Ciberseguridad 360°: privacidad, cultura e interacción con terceros.

Por: Gabriela Salazar, Gerente Corporativo de Seguridad de la Información y Ciberseguridad de Pronaca.

La ciberseguridad moderna, no es una función aislada del área de IT, es una capacidad transversal que requiere colaboración, preparación y visión estratégica. Requiere definir roles claros, construir una cultura de seguridad sólida que esté integrada a la cultura corporativa, evaluar rigurosamente las soluciones y servicios de terceros y habilitar el uso de tecnologías emergentes sin perder el control. 

Privacidad: la necesidad de contar con roles claros  

En el actual escenario normativo, donde la privacidad de los datos se ha convertido en una prioridad, muchas organizaciones enfrentan retos no solo técnicos sino también organizacionales. Un aspecto crítico en este ámbito es la clara definición de roles y responsabilidades y lograr una sinergia en este equipo multidisciplinario. Con frecuencia, las empresas tienden a cargar sobre el área de seguridad funciones adicionales con respecto a la privacidad de los datos personales, lo que genera confusión y sobrecarga. Aunque es posible que un profesional de seguridad asuma temporalmente este tipo de funciones, siempre y cuando tenga las competencias adicionales requeridas para hacerlo, la alta especialización que exige la privacidad —especialmente por su principal componente legal— impulsa la necesidad de  contar con personal capacitado para realizar una adecuada gestión, responder ante el regulador, gestionar adecuadamente sus requerimientos y saber cómo actuar y comprender las implicaciones de una sanción.  

Otro de los retos para algunas organizaciones es darle un alcance bien definido a esta gestión de la privacidad, sabiendo exactamente los procesos que colectan estos datos, dónde se almacenan y cómo se procesan, para poder implementar los controles requeridos para su protección. 

Teniendo esta premisa en mente, las organizaciones están articulando mejor sus funciones internas, asignando responsabilidades de acuerdo con la experiencia de cada área. Todo con el objetivo de alcanzar una gestión efectiva que empieza por definir con claridad qué áreas están inmersas y con qué rol, y poder focalizar los esfuerzos y recursos especialmente cuando son limitados. 

Cultura organizacional: el factor humano también se entrena 

La idea de que el usuario es el eslabón más débil de la cadena de seguridad no ha perdido vigencia cierta. Por eso, fomentar una cultura de seguridad y lograr integrarla a la cultura organizacional es ahora más relevante que nunca. Y si hablamos de capacitación no solo se trata de realizar charlas periódicamente sino de generar nuevas experiencias que construyan conciencia real. El uso de campañas internas creativas, dinámicas que tengan un impacto también a nivel personal pueden convertirse en herramientas efectivas, así como la aplicación de marcos basados en el ecosistema deconfianza digital, que abordan la seguridad y privacidad como un componente estructural de la organización. Porque si la cultura empresarial no refuerza las buenas prácticas, el esfuerzo individual pierde fuerza. 

Proveedores y terceros: la confianza se valida 

Involucrar a terceros en la infraestructura tecnológica o de seguridad es una decisión que requiere más que referencias, cuadrantes o rankings. La experiencia ha demostrado que es indispensable probar las soluciones en entornos controlados antes de desplegarlas. Herramientas como antivirus, plataformas de detección y respuesta o sistemas de monitoreo deben demostrar su eficacia, en especial ante amenazas avanzadas. 

Lo mismo aplica para los servicios gestionados. Una propuesta atractiva en el papel puede convertirse en un riesgo si la empresa proveedora no tiene protocolos claros de operación o no sabe cómo reaccionar y responder adaptativamente ante una crisis. Evaluar a los proveedores implica entender cómo operan, cómo protegen su propia infraestructura y cómo responderían frente a un incidente.  El diseño y uso de metodologías internas para su evaluación se vuelve una práctica recomendable y necesaria. 

Herramientas inteligentes, uso responsable 

El uso de nuevas herramientas, especialmente aquellas con componentes de inteligencia artificial, ha abierto un debate en las organizaciones sobre hasta dónde permitir el uso de estas tecnologías a los colaboradores. La pregunta no es si se deben usar, sino cómo hacerlo de forma segura. Los colaboradores, en su afán de ser más productivos, pueden cargar información sensible en plataformas externas, sin considerar los riesgos asociados. La protección de la información corporativa en este nuevo entorno es un reto que se aborda desde múltiples frentes: desde políticas claras sobre el uso de IA generativa, hasta soluciones que permitan detectar comportamientos anómalos o accesos indebidos.  

Además, en entornos con múltiples herramientas que deben ser correlacionadas —a veces hasta diez plataformas distintas—, la IA puede asumir procesos operativos, ayudando a detectar, priorizar y responder a incidentes con mayor agilidad. 

Soluciones de empresas como Palo Alto o Check Point ya integran IA  de nueva generación, aliviando la carga sobre los analistas y mejorando los tiempos de respuesta. Pero esta misma tecnología también es utilizada por los atacantes, que automatizan sus estrategias y amplifican su alcance.  

En paralelo, los ciberatacantes también han adoptado herramientas de inteligencia artificial para perfeccionar sus métodos de ataque, incluso suplantando identidades en entornos corporativos mediante voz e imagen. Esta realidad exige a las empresas estar preparadas no solo tecnológicamente, sino también desde la gestión del talento, la conciencia digital y comprender cómo integrar la IA de forma responsable y segura, entendiendo que en el corto plazo será prácticamente inevitable tenerla en nuestra vida cotidiana.