¿Has sufrido una brecha de seguridad?
|
Soporte
|
Contáctanos
|
+1 855 426 3983
Blog
/
Resiliencia cibernética

Palabras que funcionan: Neil Robinson, CISO de Virgin Money, habla sobre cómo abordar la seguridad con el poder.

Raghu Nandakumara
Vicepresidente, Estrategia de la Industria
Illumio Editorial
6de mayo de 2026
23 min. leer

Hace unas semanas, se produjo una noticia bomba en el mundo de la seguridad.  

El modelo de IA de vanguardia de Anthropic, Claude Mythos, demostró que puede encadenar una secuencia de ataque de 32 pasos de forma autónoma. Se trata de un tipo de movimiento lateral sofisticado y con múltiples puntos de apoyo que anteriormente requería atacantes humanos de élite que trabajaban durante días.  

En cuestión de horas, los grupos de WhatsApp de los CISO estaban en llamas. Y en cuestión de días, los afiliados a la junta directiva y los altos ejecutivos que nunca antes hicieron una pregunta incisiva sobre ciberseguridad, de repente estaban llamando a sus CISO.  

Para muchos líderes de seguridad que conozco, ese momento supuso una mezcla de validación y presión.

Tuve la oportunidad de profundizar en esta dinámica con Neil Robinson, CISO de Virgin Money, en un episodio reciente del podcast The Segment . Lleva tres años inmerso en una inversión de 52 millones de libras esterlinas para mejorar la seguridad en Virgin, y reflexionó profundamente sobre lo que realmente se necesita para convertir las conversaciones sobre seguridad en acciones organizacionales.  

Competencia en seguridad: hablar el idioma de la audiencia.

Al comienzo de nuestra conversación, Neil describió el rol del CISO como, en muchos sentidos, el de un "principal narrador de historias". Y entonces, porque Neil es ante todo honesto, inmediatamente rebatió su propia versión de los hechos.

“Es cierto, y a la vez es falso”, dijo.

Lo que quería decir es que la etiqueta de "narración de historias" puede hacer que suene a manipulación o a estrategia de marketing. Pero la verdadera habilidad reside en traducir los riesgos técnicos y de rápida evolución a un lenguaje que realmente conecte con la persona con la que se está hablando, ya sea un cliente, un director de operaciones o un ingeniero al que se le pide que priorice la aplicación de parches sobre el lanzamiento del producto.

Por ejemplo:

  • Con un cliente, podría tratar de una conversación sobre cómo mantener actualizado el software de su teléfono.  
  • Con un director de operaciones, se trata de los servicios empresariales que están en riesgo.  
  • Cuando se presiona al equipo de ingeniería para que realice los lanzamientos más rápido, se trata del imperativo moral de proteger a las personas cuyos datos gestionan.  

Es la misma realidad en materia de seguridad, pero vista a través del prisma de tres conversaciones completamente diferentes.

Esa disciplina centrada en el usuario es algo en lo que muchos programas de seguridad se equivocan. Los equipos de seguridad suelen recurrir a enfoques técnicos, como los puntajes CVE, el MTTR o las métricas de la superficie de ataque, cuando las personas que necesitan actuar en función de la información de seguridad están pensando en términos de impacto en el cliente, continuidad operativa o presión competitiva.  

La brecha entre esos dos lenguajes es donde los programas de seguridad pierden impulso.

Cuando un ciclo de noticias se convierte en el tema perfecto para iniciar una conversación sobre seguridad.

El acontecimiento clave sobre IA que dio inicio a nuestra conversación es, en realidad, un caso útil sobre cómo los eventos externos pueden cambiar la dinámica de la comunicación interna para los CISO.

Neil hizo una observación perspicaz: el anuncio atrajo tanta atención en parte debido a quién lo hizo.  

Anthropic, una destacada compañía de IA con una importante presencia en los medios, creó un evento informativo que llegó a ejecutivos y afiliados a la junta directiva que normalmente no siguen de cerca la ciberseguridad.  

De repente, la conversación que los líderes de seguridad llevaban años intentando mantener sobre operar a la velocidad de las máquinas y el ritmo del panorama de amenazas encontró una audiencia que prestaba atención en lugar de desentender.

“Hay muchos afiliados a la junta directiva y ejecutivos que están hablando sobre el anuncio de Anthropic”, dijo Neil. “La capacidad de reaccionar a la velocidad de las máquinas fue un tema que estuvimos monitoreando en ciberseguridad durante al menos el último año. Creo que el anuncio realmente ayuda a entablar esa conversación.

Para los responsables de seguridad, la lección aquí no consiste en aprovechar los ciclos de noticias, sino en reconocer que los acontecimientos externos crean periódicamente momentos en los que aumenta el interés por debatir seriamente sobre seguridad a nivel ejecutivo. Los CISO que cuentan con una explicación clara y sencilla sobre su postura de seguridad, su perfil de riesgo y sus prioridades de inversión son los que logran un progreso real cuando se presentan esas oportunidades.

Neil tuvo cuidado de plantearlo sin triunfalismo. Sí, es un momento de máxima atención. Pero también involucra a partes interesadas que llegan al tema desde puntos de partida muy diferentes y a ritmos distintos.  

“Tenemos que dialogar seriamente con las personas que tal vez estuvieron fuera de la burbuja y no estuvieron monitoreando ni observando los cambios que están ocurriendo”, dijo. “Y debemos ser respetuosos con el hecho de que la gente viene de diferentes lugares y en diferentes momentos.”

Ese tipo de paciencia, que consiste en aceptar a las personas tal como son, en lugar de como uno desearía que fueran, es una habilidad práctica que los CISO necesitan tener entre sus herramientas.  

Conectar el trabajo de infraestructura con los resultados para el cliente.

Uno de los desafíos más persistentes en los grandes programas de seguridad es la enorme distancia que existe entre el trabajo técnico que se realiza a nivel de infraestructura y los resultados para el cliente que realmente le importan a la organización.  

Actualizar un dispositivo de red, segmentar una VLAN o actualizar un agente de punto final: ninguna de estas acciones parece estar relacionada con la posibilidad de que un cliente realice un pago de forma segura o confíe en que sus datos están protegidos.

Neil reflexionó detenidamente sobre cómo cerrar esa brecha dentro de Virgin Money, y su enfoque es sencillo. Todo está relacionado con el cliente.

“Nuestro trabajo consiste en mantener a salvo a los clientes del banco, proteger sus datos y garantizar la seguridad de sus pagos”, me dijo. “Todo lo que hacemos está al servicio de eso.”

Eso suena obvio cuando lo dices en voz alta. Pero mantener esa orientación de forma coherente en un equipo de seguridad de 150 personas que se encargan de todo, desde la gestión de vulnerabilidades hasta la seguridad de las aplicaciones y los controles de red, requiere un esfuerzo deliberado.  

Lo más importante es que se necesitan líderes que sepan explicar por qué importan las cosas que parecen aburridas. Por qué actualizar un sistema operativo antiguo protege los ahorros del cliente. Por qué un proyecto de segmentación de red limita el alcance de un ataque de ransomware. Por qué las horas dedicadas a los controles de cumplimiento ayudan a prevenir un incidente regulatorio que podría socavar la confianza del cliente.

Esto es especialmente relevante para los programas de Confianza Cero, donde gran parte del trabajo es invisible para los usuarios finales y está alejado de cualquier resultado visible para el cliente.  

Los equipos que elaboran políticas de microsegmentación o que aplican el principio de mínimo privilegio no suelen estar en los titulares. Establecer una conexión explícita y reiterada entre ese trabajo de infraestructura y la misión principal de la organización es parte de la manera en que los líderes de seguridad logran que los programas reciban financiación y se les dé prioridad.

El problema de los parches: por qué el juicio humano sigue siendo importante.

Dedicamos una buena parte de nuestra conversación a algo que puede parecer trivial, pero que en realidad es una de las pruebas de estrés más reveladoras de cualquier programa de seguridad: la gestión de parches.

La razón por la que aplicar parches es tan difícil en las grandes compañías es que la decisión de implementar o no un parche casi nunca es sencilla. El proceso suele ser algo así:

  • Necesitas saber qué se está ejecutando en el activo.  
  • Necesitas saber quién es el dueño.  
  • Debes saber qué aplicaciones dependen de ella y si se probaron con la actualización.  
  • Necesitas una ventana de cambio.  
  • Necesitas un aprobador.  
  • Necesitas pruebas de que el parche funciona correctamente en tu entorno antes de implementarlo en producción.

Cada uno de esos pasos implica decisiones que involucran a varios equipos, y las consecuencias de equivocar en cualquiera de ellas pueden ser graves.

Neil describió un futuro de IA con capacidad de gestión de agentes, donde gran parte de ese trabajo procedimental se automatiza. Los agentes de IA podrán recorrer las bases de datos de gestión de configuración, correlacionar a los propietarios de los activos, mostrar el contexto relevante a un aprobador humano y reducir significativamente el tiempo que transcurre desde la divulgación de una vulnerabilidad CVE hasta su remediación.  

Vio cómo algunas compañías emergentes desarrollan prototipos de este tipo de flujos de trabajo, especialmente para entornos en la nube.

Pero la razón por la que aún no llegamos a ese punto, dejó claro, es la gobernanza. La integración de agentes de IA autónomos en flujos de trabajo operativos críticos requiere un nivel de control de identidad, observabilidad e infraestructura de rendición de cuentas que la mayoría de las organizaciones aún no desarrollaron.  

“Como es lógico, somos muy conservadores a la hora de permitir que los modelos de IA operen de forma autónoma”, afirmó. “Es necesario contar con medidas de seguridad, y gran parte de esa infraestructura está bien restringida y vigilada.”

El reto comunicacional al que se enfrentan los responsables de seguridad es, en realidad, el mismo que el reto general. ¿Cómo se le explica a una junta directiva o a un comité de cotización por qué invertir en infraestructura de gobernanza para agentes de IA es una prioridad de seguridad, cuando el beneficio es abstracto y el costo es real?  

Cuenta la historia de lo que sucede si no lo haces. Esto significa que se obtiene un agente autónomo con acceso privilegiado que opera sin registros de auditoría en una arquitectura de seguridad que nunca fue diseñada para tener en cuenta identidades no humanas.

Narración buena y honesta: lo que los mejores líderes en seguridad siempre supieron

Hay un hilo conductor en todo lo que dijo Neil que, en mi opinión, llega al meollo de la cuestión de qué hace que los programas de seguridad tengan éxito o fracasen a gran escala.  

La tecnología casi nunca es el factor limitante. La cuestión es si los responsables de la seguridad pueden comunicar con la suficiente claridad, coherencia y en el idioma adecuado para el público adecuado, como para lograr un cambio real de comportamiento en una organización compleja.

Significa explicarle al director de operaciones qué significa realmente "servicios empresariales importantes" en términos de riesgo operativo. Pero también implica ser honestos sobre la incertidumbre.  

Neil fue sincero sobre lo que aún desconocemos respecto a las últimas capacidades de la IA, como la economía de implementar estos modelos a escala criminal, la cantidad de ruido que generan o la rapidez con la que las alternativas de código abierto alcanzarán la paridad.  

Una buena narrativa sobre seguridad comunica los rangos de riesgo, reconoce lo desconocido y centra la acción en las cosas que se pueden controlar.

“Creo que, en última instancia, llegaremos a un mundo mejor donde los modelos de IA implementarán código seguro por sí mismos”, dijo Neil. “Esperemos que tenga razón.”

Esa combinación de incertidumbre honesta sobre el futuro, basada en el optimismo sobre la trayectoria y un enfoque claro en lo que hay que hacer ahora, es precisamente el tipo de narrativa que impulsa a las organizaciones.  

Es lo que siempre hicieron los mejores líderes en seguridad, y hoy en día es más valioso que nunca.

Escucha el episodio completo de The Segment: A Zero Trust Leadership Podcast en Apple Podcasts, Spotify, o Nuestro sitio web.

Raghu Nandakumara
Vicepresidente, Estrategia de la Industria
Illumio Editorial
6de mayo de 2026
23 min. leer
Resiliencia cibernética
Contáctanos
Compartir

Artículos relacionados

No se encontraron artículos.
Puesta en práctica de Zero Trust – Paso 6: Validar, implementar y monitorear
Resiliencia cibernética

Puesta en práctica de Zero Trust – Paso 6: Validar, implementar y monitorear

Conozca un paso importante en el viaje de confianza cero de su organización: validar, implementar y monitorear.

Lee más
No se encontraron artículos.
¿Cuál es la línea de base para la resiliencia cibernética?
Resiliencia cibernética

¿Cuál es la línea de base para la resiliencia cibernética?

Descubra cómo una estrategia de Zero Trust, basada en la microsegmentación, puede reforzar la resiliencia de las organizaciones durante y luego de un incidente cibernético.

Lee más
Resiliencia cibernética
El manual del CISO: Por qué la defensa de la IA comienza con el contexto, no con la publicidad
Resiliencia cibernética

El manual del CISO: Por qué la defensa de la IA comienza con el contexto, no con la publicidad

Descubra cómo los líderes de seguridad pueden construir defensas más estables impulsadas por IA al proteger datos, modelos y flujos de trabajo, y por qué el contexto es clave para mantener a la vanguardia.

Lee más
Resiliencia cibernética

Experimente Illumio Insights hoy

Vea cómo la observabilidad impulsada por IA le ayuda a detectar, comprender y contener amenazas más rápido.