Un Abordaje Integral de la Ciberseguridad: Personas, procesos y tecnología

Artículo por Luis Gorgona, originalmente publicado en el diario La República.

En un entorno digital en constante evolución, las amenazas cibernéticas son cada vez más sofisticadas, persistentes y dirigidas. Por ello, ya no basta con implementar soluciones aisladas. En esencia, existen 3 componentes básicos dentro de los procesos tecnológicos de la empresa que deben de ser abordados:

Procesos: Conjunto de políticas, procedimientos, estándares y prácticas que definen cómo la organización gestiona la ciberseguridad de manera estructurada y repetible. Los procesos aseguran consistencia, trazabilidad y la capacidad de responder eficazmente a incidentes.

Personas: En ciberseguridad, se refiere al conjunto de usuarios, colaboradores, directivos y terceros que interactúan con los sistemas y datos de la organización. Incluye su nivel de conciencia, conocimientos, comportamientos y responsabilidades frente a la protección de la información.

Tecnologías: Infraestructura, herramientas y soluciones técnicas que previenen, detectan, responden y recuperan frente a amenazas cibernéticas. Abarca desde la configuración segura de sistemas, redes y aplicaciones, hasta el uso de análisis de vulnerabilidades, sistemas de monitoreo, gestión de incidentes y pruebas de penetración. La tecnología actúa como un habilitador que potencia la eficacia de los procesos y respalda las acciones del personal.

Si uno sólo de estos factores falla en una organización, el ecosistema de ciberseguridad de un a organización se puede ver expuesto a amenazas o riesgos materializados, que atenten contra los activos digitales de la empresa.

Ante el panorama cambiante del entorno de amenazas cibernéticas actual, se requiere un enfoque integral de la ciberseguridad, que considere no solo las tecnologías implementadas, sino también los procesos y, especialmente, las personas.

1. Personas: El eslabón más fuerte (o débil)

Aunque muchas veces se considera al usuario como “el eslabón más débil”, este puede convertirse en una línea de defensa clave si se le equipa adecuadamente. Algunas de las acciones que podemos tomar respecto a las personas en nuestras organizaciones se detallan a continuación:

a. Capacitación continua: La concienciación en ciberseguridad no debe limitarse a una charla anual. Debe ser un proceso constante y actualizado que incluya:

• Talleres interactivos sobre amenazas emergentes.
• Evaluaciones post-capacitación para verificar la retención del conocimiento.

b. Pruebas de ingeniería social: Estas pruebas permiten medir el nivel real de preparación y concienciación del personal:

• Campañas de phishing simuladas.
• Pruebas de pretexting (llamadas falsas para obtener credenciales).
• Evaluaciones de comportamiento ante escenarios de suplantación.

Este componente no solo identifica vulnerabilidades humanas, sino que sirve como retroalimentación para mejorar los programas educativos. No debe de ser usado como un componente punitivo en la organización, sino como un catalizador que nos permita determinar si se requiere reforzar la capacitación.

Un elemento que ha permitido que las nuevas generaciones adopten mejores medidas de ciberseguridad son las experiencias gamificadas, que permiten que los colaboradores aprendan de una forma lúdica los conceptos de ciberseguridad y prueben sus conocimientos o capacidades de respuesta y sensibilidad.

2. Procesos: Estructurando la defensa

La implementación de ciberseguridad efectiva requiere de procesos definidos, medibles y repetibles. Para ello, es fundamental evaluar y mejorar continuamente el nivel de madurez organizacional.

a. Marcos de ciberseguridad recomendados: No es necesario rompernos la cabeza tratando de definir nuestro propio marco de ciberseguridad. Ya existen en el mundo marcos de ciberseguridad que nos permiten conocer las buenas prácticas en la materia. A continuación, citamos los 3 principales marcos en la actualidad:

• CSC 18 (CIS Critical Security Controls): Una guía priorizada de controles esenciales que ayuda a minimizar el riesgo más significativo. Es útil para organizaciones que desean comenzar con un enfoque práctico y efectivo.
• NIST Cybersecurity Framework (CSF): Estructurado en cinco funciones (Identificar, Proteger, Detectar, Responder y Recuperar), este modelo es flexible y ampliamente adoptado para diseñar y evaluar programas de seguridad.
• ISO/IEC 27001. El estándar internacional por excelencia para Sistemas de Gestión de Seguridad de la Información (SGSI). Permite certificar la seguridad mediante políticas, procedimientos y controles documentados.

b. Evaluación de madurez

La aplicación de estos marcos permite realizar autoevaluaciones periódicas. Se recomienda usar modelos de madurez basados en el CMMI, que permitan determinar los siguientes documentos:

• Diagnóstico de brechas: Proceso de identificar y documentar las diferencias entre el estado actual de la ciberseguridad en la organización y el nivel deseado o requerido por marcos de referencia como los mencionados en el apartado anterior.
  • Utilidad: Permite conocer con precisión dónde existen vulnerabilidades, deficiencias o incumplimientos.
  • Importancia: Es el punto de partida para cualquier plan de mejora, ya que proporciona una visión objetiva de la situación actual y evita invertir recursos en acciones no prioritarias.
• Definición de un roadmap de mejoras: Creación de un plan estructurado y escalonado que establece las acciones necesarias para cerrar las brechas detectadas, asignando responsables, plazos y recursos.
  • Utilidad: Facilita la planificación y seguimiento de iniciativas de seguridad de forma ordenada y medible.
  • Importancia: Garantiza que la implementación de mejoras sea progresiva, sostenible y alineada con la estrategia corporativa, evitando esfuerzos dispersos.
• Priorización de iniciativas de acuerdo con riesgos y objetivos del negocio: Esto inicia con la evaluación de las acciones propuestas en función de su impacto en la reducción de riesgos, la criticidad de los activos afectados y su contribución a los objetivos estratégicos de la organización.
  • Utilidad: Ayuda a optimizar la asignación de recursos, enfocándose primero en lo que representa mayor beneficio y mitigación de amenazas.
  • Importancia: Permite un equilibrio entre seguridad y viabilidad operativa, maximizando el retorno de inversión en ciberseguridad.

3. Tecnología: Habilitador y escudo

Una arquitectura tecnológica robusta no solo debe centrarse en la protección perimetral, sino también en la detección temprana y respuesta efectiva ante incidentes.

Para tales efectos, existen una serie de componentes que debemos tomar en consideración, a saber:

a. Configuración segura y endurecimiento

• Aplicación de principios de mínimos privilegios.
• Desactivación de servicios innecesarios.
• Gestión segura de configuraciones base (baselines).

b. Análisis de vulnerabilidades

• Escaneos periódicos internos y externos.
• Gestión de parches críticos.
• Herramientas como Nessus, OpenVAS o Qualys ayudan a automatizar este proceso.

c. Pruebas de penetración (pentesting)

Un componente esencial para simular ataques reales y evaluar la resistencia:

• Pruebas de caja blanca, negra o gris.
• Análisis de aplicaciones web, infraestructura, redes y sistemas.
• Informes detallados con recomendaciones de remediación.

Las pruebas de penetración deben ser recurrentes y acompañadas por acciones correctivas documentadas y seguidas por la alta dirección.

En conclusión, el abordaje integral de la ciberseguridad exige una sinergia entre personas capacitadas, procesos maduros y tecnologías bien gestionadas. Solo mediante esta tríada coordinada se puede construir una cultura de seguridad resiliente, capaz de anticiparse, resistir y recuperarse ante cualquier amenaza cibernética. Las organizaciones que adopten este enfoque no solo protegerán mejor su información y activos, sino que fortalecerán su reputación, su ventaja competitiva y su capacidad de operar con confianza en el entorno digital.