Laura Moreno

Un ciberseguro no evita incidentes: su función principal es transferir parte del impacto financiero y, según la póliza, facilitar acceso a servicios especializados cuando el problema ya se ha materializado.

La decisión útil no es permitir o prohibir la IA generativa en bloque, sino habilitar casos de uso con condiciones claras para capturar productividad sin abrir riesgos innecesarios.

El mayor riesgo en el acceso de terceros no suele ser la existencia del proveedor, sino la falta de un modelo estándar: cuentas compartidas, permisos excesivos y accesos sin fecha de caducidad.

El riesgo de acceso privilegiado no empieza ni termina en una herramienta PAM: empieza por saber qué cuentas tienen poder real, quién responde por ellas y cómo se controlan sus usos.

Muchas fugas evitables no ocurren por ausencia total de tecnología, sino por tres rutas previsibles mal gobernadas: salida por correo, compartición documental y copias locales o sincronización en equipos.

La inversión en ciberseguridad se decide mejor como una cartera de iniciativas de resiliencia, no como una sucesión de compras reactivas motivadas por miedo, auditorías o presión comercial.

El coste de una caída debe estimarse por servicio de negocio y por escenario de tiempo —por ejemplo, 1 hora, 4 horas y 1 día—, no como una cifra abstracta de “impacto TI”.

Un tabletop de ransomware para comité de dirección debería entrenar decisiones de negocio bajo presión: prioridades, continuidad mínima viable, comunicación y coordinación con terceros.

El phishing dirigido a dirección no suele romper tecnología: rompe procesos de validación bajo presión.