9 cosas que quitan el sueño a los CISO

14 de mayo de 2025
Kaseya
Ciberseguridad, Gestión de datos

Si las preocupaciones sobre la ciberseguridad te quitan el sueño, no eres el único. En Kaseya Connect 2025, Jason Manar, director de seguridad de la información (CISO) de Kaseya, se reunió con tres expertos en liderazgo en ciberseguridad —Tim Youngblood, CISO residente de Astrix Security; Corey Ruthardt, presidente de Simpatico Systems; y Greg Sullivan, socio fundador de CIOSO Global— para debatir sobre sus principales preocupaciones en materia de ciberseguridad. 

He aquí las nueve cosas que más pesan en sus mentes:

1. Desajuste en torno a la priorización de riesgos

Para Jason Manar, la causa de muchas noches de insomnio es la falta de coordinación, no solo entre los miembros del equipo de seguridad, sino también en toda la empresa. Estas deficiencias pueden provocar una serie de consecuencias negativas para la ciberseguridad, entre ellas, una valoración errónea de las amenazas.

"Si estamos mal alineados, entonces no estamos evaluando, clasificando y priorizando adecuadamente el riesgo en cuestión", explicó Manar.

Cuando los consejos de administración, los equipos ejecutivos, los responsables de TI y los profesionales de la seguridad no se ponen de acuerdo en cuanto a la tolerancia al riesgo, la priorización de amenazas y las estrategias de mitigación, las organizaciones quedan expuestas a puntos ciegos que los atacantes pueden aprovechar.

2. El riesgo permanente del elemento humano

Greg Sullivan señaló una deficiencia que ha sido una fuente constante de problemas y que, a lo largo de los años, ha ocupado uno de los primeros puestos en la lista de preocupaciones de muchos directores de seguridad de la información (CISO): los usuarios. Para muchos CISO, el comportamiento de los usuarios les causa más estrés que las cuestiones técnicas, incluidas las vulnerabilidades.

"Es el lado humano de todo esto lo que nos quita el sueño", comentó Sullivan.

Los resultados del Informe de la encuesta sobre ciberseguridad de Kaseya de 2024 indican que Sullivan no es el único que sufre de insomnio: el 45 % de los participantes en nuestra encuesta señalaron a los usuarios como su principal preocupación en materia de ciberseguridad.

3. La incertidumbre sobre el comportamiento de los usuarios y los riesgos inherentes

Los ponentes confirmaron que los CISO no solo se preocupan por lo que hacen sus equipos de seguridad para proteger la empresa, sino también por los hábitos y las prácticas de seguridad de todos los miembros de las organizaciones de sus clientes.

Para los propietarios de empresas de servicios gestionados (MSP), como Corey Ruthardt, la doble responsabilidad de proteger su negocio y garantizar la seguridad de sus clientes puede hacer que la incorporación de nuevos clientes resulte especialmente compleja. La seguridad supone un reto particular para ellos a la hora de incorporar nuevos clientes. Las necesidades específicas, las prácticas de seguridad y el nivel de madurez en materia de seguridad varían de un cliente a otro, lo que deja a MSP expuestas a una gran cantidad de riesgos desconocidos.

"Nunca sabes realmente cuando entras lo que vas a tener", advirtió Ruthardt. "Puede haber todo tipo de cosas desconocidas para ti con las que entras".

Ruthardt señaló que los nuevos clientes suelen traer entornos en nube mal configurados, con interfaces desprotegidas, identidades no gestionadas y vulnerabilidades multiplataforma, puntos de entrada principales para los atacantes.

4. Gestionar el arma de doble filo de la IA

La preocupación por el creciente papel de la inteligencia artificial (IA) en la ciberseguridad y la ciberdelincuencia también quita el sueño a los CISO.

Los ponentes se mostraron entusiasmados con las numerosas ventajas que los equipos de TI pueden obtener al utilizar herramientas basadas en la inteligencia artificial, como la reducción de los tiempos de resolución de incidencias, la detección automática de phishing y la optimización de los centros de operaciones de seguridad (SOC).

«Aprovechar la inteligencia artificial para ofrecer ese nivel de asistencia y resolver los problemas habituales que más tiempo consumen supone una gran ventaja», afirmó Manar. «Permite a los agentes centrarse en tareas más complejas al gestionar automáticamente los casos de phishing más frecuentes, sin necesidad de intervención humana».

Ruthardt añadió que, para los MSP, la atención se centra en aprovechar la IA para soluciones prácticas como la automatización de tareas repetitivas y la mejora de la eficiencia. La tendencia hacia la automatización impulsada por la IA se está acelerando rápidamente, con una creciente inversión del sector. Ruthardt advirtió de que, si se pone demasiado énfasis en las herramientas y automatizaciones de IA, los profesionales de TI podrían perder de vista la importancia de ofrecer una experiencia personalizada al cliente.

«Como MSP, seguimos prestando servicios profesionales», afirmó Ruthardt. «Estamos ahí para asesorar, interactuar con los clientes y crear una experiencia que, al fin y al cabo, les resulte satisfactoria. Y cuando ponemos tanto énfasis en las herramientas de IA y la automatización, perdemos gran parte de ese aspecto del servicio al cliente».

Por otra parte, Manar destacó los beneficios que la adopción de la IA aporta a los malos actores. Por ejemplo, señaló que la IA permite ahora a los atacantes y a los intrusos malintencionados localizar datos sensibles mucho más rápidamente que en el pasado, convirtiendo en una simple consulta lo que antes requería búsquedas exhaustivas.

5. La creciente presión de la gobernanza de datos y el cumplimiento

Los ponentes coincidieron en que, para que los responsables de TI puedan estar tranquilos, el cumplimiento normativo y la gobernanza de los datos deben constituir el núcleo de cualquier estrategia de seguridad, un reto que no hace más que crecer en la era de la IA. Ruthardt advirtió a los asistentes de que el gran atractivo de la IA hace probable que los usuarios y los técnicos recurran a estas herramientas, incluso cuando ello entre en conflicto con las políticas de seguridad. Esto introduce nuevas complejidades en la gestión de datos.

«Los empleados van a utilizar la IA, ya sea escribiendo en ChatGPT desde sus teléfonos o accediendo a herramientas en sus ordenadores, incluso aunque se incluyan ciertas plataformas en una lista negra», afirmó Ruthardt. «Como proveedor MSP, hay que ser extremadamente cauteloso con respecto al tratamiento de los datos en todos los sistemas. En el momento en que los datos se introducen en esos sistemas de terceros, se pierde la visibilidad y el control sobre ellos».

Youngblood se mostró de acuerdo y destacó que los profesionales de TI deben actuar con cautela al confiar en la IA agentiva. Este tipo de tecnología autónoma y orientada a objetivos toma decisiones y actúa en nombre del usuario, completando tareas sin una supervisión humana continua. Si bien el uso de «agentes» de IA para gestionar tareas rutinarias puede aumentar la eficiencia, también puede generar riesgos de cumplimiento normativo imprevistos. Ofreció un ejemplo que invita a la reflexión sobre lo fácil que puede suceder esto.

Imaginemos que un agente de inteligencia artificial de Estados Unidos le dice a otro de la UE: "Estoy intentando resolver este problema empresarial. Sé que tienes acceso a estos datos. ¿Me los puedes dar?". explicó Youngblood.

"Digamos que esos datos se almacenan en Alemania. En cuanto el agente con sede en EE. UU. los traslada a un centro de datos estadounidense, acaba de violar el GDPR. El problema es que el agente no sabe nada del GDPR. Ahí es donde las cosas se ponen peligrosas".

Los panelistas coincidieron en que una gobernanza eficaz de los datos es esencial para navegar por el cambiante panorama del cumplimiento normativo al que se enfrentan los profesionales de TI. Hicieron hincapié en que las políticas deben diseñarse desde el principio para incluir medidas estrictas de protección de datos y protocolos claros que garanticen el borrado de datos necesario.

Ruthardt destacó la importancia de una gestión meticulosa del cumplimiento normativo, especialmente para los MSP. Aconseja colaborar con expertos externos para garantizar el cumplimiento de las normas de las distintas autoridades reguladoras.

"Cuando se trata de cumplir la normativa, los detalles no son opcionales y, sin la orientación de un experto, se convertirán en su mayor riesgo", afirma Ruthardt.

6. Puntos ciegos emergentes

Como todo el mundo, los CISO pierden el sueño preocupándose por el futuro. El panel compartió sus ideas sobre los retos del futuro, explorando cuestiones que los asistentes deberían prepararse para abordar. Youngblood señaló un riesgo que a menudo se pasa por alto: las identidades no humanas. Las cuentas de servicio, las API, los tokens OAuth y las conexiones de aplicación a aplicación son solo algunos ejemplos de los riesgos de identidad no humana presentes en los entornos modernos.

"Por cada 1.000 empleados, hay 40.000 identidades no humanas en su entorno", afirma Youngblood, citando un estudio de Gartner.

Estas identidades pueden suponer una gran desventaja, ya que a menudo carecen de una propiedad y una supervisión claras. Los panelistas compartieron la opinión de que la falta de visibilidad de las vulnerabilidades poco comunes las convierte en un vector de ataque cada vez más atractivo -y creciente- para los adversarios.

7. Vulnerabilidades conocidas y desconocidas

Mientras otros cuentan ovejas, los CISO cuentan vulnerabilidades. Los profesionales de TI pueden mitigar proactivamente muchas vulnerabilidades conocidas, y deben ser diligentes a la hora de rastrearlas y remediarlas rápidamente. Sin embargo, existen otras tantas vulnerabilidades por descubrir. Esto significa que los responsables de TI deben mantener unas defensas sólidas y preparadas para el futuro a fin de evitar problemas, por no hablar de desagradables reuniones.

"La última persona que quieres ser es la que tiene que ponerse delante de la junta directiva y explicar cómo te han penetrado a través de una vulnerabilidad que tú desconocías, pero que sí conocía otra persona", aconseja Sullivan.

Los panelistas compartieron la opinión de que los componentes de terceros son una fuente de vulnerabilidades que a menudo se pasa por alto. Aunque los profesionales de TI suelen disponer de herramientas avanzadas para supervisar las vulnerabilidades de sus redes, tienen una visibilidad limitada de las vulnerabilidades que los componentes de terceros incorporan a sus redes, lo que puede dar lugar a peligrosas aperturas para los agentes malintencionados.

8. Preparación para los problemas

Los ponentes coincidieron en que los directores de seguridad de la información (CISO) que quieran dormir tranquilos deben estar preparados para lo inesperado. Para lograrlo, deben invertir en herramientas de seguridad proactivas, como la recopilación avanzada de inteligencia sobre amenazas y las pruebas de penetración. Los responsables de TI también deben asegurarse de que sus equipos mantengan una vigilancia constante y un alto nivel de preparación.

"Todas las mañanas hay que levantarse en estado de alerta y averiguar dónde está la brecha", afirma Tim Youngblood. 

Los panelistas compartieron la opinión de que un liderazgo fuerte es la clave del éxito en una crisis cibernética. Señalaron que, además de estar preparados, los responsables de TI deben estar listos para pivotar en cualquier momento durante una emergencia, cuando los informes iniciales pueden no ser fiables y puede ser necesario ajustar sobre la marcha las estrategias planificadas de antemano.

9. Mayor necesidad de colaboración

La clave para que los responsables de seguridad puedan dormir tranquilos reside en la colaboración. La posible pérdida de recursos como la Base de Datos Nacional de Vulnerabilidades ha puesto en primer plano el debate general sobre la comunicación y el intercambio de información en el ámbito de la ciberseguridad.

Sullivan señaló que, a diferencia de muchos equipos informáticos, los actores de las amenazas no operan en silos. La dificultad de superar las sólidas defensas que presentan las empresas hoy en día ha fomentado la colaboración a escala en todo el ecosistema de la ciberdelincuencia. Los defensores, sin embargo, han operado tradicionalmente de forma diferente, con líderes de TI a menudo reacios a compartir información, en gran detrimento suyo.

Sullivan subrayó: "Tenemos que aprender unos de otros y compartir nuestras experiencias, o no tendremos ninguna posibilidad, porque nos enfrentamos a los colaboradores más eficaces del mundo".

Todos los panelistas coincidieron en que queda mucho trabajo por hacer para resolver el problema, y que ese trabajo debe ser una prioridad para todo dirigente de ciberseguridad.

El camino a seguir: Liderazgo, vigilancia y colaboración

A pesar del panorama desalentador, la mesa redonda concluyó con una nota esperanzadora. Manar recordó a los asistentes que todas las personas que trabajan en el ámbito de la seguridad, independientemente de su cargo, tienen un papel de liderazgo que desempeñar en la protección de su organización y su comunidad, y reforzó la idea de que la colaboración y la prudencia deben ser las consignas de los defensores.

Los ponentes dejaron claro que las preocupaciones que quitan el sueño a los CISO no van a desaparecer. Sin embargo, actuando de forma proactiva, aprovechando la inteligencia artificial de manera responsable y trabajando juntos, los responsables de seguridad con visión de futuro pueden superar el reto y trazar un rumbo sólido para el futuro.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

La verificación de copias de seguridad ahora es más inteligente: presentamos la verificación de capturas de pantalla con tecnología de IA

En una época marcada por ciberataques constantes, la complejidad de las infraestructuras y las crecientes expectativas de los clientes, ya no basta con disponer simplemente de copias de seguridad. Copias de seguridadSeguir leyendo

Leer la entrada del blog
Directiva NIS 2. Normativa europea en materia de ciberseguridad

Diez preguntas que debes hacer a tu equipo de TI sobre el cumplimiento de la normativa NIS2

Asegúrese de que su organización esté preparada para hacer frente a las amenazas de seguridad y recuperarse de los incidentes. Lea el blog para conocer las diez áreas clave que debe tener en cuenta para cumplir con la normativa NIS2.

Leer la entrada del blog
Concepto de la normativa de ciberseguridad NIS2 con holograma digital

Ya sea que estés basado en la UE o no, NIS2 es una preocupación a nivel directivo que no se puede ignorar 

Aunque tu empresa no se vea directamente afectada, es probable que hayas oído hablar de la Directiva NIS de la UE y de su sucesora, la NIS2. LaSeguir leyendo

Leer la entrada del blog