Por: Marcos Polanco, Director Ejecutivo de Gobierno Corporativo y CISO de Scitum TELMEX.
Nunca habíamos tenido tanta visibilidad en ciberseguridad y, paradójicamente, nunca había sido tan fácil perder el control.
Hoy las organizaciones cuentan con herramientas capaces de identificar múltiples entornos, monitorear prácticamente cada evento, generar miles de alertas y presentar indicadores en tiempo real. Sin embargo, esa gran cantidad de información no necesariamente se traduce en mayor control; de hecho, muchas veces ocurre lo contrario, se genera la sensación de que todo está bajo control, cuando en realidad la capacidad de actuar se ve limitada.
Visibilidad en constante crecimiento
Durante los últimos años, gran parte de la evolución tecnológica en ciberseguridad se ha orientado a aumentar la capacidad de observación del entorno digital. Las organizaciones despliegan plataformas de monitoreo, detección y análisis que generan volúmenes masivos de telemetría. Tecnologías como SIEM, EDR o XDR permiten recolectar y correlacionar eventos para detectar comportamientos anómalos en redes, sistemas y endpoints. Los dashboards ejecutivos muestran métricas en tiempo real y prometen ofrecer una comprensión cada vez más precisa de lo que ocurre en la infraestructura digital.
A esto se suma una nueva generación de soluciones centradas en la gestión de la postura de seguridad, tales como Cloud Security Posture Management (CSPM), Data Security Posture Management (DSPM), Identity Posture Management, SaaS Security Posture Management o incluso iniciativas emergentes en AI Security Posture Management, que buscan complementar la visión de la superficie de ataque de una organización para que sea lo más completa posible.
Todo esto representa un avance importante. Nunca habíamos tenido tantas herramientas para identificar vulnerabilidades, exposiciones y comportamientos sospechosos. Lo importante no es solo cuánto podemos ver, sino qué tan bien entendemos lo que vemos y, sobre todo, qué hacemos con ello.
Cuando la visibilidad crea una ilusión de control
El alto volumen de información puede generar una contradicción: mientras más visibilidad existe, más fácil es asumir que el riesgo está bajo control. La capacidad de ver cada vez más no siempre viene acompañada de su equivalente para actuar.
En muchos entornos esto se refleja claramente. Los SOC reciben miles de alertas, los equipos generan reportes extensos (que muchas veces no se leen) y los dashboards muestran actividad constante. Todo parece indicar que la seguridad está funcionando.
Pero la realidad puede ser distinta. Vulnerabilidades críticas que tardan meses en corregirse, alertas que nadie alcanza a investigar, exposiciones que permanecen abiertas y obsolescencia tecnológica tolerada.
Las organizaciones ven más problemas que nunca. Pero ver más no significa resolver más. La visibilidad, por sí sola, no reduce el riesgo, debe traducirse en decisiones y acciones.
El OODA loop: cómo funcionan realmente las decisiones
Para entender por qué ocurre esto, resulta útil observar cómo funcionan los ciclos de decisión en entornos dinámicos. Un modelo ampliamente utilizado (que no surge en el ámbito de la ciberseguridad) para describir este proceso es el OODA loop, que describe un ciclo compuesto por cuatro fases: Observe → Orient → Decide → Act.
Primero se observa el entorno y se recolecta información, después se interpreta esa información para entender qué significa, a partir de ahí se toman decisiones y finalmente se ejecutan acciones.
En ciberseguridad, la tecnología ha facilitado enormemente la fase de observación (tener visibilidad). Hoy es posible recolectar cantidades masivas de información sobre lo que ocurre en sistemas, redes, identidades, datos y entornos de nube. Observar es solo el primer paso. Los resultados vienen de lo que ocurre después: las decisiones y las acciones.
En muchas organizaciones el ciclo de decisión se rompe precisamente después de la fase de observación. El problema no es falta de información, sino todo lo contrario: un exceso que, sin contexto para priorizar adecuadamente qué representa un riesgo real, dificulta la toma de decisiones.
Por lo anterior, el segundo punto de ruptura aparece en la fase de decisión. Con frecuencia no está claro quién debe decidir qué hacer frente a determinados escenarios. Algunas decisiones requieren múltiples aprobaciones o implican impactos operativos por lo que se postergan.
Además, muchas de estas decisiones son, por naturaleza, complejas e incómodas. Pueden implicar detener un sistema vulnerable, posponer un despliegue, exigir correcciones urgentes o aceptar costos operativos adicionales.
Y cuando las decisiones son incómodas, a menudo nadie quiere tomarlas. Y ahí es donde la ciberseguridad deja de ser un problema técnico y se convierte en un tema de negocio y de liderazgo.
Finalmente, incluso cuando se logra decidir, el ciclo puede romperse en la fase de acción. Ante la complejidad de los entornos digitales, los procesos de remediación pueden ser lentos, las dependencias entre equipos complican la ejecución o simplemente no existen mecanismos suficientemente ágiles para implementar los cambios necesarios.
Cerrar el ciclo: de la visibilidad a la acción
Las organizaciones que logran mayor madurez en ciberseguridad suelen entender que la visibilidad es solo una parte de la estrategia. El verdadero reto está en diseñar capacidades que permitan cerrar el ciclo completo de decisión.
Esto implica, entre otras cosas, establecer procesos claros para responder, definir quién tiene la autoridad para decidir frente a distintos escenarios de riesgo y reducir la fricción organizacional que retrasa las acciones preventivas y correctivas. También implica automatizar ciertos procesos cuando tiene sentido hacerlo y medir indicadores que reflejen la efectividad operativa, como el tiempo de decisión o el tiempo de remediación.
La diferencia entre una organización que simplemente monitorea y una que realmente controla su riesgo está en su capacidad para completar el ciclo de decisión: observar, orientar, decidir y actuar.
Cuando ese ciclo se rompe, la visibilidad puede generar una peligrosa ilusión de control. Pero cuando se cierra correctamente, la información se convierte en acción y la ciberseguridad deja de ser solo un sistema que observa para convertirse en uno que realmente protege.
La ciberseguridad es el camino. La tranquilidad, el destino.
Lee más:
- José Carlos Huescas: Solo 17% de las empresas protege su IA: el dato que revela la brecha real detrás del boom tecnológico
- De la videovigilancia operativa a la ciberseguridad como prioridad empresarial
- Cómo la biotecnología y la IA están revolucionando la industria cosmética global
