El CISO siempre ha sido responsable de los incidentes. Eso no ha cambiado, y no debería hacerlo. Lo que sí ha cambiado es que hemos aumentado su responsabilidad operativa sin dar a los CISO un mayor control.
Esta función se ha acercado cada vez más al centro operativo de la empresa. Los CISO están más involucrados en la respuesta a incidentes, más expuestos al escrutinio de la junta directiva y más vinculados a los resultados en materia de cumplimiento normativo.
A simple vista, eso parece un avance. La seguridad se trata ahora como un asunto empresarial, no solo técnico. Pero tener un puesto en la mesa no significa tener el control.
En la mayoría de las organizaciones, los CISO no son titulares de los sistemas que protegen ni de las decisiones que determinan el riesgo. La responsabilidad recae en el CISO. El control está repartido por toda la organización.
Esa discrepancia está empezando a hacer que el puesto sea insostenible.
La rendición de cuentas por sí sola no mejora la seguridad
Si la responsabilidad operativa por sí sola condujera a mejores resultados de seguridad, el debate sería otro. Pero eso no es lo que está pasando. Los ciberataques siguen aumentando en frecuencia e impacto.
Las organizaciones están reaccionando. Nuestra investigación muestra que el 94 % han introducido cambios en respuesta al aumento de la responsabilidad operativa del CISO. La cuestión no es si están actuando, sino cómo. Muchos de los cambios se centran en gestionar la exposición: más documentación, más escrutinio, más protección legal. La responsabilidad operativa suele impulsar un comportamiento defensivo: proteger a la organización a posteriori, en lugar de reducir la probabilidad de que se produzca un incidente en primer lugar.
En cambio, la responsabilidad operativa debería impulsar la alineación. Debería forzar conversaciones claras con el equipo ejecutivo sobre cuáles son los riesgos reales. Debería conducir a una mayor titularidad y garantizar que los presupuestos y los recursos se ajusten al panorama de amenazas. En muchos casos, no es así, lo que dificulta actuar sobre los riesgos que ya se han identificado.
Por qué sigue creciendo la brecha
Este modelo (en el que la responsabilidad está centralizada y el control se distribuye) solo funciona cuando la organización actúa como un todo. En la práctica, eso rara vez ocurre.
Y a medida que las organizaciones se mueven cada vez más rápido, ese desajuste se vuelve más difícil de gestionar. Los equipos de seguridad pueden identificar el riesgo, pero abordarlo depende de las decisiones que tomen otros equipos. Así que la brecha crece, no porque los responsables de seguridad no estén haciendo su trabajo, sino porque el sistema que los rodea no está configurado para respaldarlo.
Lo que falta no es la capacidad de actuar cuando surgen incidentes. Es la visibilidad y la aplicación. A un nivel básico, muchas organizaciones siguen teniendo dificultades para saber qué se está ejecutando en su entorno: qué herramientas se utilizan, por dónde fluyen los datos o cuál es el alcance de un despliegue.
Incluso cuando los riesgos son visibles, actuar ante ellos depende de la coordinación, la titularidad y la capacidad de aplicar cambios en todos los equipos, y ahí es donde muchas organizaciones se quedan cortas.
En caso de una violación de la seguridad, a los CISO no solo se les juzga por lo que ha pasado, sino por si tenían la visibilidad y la autoridad para actuar. En la práctica, eso significa demostrar que se entendían los riesgos y que la organización estaba en condiciones de actuar, incluso si la aplicación dependía de otros equipos.
Esto no es nuevo, pero se vuelve más difícil a medida que los entornos crecen y cambian más rápido.
Justo cuando la seguridad avanzaba, la IA cambió las reglas del juego
Durante un tiempo, parecía que los equipos de seguridad estaban controlando la situación. Los controles estaban madurando, los fundamentos mejoraban y se tenía la sensación de que la brecha entre atacantes y defensores se estaba reduciendo.
Entonces, el panorama volvió a cambiar. La IA ha transformado el entorno casi de la noche a la mañana. Se están adoptando nuevas herramientas rápidamente y la superficie de ataque se está ampliando. El uso se extiende antes de que las políticas se actualicen. En algunos casos, los equipos de seguridad no comprenden del todo el riesgo hasta que ya está presente. E incluso cuando mejora la visibilidad, no se garantiza su aplicación.
Muchos equipos de seguridad han vuelto a una posición conocida: intentando ponerse al día. Al mismo tiempo, las expectativas no se han restablecido. Si cabe, han aumentado.
Esto es aún más evidente en las organizaciones que dan prioridad a la IA, donde la titularidad de la respuesta a incidentes suele ser poco clara y el ritmo de cambio es mayor. Más de la mitad de las organizaciones que dan prioridad a la IA informan de confusión sobre la titularidad, más del doble que en las organizaciones tradicionales.
Lo que hay que cambiar
La respuesta no es reducir la responsabilidad operativa. Los CISO deben rendir cuentas. Eso no se cuestiona.
Pero la responsabilidad operativa sin control no mejora la seguridad, crea fricciones. Las organizaciones están haciendo responsable a una sola función de resultados que dependen de todo el sistema.
La seguridad debe integrarse en el proceso de toma de decisiones, no ser una capa añadida a posteriori. Si la empresa avanza a gran velocidad, especialmente con la IA, la seguridad debe avanzar con ella.
Eso requiere alineación a nivel directivo. Requiere claridad sobre la titularidad y los recursos que reflejen el nivel real de riesgo. Y hasta que el control esté a la altura de la responsabilidad operativa, la brecha seguirá creciendo.
Cómo ayuda Fastly
Los equipos de seguridad necesitan saber qué herramientas se están usando y si están introduciendo riesgos en el entorno.
Los productos de protección de aplicaciones web y API de Fastly ayudan a los equipos a entender el tráfico que llega a sus aplicaciones e identificar actividades maliciosas con mayor rapidez. Las herramientas están diseñadas para reducir los falsos positivos, así que los equipos dedican menos tiempo a perseguir actividades inofensivas y más tiempo a responder a amenazas reales.
A medida que las herramientas de IA se extienden por las organizaciones, la complejidad operativa también aumenta. Fastly reúne capacidades como WAF, gestión de bots y protección contra DDoS en una sola plataforma, lo que ayuda a reducir los gastos operativos y facilita la coordinación de la respuesta ante incidentes.
Si tu equipo de seguridad está intentando seguir el ritmo de la adopción de la IA, las superficies de ataque cada vez mayores y la creciente presión por la responsabilidad operativa, descubre cómo los productos de seguridad de Fastly pueden ayudar a reducir el ruido, mejorar la visibilidad y acelerar los tiempos de respuesta.