Seguridad de la información: el error que cometen las empresas al confundirla con ciberseguridad

En un contexto donde los ciberataques son cada vez más sofisticados y costosos, Rodrigo Arellano, fundador, CEO y presidente de one IT, hace un llamado urgente a los directores generales y consejos de administración: la seguridad de la información y la ciberseguridad no son lo mismo, y entender la diferencia puede ser decisivo para la supervivencia de una compañía.

“La seguridad de la información abarca todos los activos de información de una organización sin importar sus entornos, ya sean físicos como información impresa o escrita;  humanos en conversaciones y conocimiento de los colaboradores o digitales, almacenados en computadoras, dispositivos móviles o en la nube y se basan en proteger su confidencialidad, integridad y disponibilidad mediante procesos, personas y tecnologías. La ciberseguridad, en cambio, se enfoca sólo en los activos digitales cuidados por controles técnologicos. Si la alta dirección no lo comprende, corre el riesgo de delegar este tema como algo meramente técnico y perder de vista procesos y personas”, explicó.

Gobernanza y gestión de riesgos

Para el CEO, la gobernanza corporativa en materia de seguridad empresarial debe partir de una gestión integral del riesgo. Esto implica que la estrategia no se limite a firewalls o antivirus, sino que integre políticas, cultura organizacional y capacitación diferenciada por niveles, desde directores generales hasta personal operativo.

“Cuando la seguridad empresarial se entiende como una política de toda la organización, las capas física, humana y tecnológica se alinean de forma natural. Si no existe esa conciencia, los errores humanos pueden anular cualquier inversión tecnológica”, advirtió en entrevista con Excélsior.

Inversión estratégica y cultura organizacional

Ramírez Arellano señaló que la inversión en seguridad debe evaluarse como gasto indispensable y como habilitador de negocios. Un ejemplo, dijo, fue la pandemia, cuando las empresas con infraestructura segura para trabajo remoto pudieron seguir operando sin interrupciones.

No obstante, reconoce que en muchas organizaciones la cultura de protección de la información sólo se adopta por exigencias regulatorias o de cadena de suministro, cuando debería ser parte del ADN corporativo. “Si desde arriba no se cumplen las políticas, el resto de la organización tampoco lo hará”, afirmó.

Amenazas críticas para las empresas mexicanas

Entre los riesgos más graves, mencionó los ataques de ransomware, que combinan secuestro de datos, encriptación de sistemas y extorsión económica. Estos incidentes generan impactos operativos, financieros y reputacionales.

Asimismo, advirtió sobre técnicas de phishing dirigidas, aprovechando información de redes como LinkedIn, y sobre vulnerabilidades en dispositivos personales que almacenan datos corporativos sin estar protegidos.

Metodología de one IT

A diferencia de soluciones estándar, la propuesta de one IT inicia con un diagnóstico de madurez en seguridad, análisis de riesgos y definición de políticas adaptadas a cada organización.

 Posteriormente, implementa controles tecnológicos, monitoreo continuo 24/7 a través de su Security Operation Center (SOC) y pruebas de penetración para validar la eficacia de las defensas.

“El monitoreo es clave. Un mismo ataque puede tener un impacto mínimo si se detecta en minutos o devastador si pasa inadvertido por semanas, como ocurrió en el caso ‘Guacamaya’ contra la Sedena”, apuntó.

De cara al futuro

Rodrigo Arellano sostiene que “la seguridad de la información dejó de ser un tema técnico hace mucho tiempo. Es un tema social que afecta a empresas, personas y a la sociedad entera. No podemos seguir viéndolo como algo que solo compete al área de TI”.