En los últimos años, la adopción de tecnologías de ciberseguridad ha experimentado un crecimiento sin precedentes. Las organizaciones han invertido significativamente en la expansión de sus herramientas de protección para alinearse con marcos y estándares como el de Ciberseguridad del NIST y la norma internacional ISO 27001, entre otros, con el objetivo de hacer frente a amenazas cada vez más sofisticadas.
Este incremento en la inversión se ha reflejado en presupuestos en constante expansión, impulsados por la incorporación de múltiples capas de soluciones dentro de sus infraestructuras tecnológicas. Según datos de la unidad de investigación de SILIKN, en 2024 las organizaciones implementaron, en promedio, 120 herramientas de seguridad distintas.
Sin embargo, este enfoque basado en la adquisición de herramientas no solucionó el problema de la ciberseguridad; por el contrario, generó flujos de trabajo desarticulados, tecnologías subutilizadas y una disminución en la eficacia de las estrategias de protección. La prioridad se centró en fortalecer las defensas mediante el equipamiento tecnológico, dejando en segundo plano la eficiencia operativa y la rendición de cuentas.
Este período de adquisiciones desmedidas puso en evidencia la falta de madurez del sector y la presión constante por invertir en nuevas soluciones, ya sea para cumplir con regulaciones o para mantenerse al día con las tendencias del mercado. A esto se sumaron agresivas estrategias de mercadotecnia por parte de fabricantes de hardware, software y herramientas de ciberseguridad, quienes, a través de tácticas persuasivas —y en muchos casos apelando al miedo—, impulsaron a las organizaciones a seguir adquiriendo más tecnología sin necesariamente optimizar su uso o efectividad.
Y esta visión centrada en la adquisición de tecnología puede ser un primer paso válido para establecer una infraestructura de seguridad y cumplir con los requisitos fundamentales. Sin embargo, dista mucho de garantizar una protección continua, esencial para resguardar tanto la organización como su rentabilidad a largo plazo.
En este sentido, el sector de ciberseguridad se encuentra en una fase de cambio profundo. La prioridad ya no es sólo ampliar la infraestructura, sino optimizar la detección y mitigación proactiva de riesgos. En otras palabras, el enfoque está evolucionando hacia una gestión y gobernanza más efectiva de entornos de seguridad cada vez más complejos.
Para los equipos de TI, esto implica una extensa lista de tareas destinadas a crear un plan que alinee las estrategias de seguridad con los objetivos del negocio, los requisitos normativos y los estándares de la industria. Además, deben mantenerse al día con las amenazas emergentes y la evolución de las prioridades empresariales.
El reto radica en dirigir y controlar la estrategia de ciberseguridad de manera que garantice una toma de decisiones coherente, ágil y efectiva. De esta forma, diversos factores clave están impulsando este enfoque en la gobernanza, estableciendo las bases para la próxima década.
Por ejemplo, en 2024, el NIST (National Institute of Standards and Technology) incorporó la función “Gobernar” a su Marco de Ciberseguridad, marcando un paso hacia una gestión más proactiva y una mayor rendición de cuentas. El enfoque ha evolucionado: ya no se trata solo de sumar herramientas y generar más alertas, sino de brindar a los líderes de seguridad un mayor control a través de una visión centralizada.
El objetivo es optimizar el uso de las soluciones existentes, mejorar la eficiencia operativa y respaldar la toma de decisiones con un entendimiento dinámico de las operaciones, permitiendo así una gestión más estratégica y efectiva de la seguridad.
Recordemos que el NIST es una agencia del gobierno de Estados Unidos que desarrolla estándares y buenas prácticas en diversas áreas, incluida la ciberseguridad. Su Marco de Ciberseguridad (NIST CSF) es una guía ampliamente reconocida para la gestión de riesgos de seguridad digital y, si bien no es obligatorio, su adopción es altamente recomendada para empresas de todo el mundo, ya que proporciona un enfoque estructurado y flexible para fortalecer la seguridad, cumplir con regulaciones y mejorar la resiliencia ante ciberataques.
Tras impartir múltiples capacitaciones para familiarizar a las empresas con el enfoque del NIST y, cuando es pertinente, alinear sus estrategias de ciberseguridad con sus principios, la unidad de investigación de SILIKN ha resaltado la importancia de adoptar una visión centralizada en toda la organización. Este enfoque permite fortalecer las defensas de manera proactiva.
Uno de los elementos clave de esta alineación es la capacidad de presentar a la junta directiva informes claros y estratégicos sobre la evolución de las tendencias en seguridad, facilitando así una mejor toma de decisiones.
Clasificar las exposiciones identificadas según su impacto potencial en objetivos o procesos empresariales permite un seguimiento continuo y la generación de informes sobre tendencias. Además, facilita la demostración del impacto directo en las áreas críticas para la empresa.
Este enfoque no sólo mejora la visibilidad de los riesgos, sino que también puede integrarse de manera natural en el conjunto de métricas clave que la junta directiva utiliza para tomar decisiones estratégicas.
Es por esto que los responsables de seguridad ya no pueden seguir adoptando un enfoque reactivo. El constante ritmo de las amenazas, los cambios regulatorios y las prioridades empresariales requieren un enfoque proactivo y estratégico, que supere los informes obsoletos y se enfoque en la gestión continua de riesgos. En lugar de esperar a que las evaluaciones desactualizadas marquen su próximo paso, las organizaciones deben anticipar los riesgos, acelerar la toma de decisiones y asegurar que sus estrategias de seguridad evolucionen en tiempo real.
La unidad de investigación de SILIKN anticipa que en los próximos años se producirá una transformación clave en ciberseguridad: se pasará de un enfoque centrado en el cumplimiento normativo a uno en el que la ciberseguridad sea un verdadero pilar de protección para la organización. Los departamentos de seguridad se volverán estratégicos, ya que la ciberseguridad será un componente esencial de los resultados empresariales. Cada vez más, las organizaciones deberán proporcionar información clara sobre sus riesgos y demostrar cómo sus inversiones están abordando de manera efectiva las brechas existentes.
Esta nueva realidad requiere un equilibrio preciso: gestionar de manera eficiente los recursos disponibles, ajustar las estrategias a las expectativas regulatorias en constante cambio y asegurar un enfoque integrado para priorizar las amenazas. El giro de centrarse en la adquisición de tecnología hacia la gobernanza refleja la evolución del panorama de la ciberseguridad, donde el éxito dependerá de la supervisión estratégica, la rendición de cuentas y la resiliencia, en lugar de enfocarse únicamente en las herramientas más avanzadas. El futuro será de aquellos que adopten este enfoque integral y orientado al largo plazo.
* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker | Líder del Capítulo Querétaro de OWASP.
Twitter: https://twitter.com/silikn
Instagram: https://www.instagram.com/silikn
YouTube: https://www.youtube.com/@silikn7599
