Como muchas organizaciones, la Agencia Nacional de Inteligencia Geoespacial está tomando medidas para integrar herramientas de inteligencia artificial en sus operaciones comerciales.

Jay Harless, director de desarrollo humano de la NGA, dijo que la agencia está tratando de lograr un equilibrio: actuar lo suficientemente rápido como para mantener el ritmo de lo que los funcionarios de seguridad nacional de Estados Unidos ven cada vez más como una carrera armamentista de inteligencia artificial con países adversarios como Rusia y China, pero no tan rápido como para alterar los métodos probados de recopilación de inteligencia.

«Uno de nuestros principales impulsores es que nuestros adversarios estaban invirtiendo mucho, por lo que existe la presión de adelantarnos y hacerlo de forma segura», dijo Harless el martes en la conferencia de prensa. Foro federal de Workdaypresentado por Scoop News Group. «También nos damos cuenta de que algunos de nuestros adversarios pueden no tener los mismos límites legales y éticos que nosotros y nuestros socios necesitamos».

Harless dijo que la agencia y otros miembros de la comunidad de inteligencia están trabajando para construir sistemas con IA agente que opere y pueda acelerar la toma de decisiones «dentro de límites seguros». Eso significa construir nueva infraestructura de TI, protocolos de validación, monitorear sesgos o comportamientos deshonestos e implementar mecanismos de rendición de cuentas.

“Nos estamos moviendo rápido y con seguridad al distinguir lo que debe automatizarse, lo que debe aumentarse y lo que debe mantenerse puramente humano, porque hay algunas cosas que siempre serán [human-operated]”, dijo.

Una pieza clave es descubrir exactamente cómo debería encajar la IA en el trabajo. Sasha Muth, subdirectora de desarrollo humano de la NGA, dijo que la agencia prevé un esfuerzo de tres a cinco años para transformar su fuerza laboral y su infraestructura de TI para la era de la IA. Este año se dedicará en gran medida a poner en marcha “elementos estructurales” sobre cuándo y cómo los analistas utilizan la IA, y a reevaluar qué cualificaciones debería exigir la agencia para los puestos de nivel inicial.

Pero ese esfuerzo también está causando tensiones dentro de la fuerza laboral, y Muth reconoció que parte del desafío es convencer a los empleados de base de que la tecnología los ayudará, no los reemplazará. La agencia contrató a su primer director de inteligencia artificial en 2024, y su próximo plan estratégico de tres años se centrará en la gestión del cambio, el desarrollo profesional y la actualización de las habilidades laborales de los empleados.

Muth dijo que están enfocados en desarrollar sus necesidades de capital humano porque uno de sus mayores temores es que durante esa transición de cinco años «vamos a perder gran parte de nuestra experiencia» al automatizar funciones y no hacer lo suficiente para modernizar los requisitos laborales.

«Lo vemos como una gran transformación, no sólo por utilizar la tecnología, sino por mover a nuestra fuerza laboral junto con nosotros, tenerlos entusiasmados con los cambios y no temerosos, porque hay mucho miedo… de que su trabajo desaparezca, de que no lo tengan», dijo.

La ciberseguridad ha cambiado rápidamente. Los roles son más especializados y las herramientas son más avanzadas. Sobre el papel, esto debería hacer que las organizaciones sean más seguras. Pero en la práctica, muchos equipos luchan con los mismos problemas básicos que enfrentaron hace años: prioridades de riesgo poco claras, decisiones de herramientas desalineadas y dificultad para explicar los problemas de seguridad en términos que la empresa entienda.

Estos desafíos no suelen surgir de la falta de esfuerzo. Surgen de algo más sutil, una pérdida gradual de comprensión fundamental a medida que se acelera la especialización. La especialización en sí misma no es el problema. La falta de contexto lo es. Cuando los equipos de seguridad no tienen una comprensión compartida de cómo encajan el negocio, los sistemas y los riesgos, incluso una ejecución técnica sólida comienza a fallar. Con el tiempo, esa brecha aparece en la forma en que se diseñan los programas, se eligen las herramientas y se manejan los incidentes. Desafortunadamente, he visto este patrón repetidamente cuando ayudo con incidentes y programas de seguridad en organizaciones de todos los tamaños.

La especialización sin contexto reduce el panorama de riesgos

La ciberseguridad es inusual por la rapidez con la que los profesionales pueden especializarse. En muchas profesiones, la formación básica amplia es lo primero. Aprende cómo funciona el sistema antes de centrarse en una sola parte del mismo. Consideremos, por ejemplo, que uno se convierte en médico antes de convertirse en cirujano especializado. En seguridad, a menudo ocurre al revés. Las personas pasan directamente a funciones específicas, como seguridad en la nube, ingeniería de detección, análisis forense o IAM, con una exposición limitada a cómo encaja el entorno más amplio. Con el tiempo, esto crea equipos que son altamente capaces dentro de sus dominios pero desconectados del panorama de riesgo más amplio.

El desafío resultante es la falta de visibilidad de un extremo a otro. Cuando solo se ve una parte del entorno, resulta más difícil razonar sobre cómo se mueven las amenazas, cómo interactúan los controles o por qué ciertos riesgos son más importantes que otros. El riesgo deja de ser algo que se comprende de manera integral y se convierte en algo que sólo se ve a través del estrecho lente de su función. Aquí es donde fracasan muchas conversaciones sobre seguridad. Se plantea un problema de seguridad, pero no está relacionado con el funcionamiento real de la organización. Sin esa conexión, la preocupación suena abstracta. No logra resonar, no porque carezca de importancia, sino porque carece de contexto.

Cuando las herramientas reemplazan la comprensión, los programas se desvían

Otro patrón que aparece repetidamente es cómo las decisiones de seguridad se centran en productos en lugar de procesos. Se pregunta a los equipos por qué necesitan una herramienta y la respuesta se centra en las características o tendencias de la industria en lugar del riesgo específico que aborda dentro de la organización. Cuando una herramienta no puede vincularse al riesgo organizacional, generalmente significa que el problema subyacente no se ha definido claramente. La seguridad se convierte en algo que se compra en lugar de algo que se diseña.

Un programa de seguridad funcional comienza con la empresa. ¿Por qué existe la organización? ¿Para qué misión cumple? ¿Qué sistemas y datos son esenciales para esa misión? Sin respuestas claras a esas preguntas, es imposible saber qué es lo que realmente es necesario proteger. Los atacantes lo entienden bien. Para alterar un negocio, deben identificar qué es lo más importante y dónde se sentirá el impacto. Los defensores que carecen de esa misma claridad siempre están reaccionando. Están respondiendo a alertas y vulnerabilidades sin un claro sentido de prioridad. El conocimiento fundamental ayuda a prevenir esa deriva. Permite a los equipos trabajar desde la misión hasta los activos y el riesgo, en lugar de hacerlo desde la herramienta hasta la alerta y la remediación.

La detección, la respuesta y la prevención dependen de conocer lo «normal»

Muchas fallas de seguridad se deben a un problema simple: los equipos no saben cómo es lo normal en sus propios entornos. La detección se vuelve difícil cuando no se comprende bien el comportamiento esperado. La respuesta se ralentiza cuando las preguntas básicas sobre sistemas, usuarios y flujos de datos no pueden responderse rápidamente. La prevención se convierte en conjeturas cuando los incidentes pasados ​​no se pueden explicar ni aprender con claridad.

Este no es un problema de herramientas. Es un problema de familiaridad. Conocer sus sistemas, su red y cómo opera su organización día a día es fundamental. Es lo que permite que las anomalías se destaquen y que las investigaciones avancen con confianza. Cuando los equipos se saltan este trabajo, se ven obligados a desarrollar esta comprensión durante los incidentes, cuando la presión es mayor y los errores son más costosos. Las capacidades avanzadas sólo funcionan cuando se basan en una comprensión básica adecuada.

Domine sus habilidades fundamentales en SANS Security West 2026

La ciberseguridad moderna depende de la especialización. Eso no va a cambiar. Lo que sí es necesario cambiar es la suposición de que la especialización por sí sola es suficiente. Las habilidades fundamentales permiten a los equipos especializados razonar sobre los riesgos, comunicarse claramente con la empresa y tomar decisiones que se mantengan bajo presión. Crean un contexto compartido, que a menudo es lo que falta cuando los programas fallan, las herramientas se acumulan o los incidentes se estancan.

A medida que los entornos se vuelven más complejos, esa comprensión compartida se convierte en un requisito, no en algo agradable de tener. Este mes de mayo estaré presentando SEC401: Conceptos básicos de seguridad: red, punto final y nube en Seguridad SANS Oeste 2026 para equipos y profesionales que desean fortalecer esas bases y aplicar sus habilidades especializadas con un contexto más claro en todos los programas de seguridad modernos.

Nota: Este artículo ha sido escrito y contribuido por expertos de Bryan Simon, instructor sénior de SANS.