Casi 70% de las empresas carecen de una metodología formal para medir la ciberresiliencia operativa, según un estudio de ManageEngine
ManageEngine, principal división de Zoho Corporation y especializada en soluciones de gestión de sistemas TI empresarial (ITIL/ITOM), ha presentado los resultados de su último estudio, Resiliencia Operativa en 2026, diseñado junto a junto IO Investigación para determinar el grado de preparación de las organizaciones a la hora de anticiparse, resistir, responder y recuperarse ante incidentes de ciberseguridad.
El informe revela una aparente paradoja en España: es el país con el menor porcentaje de ciberincidentes registrados en los últimos doce meses entre los cinco países europeos analizados (España, Países Bajos, Alemania, Italia y Reino Unido), pero también presenta algunos de los niveles más bajos en materia de previsión, metodologías y madurez en ciberresiliencia.
En concreto, el 47% de las organizaciones españolas ha sufrido un ciberincidente en el último año, una tasa muy inferior a la media europea (66%). Sin embargo, el estudio advierte de que una menor tasa de ataques no implica necesariamente un mayor nivel de seguridad, sino quizás de desconocimiento de lo que está pasando.
Sin medir no puedes saber
España es el país con menor adopción de una metodología adecuada para evaluar el nivel general de ciberresiliencia, con solo un 35% de organizaciones que afirma contar con una. Esta cifra se sitúa muy por debajo de los índices de adopción del resto de países analizados y de la media, situada en el 56%. Esto significa que cerca de siete de cada diez empresas españolas carecen de un marco formal para medir y mejorar su resiliencia frente a los ciberincidentes.
“El dato más relevante no es solo cuántas empresas han sufrido un ciberincidente, sino cuántas están realmente preparadas para responder, aprender y reforzar sus operaciones. Las organizaciones necesitan visibilidad, métricas y procedimientos claros antes, durante y después de un incidente. Sin una metodología formal, resulta difícil priorizar inversiones, asignar responsabilidades y reducir el impacto de una crisis en el negocio”, explica Andrés Mendoza, director técnico para el sur de Europa y Latinoamérica de ManageEngine.
Menos ataques, pero menor preparación estructural
Casi la mitad de las empresas españolas (49%) realiza únicamente mejoras puntuales centradas en las brechas detectadas tras un ciberincidente, mientras que solo el 30% aplica cambios más amplios en su estrategia a largo plazo. Esto indica que muchas organizaciones siguen optando por respuestas tácticas o correctivas, centradas en resolver el problema a corto plazo, en lugar de abordar cada incidente como una oportunidad para transformar su modelo de protección, recuperación y continuidad operativa.
La investigación también pone de relieve que el 25% de las empresas españolas no cuenta con objetivos temporales definidos para detectar y responder a incidentes críticos, lo que sitúa a España muy por detrás del resto de países encuestados. Además, el 17% de las organizaciones españolas carece de una estrategia de backup para la recuperación ante desastres, el porcentaje más alto entre los cinco países analizados.
La ciberresiliencia, clave en una estrategia proactiva
Según Mendoza, la creciente dependencia de las infraestructuras digitales, los entornos híbridos, las aplicaciones críticas y los servicios en la nube debería llevar a las organizaciones a integrar la resiliencia en su estrategia de negocio. Además, anticipa que esto será especialmente importante, ya que las organizaciones españolas prevén que los ataques impulsados por IA representen el mayor riesgo en los próximos doce meses, mientras que la monitorización y detección de amenazas se identifican como su principal prioridad de inversión.
“La ciberresiliencia operativa exige pasar de una visión reactiva de la seguridad a un enfoque continuo, medible y colaborativo, en el que la tecnología, los procesos y la responsabilidad ejecutiva funcionen de forma coordinada”, señala el directivo de ManageEngine.
