Las pequeñas y medianas empresas ya no pueden limitarse a adoptar un marco de ciberseguridad por su popularidad o para cumplir un requisito formal. La irrupción de nuevas normativas, la expansión de la inteligencia artificial y la llegada de los estándares de criptografía poscuántica han transformado el escenario, obligando a las organizaciones a revisar sus estrategias de protección digital, según un informe de IDC.
La consultora identifica cuatro cambios que han redefinido el panorama desde 2022. Entre ellos destacan la actualización del marco NIST CSF 2.0, que sitúa la ciberseguridad como una responsabilidad de los consejos de administración; la entrada en vigor del reglamento europeo DORA para el sector financiero; la publicación de los primeros estándares de criptografía poscuántica por parte del NIST y la aparición de nuevos riesgos asociados a la implantación de herramientas de inteligencia artificial generativa y agentes autónomos.
Para las empresas, especialmente las pymes, la elección del marco de ciberseguridad deja de ser una decisión exclusivamente tecnológica para convertirse en una cuestión de gestión del riesgo. IDC advierte de que adoptar un modelo demasiado complejo para el nivel de madurez de la organización puede resultar menos eficaz que implantar un sistema más sencillo, pero correctamente adaptado. La recomendación es que la decisión involucre a las áreas jurídica, financiera, de cumplimiento normativo y a la dirección de la empresa.
En el caso de las pequeñas empresas no sujetas a regulación específica, la consultora aconseja comenzar con marcos básicos como CIS Controls v8 (Implementation Group 1), diseñados para organizaciones con recursos limitados y fácilmente escalables conforme crece el negocio. Las compañías con programas de ciberseguridad más desarrollados o mayor exposición a amenazas deberían evolucionar hacia estándares como NIST CSF 2.0 o ISO 27001:2022, que incorporan funciones de gobierno y supervisión al máximo nivel.
IDC subraya además que la inteligencia artificial y la computación cuántica introducen riesgos que hace apenas tres años no formaban parte de las estrategias empresariales. La generalización de modelos de lenguaje y sistemas de IA aumenta la exposición a ataques como el phishing automatizado, la manipulación de modelos o las inyecciones de instrucciones maliciosas. Al mismo tiempo, la amenaza conocida como harvest now, decrypt later obliga a las organizaciones que manejan información sensible a comenzar desde ahora la planificación de la transición hacia algoritmos criptográficos resistentes a la computación cuántica.
Otro de los aspectos que cobra protagonismo es la gestión de proveedores. IDC considera que las empresas deberán reforzar el control sobre terceros y automatizar el cumplimiento normativo mediante plataformas de gobernanza, riesgo y cumplimiento (GRC), ya que la recopilación manual de evidencias resulta cada vez más inviable para responder simultáneamente a marcos como NIST CSF 2.0, ISO 27001 o DORA. La consultora recomienda desarrollar hojas de ruta a cinco años, priorizando las inversiones en función del riesgo y revisando la estrategia de forma anual.







