En ciberseguridad, demostrar cumplimiento no es suficiente.
Políticas, procedimientos, controles y auditorías superadas aportan orden y una sensación legítima de tranquilidad a la organización y a su dirección. Sin embargo, la experiencia demuestra que el verdadero valor no aparece cuando todo funciona, sino cuando algo falla y hay que decidir. Y esos momentos de verdad no empiezan únicamente cuando nos enfrentamos al incidente, sino mucho antes, cuando definimos prioridades, aceptamos limitaciones y decidimos dónde poner el foco de la preparación, especialmente en entornos con recursos escasos y contextos complejos como los industriales y las infraestructuras críticas que sostienen nuestra sociedad en un panorama geopolítico cada vez más adverso.
A lo largo de los años he visto organizaciones con altos niveles de cumplimiento que, ante decisiones de qué priorizar para prepararse adecuadamente o frente a un incidente real, dudan, reaccionan tarde o toman decisiones contradictorias. No suele ser un problema tecnológico. En la mayoría de los casos, el problema es que no se habían madurado previamente ciertas decisiones clave: dónde poner el foco, qué es realmente crítico, así como cómo y quién debe decidir cuando los recursos no alcanzan y que por más que deseemos tener las mejores tecnologías y procesos tal vez nuestro negocio, en su estado de madurez actual, no puede permitírselas y requiere priorizar inteligentemente.
Los marcos y normas ayudan a estructurar la seguridad, a definir procesos y a establecer mínimos razonables.
Sin embargo, podemos caer en el “cumpli-miento”, donde consideramos que porque cumplimos ya estamos preparados y aunque vemos que no estamos bien alineados con la realidad de la organización, se mantiene ya que con ello se pueden pasar las auditorías. Pero debemos recordar que ninguna norma decide por una organización cuando un incidente impacta directamente en la operación, en los usuarios o en la reputación.
En ese momento, las preguntas dejan de ser normativas y pasan a ser profundamente estratégicas: ¿qué proceso se debe proteger primero?, ¿qué personas deben liderar la respuesta?, ¿qué tecnología se prioriza?, ¿qué activos de información no deberían verse comprometidos bajo ningún escenario?
Es claro que debemos priorizar la vida y salud de nuestros colaboradores y usuarios, el medio ambiente, la seguridad de los equipos y medios de producción y el servicio esencial que nuestra organización presta a la sociedad y por esto debemos analizar la triada de la seguridad (confidencialidad, integridad y disponibilidad), específicamente para nuestro entorno y nuestros activos priorizando adecuadamente las acciones de protección y respuesta. Porque en estos entornos, una mala decisión en ciberseguridad puede rápidamente dejar de ser un problema de información para convertirse en un impacto físico, ambiental o social.
La madurez no consiste en tener todas las respuestas, sino en haber construido previamente los criterios para decidir.
Prepararse no es solo desplegar controles técnicos.
Es tomar decisiones conscientes sobre procesos, personas y tecnología, entendiendo que no todo puede recibir el mismo nivel de atención.
Desde la experiencia, las organizaciones más maduras son aquellas que han identificado con claridad sus activos de información críticos, aquellos cuya pérdida, indisponibilidad o alteración tendría un impacto real en el negocio, en los usuarios o incluso en la sociedad. A partir de ahí, alinean procesos, capacitan a las personas adecuadas y seleccionan la tecnología que realmente aporta valor a esa protección.
Este ejercicio de foco no es cómodo, porque obliga a priorizar y, por tanto, a renunciar incluso a modas que el mercado puede estar planteando como lo adecuado. Pero es precisamente ahí donde empieza la preparación real. Además, la madurez no está solo en priorizar una vez, sino en revisar y madurar esas decisiones con el tiempo. El contexto cambia, los servicios evolucionan y los riesgos también.
Madurar el foco de la preparación implica preguntarse periódicamente si los esfuerzos siguen alineados con lo que realmente importa. Si los procesos de respuesta reflejan la operación real o un escenario ideal. Si las personas clave están formadas y empoderadas para decidir, o si toda decisión termina escalando demasiado tarde. Y si la tecnología está al servicio de la estrategia o se ha convertido en un fin en sí misma.
Cuando estas preguntas no se hacen anticipadamente aparecen en el peor momento posible donde las decisiones tienen que ser tan rápidas que no permiten pensarlas adecuadamente.
Este enfoque cobra aún más relevancia cuando hablamos de infraestructuras críticas y servicios esenciales. En estos entornos, las decisiones no afectan únicamente a una organización, sino a personas, comunidades y a la confianza de la sociedad en servicios básicos como energía, transporte, salud, agua, telecomunicaciones, servicios financieros, entre otros, donde no pueden abordarse únicamente desde una lógica interna. La preparación y la toma de decisiones deben considerar el impacto en los usuarios, la continuidad del servicio y la responsabilidad que implica operar sistemas de los que depende la comunidad, por lo que la madurez es también una responsabilidad social que debemos abrazar más allá del cumplimiento.
En la práctica, los recursos nunca son infinitos y casi nunca son suficientes. Equipos pequeños, presupuestos ajustados, dependencia de proveedores, tecnología heredada. Esta no es una situación excepcional, es el escenario habitual.
La diferencia entre organizaciones maduras y reactivas no está en disponer de más recursos, sino en haber decidido de antemano cómo asignarlos.
Qué procesos se protegen primero, qué activos de información no son negociables y qué servicios deben mantenerse incluso en escenarios degradados. Decidir qué no se puede proteger al mismo nivel es incómodo, pero no hacerlo es irresponsable y por esto se requiere un enfoque basado en riesgo que permita esta priorización.
Cuando un incidente ocurre, el margen para reflexionar es mínimo. En ese momento, las organizaciones maduras no improvisan. Ejecutan decisiones previamente pensadas, acordadas y entrenadas.
Saben quién decide, qué y cómo se comunica, con qué criterios y con qué objetivos, por ejemplo, proteger a las personas, asegurar los procesos críticos, salvaguardar la información esencial, minimizar el impacto y mantener los servicios que la sociedad espera que sigan funcionando.
Evaluar nuestro estado de madurez con herramientas como MACIN (Evaluación de Madurez en la Ciberseguridad Industrial) nos ayuda a verificar que nos hemos hecho las preguntas correctas, que vamos en el camino adecuado y a definir el nivel de madurez objetivo en cada uno de los controles según las prioridades específicas para el entorno de la organización, su nivel de riesgo y su impacto en los públicos de interés.
En conclusión, las normas establecen un punto de partida, y nos recuerdan lo que debemos hacer, la organización debe definir el foco, las prioridades y el nivel de madurez esperado, ya que la madurez se demuestra cuando hay que decidir, antes y durante el incidente, especialmente cuando están en juego nuestros entornos industriales, servicios esenciales y la confianza de la sociedad. Decidir con criterio es lo que realmente protege a las organizaciones, a los usuarios y a los servicios de los que todos dependemos.
Desde la experiencia, dejo algunas prácticas que ayudan a mejorar la calidad de estas decisiones y a madurar la preparación:
- Involucrar a la dirección y la operación en la definición de prioridades y nivel de madurez esperado es fundamental, especialmente cuando están en juego la producción y servicios esenciales. La seguridad no puede decidirse solo desde lo técnico.
- Revisar periódicamente los activos de información críticos y su relación con los procesos reales para evitar proteger “lo que siempre se ha protegido” por inercia.
- Entrenar y simular escenarios realistas, incluyendo fallos de personas, procesos y tecnología, permite detectar decisiones que aún no están tomadas.
- Y, sobre todo, asumir que decidir en ciberseguridad industrial implica responsabilidad. Decidir es proteger a otros, no solo a la organización.