¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
Resiliencia cibernética

De “¿Está usted protegido?” a “¿Puede operar?” Por qué los reguladores quieren resiliencia, no solo controles

Raghu Nandakumara
Vicepresidente, Estrategia de la Industria
Illumio Editorial
25de febrero de 2026
23 min. leer
Foto de rostro de Phil Park
Phil Park, líder de ciberseguridad de servicios financieros en IBM

Durante años, las instituciones financieras se prepararon para las revisiones de supervisión del mismo modo que los estudiantes se preparan para los exámenes. Los equipos recopilaron documentos, asignaron controles a los marcos y verificaron cada elemento de la lista.

Los reguladores hicieron una pregunta sencilla: ¿está usted protegido?

En mi reciente conversación con Phil Park, esa pregunta me pareció obsoleta.

Phil asesoró a instituciones financieras sobre ciberseguridad y riesgo regulatorio durante más de 25 años. Trabajó con clientes durante los primeros días de la Ley Sarbanes-Oxley y ahora los guía a través de mandatos de resiliencia operativa global.  

En su puesto actual en IBM, apoya a importantes bancos de Estados Unidos, Europa y Asia en la gestión de la presión supervisora y los nuevos riesgos tecnológicos.

Vio cómo las expectativas cambian con el tiempo. Él cree que ahora nos encontramos ante un claro punto de inflexión.

Los supervisores globales ya no se centran únicamente en los controles. Esperan resiliencia operativa. Los reguladores no se detienen en demostrar que existen políticas y salvaguardas. Quieren evidencia de que usted puede absorber interrupciones, contener incidentes y mantener servicios críticos funcionando bajo estrés.

Como explicó Phil, el éxito ya no significa pasar una auditoría. Significa que su negocio sigue funcionando cuando los controles fallan.

El fin de la era de las listas de verificación de cumplimiento

Hace diez o quince años, la mayoría de los programas de ciberseguridad y riesgo operacional se centraban en la cobertura del control. Si su equipo demostró contar con garantías establecido, políticas claras y un programa maduro, los reguladores lo consideraron preparado.

Con el tiempo, ese estándar cambió. Los reguladores observaron cómo se desarrollaban incidentes reales y vieron que los controles en papel a menudo fallan bajo presión.

“El cambio más importante fue pasar de preguntarnos ‘¿Estamos protegidos?’ a ‘¿Podemos operar durante la disrupción?’”, dijo Phil.

Los atacantes atacan al sector financiero con ransomware, interrupciones de terceros, configuraciones incorrectas de la nube y compromisos de la cadena de suministro. Muchas instituciones afectadas cumplieron con los requisitos de cumplimiento. Pasaron auditorías y marcaron las casillas.

Los servicios siguen fallando. Los clientes sintieron la perturbación y los accionistas perdieron la confianza.

Estos acontecimientos reconfiguraron las expectativas regulatorias. Marcos como la Ley de Resiliencia Operacional Digital (DORA) suponen que se producirán incidentes cibernéticos. Los reguladores ya no preguntan si en teoría se pueden prevenir los ataques. Preguntan si se puede demostrar la resiliencia en la práctica.

Phil describió este cambio como un paso de una evaluación estática a una dinámica. Los reguladores ahora miran más allá de la presencia de controles. Examinan cómo funcionan los controles en escenarios reales y cómo actúan los líderes cuando los sistemas fallan.

Cuando la disrupción golpea, la tecnología no es la única prueba

Phil dejó claro un punto. Los reguladores modernos miran más allá de los controles técnicos.

“Los reguladores se fijan menos en la perfección porque saben que la perfección es imposible”, dijo Phil. “Lo que más les importa es la calidad de la respuesta cuando algo sale mal”.

Cuando ocurre un incidente, los reguladores estudian cómo responde usted en tiempo real. Examinan:

  • Con qué rapidez y claridad los equipos escalan el problema
  • Si los líderes superiores se alinean en las decisiones clave
  • ¿El aislamiento ralentizan la coordinación?
  • Qué tan bien se comunica con los reguladores, los clientes y la junta directiva
  • Si comprende las dependencias críticas del servicio

La resiliencia no depende únicamente de firewalls o herramientas de detección. Se muestra en cómo actúa su compañía durante un evento de seguridad.

Es posible que tenga un plan detallado de respuesta a incidentes. Pero las brechas aparecen rápidamente si una persona controla la escalada.  

Los problemas aumentan si los equipos legales y de seguridad chocan durante una crisis. Los retrasos aumentan cuando los equipos discuten sobre los niveles de gravedad en lugar de actuar.

Los reguladores ya no esperan la perfección. Saben que se producirán infracciones. Lo que juzgan es lo bien que te desempeñas bajo estrés.

El escrutinio regulatorio está pasando de los controles a los resultados

En la era anterior, impulsada por el cumplimiento, la narrativa tenía peso. Si usted describía claramente sus controles de seguridad y mostraba una gobernanza estructurada, los reguladores a menudo se sentían satisfechos.

Ese estándar cambió.

“La mayor brecha que veo es que muchas compañías dependen de los marcos y mapas de calor, mientras que los supervisores regulatorios quieren ver acciones y resultados”, dijo Phil.

Subrayó que ahora la evidencia pesa más que la explicación. Los supervisores le piden que proporcione pruebas tangibles, que incluyan:

  • Resultados de pruebas de escenarios y ejercicios de simulación
  • Registros de interrupciones pasadas y los pasos que tomó para solucionarlas
  • Prueba de que los procesos de conmutación por error funcionan según lo diseñado
  • Trazabilidad en tiempo real entre los servicios críticos y los sistemas que los soportan

Ya no se puede afirmar que existe un plan. Debes demostrar que lo probaste y lo mejoraste en función de las lecciones aprendidas.

En la práctica, los ejercicios realistas exponen muchas brechas de resiliencia. Las suposiciones fallan. Los mapas de servicio carecen de dependencias clave. Las rutas de escalada revelan cuellos de botella en las decisiones.

Los reguladores a menudo ven estos hallazgos como signos de madurez, no de debilidad. Se espera que usted admita las lagunas y las solucione rápidamente.

La carga de presentación de reportes es cada vez más pesada y rápida

Además de desarrollar resiliencia operativa, es necesario informar los incidentes de seguridad.

En Estados Unidos, las instituciones financieras responden a los reguladores bancarios federales, a las autoridades estatales, a las normas de divulgación de la Comisión de Bolsa y Valores (SEC) y a la orientación del sector. En Europa, DORA establece plazos estrictos para informar sobre incidentes importantes relacionados con las tecnologías de la información y la comunicación (TIC).

No puedes esperar a que ocurra una crisis para planear tu respuesta. Debe incorporar reportes en la gobernanza, los flujos de trabajo y las rutas de escalamiento antes de que ocurra un incidente.

Las organizaciones que gestionan bien esto crean manuales de reportes claros. Prueban protocolos de comunicación y mantienen la documentación de fácil acceso. Se coordinan entre los equipos legales, de ciberseguridad, cumplimiento y riesgo sin demoras ni confusiones.

No se pueden recopilar datos en medio de un incidente activo y esperar que sean precisos. Los reguladores esperan reportes rápidos, consistentes y precisos. También esperan que su cuenta se mantenga alineada en todas las jurisdicciones, incluso cuando varias autoridades revisen el mismo evento.

IA: nuevas herramientas, misma disciplina

La IA agrega nuevos riesgos a los entornos modernos.

Los actores de amenazas ya emplean IA para crear campañas de ingeniería social más convincentes y automatizar el malware a escala. Al mismo tiempo, muchas organizaciones incorporan agentes de IA en operaciones comerciales críticas.

Phil advirtió que los principales desafíos de seguridad siguen siendo los mismos. Muchas compañías implementan plataformas de IA sin una gobernanza clara, controles de identidad estables o visibilidad completa de los activos y los flujos de datos.

La IA no reemplaza unos fundamentos de seguridad estables. En muchos casos, amplifica los controles débiles y la propiedad poco clara.

La rápida adopción de la IA hace que la disciplina operativa básica sea más importante que nunca.

¿Qué significa hoy en día “aprobar” la conformidad de la industria financiera?

Esta nueva era de supervisión trae una dura verdad. No hay una meta clara

En un modelo basado en listas de verificación, el cumplimiento significaba completar las tareas requeridas. Cumpliste con el estándar y seguiste adelante.

En un modelo impulsado por la resiliencia, el éxito cambia. Depende de lo bien que te desempeñes bajo estrés real.

Phil explicó que las suposiciones a menudo fallan durante una crisis. Su verdadera preparación se demuestra en la rapidez y eficacia con la que su equipo responde.

Como dijo Phil: “Todo el mundo tiene un plan hasta que te dan un golpe en la boca”.

Hoy en día, los reguladores definen un comportamiento de paso, no la perfección. Se espera que usted admita sus debilidades, describa planes prácticos de solución y muestre una mejora constante. Quieren que la disciplina se integre a los procesos diarios, no a actos heroicos de último momento.

Los supervisores no esperan sistemas perfectos. Esperan organizaciones maduras que se preparen con antelación, operen con transparencia y asuman la responsabilidad cuando aparezcan brechas.

El riesgo cibernético es ahora un riesgo del modelo operativo

Este cambio refleja una verdad más amplia. El riesgo cibernético ya no es un asunto exclusivo de TI.

Muchas organizaciones ahora ubican a los CISO en puestos más altos dentro de la estructura. Las juntas directivas también asumen responsabilidad directa por los resultados cibernéticos.

Los reguladores miran más allá de los marcos de control. Revisan los modelos operativos, las rutas de decisión y cómo los equipos gestionan el riesgo en toda la compañía.

La resiliencia actúa ahora como una capacidad empresarial fundamental. Da forma a la forma en que usted planea, invierte y responde a las disrupciones.

Si trata la ciberseguridad como una función técnica aislada, tendrá dificultades en este entorno.

Si incorpora resiliencia en su liderazgo, en las operaciones diarias, en la supervisión de proveedores y en las decisiones ejecutivas, estará más fortalecido. Estarás mejor preparado para los reguladores y para los incidentes del mundo real.

Escuche el episodio completo de The Segment: A Zero Trust Leadership Podcast en Apple Podcasts, Spotify, o Nuestro sitio web.

Raghu Nandakumara
Vicepresidente, Estrategia de la Industria
Illumio Editorial
25de febrero de 2026
23 min. leer
Servicios bancarios y financieros
Cumplimiento
Contáctanos
Compartir

Artículos relacionados

Por qué los fundamentos de seguridad son la parte más ignorada al adoptar una estrategia de confianza cero
Resiliencia cibernética

Por qué los fundamentos de seguridad son la parte más ignorada al adoptar una estrategia de confianza cero

Descubra por qué los aspectos fundamentales de la seguridad son la parte más olvidada de Zero Trust y cómo implementar correctamente los conceptos básicos determina si las infracciones se intensifican o se mantienen contenidas.

Lee más
Resiliencia cibernética
Reporte temático CBEST 2025: Lo que revelan los datos sobre la ciberfragilidad en los servicios financieros
Resiliencia cibernética

Reporte temático CBEST 2025: Lo que revelan los datos sobre la ciberfragilidad en los servicios financieros

Descubra cómo CBEST 2025 expone la fragilidad cibernética oculta en las instituciones financieras del Reino Unido y por qué la contención de las infracciones es fundamental cuando los atacantes se mueven libremente luego de la vulneración.

Lee más
Servicios bancarios y financieros
Nuevo reporte de FinCEN sobre ransomware: los bancos deben contener el riesgo de materialidad
Contención de ransomware

Nuevo reporte de FinCEN sobre ransomware: los bancos deben contener el riesgo de materialidad

Explore el último reporte sobre ransomware de FinCEN y conozca por qué los bancos deben gestionar el riesgo de materialidad y emplear la contención de violaciones para evitar la divulgación y las consecuencias.

Lee más
Servicios bancarios y financieros
Contención de ransomware
Qué son los criterios comunes y cómo obtener la certificación
Resiliencia cibernética

Qué son los criterios comunes y cómo obtener la certificación

Illumio Core logró otra importante certificación de seguridad gubernamental llamada Common Criteria. Illumio se convirtió en el primer proveedor de seguridad empresarial en obtener la certificación de la Asociación Nacional de Aseguramiento de la Información (NIAP)

Lee más
No se encontraron artículos.
Más ciberataques, parálisis del análisis de confianza cero y seguridad en la nube
Resiliencia cibernética

Más ciberataques, parálisis del análisis de confianza cero y seguridad en la nube

El CEO y cofundador de Illumio, Andrew Rubin, analiza la parálisis de la carga de trabajo y cómo las herramientas de seguridad tradicionales carecen de durabilidad contra los ataques catastróficos de hoy en día

Lee más
Seguridad en la nube
Respuesta a incidentes
Cómo proteger contra la nueva vulnerabilidad de seguridad del puerto TCP 135
Resiliencia cibernética

Cómo proteger contra la nueva vulnerabilidad de seguridad del puerto TCP 135

Una forma de explotar el puerto TCP 135 para ejecutar comandos remotos introdujo una vulnerabilidad del puerto 445, lo que hace necesario proteger el puerto 135 para garantizar la seguridad TCP.

Lee más
No se encontraron artículos.

Experimente Illumio Insights hoy

Vea cómo la observabilidad impulsada por IA le ayuda a detectar, comprender y contener amenazas más rápido.
Prueba Illumio Insights