La ciberseguridad ha cambiado rápidamente. Los roles son más especializados y las herramientas son más avanzadas. Sobre el papel, esto debería hacer que las organizaciones sean más seguras. Pero en la habilidad, muchos equipos luchan con los mismos problemas básicos que enfrentaron hace abriles: prioridades de peligro poco claras, decisiones de herramientas desalineadas y dificultad para explicar los problemas de seguridad en términos que la empresa entienda.
Estos desafíos no suelen surgir de la desatiendo de esfuerzo. Surgen de poco más sutil, una pérdida continuo de comprensión fundamental a medida que se acelera la especialización. La especialización en sí misma no es el problema. La desatiendo de contexto lo es. Cuando los equipos de seguridad no tienen una comprensión compartida de cómo encajan el negocio, los sistemas y los riesgos, incluso una ejecución técnica sólida comienza a dirimir. Con el tiempo, esa brecha aparece en la forma en que se diseñan los programas, se eligen las herramientas y se manejan los incidentes. Desafortunadamente, he pasado este patrón repetidamente cuando ayudo con incidentes y programas de seguridad en organizaciones de todos los tamaños.
La especialización sin contexto reduce el panorama de riesgos
La ciberseguridad es inusual por la presteza con la que los profesionales pueden especializarse. En muchas profesiones, la formación básica amplia es lo primero. Aprende cómo funciona el sistema antaño de centrarse en una sola parte del mismo. Consideremos, por ejemplo, que uno se convierte en médico antaño de convertirse en cirujano especializado. En seguridad, a menudo ocurre al revés. Las personas pasan directamente a funciones específicas, como seguridad en la nimbo, ingeniería de detección, investigación forense o IAM, con una exposición limitada a cómo encaja el entorno más amplio. Con el tiempo, esto crea equipos que son enormemente capaces adentro de sus dominios pero desconectados del panorama de peligro más amplio.
El desafío resultante es la desatiendo de visibilidad de un extremo a otro. Cuando solo se ve una parte del entorno, resulta más difícil razonar sobre cómo se mueven las amenazas, cómo interactúan los controles o por qué ciertos riesgos son más importantes que otros. El peligro deja de ser poco que se comprende de forma integral y se convierte en poco que sólo se ve a través del cartuchón monóculo de su función. Aquí es donde fracasan muchas conversaciones sobre seguridad. Se plantea un problema de seguridad, pero no está relacionado con el funcionamiento efectivo de la estructura. Sin esa conexión, la preocupación suena abstracta. No logra resonar, no porque carezca de importancia, sino porque carece de contexto.
Cuando las herramientas reemplazan la comprensión, los programas se desvían
Otro patrón que aparece repetidamente es cómo las decisiones de seguridad se centran en productos en emplazamiento de procesos. Se pregunta a los equipos por qué necesitan una útil y la respuesta se centra en las características o tendencias de la industria en emplazamiento del peligro específico que aborda adentro de la estructura. Cuando una útil no puede vincularse al peligro organizacional, generalmente significa que el problema subyacente no se ha definido claramente. La seguridad se convierte en poco que se negocio en emplazamiento de poco que se diseña.
Un software de seguridad cómodo comienza con la empresa. ¿Por qué existe la estructura? ¿Para qué tarea cumple? ¿Qué sistemas y datos son esenciales para esa tarea? Sin respuestas claras a esas preguntas, es irrealizable enterarse qué es lo que positivamente es necesario proteger. Los atacantes lo entienden proporcionadamente. Para alterar un negocio, deben identificar qué es lo más importante y dónde se sentirá el impacto. Los defensores que carecen de esa misma claridad siempre están reaccionando. Están respondiendo a alertas y vulnerabilidades sin un claro sentido de prioridad. El conocimiento fundamental ayuda a alertar esa deriva. Permite a los equipos trabajar desde la tarea hasta los activos y el peligro, en emplazamiento de hacerlo desde la útil hasta la alerta y la remediación.
La detección, la respuesta y la prevención dependen de conocer lo “ordinario”
Muchas fallas de seguridad se deben a un problema simple: los equipos no saben cómo es lo ordinario en sus propios entornos. La detección se vuelve difícil cuando no se comprende proporcionadamente el comportamiento esperado. La respuesta se ralentiza cuando las preguntas básicas sobre sistemas, usuarios y flujos de datos no pueden responderse rápidamente. La prevención se convierte en conjeturas cuando los incidentes pasados no se pueden explicar ni ilustrarse con claridad.
Este no es un problema de herramientas. Es un problema de intimidad. Conocer sus sistemas, su red y cómo opera su estructura día a día es fundamental. Es lo que permite que las anomalías se destaquen y que las investigaciones avancen con confianza. Cuando los equipos se saltan este trabajo, se ven obligados a desarrollar esta comprensión durante los incidentes, cuando la presión es longevo y los errores son más costosos. Las capacidades avanzadas sólo funcionan cuando se basan en una comprensión básica adecuada.
Domine sus habilidades fundamentales en SANS Security West 2026
La ciberseguridad moderna depende de la especialización. Eso no va a cambiar. Lo que sí es necesario cambiar es la suposición de que la especialización por sí sola es suficiente. Las habilidades fundamentales permiten a los equipos especializados razonar sobre los riesgos, comunicarse claramente con la empresa y tomar decisiones que se mantengan bajo presión. Crean un contexto compartido, que a menudo es lo que desatiendo cuando los programas fallan, las herramientas se acumulan o los incidentes se estancan.
A medida que los entornos se vuelven más complejos, esa comprensión compartida se convierte en un requisito, no en poco agradable de tener. Este mes de mayo estaré presentando SEC401: Conceptos básicos de seguridad: red, punto final y nimbo en Seguridad SANS Oeste 2026 para equipos y profesionales que desean robustecer esas bases y aplicar sus habilidades especializadas con un contexto más claro en todos los programas de seguridad modernos.
Regístrese para SANS Security West 2026 aquí.
Nota: Este artículo ha sido escrito y contribuido de forma experta por Bryan Simon, instructor senior de SANS.
