Quienes conducen empresas -directorio, CEO, alta gerencia- deben saber que la seguridad de la información es un problema de conducción, no de soporte, que se define en decisiones.
Durante años, la ciberseguridad vivió cómoda en un rincón: el área de sistemas. Era “un tema técnico”, una lista de controles, una compra de herramientas, un presupuesto que se discutía cuando sobraba aire. Ese modelo terminó. No porque lo diga la moda, sino porque la evidencia lo volvió indefendible: hoy un incidente digital no es un problema informático; es una interrupción operativa, un impacto financiero, una crisis reputacional y, en muchos casos, un hecho legal. La organización que todavía lo trata como “IT” no está siendo prudente. Está administrando el riesgo con una ilusión: que lo grave siempre le pasa a otro.
Lo veo con claridad en auditorías y diagnósticos: la mayoría de las organizaciones no falla por falta de tecnología. Falla por falta de sistema. Falla porque no sabe qué información es crítica, dónde vive, quién la toca, cómo se controla, qué riesgos acepta y qué riesgos no. Falla porque delega la seguridad en herramientas y no en decisiones. Y cuando llega el incidente, se descubre lo obvio: no se puede defender lo que no se conoce, no se puede recuperar lo que no se prepara, y no se puede sostener confianza con improvisación.
Hay una creencia peligrosa que se repite con distintos disfraces: “tenemos antivirus”, “tenemos firewall”, “hacemos backups”, “tenemos un proveedor”. Eso suena bien… hasta que el ataque no entra por la puerta técnica, sino por la puerta humana: un correo creíble, una suplantación, un acceso concedido por urgencia, un error de configuración, un tercero con permisos excesivos. Y ahí aparece la verdad incómoda: la ciberseguridad no se rompe por sofisticación del atacante; muchas veces se rompe por debilidad organizacional. Por procesos mal diseñados. Por roles difusos. Por decisiones sin trazabilidad. Por falta de disciplina.
En este punto conviene decirlo sin vueltas: el nuevo contexto no premia al que “tiene más herramientas”. Premia al que tiene más control. Y control no es vigilancia obsesiva; control es gobierno. Es saber quién decide, quién aprueba, quién ejecuta, quién monitorea y quién responde. Es tener políticas que se cumplen porque existen mecanismos, no porque alguien “prometió”. Es tener gestión de accesos real, clasificación de información real, gestión de incidentes real, continuidad real. Es, básicamente, tratar la seguridad de la información como lo que es: un sistema de gestión que sostiene el negocio.
Por eso, cuando una organización quiere pasar del discurso a la madurez, la conversación seria inevitablemente termina en un marco estructurado. Y ahí aparece ISO/IEC 27001 con todo su peso. No como un sello decorativo ni como una etiqueta comercial, sino como una disciplina: un Sistema de Gestión de Seguridad de la Información que obliga a hacer lo que muchas organizaciones postergan indefinidamente. Identificar activos y riesgos. Definir controles. Asignar responsabilidades. Documentar decisiones. Medir eficacia. Gestionar incidentes. Auditar. Mejorar. Es decir: convertir “seguridad” en un lenguaje operativo y defendible.
La diferencia que introduce un sistema de gestión es sencilla y brutal. Una empresa sin sistema reacciona. Una empresa con sistema responde. Reaccionar es correr detrás del fuego. Responder es tener un plan, un criterio y una cadena de mando. Reaccionar produce caos, acusaciones internas y pérdidas de tiempo. Responder produce orden, foco, contención y recuperación. Y en crisis, la velocidad sin orden es solo un choque más rápido.
A quienes conducen empresas —directorio, CEO, alta gerencia— les digo algo que suelo repetir en privado y conviene decir en público: la seguridad de la información es un problema de conducción, no de soporte. Porque no se define en un servidor; se define en decisiones. Se define cuando se prioriza o se posterga. Cuando se aprueba un acceso excepcional “porque es urgente”. Cuando se terceriza sin exigir controles. Cuando se implementa tecnología sin gobernanza. Cuando se tolera que la organización no sepa quién tiene llaves, a qué puertas y por cuánto tiempo.
Transferencia de archivos: ¿cómo mejorar el “talón de Aquiles” en la ciberseguridad de las empresas?
Y a los gobiernos, el planteo es todavía más serio. Un Estado sin seguridad de la información no solo arriesga datos. Arriesga servicios esenciales. Arriesga continuidad de sistemas críticos. Arriesga confianza pública. Y cuando el ciudadano percibe que un gobierno no puede proteger información, no discute ciberseguridad: discute legitimidad. No hay transformación digital sostenible sobre una base insegura. Es construir un edificio moderno sobre cimientos de arena.
Ahora bien, también hay que evitar una trampa frecuente: creer que certificarse “elimina el riesgo”. No lo elimina. Lo que hace —si se hace con rigor— es demostrar que existe un sistema diseñado para identificarlo, evaluarlo, tratarlo y responder mejor cuando ocurre. Esa diferencia parece técnica, pero es estratégica. Porque hoy la confianza no se construye con promesas ni con marketing. Se construye con evidencia verificable. Y cuando el negocio depende de cadenas de suministro, contratos, licitaciones, seguros, exportaciones o regulación, la evidencia se vuelve moneda dura.
Mi posición final es simple: ciberseguridad es continuidad del negocio. Y continuidad del negocio es reputación en tiempo real. La organización que entienda esto va a invertir mejor, va a decidir mejor y va a recuperarse mejor. La que siga tratando la seguridad como “un tema de IT” va a aprender de la forma más cara: el día que un incidente le obligue a explicar por qué no sabía lo básico. Qué tenía. Qué protegía. Qué aceptaba. Y quién era responsable.
No hace falta caer en paranoia. Hace falta madurez. Porque el futuro no va a premiar a quien tenga el discurso más tecnológico. Va a premiar a quien tenga la operación más controlada. Y hoy, control significa una cosa muy concreta: seguridad gobernada, auditable y sostenida como sistema. Esa es la diferencia entre estar preparado… y estar expuesto.
*Director Regional de G-CERTI Global Certification
