Durante el III Congreso Internacional de Ciberseguridad de la ABV, Ignacio Triana Cortés, Director de Estrategia de Ciberseguridad para NOLA de Nextcom/TrendAI, dictó la conferencia titulada ¿Donde la ciberserguridad se encuentra con la estrategia de negocio?
El especialista colombiano expuso la necesidad urgente de evolucionar la conversación entre los equipos técnicos y la alta gerencia, sustituyendo los reportes tradicionales por la cuantificación económica del riesgo.
La era de la incertidumbre global y regional
El panorama actual se caracteriza por una volatilidad acelerada, impulsada en gran medida por la adopción masiva de la inteligencia artificial. Según datos del World Economic Forum citados por Triana Cortés, el 50% de los líderes globales afirma vivir en un ambiente de turbulencia continua, una cifra que se proyecta aumentará al 57% en los próximos diez años, con alta probabilidad de convertirse en un escenario caótico si no se gestiona correctamente.
A nivel regional, el escenario presenta desafíos estructurales complejos:
-El 72% de los líderes en ciberseguridad percibe riesgos crecientes asociados al uso de nuevas tecnologías.
-El 48% observa con preocupación el impacto de la inteligencia artificial en las amenazas actuales.
-Sólo el 14% de las organizaciones encuestadas por IDC afirma contar con el personal adecuado y capacitado dentro del rol de seguridad.
– 1 de cada 3 directores de seguridad de la información (CISO) identifica al espionaje corporativo como una de las preocupaciones más críticas para la continuidad del negocio.
La pirámide organizacional y la traducción del lenguaje técnico
Uno de los principales problemas en las organizaciones es la brecha de comunicación entre la base operativa y la cúpula ejecutiva. La estructura corporativa se divide tradicionalmente en tres niveles: la junta directiva, encargada de las decisiones macro del negocio; las líneas de negocio, que conectan la estrategia con la operación; y la base operativa, encargada de métricas exactas, parches de sistemas y datos de red.
El error común de los líderes de seguridad, alerta el experto, radica en reportar datos operativos, como la cantidad de vulnerabilidades detectadas o ataques bloqueados, a la junta directiva. Para los tomadores de decisiones, esta información carece de contexto estratégico. «La conversación debe transformarse para responder si el nivel de riesgo actual compromete el lanzamiento de un nuevo producto, el cumplimiento de regulaciones locales o los procesos de adquisición de otras compañías», informa.
De la respuesta reactiva a la predictividad
La madurez en ciberseguridad requiere transitar por tres etapas fundamentales.
La primera es la madurez básica, centrada en la adquisición de controles y herramientas de protección. La segunda fase se enfoca en la gestión basada en el riesgo, identificando la exposición real de la infraestructura. La tercera etapa es la proactividad, cuyo objetivo es anticipar las brechas antes de que ocurran.
En la actualidad, la distribución presupuestaria en las empresas demuestra un enfoque altamente reactivo. Las organizaciones invierten entre el 35% y el 65% de sus recursos en detección y respuesta durante una brecha, y entre el 25% y el 35% en ciberresiliencia para la recuperación posterior al ataque. En contraste, sólo destina entre el 0% y el 5% del presupuesto a la predictividad. La meta estratégica debe orientarse a robustecer este último porcentaje para ralentizar y bloquear las acciones de los ciberdelincuentes.
La brújula del CISO y la cuantificación monetaria
Para navegar en entornos de alta incertidumbre, el vocero propuso la adopción de herramientas metodológicas avanzadas como la simulación de Monte Carlo, el framework de gestión FAIR y los Centros de Operaciones de Ciberriesgo (CROC). A diferencia de un SOC (Centro de Operaciones de Seguridad) tradicional centrado en la respuesta a incidentes, el CROC busca la anticipación mediante el análisis de datos reales de la infraestructura en tiempo real.
Esta integración metodológica permite abandonar los mapas de calor subjetivos y los formularios anuales, sustituyéndolos por valores absolutos. El índice de riesgo resultante se traduce directamente a dólares, permitiendo calcular el impacto económico exacto de un posible ataque de ransomware o una filtración de bases de datos críticas.
«Al hablar en términos financieros, el líder de ciberseguridad deja de ser visto como un centro de costos o un freno operativo, transformándose en un asesor estratégico indispensable para la toma de decisiones generales de la empresa», destacó el ponente.
Fuente: CDOL
