La verdadera ciberseguridad empieza en la cultura, no en el firewall

TT
TRIBU Tech LatamCiberseguridad· 15 de mayo, 2026

Cuando escuchamos “ciberseguridad 360” es fácil imaginar dashboards, firewalls, nubes y mil herramientas. Pero el panel que reunió a José Buenimán (Yarix, Uruguay), Alejandro Martínez (Beprot) y Paulo (Unidad Educativa Técnico Salesiano, Ecuador) dio un giro interesante:
la conversación no fue sobre “herramientas”, sino sobre personas, decisiones y cultura.

Más que una vuelta de 360° que te deja en el mismo lugar, se habló de una mirada integral: cómo equilibrar tecnología, gestión y personas para construir organizaciones más seguras y sostenibles.

De área técnica a sistema vivo: qué es realmente “ciberseguridad 360”

José lo dejó claro desde el inicio: la seguridad no puede seguir tratándose como “el área de TI que mira logs”.

Para él, una mirada 360 implica ver la ciberseguridad como un sistema donde conviven:

  • Personas
    Cultura, capacitación, concientización, manejo de identidades, hábitos del día a día. Cómo uso el correo, cómo gestiono contraseñas, qué hago cuando recibo un enlace raro.

  • Procesos
    Gobernanza, cumplimiento normativo, respuesta a incidentes, gestión de terceros, políticas claras, procedimientos que se siguen de verdad (no solo un PDF en una carpeta).

  • Tecnología
    Infraestructura, nubes, detección inteligente, gestión de vulnerabilidades, arquitectura segura, herramientas bien configuradas (y mantenidas).

  • Negocio
    Riesgo financiero, apetito de riesgo, impacto en clientes, reputación, continuidad operativa. Seguridad no como freno, sino como habilitador comercial.

Alejandro añadió una dimensión clave: no alcanza con mirar hacia adentro.

Una ciberseguridad 360 también contempla:

  • proveedores,

  • clientes,

  • terceros que procesan datos,

  • servicios externos que usamos sin pensarlo demasiado.

Es decir: no es solo “lo que hacemos nosotros”, sino también lo que otros hacen y nos afecta igual.

Y Paulo lo aterrizó a un terreno muy concreto: la educación. En el ecosistema salesiano en Ecuador trabajan desde colegios hasta proyectos de gobernanza a nivel ciudad, sembrando cultura de ciberseguridad desde edades tempranas. Porque la capa 8 — la persona — sigue siendo el eslabón más débil… o el más fuerte, si se la forma bien.

El elefante en la sala: la ciberseguridad es cara (hasta que es barata)

Todos coincidieron en algo incómodo pero real:
muchas empresas solo invierten después del incidente.

Hasta que no:

  • pierden datos,

  • sufren un ransomware,

  • ven su marca en las noticias,

  • o un proveedor les exige ciertos controles para poder trabajar,

  • la seguridad es vista como gasto, no como inversión.

José usó una comparación simple: la ciberseguridad se parece más a un seguro de auto que a una licencia de software. No es algo que “se amortiza por uso”, sino algo que te salva cuando pasa lo peor.

¿Cómo se convence entonces a una dirección que solo ve costos?

  • Hablando en lenguaje de riesgo, no de puertos y protocolos.

  • Mostrando escenarios concretos: “Si no hacemos esto, el riesgo económico y reputacional es este”.

  • Mostrando cómo la seguridad puede abrir puertas: hay clientes que solo te contratan si tienes cierto nivel de madurez.

Paulo contó un caso muy gráfico: en su institución detectaron malos usos de correos corporativos (vinculados a banca, redes sociales, temas personales). Al cortar accesos y mostrar el impacto real, las personas tomaron conciencia de golpe. A veces, un susto controlado educa más que diez charlas.

Innovación, velocidad y seguridad: ¿se puede tener todo sin fricción?

La pregunta era directa: ¿Se puede equilibrar innovación, velocidad y seguridad sin frenar al negocio?

Los tres respondieron que sí… pero no “gratis”.

Seguridad desde el diseño o seguridad como freno

José fue claro: cuando la seguridad entra tarde, entra como freno.

La alternativa es integrarla desde el inicio:

  • en el diseño de arquitectura,

  • en el pipeline de despliegue,

  • en los procesos de desarrollo (DevSecOps),

  • en las decisiones de qué IA o qué servicio se usa y cómo.

¿Quieres usar IA generativa, Gemini, ChatGPT, copilots, etc. para acelerar desarrollo? Perfecto.
Pero entonces:

  • pon análisis de código (estático y dinámico) en el pipeline,

  • controla dependencias y vulnerabilidades,

  • define qué datos pueden o no enviarse a herramientas externas,

  • revisa el modelo de permisos y accesos.

Alejandro apuntó algo clave: es preferible crecer con un poco de fricciónque crecer rápido y estrellarse por un incidente.

Paulo sumó la capa técnica: si trabajas API first, diseña cada API pensando en seguridad desde el principio.

Y no olvides lo básico que tantos aún omiten:

  • separar desarrollo, pruebas, preproducción y producción,

  • no “tocar en caliente” servidores en producción,

  • involucrar a QA y seguridad antes de desplegar.

La fricción existe, sí. Pero puede ser:

  • preventiva y controlada, si se diseña bien;

  • o caótica, urgente y carísima, si solo aparece cuando todo ya se cayó.

Por dónde empezar si eres pyme, startup o empresa en crecimiento

La gran pregunta práctica fue: “Ok, entendí el concepto… ¿pero por dónde empiezo mañana?”

Los panelistas coincidieron en empezar por pocos controles estratégicos que dan mucho valor sin matar al equipo de TI:

1. Gestión de identidades y accesos (IAM)

  • Políticas de menor privilegio.

  • Grupos en lugar de usuarios aislados.

  • Alta y baja automática de usuarios.

  • Revisión periódica de quién tiene acceso a qué.

2. MFA / Doble factor de autenticación
Especialmente en:

  • correo corporativo,

  • paneles de administración,

  • acceso remoto,

  • sistemas críticos.

3. Visibilidad y registros
No se puede proteger lo que no se ve.

  • Centralizar logs (aunque sea con soluciones open source).

  • Saber qué activos existen (inventario básico).

  • Clasificar qué es crítico y qué no.

4. Hardening y plantillas

  • Baselines de configuración seguras para servidores, laptops, nubes.

  • Evitar “cada uno configura a su gusto”.

  • Apoyarse en marcos como CIS Controls para no inventar todo de cero.

5. Concientización continua (no la charla anual de compliance)
Alejandro insistió: mejor cápsulas chicas y frecuentes:

  • vídeos cortos,

  • ejemplos reales,

  • simulaciones de phishing,

  • contenidos alineados a lo que está pasando (deepfakes, IA, estafas nuevas).

6. Plan de respuesta a incidentes simple
Aunque sea básico:

  • ¿cómo detectamos?

  • ¿quién decide qué hacer?

  • ¿cómo contenemos?

  • ¿quién comunica y a quién?

7. Infraestructura mínima bien puesta
Como decía Paulo:

  • un firewall decente,

  • segmentación de redes,

  • un WAF si tienes aplicaciones expuestas,

  • separar tráfico de usuarios, servidores, invitados.

No hace falta empezar por ISO 27001 completa.
Hace falta dar pasos pequeños, concretos y sostenidos.

El eterno enemigo y la amenaza principal: nosotros mismos

Cuando se preguntó cuál es hoy la amenaza más latente, la respuesta fue contundente:

La amenaza más grande es el usuario.

No en tono de culpa, sino de realidad:

  • El ransomware muchas veces entra por phishing.

  • Las credenciales se filtran porque se reutilizan en mil sitios.

  • Un empleado acepta dinero para meter un pendrive.

  • Alguien sube datos sensibles a una IA pública “para que le haga un resumen”.

  • Un directivo quiere quitar el MFA “porque es molesto”.

Alejandro lo resumió bien: podemos tener la mejor arquitectura del mundo, y aun así un solo clic puede tirar abajo años de trabajo.

Y a eso se suman nuevas herramientas de ataque:

  • Deepfakes para simular voces o caras de directivos,

  • ingeniería social sofisticada,

  • info-stealers que roban credenciales del navegador “porque descargué algo rápido de donde no debía”.

Por eso la insistencia casi obsesiva de los tres panelistas en:

  • formar,

  • sensibilizar,

  • repetir,

  • y volver a repetir.

No se trata de volver paranoica a la gente, sino de lograr algo muy concreto: que cada persona sea capaz de pararse medio segundo antes de hacer clic y preguntarse “¿tiene sentido esto?”

Un paso concreto para mañana

Al final, quedó una pregunta muy práctica:
si una organización pudiera dar un solo paso concreto mañana, ¿cuál debería ser?

Las respuestas se complementaron:

  • Alejandro: apostar por las personas. Invertir en formación continua, no solo técnica sino también en pensamiento crítico frente a la IA y las herramientas que usamos a diario.

  • José: si ya empezaste a trabajar cultura, el siguiente gran paso es ordenar identidades y accesos. Gestionar bien quién entra, desde dónde, con qué privilegios y con qué protecciones (MFA).

  • Paulo: asumir que hay que invertir. Dejar de ver seguridad como gasto “de emergencia” y destinar presupuesto, aunque sea pequeño, a controles básicos que protejan lo esencial.

De “proyecto de TI” a valor compartido

Más que una mesa técnica, la conversación terminó siendo casi una declaración cultural:

  • La ciberseguridad ya no es un tema solo de sistemas.

  • No es algo que se “compra” y listo.

  • No es un parche post-incidente.

Es una forma de gestionar la organización:

  • cómo cuido mis datos,

  • cómo cuido a mis clientes,

  • cómo cuido a mi gente,

  • cómo cuido el futuro del negocio.

Y como dijo alguien en el panel, al final de todo esto, la idea no es solo “proteger sistemas”:

Es comer mejor, vivir mejor, trabajar mejor y dormir más tranquilos
sabiendo que hicimos lo que estaba en nuestras manos.

El Equipo de TRIBU Tech Latam


WhatsApp