Londres es una ciudad que me genera atracción y rechazo al mismo tiempo, pero siempre que la visito me da más elementos para fortalecer esa dualidad en mi amor/odio por ella. Esta semana me recibió con un clima estupendo, algunos días era absolutamente necesario guardar cualquier abrigo.
La semana del 22 al 25 de septiembre fue el Gartner Security & Risk Management Summit 2025, un evento donde se reúnen líderes de la industria, expertos y CISOs de Europa y América para compartir conocimiento y crear valor en conjunto. Me alegró ver una gran cantidad de líderes de ciberseguridad de las empresas más importantes de España.
Después de este evento considero muy valioso consolidar y organizar las ideas compartidas por todos. Para ello, plantearé los 5 puntos más importantes, posteriormente organizaré las presentaciones en grupos de acuerdo a los temas para entender que está generando interés y por último compartiré las predicciones más interesantes que se compartieron en las sesiones.
A continuación, presento los 5 puntos clave identificados, estructurando la información basada en las funciones de ciberseguridad (siguiendo el marco NIST CSF 2.0), las tendencias y predicciones compartidas en las fuentes.
Los temas centrales de las presentaciones giran en torno a la alineación del riesgo con el negocio, la integración de la Inteligencia Artificial y la necesidad de estrategias proactivas para gestionar la exposición.
1. La "Weaponización" del Apetito de Riesgo a través de los PLAs y ODMs: El concepto de Apetito de Riesgo Cibernético debe dejar de ser una simple declaración y convertirse en una herramienta de gestión y toma de decisiones. Los Acuerdos de Nivel de Protección (PLAs) transforman el apetito de riesgo en decisiones empresariales concretas que son difíciles de ignorar, guiando las inversiones de seguridad. Esto se logra mediante las Métricas Orientadas a Resultados (ODMs), que permiten a los ejecutivos tomar decisiones basadas en costos y niveles de protección definidos (ej., patching de 15 días por $2M/año).
2. El CISO como "Sense-Maker" y Gestor de Talento: El rol del CISO evoluciona de ser un líder funcional a un "sense-maker", un líder que traduce el riesgo cibernético a un contexto de negocio y genera consenso en la junta directiva sobre el costo y el nivel de protección. Para ser efectivos, los CISOs deben desarrollar una estrategia de talento enfocada en las necesidades futuras (llevando a un aumento del 44% en la efectividad) y gestionar activamente su bienestar y el de su equipo (enfrentando el burnout del equipo de seguridad).
3. La Adopción de la Gestión Continua de Exposición a Amenazas (CTEM): Existe un cambio fundamental de la gestión tradicional de vulnerabilidades (VM) a la Gestión Continua de Exposición a Amenazas (CTEM). CTEM es un programa de cinco fases (Alcance, Descubrimiento, Priorización, Validación, Movilización) que se centra en las exposiciones a amenazas que son explotables y más impactantes para la organización, en lugar de solo listar vulnerabilidades. El objetivo es reducir la exposición a las amenazas en un mundo en constante cambio.
4. La IA como Acelerador de Amenazas y Defensas: La Inteligencia Artificial (IA) y la IA Generativa (GenAI) son vistas como la tecnología que impactará significativamente a las industrias y en la que los ejecutivos planean aumentar la financiación. La IA está impulsando la sofisticación de ataques (como el phishing conversacional y la ingeniería social avanzada). Para la defensa, la IA Táctica se utiliza para aumentar (no reemplazar) al personal de seguridad, mejorando la respuesta a incidentes, la reducción de falsos positivos y la generación de reportes.
5. Optimización Arquitectónica y Consolidación de Plataformas: La proliferación de herramientas de seguridad (tool sprawl), con un promedio de 43 herramientas de ciberseguridad por empresa, genera fatiga de alertas, inconsistencias en la postura y costos elevados. La solución es la consolidación de plataformas (como SASE, CNAPP, Plataformas de Evaluación de Exposición - EAP) para lograr resultados unificados, reducir la complejidad y mejorar la eficacia del personal.
Esta función abarca la estrategia ejecutiva, la medición del riesgo, la regulación y la identificación de activos y amenazas. En este frente tenemos las siguientes charlas más relevantes.
|
Tema |
Conceptos Clave |
Presentación Principal Relacionada |
|
Alineación de Riesgo y Valor |
El apetito de riesgo debe ser una herramienta de toma de decisiones. El CISO debe ser un "sense-maker" que traduzca el riesgo cibernético en impacto de negocio, alineando el valor y la protección. |
How to Increase Board Confidence in Cybersecurity |
|
PLAs y ODMs |
Utilizar Protection-Level Agreements (PLAs) y Outcome-Driven Metrics (ODMs) para negociar niveles de protección específicos con la dirección ejecutiva y medir el rendimiento del programa de seguridad. |
Managing Cyber-Risk Appetite Through PLAs |
|
Gestión de Riesgos de Terceros (TPCRM) |
La TPCRM debe seguir un ciclo de vida. Se debe pasar de un enfoque impulsado por el cumplimiento a uno impulsado por el apetito de riesgo, usando ODMs. Se prevé que el rendimiento de TPCRM sea un tema fijo en las agendas de los comités de auditoría de las juntas directivas para 2026. |
Take a Life Cycle Approach to Managing Third-Party Cyber Risk |
|
Riesgo y Gobernanza de la IA |
La responsabilidad de la seguridad/riesgo de la IA recae principalmente en TI (71%) y Seguridad (55%). Se debe priorizar la alfabetización en IA (AI literacy) y documentar el impacto y los resultados de la IA, ya que las leyes existentes se aplican y no hay "exención de IA". |
Read Between the Lines: Ready Yourself for the Impact of AI Laws |
|
Soberanía y Riesgos Geopolíticos |
Es crucial expandir la definición de soberanía y utilizar marcos de evaluación (como TPESTRE - Tecnológico, Político, Económico, Social, de Confianza/Ético, Regulatorio, Ambiental) para identificar y priorizar los riesgos clave que impactan la prestación de servicios y la cadena de suministro. |
How to Assess and Manage Sovereignty Risk in Geopolitical Tension (Referencia recomendada) |
Esta función se enfoca en implementar salvaguardas y controles para limitar o contener el impacto de un evento de seguridad. A continuación una lista de las presentaciones más relevantes.
|
Tema |
Conceptos Clave |
Presentación Principal Relacionada |
|
Seguridad de la Identidad (IAM) |
Las credenciales comprometidas son el vector de ataque principal. Se impulsa la Seguridad Prioritaria en la Identidad (Identity-First Security). Se promueve el uso de Privileged Identity Management (PIM) para acceso de alto privilegio. |
4 Ways CISOs Must Use IAM |
|
Identidades No Humanas (NHI) |
Hay aproximadamente 46 identidades no humanas por cada identidad humana. Las NHI (como cuentas de servicio, APIs, agentes de IA) deben ser priorizadas en la gestión de acceso privilegiado (PAM) y se requiere un grupo de trabajo específico para Machine IAM. |
Managing Machine Identities |
|
Arquitectura de Confianza Cero (ZT) |
ZT es un paradigma que requiere descomponer la complejidad en elementos consumibles. Se debe alinear la estrategia de ZT a los pilares de CISA (Identidad, Dispositivos, Redes, Aplicaciones y Carga de Trabajo, Datos). |
Building an Effective Zero-Trust Strategy: How We Will Connect Tactics to Strategy |
|
Seguridad del Borde (SASE/SSE) |
La consolidación de plataformas SASE (Secure Access Service Edge) o SSE (Security Service Edge) es clave para reducir la complejidad y el TCO. La estrategia debe basarse en la alineación de modelos de despliegue con objetivos de negocio (ej., reemplazo de VPN o convergencia de proveedores). |
Pick a SASE deployment model |
|
Seguridad por Diseño (SbD) |
Los esfuerzos de SbD deben incluir el Modelado de Amenazas (Threat Modeling) y la promoción de valores predeterminados seguros (Secure by Default) para reducir la carga sobre los usuarios y los riesgos. |
How to Achieve Secure by Design in Security Architecture (Recomendado en las fuentes) |
|
Riesgo de Usuarios/Comportamiento |
El elemento humano está involucrado en el 68% de las brechas. Los programas de cultura y comportamiento (SBCP) deben cambiar de un enfoque basado en el cumplimiento a uno basado en el comportamiento, con métricas enfocadas en los cambios de comportamiento antes/después y respuestas proactivas (just-in-time training). |
Protection From the Risk Within: Managing Insider Risk |
Esta función se centra en la identificación de eventos de seguridad y la gestión de la postura de exposición. Un listado de las charlas más relevantes.
|
Tema |
Conceptos Clave |
Presentación Principal Relacionada |
|
Gestión Continua de Exposición a Amenazas (CTEM) |
CTEM es un programa continuo de 5 fases (Alcance, Descubrimiento, Priorización, Validación, Movilización). Los métodos de priorización deben ir más allá del puntaje CVSS tradicional, incorporando inteligencia de amenazas, datos de activos (CMDB) y validación de explotabilidad. |
Outlook for Exposure Management 2026 |
|
Plataformas de Evaluación de Exposición (EAP) |
Las EAP agregan datos de exposición, analítica avanzada y contexto de negocio para una priorización efectiva, complementando los escáneres de vulnerabilidades. La evaluación se mejora con herramientas de Validación de Exposición Adversaria (AEV), que simulan amenazas para obtener datos empíricos sobre la preparación. |
Exposure Assessment Is the Next Step Beyond Vulnerability Management (Referencia recomendada) |
|
El programa de CTI debe anclarse en los Requisitos de Inteligencia Prioritarios (PIRs) para asegurar que la inteligencia sea accionable y se alinee con los objetivos de negocio. La CTI debe ser utilizada para la detección, caza de amenazas y la priorización de vulnerabilidades. |
Cyberthreat Intelligence Is No Longer a Nice-to-Have, But a Need-to-Have |
|
|
Modernización de SecOps (IA Táctica) |
La IA en el SOC debe usarse para aumentar la capacidad del analista (IA Táctica). Los casos de uso incluyen la asistencia programática, el descubrimiento de conocimiento, la interpretación de requisitos de negocio para SecOps y el uso de agentes de IA para automatizar el análisis y la respuesta. |
Practical GenAI for the SOC y What CISOs Must Learn About AI Agents |
|
Arquitectura Desacoplada |
La arquitectura desacoplada para SIEM (separando el almacenamiento de la computación) es una tendencia para el futuro de la seguridad, ofreciendo flexibilidad y control de costos. |
Decouple to Defend: A New Security Architecture for Flexibility and Control |
Esta función se enfoca en las capacidades necesarias para contener, mitigar y restaurar las operaciones después de un incidente. Miremos que se presentó.
|
Tema |
Conceptos Clave |
Presentación Principal Relacionada |
|
Estrategia de Respuesta a Incidentes (IR) |
La estrategia de IR debe centrarse en métricas que impulsen la urgencia. Es crucial obtener apoyo ejecutivo y lograr el consenso de los stakeholders sobre los criterios de éxito y lo que significa la pérdida. La práctica (ejercicios de mesa) y el ajuste continuo del plan (utilizando una tabla RACI) son vitales. |
Building an Incident Response Strategy That Actually Works |
|
Detección y Respuesta de Amenazas de Identidad (ITDR) |
ITDR es una capa de defensa crítica después de la prevención, con el objetivo de detectar y responder a amenazas dirigidas a la identidad. Es una responsabilidad compartida que incluye al líder de IAM, NDR, EDR, XDR y el SOC. |
ITDR Detects and Responds to Identity Threats |
|
Pruebas Dirigidas por Amenazas (TLPT) |
TLPT (Threat-Led Penetration Testing) es crucial para aumentar la ciberresiliencia, ya que se enfoca en identificar y cerrar las brechas en los procesos de respuesta y recuperación, en lugar de solo listar vulnerabilidades. |
How to Increase Cyber Resilience With Threat-Led Penetration Testing (Referencia recomendada) |
|
Ciberresiliencia y Resiliencia Organizacional |
La ciberresiliencia es la base de la seguridad. Las organizaciones deben mejorar su capacidad para absorber un incidente mediante pruebas de mesa específicas y la integración de la gestión de riesgos de terceros (TPCRM) en la planificación de la continuidad del negocio. |
Cyber Resilience Is the Key to Organizational Resilience |
Vamos a ver que se deslumbra del futuro a partir de las charlas. Las siguientes son tendencias y predicciones estratégicas extraídas de las presentaciones
|
Tendencia/ Predicción |
Plazo |
Presentación Principal Relacionada |
Referencias |
|
Ataques Aumentados por GenAI |
Actual |
Se ha observado que el 62% de las organizaciones han experimentado al menos un incidente menor involucrando deepfakes de audio o video. Los atacantes utilizan GenAI para phishing dirigido, correos electrónicos multifase, y generación de documentos falsos. |
Addressing the Challenges of Unpredictable AI-Augmented Attacks |
|
Agentes de IA en Ciberseguridad |
2028 |
Para 2028, la IA multiagente en la detección y respuesta de amenazas aumentará del 5% al 70% de las implementaciones de IA, con el objetivo de aumentar, no reemplazar, al personal. Los agentes de IA se incrustarán en aplicaciones existentes, lo que requiere que las políticas se centren en las acciones que toman estos agentes. |
What CISOs Must Learn About AI Agents |
|
Erosión de Habilidades en SOC |
2029 |
El uso creciente de la automatización y la funcionalidad de lenguaje natural basada en IA causará una erosión de habilidades y una disminución del conocimiento tácito en los equipos SOC para 2029. |
Predicts 2025: Enabling Cybersecurity Despite Geopolitical Rifts |
|
Alineación de C-Level con Ciber-Riesgo |
2026 |
Para 2026, al menos el 50% de los ejecutivos de nivel C tendrán requisitos de desempeño relacionados con el riesgo cibernético integrados en sus métricas de rendimiento. |
How to Increase Board Confidence in Cybersecurity |
|
Tendencia/ Predicción |
Plazo |
Presentación Principal Relacionada |
Referencias |
|
Adopción de CTEM |
Corto/ Mediano |
La gestión de exposición (CTEM) está en la fase de pilotaje/planificación en el Technology Adoption Roadmap de 2025. Las organizaciones que enriquezcan los datos de SOC con información de exposición reducirán la frecuencia y el impacto de los ciberataques en un 50% para 2028. |
Outlook for Exposure Management 2026 |
|
Modelado de Amenazas CPS |
2027 |
Para 2027, el 65% de las organizaciones adoptarán el Modelado de Amenazas de Sistemas Ciber-Físicos (CPS), impulsado por advertencias gubernamentales y nuevos ataques basados en IA, frente a menos del 25% actual. |
Predicts 2025: Enabling Cybersecurity Despite Geopolitical Rifts |
|
Consolidación de Proveedores |
Actual |
El 62% de las organizaciones están buscando activamente la consolidación de proveedores de ciberseguridad. La consolidación se centra en plataformas como SASE/SSE y CNAPP para mejorar la eficacia del personal. |
Simplify Cybersecurity With a Platform Consolidation Framework (Recomendado) |
|
Adopción de ASPM |
2027 |
Para 2027, el 80% de las organizaciones en verticales reguladas que usan pruebas de seguridad de aplicaciones (AppSec) implementarán alguna forma de Application Security Posture Management (ASPM). |
Integrating ASPM Into Your Application Security Program |
|
Identidades No Humanas |
2025+ |
El enfoque en la gestión de identidades de máquinas (NHI) es una prioridad clave para 2025 dado que superan a las identidades humanas en una proporción de 46 a 1. |
Managing Machine Identities |
|
Tendencia/ Predicción |
Plazo |
Conceptos Clave |
Referencias |
|
Criptografía Post-Cuántica (PQC) |
2029 |
Los avances cuánticos volverán insegura la criptografía asimétrica convencional para 2029. Se recomienda desarrollar Cripto-Agilidad enfocándose en algoritmos parametrizados, automatización del ciclo de vida de claves y flexibilidad del esquema de datos. |
Postquantum Cryptography: The Time to Prepare Is Now! (Referencia recomendada) |
|
Expansión del Rol del CISO |
2027 |
Para 2027, el 45% del mandato del CISO se expandirá más allá de la ciberseguridad tradicional debido a la necesidad de impulsar la resiliencia organizacional. |
Leadership Vision for 2025: Security and Risk Management (Referencia recomendada) |
Nuevamente me queda agradecer a Gartner por la oportunidad de compartir todo este conocimiento, por abrir los espacios para co-creación de conocimiento y valor entre los líderes de la industria y los responsables de la ciberseguridad en las organizaciones. Por último, me gustaría compartir mi visión propia de las tendencias y predicciones a futuro. Espero sea para la reflexión y nos ayude a tomar las oportunidades que nos genera esta evolución del sector.
Desde hace varios años, he planteado la visión del humano aumentado con las capacidades de la inteligencia artificial y la hiper automatización. En el sector de ciberseguridad, esta no será una tendencia de sustitución debido a los riesgos e impacto en las decisiones y la evolución de los modelos de seguridad. Mi predicción es que el valor está en el argumento del humano aumentado y no en la sustitución de inteligencia humana por inteligencia artificial.
Observo un fuerte movimiento de consolidación de soluciones con el objetivo de entregar una plataforma unificada en un solo producto. Sin embargo, mi predicción es que la tendencia se revertirá en algunos años, volviendo a la necesidad de identificar lo mejor del mercado y reducir el riesgo de único punto de falla, lo cuál es crítico en ciberseguridad.
El rol del CISO sigue bajo una intensa presión de evolucionar. Hace unos años planteé un “futuro apocalíptico” si no desarrollábamos las habilidades ejecutivas que nos faltaban. Mi predicción es que el rol del CISO debe orientarse a ser un ejecutivo más enfocado al negocio, con un lenguaje más evolucionado que no solo protege, sino que también genera valor en el crecimiento de nuestras organizaciones.
Los datos se han convertido en la fuente de diferenciación para todas las organizaciones y áreas. En la actualidad la visibilidad se centra en los Logs a través del SIEM, el endpoint a través del EDR y la red a través de los NDR; no obstante, nos faltan las aplicaciones para tener una visibilidad completa del entorno tecnológico. Mi predicción es que el ya visible ASPM (Application Security Posture Management) se ampliará a una solución ADR (Application Detection & Response).
Un axioma que nos hemos demorado en demostrar es el principio de que el ser humano es el eslabón más débil del modelo de ciberseguridad. Este argumento se soporta en algo que realmente se ha demostrado; el problema de control siempre es por que “alguien no sabe, no puede o no quiere”. Mi predicción es que debemos eliminar ese axioma y entender que los modelos de control deben fundamentarse en el diseño de modelos de seguridad, sistemas, aplicaciones y entornos tecnológicos que mitiguen los riesgos derivados de las acciones humanas. Seremos más antifrágiles si entendemos y desarrollamos modelos con esta premisa.
Los proyectos de zero trust siguen siendo complejos debido a la gran brecha que existe entre la teoría y la práctica en la actualidad. Mi predicción es que el modelo Zero Trust quedará en los anaqueles de la historia como un concepto de marketing que se aleja de la realidad del negocio y de la necesidad de transformar la función de ciberseguridad como un protector y generador de valor en las organizaciones, siempre soportado en la confianza.
El valor del análisis de vulnerabilidad en las compañías es muy bajo y la cadencia en el tratamiento deja expuesta a la organización mucho tiempo. El modelo debe cambiar: se debe analizar la exposición del negocio integrando contexto al análisis para priorizar y movilizar a la organización a desarrollar un tratamiento. Mi predicción es obvia: la operación proactiva se basa en la gestión continua de la exposición y todas las organizaciones deben enfocarse en evolucionar estas capacidades técnicas y operativas.
La computación cuántica pone en riesgo la privacidad y confidencialidad actual, soportada en algoritmos criptográficos simétricos y asimétricos. Mi predicción: teras de información cifrada resguardada a la espera de desarrollar capacidades para descifrar apoyados en la evolución de la tecnología de computación cuántica. Las organizaciones deben tener esto en mente y comenzar a implementar algoritmos post cuánticos de cifrado.