La International Facility Management Association (IFMA), la mayor asociación mundial de profesionales del facility management, ha publicado el informe “Brechas de ciberseguridad en la administración de las instalaciones”, un estudio que analiza en profundidad los riesgos digitales que enfrenta el sector. La investigación, elaborada por la Dra. Erika Pärn y Jeffrey Saunders, se basa en 372 encuestas realizadas a gestores de instalaciones de más de 100 países, lo que la convierte en la más amplia de su tipo a nivel global.

El estudio examina cómo la combinación de preparación interna, presiones externas y barreras organizacionales influye en la probabilidad de sufrir incidentes de ciberseguridad en los sistemas de gestión de edificios. Mediante un análisis comparativo cualitativo (fsQCA), los investigadores identificaron 10 configuraciones de vulnerabilidad que conducen con frecuencia a brechas cibernéticas, integrando factores como la preparación operativa, la solidez financiera, la turbulencia tecnológica y las barreras legales y de conocimiento.

Perfiles de riesgo

El estudio de IFMA identifica diez escenarios de ciberseguridad en la gestión de instalaciones que van desde organizaciones altamente vulnerables hasta modelos robustos de protección. En el extremo de mayor riesgo se sitúan aquellas entidades sin preparación interna que dependen de presiones externas del mercado o de la tecnología, como el “minimalista sin preparación”, el “reactor impulsado por el mercado”, el “luchador enfocado en la tecnología” y la “olla de presión externa”. En niveles intermedios aparecen organizaciones con fortalezas parciales, ya sea financiera, operativa o exclusivamente en ciberseguridad, pero sin un enfoque equilibrado. En el nivel más sólido se encuentran los modelos que combinan preparación operativa, ciberseguridad, capacidad financiera y atención al entorno, destacando el “defensor integral” como el perfil más resiliente frente a las ciberamenaza.

Uno de los hallazgos más relevantes es que la preparación interna —especialmente en ciberseguridad y operaciones— tiene un impacto mucho mayor en la reducción del riesgo que las presiones del entorno. Las organizaciones con políticas claras, formación periódica y sistemas robustos presentan significativamente menos incidentes, incluso en contextos de alta complejidad tecnológica.

El informe también subraya el peso de las barreras organizacionales y de conocimiento, como la falta de formación especializada, la mala coordinación interna o la asignación insuficiente de recursos, que incrementan notablemente la exposición a ataques. Asimismo, señala que la percepción de criticidad de los activos, en especial los sistemas financieros y de TI, influye en la inversión en ciberseguridad, aunque solo resulta efectiva cuando va acompañada de una preparación interna adecuada.

La solución, un enfoque integral de la ciberseguridad

Basándose en los hallazgos, el estudio plantea cuatro líneas estratégicas de actuación centradas en reforzar la ciberseguridad del sector. En primer lugar, recomienda priorizar la inversión en sistemas internos, fortaleciendo la preparación operativa y las capacidades de ciberseguridad como base de una defensa eficaz. Asimismo, subraya la necesidad de evaluar de forma periódica la criticidad de los activos, especialmente la infraestructura de TI y los sistemas financieros, para alinear adecuadamente las inversiones.

 El informe también insta a las organizaciones a responder de manera activa a las presiones externas, como la dinámica del mercado o la turbulencia tecnológica, ajustando sus estrategias de protección. Por último, aboga por adoptar un enfoque integral que combine preparación interna, vigilancia del entorno y correcta priorización de activos para construir una defensa holística frente a los ciberataques.

En un contexto marcado por la digitalización de los edificios, el uso de IoT y la convergencia entre tecnologías IT y OT, el estudio adquiere especial relevancia al evidenciar el aumento de la superficie de ataque en infraestructuras críticas.