Reporte global sobre detección y respuesta en la nube: Preguntas frecuentes sobre el lado humano de las brechas de seguridad en la nube

Las métricas de seguridad generalmente vienen en porcentajes, signos de dólar y recuentos de incidentes.  

Pero detrás de cada estadística del nuevo Reporte Global de Detección y Respuesta en la Nube 2025 hay una persona: un analista mirando fijamente a una pared de alertas, un CISO intentando explicar el riesgo a la junta directiva o un equipo SOC que no quiere pasar por alto la brecha.

Nos sentamos con Raghu Nandakumara, vicepresidente de estrategia industrial en Illumio, para conversar sobre el lado humano de los hallazgos del nuevo reporte. Queríamos analizar no solo los números, sino también la experiencia vivida detrás de ellos y lo que se necesita para cambiar la historia de los equipos de seguridad.

P: A menudo escuchamos que la industria de la ciberseguridad resolvió el problema de la visibilidad. Entonces, ¿por qué las organizaciones siguen sufriendo vulneraciones de seguridad?

Visibilidad no significa comprensión.

Durante años, escuchamos que las organizaciones no tienen visibilidad de sus entornos híbridos. Pero los datos de este reporte en realidad dicen lo contrario: el 80% de las organizaciones monitorean las comunicaciones híbridas y el 77% monitorean el tráfico este-oeste. Esto es progreso.

El problema es que casi el 40% de ese tráfico carece de contexto suficiente para ser útil. Los equipos de seguridad no tienen la información detrás de esa visibilidad para priorizar o abordar el riesgo.

También está relacionado con el cumplimiento. Casi todos los requisitos regulatorios requieren que las organizaciones tengan visibilidad de sus comunicaciones de red. Pero no necesitan la capacidad de entender lo que realmente significa esa visibilidad.

Es por eso que muchos equipos creen que marcaron la casilla de visibilidad pero aún no pueden responder con eficacia. El contexto es lo que hace que los datos sean útiles. Sin ella, sólo obtendrás ruido y no información.

P: ¿Cómo afecta esa falta de contexto a la moral del equipo de seguridad?

Puede ser frustrante. Los equipos invierten en herramientas y aún así no pueden responder la pregunta más básica: ¿es necesaria esta conexión o no?

Estás abrumado por las alertas y luego frustrado porque no puedes conectar los puntos. Se siente como perseguir sombras.

Y cuando siempre estás reaccionando en lugar de comprender, es fácil sentir que estás fracasando, incluso cuando estás trabajando duro.

Así que sí, la fatiga por alerta es real, pero lo que es aún más corrosivo es la sensación de que en realidad no estás resolviendo el problema. Eso es lo que veo que impulsa gran parte del agotamiento y la deserción en los equipos de seguridad.

P: El movimiento lateral fue un tema importante en el estudio: casi el 90% de las organizaciones lo experimentaron, pero solo la mitad lo detectó en tiempo real. ¿Por qué existe esa brecha?

Si no sabes cómo se ve lo “bueno” en tu entorno, nunca podrás identificar con certeza lo “malo”. Conocer la línea de base de su red es un desafío fundamental, que continúa permitiendo que el movimiento lateral prolifere.

En el perímetro, las políticas de seguridad son simples. Sólo permites lo que quieres, por lo que puedes bloquear fácilmente el resto.

Pero dentro de la red, es más complicado. No siempre se tiene una base de referencia de qué conexiones son necesarias y cuáles no. Sin eso, ni siquiera el mejor contexto te salvará.

Esto hace que muchos analistas pierdan el tiempo meter en agujeros de conejo. Ven una conexión, no saben si es normal, investigan durante horas y finalmente se dan cuenta de que era legítimo.

Mientras tanto, el verdadero atacante podría estar escabullir por algún otro lugar.

P: El reporte dice que solo el 28% de las organizaciones pueden poner en cuarentena automática los ataques. ¿Qué significa esto para la detección y la respuesta?

La respuesta manual simplemente no puede seguir el ritmo de la velocidad del atacante en el panorama de amenazas actual. El movimiento lateral ocurre en minutos, no en horas, y se acelera por el aumento de ataques generados por IA.

La detección y respuesta modernas deben automatizar. Y quiero dejar claro que la automatización, especialmente mediante IA, no significa reemplazar personas ni desmantelar equipos. Debería liberarles de cargas de trabajo que son imposibles con la complejidad de las redes actuales.

La automatización debería hacer el trabajo pesado: filtrar el ruido de alerta, mostrar alertas de alto riesgo e incluso sugerir próximos pasos. Esto permite que los humanos se concentren en lo que sólo los humanos pueden hacer: tomar decisiones, pensar estratégicamente y conectar con el panorama general.

El desafío en este momento es la adopción, no la capacidad. Demasiadas organizaciones todavía dependen de procesos manuales porque no confían en la automatización o no saben cómo equilibrarla con la supervisión humana.

Cuando logras el equilibrio adecuado, proteges tanto a la organización como a tus equipos.

P: El reporte muestra que los equipos de seguridad enfrentan más de 2.000 alertas al día en promedio. ¿Qué sienten las personas que gestionan esas alertas?

Cada día, muchos analistas quedan sepultados bajo las alertas. Las reglas filtran parte del ruido y algunas alertas son falsos positivos. Pero es uno de esos trabajos en los que siempre sientes un estrés latente porque te preguntas si te perdiste la alerta importante.

Estás constantemente dudando: ¿qué pasa si el que descarté fue la verdadera infracción? Esa mentalidad puede mantenerte en un estado constante de ansiedad.

El resultado es agotamiento y errores. Y en ciberseguridad, los errores pueden traducir en tiempos de inactividad, daños a la reputación, pérdidas financieras o escrutinio regulatorio. El costo humano es inseparable del costo comercial.

P: Usted mencionó la IA. ¿Cómo puede cambiar la vida diaria de un analista del SOC?

En nuestra encuesta, el 34% de los líderes de seguridad afirmaron que la IA será una prioridad máxima para ellos en 2026. Pienso que debería serlo también. La IA es enormemente poderosa cuando se aplica a los problemas adecuados.

En primer lugar, puede ayudar a llenar el vacío de contexto al decirle no sólo qué es una conexión sino también por qué existe. Por ejemplo, puede decirle que su pasarela de pagos se comunica con su sistema de compensación.

Esa es una comunicación de base en su red, y esos datos por sí solos pueden ser transformadores para los equipos.

En segundo lugar, la IA puede identificar desviaciones de esa línea de base y distinguir entre el tráfico “normal pero inusual”, como un pico rutinario en el tráfico al final del mes, en comparación con un comportamiento verdaderamente sospechoso.

En tercer lugar, puede ayudarlo a priorizar alertas y recomendar acciones. En lugar de enviar miles de alertas a los analistas, la IA puede decir: “Estas son las tres cosas que debes analizar hoy, este es el motivo y esto es lo que puedes hacer al respecto”.

Así se reduce la fatiga y se aporta confianza a los equipos. Pueden terminar su turno sabiendo que se concentraron en las cosas correctas, en lugar de preocupar toda la noche por haber perdido algo.

P: A menudo escuchamos: “Las infracciones son inevitables. “Los desastres son opcionales”. ¿Cómo se aplica esto aquí?

La perfección es imposible. Puedes parchar todo, seguir todas las mejores prácticas y aún así sufrir un ataque de día cero. Esa es la realidad.

Pero siempre es posible contener la brecha . La contención dice que sí, es probable que haya una brecha, pero se puede evitar que se propague y se convierta en un desastre.

Esto ayuda a los equipos de seguridad a replantear su trabajo desde “detener cada ataque” (algo que en el panorama de amenazas actual es casi imposible) a “cerciorar de que podemos contener lo inevitable”.

P: ¿Qué pueden hacer de manera diferente los líderes de seguridad hoy para apoyar a sus equipos?

Comencemos por hacernos esta pregunta: ¿entendemos la historia que nos cuentan nuestros datos?

Si la respuesta es no, entonces estás trabajando en la oscuridad. Necesitas contexto.

La mejor manera de obtener contexto es conectar los puntos. Es por eso que hay tanto entusiasmo en torno a los gráficos de seguridad. Permiten tomar datos de puntos finales, identidades, aplicaciones, bases de datos (todas las capas) y verlos en una sola imagen.

Esto brinda claridad a los líderes, pero lo que es más importante, su equipo tiene la confianza de que puede concentrar en lo que importa, actuar con decisión bajo presión y proteger el negocio sin agotar.

Illumio Insights: detección y respuesta en la nube impulsadas por IA

Los hallazgos del Reporte global de detección y respuesta en la nube de 2025 destacan cómo la fatiga de alertas, la falta de contexto y los procesos manuales ponen en riesgo tanto a las organizaciones como a sus equipos.  

Sin una comprensión clara de lo que sucede en sus entornos, los equipos de seguridad deben luchar para comprender, priorizar y responder a las amenazas.

Illumio Insights está diseñado específicamente para abordar estos desafíos.  

Empleando un gráfico de seguridad de IA, Insights proporciona el contexto detrás de la actividad de la red. Finalmente podrás comprender no sólo lo que sucede en tu red sino también por qué.  

Insights establece líneas de base de la red, destaca las desviaciones de la norma y muestra las alertas que más importan. Esto ayuda a reducir el ruido de alerta y al mismo tiempo aumenta la confianza en la seguridad. Y con la contención de brechas incorporada con un solo clic, puede detener automáticamente el movimiento lateral antes de que se convierta en un desastre costoso.

Con Insights, obtendrá la claridad y el control que necesita para mantener resiliente. Transforma la visibilidad en comprensión práctica, respalda la automatización sin perder el criterio humano y, en última instancia, permite a los equipos proteger el negocio al tiempo que reduce el estrés y el agotamiento.

Descargue su copia gratis de Reporte global sobre detección y respuesta en la nube de 2025 Hoy.