor daño no es técnico, sino operativo y económico: obras paralizadas, retrasos acumulados y decisiones críticas que deben tomarse bajo una fuerte presión de tiempo. En construcción, hablar de riesgo ciber es hablar directamente de riesgo operativo.
Desde el punto de vista de la suscripción, y atendiendo a casos reales observados, llama la atención que muchos de los incidentes más graves no tienen su origen en ataques especialmente sofisticados. Con frecuencia están ligados a problemas bien conocidos: sistemas heredados difíciles de actualizar, una separación insuficiente entre entornos de IT y tecnología operativa, técnicas de ingeniería social o proveedores de confianza que, sin pretenderlo, acaban convirtiéndose en una vía de entrada para un atacante.
Trabajar de forma consistente sobre estos aspectos básicos marca una diferencia material. La correcta segmentación entre entornos de IT y OT sigue siendo una de las medidas más eficaces para limitar el impacto de un incidente. Lo mismo ocurre con disponer de visibilidad sobre sistemas legacy, corregir vulnerabilidades conocidas o invertir en formación para que las personas sepan identificar un correo de phishing o una llamada fraudulenta. Son medidas sencillas en apariencia, pero con un impacto claro en la reducción del Riesgo.
No obstante, la gestión del riesgo ciber no termina en la prevención. La capacidad de responder de forma rápida y ordenada cuando ocurre un incidente es igual de crítica. Contar con planes de respuesta probados, estructuras claras de toma de decisiones y una visión realista de los tiempos de recuperación es clave para minimizar el impacto en la actividad. En este contexto, disponer de un programa de seguros bien estructurado, alineado con la realidad operativa del negocio y respaldado por un enfoque técnico sólido, se convierte en una pieza esencial dentro de la estrategia global de resiliencia. Por todo ello, también están evolucionando las conversaciones con los corredores, con quienes cada vez trabajamos de forma más estrecha para trasladar este enfoque al cliente final. Las empresas muestran hoy menos interés por amenazas abstractas y más por cuestiones muy concretas: cuánto tiempo podrían estar paradas, cómo se verían afectados sus proyectos en curso y con qué rapidez podrían volver a la normalidad. En el sector de la construcción, este cambio de enfoque es especialmente relevante, porque en la práctica lo que se está asegurando cada vez más es el riesgo ciber y la interrupción del negocio como dos caras de una misma realidad.
Atículo