Fomentando una cultura centrada en lo digital mediante una gobernanza estratégica.

La tecnología está transformando la manera en que se diseñan, gestionan y entregan los proyectos en el entorno construido, gracias a herramientas como la inteligencia artificial generativa, la colaboración en la nube y las plataformas de construcción inteligentes. Sin embargo, muchas empresas de arquitectura, ingeniería y construcción (AEC) aún enfrentan desafíos debido a infraestructuras tecnológicas heredadas que han evolucionado sin una estrategia digital a largo plazo. Esto crea un enfoque fragmentado, que las deja expuestas a amenazas cibernéticas.

Aunque la satisfacción del cliente, la excelencia en el diseño y la entrega de proyectos son prioridades para estas empresas, los fundamentos digitales que respaldan estos resultados, como la ciberseguridad, a menudo son insuficientes o se pasan por alto. En medio de un aumento en la sofisticación y frecuencia de los ataques cibernéticos, es esencial que las empresas AEC fortalezcan su resistencia para proteger sus operaciones y su reputación. La integración de la seguridad en internet en la cultura organizacional es crucial para alcanzar este objetivo.

Los ataques cibernéticos son una realidad cotidiana. Con el aumento de las tensiones geopolíticas y la organización del cibercrimen, las empresas AEC están siendo blanco de ataques más frecuentemente. Una investigación reciente revela que uno de cada ocho ataques de ransomware ahora está dirigido a esta industria, utilizando métodos avanzados como modelos de Ransomware-as-a-Service (RaaS), ingeniería social y técnicas de intermediación para evadir la seguridad tradicional.

Adicionalmente, las empresas de tamaño pequeño a mediano suelen carecer de equipos dedicados a ciberseguridad, lo que recarga a los departamentos de TI ya sobrecargados. Ellos deben gestionar tanto la infraestructura de red como la administración de licencias de software, dejando poco espacio para medidas proactivas de ciberseguridad. Este descuido puede tener graves consecuencias si las violaciones de seguridad no son detectadas o abordadas.

No basta con las soluciones técnicas. Aunque tecnologías como las recomendadas en Cyber Essentials y Cyber Essentials Plus son valiosas para protegerse contra los ataques cibernéticos, son solo una parte de una estrategia cibernética más amplia. Las herramientas como cortafuegos, software antivirus y autenticación multifactor (MFA) son adoptadas como prácticas recomendadas para proteger sistemas y datos. Sin embargo, en un entorno colaborativo complejo como el de la industria AEC, estas soluciones necesitan ser respaldadas por una gobernanza robusta y una cultura de conciencia para que se utilicen de manera efectiva.

Los líderes deben reconocer que la ciberseguridad no es solo un problema de TI, sino una necesidad empresarial. Las empresas AEC realizan proyectos de infraestructura nacional crítica, manejan datos sensibles de clientes, protegen su propiedad intelectual y gestionan transacciones financieras de gran escala. Las consecuencias de una violación pueden ser devastadoras, desde retrasos en los proyectos hasta daños a la reputación y multas significativas en casos de pérdida de datos personales.

Además de implementar las tecnologías adecuadas, las empresas AEC deben establecer procesos prácticos de ciberseguridad para fortalecer sus defensas. Esto incluye que los equipos de TI desarrollen procesos de respaldo y recuperación de datos. La gestión oportuna de actualizaciones protege contra vulnerabilidades conocidas, y la aplicación de controles de acceso y MFA es vital para limitar la exposición y prevenir accesos no autorizados.

La gobernanza es fundamental para la ciberresiliencia. Aunque las medidas técnicas son esenciales, sin una gobernanza sólida y una cultura de conciencia en ciberseguridad, es poco probable que sean efectivas. La gobernanza proporciona la estructura y la responsabilidad necesaria para integrar la ciberseguridad en la organización, asegurando que las políticas no solo se creen, sino que también se entiendan y se revisen regularmente.

Para las empresas AEC, la gobernanza efectiva implica definir roles claros a través de los departamentos y equipos de proyecto, establecer protocolos de respuesta ante incidentes y alinear la ciberseguridad con los objetivos empresariales globales. Igualmente, es crucial auditar y actualizar las políticas con regularidad para mantenerse al tanto de las amenazas emergentes y las nuevas tecnologías.

Un enfoque colaborativo es clave para la ciberseguridad en la industria AEC, donde arquitectos, ingenieros, contratistas y consultores operan en diversas plataformas. Este trabajo interconectado, aunque esencial, presenta vulnerabilidades. El error humano sigue siendo una de las principales causas de las violaciones de datos: correos electrónicos de phishing que aparentan ser actualizaciones de proyectos, adjuntos maliciosos y solicitudes de inicio de sesión fraudulentas son tácticas comunes.

Para mitigar estos riesgos, las empresas AEC deben establecer políticas internas claras que guíen comportamientos seguros y asegurarse de que todos los empleados comprendan y sigan las mejores prácticas. También deben mantener canales de comunicación abiertos sobre actividades sospechosas y ofrecer capacitación regular en ciberseguridad adaptada a todos los roles.

En última instancia, la ciberseguridad debe elevarse de una función de TI de fondo a una prioridad central en el negocio. La confianza y la reputación son vitales en el sector AEC, donde se maneja información delicada y se entregan proyectos complejos. Los riesgos de un ataque cibernético son demasiado altos para ignorarlos. Al invertir en buenas prácticas de gobernanza, fomentar una cultura de conciencia y aplicar controles técnicos robustos, las empresas AEC pueden construir una base ciber-resiliente que proteja sus activos y asegure un entorno seguro para la innovación.