Exclusive peer to peer groups for Latino tech leaders. Learn about DOMOS.
Back to Blog

La verdadera ciberseguridad empieza en la cultura, no en el firewall

TT
TRIBU Tech LatamCiberseguridad· May 15, 2026

Cuando escuchamos “ciberseguridad 360” es fácil imaginar dashboards, firewalls, nubes y mil herramientas. Pero el panel que reunió a José Buenimán (Yarix, Uruguay), Alejandro Martínez (Beprot) y Paulo (Unidad Educativa Técnico Salesiano, Ecuador) dio un giro interesante:
la conversación no fue sobre “herramientas”, sino sobre personas, decisiones y cultura.

Más que una vuelta de 360° que te deja en el mismo lugar, se habló de una mirada integral: cómo equilibrar tecnología, gestión y personas para construir organizaciones más seguras y sostenibles.

De área técnica a sistema vivo: qué es realmente “ciberseguridad 360”

José lo dejó claro desde el inicio: la seguridad no puede seguir tratándose como “el área de TI que mira logs”.

Para él, una mirada 360 implica ver la ciberseguridad como un sistema donde conviven:

  • Personas
    Cultura, capacitación, concientización, manejo de identidades, hábitos del día a día. Cómo uso el correo, cómo gestiono contraseñas, qué hago cuando recibo un enlace raro.

  • Procesos
    Gobernanza, cumplimiento normativo, respuesta a incidentes, gestión de terceros, políticas claras, procedimientos que se siguen de verdad (no solo un PDF en una carpeta).

  • Tecnología
    Infraestructura, nubes, detección inteligente, gestión de vulnerabilidades, arquitectura segura, herramientas bien configuradas (y mantenidas).

  • Negocio
    Riesgo financiero, apetito de riesgo, impacto en clientes, reputación, continuidad operativa. Seguridad no como freno, sino como habilitador comercial.

Alejandro añadió una dimensión clave: no alcanza con mirar hacia adentro.

Una ciberseguridad 360 también contempla:

  • proveedores,

  • clientes,

  • terceros que procesan datos,

  • servicios externos que usamos sin pensarlo demasiado.

Es decir: no es solo “lo que hacemos nosotros”, sino también lo que otros hacen y nos afecta igual.

Y Paulo lo aterrizó a un terreno muy concreto: la educación. En el ecosistema salesiano en Ecuador trabajan desde colegios hasta proyectos de gobernanza a nivel ciudad, sembrando cultura de ciberseguridad desde edades tempranas. Porque la capa 8 — la persona — sigue siendo el eslabón más débil… o el más fuerte, si se la forma bien.

El elefante en la sala: la ciberseguridad es cara (hasta que es barata)

Todos coincidieron en algo incómodo pero real:
muchas empresas solo invierten después del incidente.

Hasta que no:

  • pierden datos,

  • sufren un ransomware,

  • ven su marca en las noticias,

  • o un proveedor les exige ciertos controles para poder trabajar,

  • la seguridad es vista como gasto, no como inversión.

José usó una comparación simple: la ciberseguridad se parece más a un seguro de auto que a una licencia de software. No es algo que “se amortiza por uso”, sino algo que te salva cuando pasa lo peor.

¿Cómo se convence entonces a una dirección que solo ve costos?

  • Hablando en lenguaje de riesgo, no de puertos y protocolos.

  • Mostrando escenarios concretos: “Si no hacemos esto, el riesgo económico y reputacional es este”.

  • Mostrando cómo la seguridad puede abrir puertas: hay clientes que solo te contratan si tienes cierto nivel de madurez.

Paulo contó un caso muy gráfico: en su institución detectaron malos usos de correos corporativos (vinculados a banca, redes sociales, temas personales). Al cortar accesos y mostrar el impacto real, las personas tomaron conciencia de golpe. A veces, un susto controlado educa más que diez charlas.

Innovación, velocidad y seguridad: ¿se puede tener todo sin fricción?

La pregunta era directa: ¿Se puede equilibrar innovación, velocidad y seguridad sin frenar al negocio?

Los tres respondieron que sí… pero no “gratis”.

Seguridad desde el diseño o seguridad como freno

José fue claro: cuando la seguridad entra tarde, entra como freno.

La alternativa es integrarla desde el inicio:

  • en el diseño de arquitectura,

  • en el pipeline de despliegue,

  • en los procesos de desarrollo (DevSecOps),

  • en las decisiones de qué IA o qué servicio se usa y cómo.

¿Quieres usar IA generativa, Gemini, ChatGPT, copilots, etc. para acelerar desarrollo? Perfecto.
Pero entonces:

  • pon análisis de código (estático y dinámico) en el pipeline,

  • controla dependencias y vulnerabilidades,

  • define qué datos pueden o no enviarse a herramientas externas,

  • revisa el modelo de permisos y accesos.

Alejandro apuntó algo clave: es preferible crecer con un poco de fricciónque crecer rápido y estrellarse por un incidente.

Paulo sumó la capa técnica: si trabajas API first, diseña cada API pensando en seguridad desde el principio.

Y no olvides lo básico que tantos aún omiten:

  • separar desarrollo, pruebas, preproducción y producción,

  • no “tocar en caliente” servidores en producción,

  • involucrar a QA y seguridad antes de desplegar.

La fricción existe, sí. Pero puede ser:

  • preventiva y controlada, si se diseña bien;

  • o caótica, urgente y carísima, si solo aparece cuando todo ya se cayó.

Por dónde empezar si eres pyme, startup o empresa en crecimiento

La gran pregunta práctica fue: “Ok, entendí el concepto… ¿pero por dónde empiezo mañana?”

Los panelistas coincidieron en empezar por pocos controles estratégicos que dan mucho valor sin matar al equipo de TI:

1. Gestión de identidades y accesos (IAM)

  • Políticas de menor privilegio.

  • Grupos en lugar de usuarios aislados.

  • Alta y baja automática de usuarios.

  • Revisión periódica de quién tiene acceso a qué.

2. MFA / Doble factor de autenticación
Especialmente en:

  • correo corporativo,

  • paneles de administración,

  • acceso remoto,

  • sistemas críticos.

3. Visibilidad y registros
No se puede proteger lo que no se ve.

  • Centralizar logs (aunque sea con soluciones open source).

  • Saber qué activos existen (inventario básico).

  • Clasificar qué es crítico y qué no.

4. Hardening y plantillas

  • Baselines de configuración seguras para servidores, laptops, nubes.

  • Evitar “cada uno configura a su gusto”.

  • Apoyarse en marcos como CIS Controls para no inventar todo de cero.

5. Concientización continua (no la charla anual de compliance)
Alejandro insistió: mejor cápsulas chicas y frecuentes:

  • vídeos cortos,

  • ejemplos reales,

  • simulaciones de phishing,

  • contenidos alineados a lo que está pasando (deepfakes, IA, estafas nuevas).

6. Plan de respuesta a incidentes simple
Aunque sea básico:

  • ¿cómo detectamos?

  • ¿quién decide qué hacer?

  • ¿cómo contenemos?

  • ¿quién comunica y a quién?

7. Infraestructura mínima bien puesta
Como decía Paulo:

  • un firewall decente,

  • segmentación de redes,

  • un WAF si tienes aplicaciones expuestas,

  • separar tráfico de usuarios, servidores, invitados.

No hace falta empezar por ISO 27001 completa.
Hace falta dar pasos pequeños, concretos y sostenidos.

El eterno enemigo y la amenaza principal: nosotros mismos

Cuando se preguntó cuál es hoy la amenaza más latente, la respuesta fue contundente:

La amenaza más grande es el usuario.

No en tono de culpa, sino de realidad:

  • El ransomware muchas veces entra por phishing.

  • Las credenciales se filtran porque se reutilizan en mil sitios.

  • Un empleado acepta dinero para meter un pendrive.

  • Alguien sube datos sensibles a una IA pública “para que le haga un resumen”.

  • Un directivo quiere quitar el MFA “porque es molesto”.

Alejandro lo resumió bien: podemos tener la mejor arquitectura del mundo, y aun así un solo clic puede tirar abajo años de trabajo.

Y a eso se suman nuevas herramientas de ataque:

  • Deepfakes para simular voces o caras de directivos,

  • ingeniería social sofisticada,

  • info-stealers que roban credenciales del navegador “porque descargué algo rápido de donde no debía”.

Por eso la insistencia casi obsesiva de los tres panelistas en:

  • formar,

  • sensibilizar,

  • repetir,

  • y volver a repetir.

No se trata de volver paranoica a la gente, sino de lograr algo muy concreto: que cada persona sea capaz de pararse medio segundo antes de hacer clic y preguntarse “¿tiene sentido esto?”

Un paso concreto para mañana

Al final, quedó una pregunta muy práctica:
si una organización pudiera dar un solo paso concreto mañana, ¿cuál debería ser?

Las respuestas se complementaron:

  • Alejandro: apostar por las personas. Invertir en formación continua, no solo técnica sino también en pensamiento crítico frente a la IA y las herramientas que usamos a diario.

  • José: si ya empezaste a trabajar cultura, el siguiente gran paso es ordenar identidades y accesos. Gestionar bien quién entra, desde dónde, con qué privilegios y con qué protecciones (MFA).

  • Paulo: asumir que hay que invertir. Dejar de ver seguridad como gasto “de emergencia” y destinar presupuesto, aunque sea pequeño, a controles básicos que protejan lo esencial.

De “proyecto de TI” a valor compartido

Más que una mesa técnica, la conversación terminó siendo casi una declaración cultural:

  • La ciberseguridad ya no es un tema solo de sistemas.

  • No es algo que se “compra” y listo.

  • No es un parche post-incidente.

Es una forma de gestionar la organización:

  • cómo cuido mis datos,

  • cómo cuido a mis clientes,

  • cómo cuido a mi gente,

  • cómo cuido el futuro del negocio.

Y como dijo alguien en el panel, al final de todo esto, la idea no es solo “proteger sistemas”:

Es comer mejor, vivir mejor, trabajar mejor y dormir más tranquilos
sabiendo que hicimos lo que estaba en nuestras manos.

El Equipo de TRIBU Tech Latam

WhatsApp