La ciberseguridad está cambiando rápidamente. Los roles son más especializados y las herramientas más sofisticadas. En teoría, esto debería hacer que su organización sea más segura. Pero, en realidad, muchos equipos están luchando con los mismos problemas básicos que enfrentaron hace años: priorización de riesgos poco clara, decisiones de herramientas desalineadas y dificultad para explicar los problemas de seguridad en términos que la empresa entienda.
Estos desafíos generalmente no son el resultado de una falta de esfuerzo. Surgen de algo más sutil: la pérdida gradual de la comprensión básica a medida que se acelera la especialización. La experiencia en sí misma no es la cuestión. Es la falta de contexto. Cuando los equipos de seguridad no tienen una comprensión compartida de cómo encajan el negocio, los sistemas y los riesgos, incluso una ejecución técnica sólida comienza a fallar. Con el tiempo, esas brechas se manifiestan en la forma en que se diseñan los programas, se seleccionan las herramientas y se manejan los incidentes. Desafortunadamente, he visto este patrón una y otra vez mientras ayudaba con programas de seguridad e incidentes en organizaciones de todos los tamaños.
La especialización sin contexto reduce el panorama de riesgos
La ciberseguridad es inusual en la rapidez con la que los profesionales pueden especializarse. Muchas profesiones comienzan con una amplia formación básica. Aprenda cómo funciona el sistema antes de centrarse en una parte del sistema. Por ejemplo, digamos que usted se convierte en médico antes de convertirse en cirujano especialista. En seguridad, a menudo ocurre al revés. Los empleados pasan directamente a funciones específicas, como seguridad en la nube, ingeniería de detección, análisis forense e IAM, con una exposición limitada a cómo funciona en conjunto el entorno más amplio. Con el tiempo, esto crea equipos que son altamente capaces dentro de sus propias áreas pero desconectados del panorama de riesgo más amplio.
Esto resulta en el desafío de la falta de visibilidad de un extremo a otro. Cuando solo ve una parte de su entorno, es difícil razonar sobre cómo se mueven las amenazas, cómo interactúan los controles o por qué ciertos riesgos son más importantes que otros. Los riesgos ya no se entienden de manera integral, sino sólo a través de la lente estrecha de su función. Aquí es donde fracasan muchas conversaciones sobre seguridad. Se plantean cuestiones de seguridad, pero no tienen nada que ver con el funcionamiento real de la organización. Sin esa conexión, esta preocupación suena abstracta. No logra resonar, no porque no importe, sino porque carece de contexto.
Cuando la comprensión es reemplazada por herramientas, los programas se desvían
Otro patrón recurrente es que las decisiones de seguridad se centran en productos en lugar de procesos. Cuando se pregunta a los equipos por qué necesitan una herramienta, sus respuestas se centran en la funcionalidad y las tendencias de la industria en lugar de en los riesgos específicos que abordan dentro de su organización. Si una herramienta no puede vincularse a los riesgos de una organización, generalmente significa que el problema subyacente no está claramente definido. La seguridad se convierte en algo que se compra, no en algo que se diseña.
Un programa de seguridad funcional comienza con la empresa. ¿Por qué existe esa organización? ¿Para qué misión cumple? ¿Qué sistemas y datos son críticos para esa misión? Sin respuestas claras a estas preguntas, no sabrá qué es lo que realmente necesita proteger. Los atacantes lo entienden muy bien. Para alterar su negocio, necesita identificar qué es lo más importante y dónde se producirá el impacto. Los defensores siempre reaccionan sin la misma claridad. Responden a alertas y vulnerabilidades sin prioridades claras. Los conocimientos básicos ayudarán a evitar esa brecha. Esto permite a los equipos pasar de la misión al activo y al riesgo, en lugar de herramientas, alertas y remediación.
La detección, la respuesta y la prevención dependen de saber qué es «normal».
Muchas fallas de seguridad se deben a un problema simple. Los equipos no saben qué es lo normal en su entorno. La detección es difícil si no se comprende bien el comportamiento esperado. Si no puede responder rápidamente preguntas básicas sobre su sistema, usuarios y flujos de datos, su respuesta será lenta. Cuando no podemos explicar claramente o aprender de eventos pasados, la prevención se convierte en conjeturas.
Este no es un problema de herramientas. Es cuestión de acostumbrarse. Saber cómo operan los sistemas, redes y organizaciones en el día a día es fundamental. Esto resaltará cualquier anomalía y le permitirá continuar con su investigación con confianza. Si los equipos se saltan esta tarea, deben desarrollar esta comprensión durante los incidentes donde la presión es mayor y los errores son más costosos. Las funciones avanzadas solo funcionan si se basan en una buena comprensión básica.
Domina las habilidades básicas en SANS Security West 2026
La ciberseguridad moderna depende de la especialización. Eso no cambia. Lo que hay que cambiar es la suposición de que la especialización es suficiente. Las habilidades fundamentales permiten a los equipos especializados razonar sobre los riesgos, comunicarse claramente con las empresas y tomar decisiones que resistan la presión. Estos crean un contexto compartido, que a menudo falta cuando los programas se desvían, las herramientas se acumulan o los incidentes se estancan.
A medida que los entornos se vuelven más complejos, el entendimiento común se vuelve más una necesidad que algo agradable de tener. Este mayo, en SANS Security West 2026, presentaremos SEC401: Conceptos básicos de seguridad: red, punto final y nube para equipos y profesionales que buscan fortalecer estas bases y aplicar habilidades especializadas en un contexto más claro en los programas de seguridad modernos.
Regístrese para SANS Security West 2026 aquí.
Nota: Este artículo fue escrito y contribuido profesionalmente por el instructor senior de SANS, Bryan Simon.
Source link
