La ciberseguridad ha cambiado rápidamente. Los roles son más especializados y las herramientas son más avanzadas. Sobre el papel, esto debería hacer que las organizaciones sean más seguras. Sin embargo, en la práctica, muchos equipos se enfrentan a los mismos problemas básicos a los que se enfrentaban hace años: prioridades de riesgo poco claras, decisiones desalineadas sobre las herramientas y dificultades para explicar los problemas de seguridad en términos que la empresa entienda.

Estos desafíos no suelen provenir de la falta de esfuerzo. Surgen de algo más sutil, de una pérdida gradual de la comprensión fundamental a medida que se acelera la especialización. La especialización en sí misma no es el problema. La falta de contexto sí lo es. Cuando los equipos de seguridad no tienen una visión común de cómo encajan el negocio, los sistemas y los riesgos, incluso la ejecución técnica sólida comienza a fallar. Con el tiempo, esa brecha se manifiesta en la forma en que se diseñan los programas, se eligen las herramientas y se gestionan los incidentes. Lamentablemente, he observado este patrón en repetidas ocasiones al ayudar a organizaciones de todos los tamaños en relación con los incidentes y los programas de seguridad.

La especialización sin contexto reduce el panorama de riesgo

La ciberseguridad es inusual en cuanto a la rapidez con la que los profesionales pueden especializarse. En muchas profesiones, la formación básica amplia es lo primero. Aprendes cómo funciona el sistema antes de centrarte en una sola parte del mismo. Pensemos, por ejemplo, en que uno se convierte en médico antes de convertirse en cirujano especializado. En seguridad, con frecuencia funciona al revés. Las personas pasan directamente a funciones específicas, como la seguridad en la nube, la ingeniería de detección, la ciencia forense o la IAM, con una exposición limitada a la forma en que se integra el entorno en general. Con el tiempo, esto crea equipos altamente capacitados en sus dominios, pero desconectados del panorama general del riesgo.

El desafío resultante es la falta de visibilidad de principio a fin. Cuando solo se ve una parte del entorno, resulta más difícil razonar sobre cómo se mueven las amenazas, cómo interactúan los controles o por qué ciertos riesgos son más importantes que otros. El riesgo deja de ser algo que se entiende de manera integral y se convierte en algo que solo se ve a través del estrecho lente de su función. Aquí es donde se interrumpen muchas conversaciones de seguridad. Se plantea un problema de seguridad, pero no está relacionado con el funcionamiento real de la organización. Sin esa conexión, la preocupación parece abstracta. No resuena, no porque carezca de importancia, sino porque carece de contexto.

Cuando las herramientas sustituyen a la comprensión, los programas van a la deriva

Otro patrón que aparece repetidamente es cómo las decisiones de seguridad se centran en los productos en lugar de en los procesos. A los equipos se les pregunta por qué necesitan una herramienta, y la respuesta se centra en las características o las tendencias del sector, más que en el riesgo específico que abordan dentro de la organización. Cuando una herramienta no puede vincularse al riesgo organizacional, normalmente significa que el problema subyacente no se ha definido con claridad. La seguridad se convierte en algo que se compra en lugar de en algo que se diseña.

Un programa de seguridad funcional comienza con la empresa. ¿Por qué existe la organización? ¿Qué misión cumple? ¿Qué sistemas y datos son esenciales para esa misión? Sin respuestas claras a esas preguntas, es imposible saber qué es lo que realmente hay que proteger. Los atacantes lo entienden bien. Para revolucionar un negocio, deben identificar qué es lo que más importa y dónde se sentirá el impacto. Los defensores que carecen de esa misma claridad siempre reaccionan. Responden a las alertas y vulnerabilidades sin un claro sentido de prioridad. El conocimiento fundamental ayuda a prevenir esa deriva. Permite a los equipos trabajar desde la misión hasta los activos y los riesgos, en lugar de pasar de la herramienta a la alerta y a la solución.

La detección, la respuesta y la prevención dependen de saber lo que es «normal»

Muchas fallas de seguridad se remontan a un problema simple: los equipos no saben cómo es lo normal en sus propios entornos. La detección se vuelve difícil cuando no se comprende bien el comportamiento esperado. La respuesta se ralentiza cuando las preguntas básicas sobre los sistemas, los usuarios y los flujos de datos no se pueden responder rápidamente. La prevención se convierte en conjeturas cuando los incidentes del pasado no se pueden explicar con claridad ni aprender de ellos.

No se trata de un problema de herramientas. Es un problema de familiaridad. Conocer sus sistemas, su red y el funcionamiento de su organización en el día a día es fundamental. Es lo que permite que las anomalías destaquen y que las investigaciones avancen con confianza. Cuando los equipos se saltan este trabajo, se ven obligados a desarrollar esta comprensión durante los incidentes, cuando la presión es mayor y los errores son más costosos. Las capacidades avanzadas solo funcionan cuando se basan en una comprensión básica adecuada.

Domine sus habilidades fundamentales en SANS Security West 2026

La ciberseguridad moderna depende de la especialización. Eso no va a cambiar. Lo que sí tiene que cambiar es la suposición de que la especialización por sí sola es suficiente. Las habilidades fundamentales permiten a los equipos especializados razonar sobre el riesgo, comunicarse claramente con la empresa y tomar decisiones que resisten la presión. Crean un contexto compartido, que a menudo es lo que falta cuando los programas no funcionan, las herramientas se acumulan o los incidentes se estancan.

A medida que los entornos se vuelven más complejos, esa comprensión compartida se convierte en un requisito, no en algo que es bueno tener. Este mes de mayo presentaré SEC401: Aspectos básicos de la seguridad: red, punto final y nube a SANS Security West 2026 para equipos y profesionales que desean fortalecer esas bases y aplicar sus habilidades especializadas con un contexto más claro en los programas de seguridad modernos.

Regístrese en SANS Security West 2026 aquí.

Nota: Este artículo ha sido escrito y contribuido por expertos Bryan Simon, instructor sénior de SANS .

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.