AKURTECH

El CISO virtual no es outsourcing: es gobierno de riesgo | Por Fabián Descalzo - BDO Argentina

5/27/2026 12:25:00 p.m.

 

La ciberseguridad corporativa está atrapada en una ficción cómoda: creer que el próximo producto va a resolver el problema.

No lo hará.

El problema de fondo no es la ausencia de herramientas. Es la falta de una arquitectura de gobierno capaz de ordenar prioridades, traducir riesgos técnicos en decisiones ejecutivas y sostener la resiliencia cuando la organización está bajo presión.

El último Verizon DBIR reportó que en 2024 analizó más de 30.000 incidentes reales y 10.626 brechas confirmadas, con víctimas en 94 países. La escala del problema ya no permite tratar la ciberseguridad como un asunto exclusivo del área técnica. (Verizon)

La tesis es simple: la ciberseguridad efectiva no es un producto; es un rompecabezas operativo. Y las organizaciones que no logran ensamblar sus piezas quedan expuestas, incluso cuando invierten en tecnología.


Riesgo: el mapa antes que la herramienta

El primer error ejecutivo es preguntar “qué solución necesitamos” antes de preguntar “qué riesgo estamos tratando de reducir”.

No todos los activos tienen el mismo valor. No todos los incidentes tienen el mismo impacto. No todos los controles merecen el mismo nivel de inversión.

Una organización madura empieza por construir un mapa de riesgos tecnológicos alineado al riesgo de negocio. Eso implica identificar activos críticos, procesos sensibles, dependencias operativas, exposición de terceros, impacto financiero, impacto reputacional y tolerancia real al riesgo.

Sin ese mapa, la ciberseguridad se vuelve reactiva: se compran herramientas por presión, se responde a auditorías por urgencia y se asignan presupuestos por intuición.

El riesgo no se gestiona desde el miedo. Se gestiona desde la priorización.


Cumplimiento: de la auditoría anual al control continuo

El segundo error es tratar el cumplimiento como un evento.

ISO 27001, NIST CSF, GDPR, Ley 25.326 o PCI-DSS no deberían funcionar como carpetas preparadas para una auditoría. Deberían funcionar como marcos vivos de gestión.

La diferencia es enorme.

Una empresa puede “pasar” una auditoría y seguir siendo vulnerable. Puede tener políticas aprobadas y controles débiles. Puede declarar procesos que nadie ejecuta. Puede tener documentación impecable y monitoreo pobre.

El cumplimiento útil no es burocracia. Es disciplina operativa.

Y en un contexto de mayor regulación, más exposición de datos y cadenas de suministro digitales cada vez más complejas, el cumplimiento anual es insuficiente. La pregunta ejecutiva ya no es “¿tenemos la norma?”. La pregunta es “¿estamos operando todos los días de acuerdo con el riesgo que declaramos?”.


Cultura: el control que no cabe en una consola

El tercer componente es incómodo porque no se puede comprar.

La cultura organizacional sigue siendo uno de los frentes más vulnerables. Verizon informó en el DBIR 2025 que cerca del 60% de las brechas involucran un elemento humano, ya sea error, manipulación o uso indebido. (Mimecast)

Esto no significa culpar a las personas. Significa diseñar organizaciones menos frágiles.

El phishing, la ingeniería social, los accesos mal gestionados, las contraseñas reutilizadas y las decisiones tomadas sin conciencia de riesgo no se corrigen solo con capacitación anual.

Se corrigen con hábitos.

Con simulaciones.
Con comunicación ejecutiva clara.
Con procesos simples.
Con líderes que modelan conducta.
Con métricas de adopción.
Con fricción inteligente en los puntos críticos.

Una cultura de seguridad madura no es la que asusta a sus empleados. Es la que los convierte en parte activa del sistema de defensa.


Continuidad: proteger también es saber operar durante el golpe

La promesa de “cero incidentes” es una fantasía.

La pregunta real es otra: cuando el incidente ocurra, ¿la empresa sabrá seguir operando?

Ahí entran la continuidad y la resiliencia.

BCP.
DRP.
Ejercicios tabletop.
Planes de crisis.
Roles definidos.
Comunicación interna y externa.
Escenarios de ransomware.
Pruebas de recuperación.
Decisiones preacordadas antes del caos.

Una organización que nunca ensayó su respuesta está apostando a improvisar en el peor momento posible.

Y la improvisación, en crisis, suele ser más cara que la prevención.

La resiliencia no es un documento. Es una capacidad entrenada.


Privacidad y datos: la confianza como activo regulatorio

El quinto componente es privacidad y gobernanza de datos.

Durante años, muchas empresas trataron la privacidad como una obligación legal y la seguridad como una obligación técnica. Esa separación ya no funciona.

Los datos son activo, riesgo y responsabilidad al mismo tiempo.

Mapear datos, evaluar impacto, gestionar terceros, controlar accesos, revisar finalidades, definir retención, documentar transferencias y proteger información sensible no son tareas accesorias. Son parte del contrato de confianza con clientes, empleados, socios y reguladores.

La privacidad sin seguridad es una promesa débil.
La seguridad sin privacidad es una arquitectura incompleta.

Las dos dimensiones deben operar juntas.


El problema no es la escasez de herramientas. Es la escasez de dirección

El mercado de ciberseguridad ofrece más soluciones que nunca. Pero el talento especializado sigue siendo insuficiente. ISC² estimó en 2023 una brecha global cercana a 4 millones de profesionales de ciberseguridad, con una demanda que crece más rápido que la oferta disponible. (Cyber Governance Alliance)

En Latinoamérica, esta tensión se vuelve más crítica: muchas organizaciones operan con equipos subdimensionados frente a adversarios con escala industrial, automatización creciente y modelos de ataque cada vez más profesionalizados.

Por eso, el verdadero debate ejecutivo no debería ser si incorporar otra herramienta.

Debería ser si existe una función de gobierno capaz de ensamblar las cinco piezas: riesgo, cumplimiento, cultura, continuidad y privacidad.

Ahí aparece el valor del Digital CISO.

No como “consultor externo” que entrega recomendaciones.
No como sustituto del equipo interno.
No como auditor ocasional.

Sino como una arquitectura de dirección operativa: alguien —o un modelo de servicio— que conecta la estrategia del negocio con la gestión diaria del riesgo digital.

El Digital CISO tiene sentido cuando ayuda a que la empresa deje de administrar piezas sueltas y empiece a gobernar un sistema completo.

Porque la ciberseguridad efectiva no depende de tener más componentes.

Depende de saber armarlos.


Una organización no está protegida cuando compra tecnología; está protegida cuando logra convertir gobierno, riesgo, cumplimiento, cultura, privacidad y resiliencia en una sola arquitectura operativa.


𝐒𝐎𝐁𝐑𝐄 𝐅𝐀𝐁𝐈𝐀́𝐍 𝐃𝐄𝐒𝐂𝐀𝐋𝐙𝐎 

👔 LinkedIn: https://linkedin.com/in/fabiandescalzo

💡 Grupo Linkedin: https://www.linkedin.com/groups/12188431/

📺 YouTube: https://www.youtube.com/fabdescalzo



Tags:

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.