Muchos líderes de seguridad todavía operan con marcos creados para una era diferente. Durante años, el éxito se medía mediante puntos de control fijos, como aprobar auditorías, cerrar vulnerabilidades y mantener el cumplimiento. Esos marcadores todavía tienen valor, pero fueron diseñados para un panorama de amenazas que se movía de manera lineal y predecible.

Hoy, ese panorama está cambiando en tiempo real. La IA está acelerando la forma en que los atacantes pueden identificar y explotar las debilidades, mientras que los entornos de nube y los sistemas autónomos cambian el terreno constantemente. El resultado es una brecha entre cómo se mide el riesgo y cómo se desarrolla realmente, donde las señales estáticas no pueden seguir el ritmo de las amenazas dinámicas.

Los CISO están bajo presión desde dos direcciones: el riesgo está creciendo y las herramientas destinadas a medirlo tienen dificultades para mantenerse al día. Los indicadores tradicionales a menudo reflejan el panorama de amenazas de ayer, lo que deja a los líderes de seguridad con una imagen incompleta de dónde se encuentran realmente.

La señal de los mitos

Informes recientes sobre Claude Mythos Preview de Anthropic, descrito como tan efectivo para descubrir vulnerabilidades que el acceso ha sido restringido, ofrecen una señal clara de hacia dónde se dirige la ciberseguridad. Modelos de IA como este demuestran que la velocidad y la escala de la explotación han cambiado fundamentalmente. Lo que antes a los atacantes expertos les llevaba días o semanas ahora puede suceder en minutos y, cada vez más, sin intervención humana.

Ese cambio es importante porque las capacidades de los atacantes se están acelerando más rápido de lo que la mayoría de las organizaciones pueden medir. La brecha entre cómo se desarrolla el riesgo y cómo los equipos de seguridad lo rastrean se está ampliando. Una auditoría “aprobada” le indica dónde ha estado, no dónde se encuentra. Un panel de postura refleja un momento en el tiempo, no un entorno en continuo cambio. Y una prueba de penetración es una instantánea, en un mundo donde las condiciones evolucionan constantemente.

Afinando la conversación este trimestre

Si sus conversaciones no han evolucionado para adaptarse a esta nueva realidad, su organización tiene un importante punto ciego. Aquí hay cinco preguntas que los CISO deberían utilizar para convertir el cambio actual en acción:

¿Qué podemos ver en tiempo de ejecución sin esperar un informe?
Las herramientas de configuración le dicen lo que debería ser cierto. La visibilidad en tiempo de ejecución le indica lo que es cierto en este momento. (Hacer un seguimiento: Si un atacante comienza a moverse lateralmente en nuestro entorno de nube hoy, ¿a qué velocidad lo sabremos, en minutos o días?)

¿Tenemos un inventario completo de identidades, incluidas las no humanas?
Los entornos empresariales están llenos de identidades más allá de los empleados. Proveedores, contratistas, cuentas de servicio, claves API, automatizaciones, identidades de máquinas y principios de nube se extienden por todos los sistemas. A los atacantes les encanta esa expansión porque robar credenciales suele ser más fácil que escribir malware.
(Hacer un seguimiento: ¿Cuántas identidades humanas y no humanas tenemos y cuáles pueden acceder a datos confidenciales o modificar infraestructura crítica?)

¿Dónde tenemos un exceso de permisos y con qué rapidez podemos reducirlo?
Las cuentas con exceso de permisos actúan como claves maestras: convenientes hasta que se ven comprometidas. El privilegio mínimo debe ser mensurable, no aspiracional. (Hacer un seguimiento: ¿Puede mostrarme las vías de acceso de mayor riesgo y qué podemos eliminar o reforzar en 30 días?)

¿Estamos usando IA para reducir el ruido y acelerar las decisiones o simplemente estamos agregando otra pantalla?
Muchos equipos se están ahogando en alertas. La IA puede ayudar agregando contexto (conectando una identidad riesgosa + una carga de trabajo vulnerable + un secreto expuesto) para que los socorristas puedan actuar rápidamente, en lugar de perseguir advertencias desconectadas. (Hacer un seguimiento: ¿Cuál es nuestro volumen de alertas, qué porcentaje es procesable y cuál es el tiempo de respuesta mejorado?)

¿Puede explicarme un incidente realista de principio a fin, con puntos de decisión?
La prevención importa, pero la resiliencia es lo que separa a las organizaciones cuando algo sucede. Los incidentes son inevitables. Lo que importa es la velocidad de detección, la contención, la recuperación y las comunicaciones. (Hacer un seguimiento: Elija un escenario (robo de credenciales, ransomware, compromiso de proveedores). ¿Qué sucede aquí, quién decide qué y cuándo debe saberlo el liderazgo ejecutivo? ¿Qué necesitan saber los clientes?)

¿Qué hacer con las respuestas?

Si estas preguntas ponen de manifiesto lagunas, el camino a seguir suele ser práctico. Comience por priorizar la visibilidad del tiempo de ejecución en los sistemas que admiten servicios críticos y datos residentes confidenciales. Trate la identidad como una infraestructura: haga un inventario, ajuste los permisos y supervise continuamente. Cambie la medición hacia resultados como el tiempo para detectar, contener y restaurar, en lugar de métricas de actividad como tickets cerrados o controles verificados. Y ensayar la dura jornada tanto con los equipos técnicos como con el liderazgo, incluido el de comunicaciones.

En una era donde las amenazas se mueven a la velocidad de la IA, la ventaja pertenece a los equipos que pueden ver con claridad y actuar de inmediato. La pregunta definitoria ahora es qué tan rápido se puede identificar un riesgo, comprender su impacto y responder antes de que empeore.

Rinki Sethi es directora de seguridad y estrategia de Upwind Security y cuenta con más de dos décadas de experiencia en liderazgo en ciberseguridad en puestos en Twitter, Rubrik, BILL, Palo Alto Networks, IBM y eBay. Es socia fundadora de Lockstep Ventures, forma parte de las juntas directivas de ForgeRock y Vaulttree y es ampliamente reconocida por sus contribuciones a la comunidad de ciberseguridad, incluido el desarrollo del primer plan de estudios nacional de ciberseguridad para las Girl Scouts de EE. UU.