Adapta tu programa de ciberseguridad para que sea autónomo, innovador y ágil.
- ¿Eres cliente de Gartner? Log in para obtener resultados de búsqueda personalizados
¿Cómo organizar tu programa de ciberseguridad?
Aprovecha los factores multiplicadores, elimina los obstáculos y reorienta los recursos de tu programa de ciberseguridad
Los responsables de ciberseguridad se enfrentan al reto de tener que satisfacer la creciente demanda de un mayor volumen de proyectos, plazos de entrega más cortos y más flexibilidad y personalización. Y todo ello, con recursos limitados. Ante este panorama, ¿cómo pueden cumplir lo prometido sin acabar agotados? En este informe de investigación encontrarás información sobre:
- “Quick wins” que requieren poco tiempo y un esfuerzo mínimo para potenciar el impulso.
- Tácticas inteligentes que los responsables de ciberseguridad pueden adoptar para cobrar impulso y mantenerlo.
- Nuevas iniciativas que, con el tiempo, tendrán una importante repercusión.
La transformación empresarial ha alterado la ciberseguridad
La adquisición, creación y entrega de tecnología han pasado de estar en manos de departamentos de TI centralizados a pertenecer a diferentes líneas de negocio, departamentos corporativos, equipos fusionados y empleados particulares. Por ello, es conveniente que adecues tu programa de ciberseguridad a las realidades de la adopción de tecnología mediante tres acciones clave.
- Centraliza para descentralizar
- Aspira a la flexibilidad
- Accede a los niveles ejecutivos
Centraliza la gobernanza del riesgo para permitir capacidades cibernéticas locales
Los directores de seguridad de la información (CISO) se enfrentan a un aluvión de riesgos cibernéticos que crece a un ritmo exponencial, no solo en volumen, sino también en complejidad y alcance. El personal de ciberseguridad no tiene capacidad para revisar (ni siquiera identificar) cada uno de ellos, pero perder el control y la visibilidad podría dar lugar a riesgos inaceptables.
Mientras tanto, los CEO y los ejecutivos de las empresas están asignando el trabajo tecnológico directamente a los departamentos corporativos, por lo que no para de aumentar el número de empleados que realizan tareas tecnológicas que implican personalizar, desarrollar o adquirir soluciones tecnológicas. Las decisiones sobre riesgos que se toman de forma distribuida en la empresa ya superan, en volumen y complejidad, a las que toman los equipos centrales de TI y ciberseguridad.
La tendencia de “centralizar para descentralizar” representa un nuevo enfoque con respecto a la gobernanza de la ciberseguridad. Actualmente, centralizar las decisiones refleja un enfoque más informado —y redimensionable— que hace hincapié en una política flexible y centralizada y, al mismo tiempo, respalda una toma de decisiones local. Las normas de control se crean a escala local, y la toma de decisiones local respalda una política de gobernanza central.
Para que esto funcione, deben formarse comités directivos o equipos de gobernanza, riesgo y cumplimiento que elaboren las políticas y los procesos que permitan a los responsables locales tomar las decisiones correctas. Si vas a hacer que se responsabilicen de sus actos, facilítales que hagan lo que tú harías.
Evita los cuellos de botella con nuevos equipos, procesos y políticas
Para lograr un criterio cibernético redimensionable, es fundamental aplicar una metodología ágil en lugar de una metodología en cascada (o tradicional). En la actualidad, la mayoría de las decisiones sobre riesgos cibernéticos y las implementaciones se toman de forma distribuida, en los equipos de producto o las unidades de negocio, por medio de procesos ágiles, no de procesos en cascada controlados de forma centralizada y por etapas. Realizar cambios superficiales no será suficiente; los programas de ciberseguridad deben cambiar radicalmente para apoyar los nuevos modelos operativos:
Incorpora nuevos puestos en los equipos locales y dispersos (responsables de seguridad de la información de la empresa, responsables locales de seguridad de la información, paladines de la seguridad).
Adapta las nuevas formas de trabajar a los nuevos procesos (DevSecOps, modelos basados en la nube como primera opción).
Desarrolla procesos redimensionables que escalen de forma selectiva los conflictos, los riesgos residuales excesivos y las solicitudes excepcionales de asistencia práctica a la velocidad que necesite la empresa.
En lo que respecta a las políticas, menos es más. Los CISO están consolidando o reduciendo —no ampliando— las políticas para que sean más fáciles de usar. Al colaborar con los usuarios finales en las políticas, otorgas control y flexibilidad a los responsables de los riesgos y a los propietarios de los datos para aplicar las normas e implementar las soluciones que mejor se adapten a ellos. En resumen, debes definir el qué de forma centralizada y resolver el cómo de forma local.
Mantén una visión global
La invitación a formar parte de la alta dirección significa poder iniciar más cambios y recibir menos órdenes. Sin embargo, para que esto ocurra, primero debes cambiar tu perspectiva y dejar de verte como responsable de la tecnología para identificarte como facilitador del negocio con capacidad de influir con éxito en la toma de decisiones sobre riesgos. Para demostrar credibilidad, abandona las reuniones tácticas y operativas en beneficio de unas interacciones ejecutivas más estratégicas.
Para que la alta dirección te conozca, haz lo siguiente:
Líbrate de responsabilidades tácticas y operativas y potencia la interacción ejecutiva. Considera la posibilidad de delegar las funciones operativas administrativas (p. ej., la gestión de parches o la administración de usuarios) en los equipos de TI y la formación de los usuarios en materia de seguridad en el área de formación del departamento de RR. HH.
- Amplía tus horizontes entendiendo el riesgo y los indicadores empresariales. No podrás influir en las decisiones a menos que sepas cómo presentar mejor tus argumentos. Antes de reunirte con otros ejecutivos, infórmate sobre sus inversiones y los retos departamentales y financieros a los que se enfrentan. Conoce sus prioridades analizando el material elaborado por la empresa y los departamentos específicos (informes anuales, declaraciones de la misión). Identifica al menos un indicador que se alinee con los objetivos estratégicos del área de ciberseguridad con el fin de establecer una correlación entre el riesgo, el indicador y las medidas de ciberseguridad que se pueden adoptar para influir en los indicadores de los demás responsables de empresa.
Crea historias de valor para reforzar la credibilidad del área de ciberseguridad. La percepción que se tiene del área de ciberseguridad como una función que dice que no a todo sigue vigente, así que trabaja para cambiar esto y que sea visto como facilitador del negocio y no solo como centro tecnológico. Una historia de valor respaldada por datos puede servir para demostrar cómo los resultados en materia de ciberseguridad generan un mayor valor comercial. Para influir en los líderes ejecutivos, vincula el relato a objetivos empresariales claros y adapta el mensaje a las prioridades de las partes interesadas.
Disfruta de las conferencias de Gestión de riesgos y seguridad de TI
Súmate a otros profesionales del sector en la presentación de las últimas tendencias en las conferencias de Gartner.
Preguntas frecuentes sobre los programas de ciberseguridad
¿Cuáles son las próximas tendencias relacionadas con los programas de ciberseguridad?
Las principales tendencias en ciberseguridad para este año son las siguientes:
Optimización para la resiliencia
Optimización para el rendimiento
La optimización para la resiliencia implica la gestión continua de la exposición a amenazas, la ampliación del valor de la IAM en los programas de ciberseguridad, la gestión de riesgos de ciberseguridad de terceros y las aplicaciones basadas en la privacidad.
La optimización para el rendimiento implica la IA generativa, los programas de comportamiento y cultura de la ciberseguridad, las métricas de ciberseguridad basadas en resultados, la evolución de los modelos operativos de ciberseguridad y la mejora de las competencias en ciberseguridad.
¿Cómo puedo mejorar las capacidades en ciberseguridad de mi empresa?
Aunque las habilidades que necesitan los equipos de ciberseguridad están cambiando radicalmente, los responsables de esta área siguen contratando a personal para cubrir puestos y competencias tradicionales. Para mejorar las habilidades de sus equipos, los responsables de seguridad y gestión de riesgos deben actualizar la formación del talento existente y contratar a nuevo talento con nuevos perfiles. En 2026, el 50 % de las grandes empresas utilizarán el aprendizaje ágil como método principal para ampliar o mejorar las competencias en ciberseguridad del personal.
Lleva a cabo estas acciones:
Desarrolla un plan de ciberseguridad para la fuerza laboral.
Contrata pensando en el futuro, no en el pasado.
Promueve una cultura de aprendizaje ágil.
¿Qué es un riesgo cibernético?
Por “riesgo cibernético” se entiende cualquier riesgo que podría repercutir en los objetivos y valores de una organización en forma de pérdidas económicas, interrupción de las operaciones y daños o perjuicios como consecuencia de anomalías en las tecnologías empleadas para las funciones informativas u operativas en entornos digitales interconectados.
Los especialistas en riesgos cibernéticos deben adoptar prácticas para valorar el alcance de estos riesgos y priorizarlos, vincular los tratamientos a los objetivos de la organización y a la gestión del riesgo empresarial y asumir responsabilidades y tomar decisiones de forma descentralizada.