Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La IA y la computación perimetral: transformando la gobernanza de ciberseguridad en el consejo directivo

La IA y la computación perimetral: transformando la gobernanza de ciberseguridad en el consejo directivo

by Patrick Spencer updated noviembre 13, 2025 Gestión de Riesgos de Ciberseguridad
Reading Time: 9 minutes

Los consejos de administración enfrentan un cambio fundamental en la supervisión de la ciberseguridad. La pregunta ya no es si invertir en protección, sino cómo medir su impacto en el negocio y asegurar que impulse el crecimiento en lugar de limitarlo.

Esta evolución surge de tres fuerzas convergentes: sistemas de IA autónoma que actúan sin intervención humana constante, ataques sofisticados que explotan la infraestructura de red y la creciente presión por demostrar el retorno de inversión (ROI) en seguridad en términos empresariales. Ahora, los directores deben navegar riesgos más rápidos y complejos, justificando inversiones a través de resultados medibles.

Conclusiones clave

  1. La gobernanza de IA requiere supervisión formal del consejo. Las organizaciones con patrocinio de nivel C para iniciativas de IA reportan ROI el 78% de las veces, frente a tasas de éxito menores cuando la responsabilidad está dispersa. Los consejos deben establecer mecanismos de supervisión que garanticen privacidad de datos, controles de seguridad y escalabilidad antes de que los sistemas de IA pasen de piloto a producción.
  2. Las métricas de seguridad deben vincularse al desempeño empresarial. Las medidas tradicionales de cumplimiento, como tasas de parches y conteo de vulnerabilidades, no demuestran cómo las inversiones en seguridad protegen ingresos o impulsan el crecimiento. Los directores necesitan métricas que muestren reducción de riesgos en el mismo lenguaje usado para reportes financieros y operativos, permitiendo decisiones estratégicas de asignación de capital.
  3. Las defensas del perímetro de red están bajo ataque sostenido. En 2024, aproximadamente un tercio de las filtraciones comenzaron con la explotación de vulnerabilidades en infraestructura expuesta al público, apuntando a routers, VPNs, firewalls y otros dispositivos de borde. Los consejos deben priorizar el parcheo guiado por inteligencia, la detección mejorada más allá del perímetro y la segmentación de activos de alto valor.
  4. Los sistemas de IA agentica crean nuevos retos de gobernanza. A diferencia de la IA predictiva que analiza datos, la IA agentica toma acciones autónomas y toma decisiones dentro de parámetros definidos. El estudio de IA agentica de Google Cloud 2025 reporta 88% de ROI positivo, 85% de mejora en identificación de amenazas y 65% de reducción en el tiempo de resolución para casos de seguridad, pero el éxito requiere marcos formales que eviten implementaciones no autorizadas y protejan datos sensibles.
  5. La responsabilidad de riesgos debe ir más allá de los equipos de seguridad. Los líderes de unidades de negocio deben asumir los riesgos de seguridad ligados a sus operaciones, desde el manejo de datos de clientes en ventas hasta la protección de sistemas financieros. Esta distribución asegura que la seguridad reciba la atención adecuada donde se toman decisiones, trasladando la ciberseguridad de una función de TI a una responsabilidad empresarial integral.

El reto de la IA agentica que los consejos no pueden ignorar

Los sistemas de IA tradicionales predicen resultados. Los sistemas de IA agentica—aquellos que planifican y actúan mediante herramientas bajo supervisión humana—ejecutan tareas, toman decisiones dentro de parámetros definidos y operan bajo supervisión en lugar de requerir aprobación en cada paso.

Esta distinción es clave para la gobernanza. Cuando los sistemas de IA pasan del análisis a la acción, generan nuevos puntos de exposición. Un agente de IA que gestione pagos a proveedores podría aprobar transacciones fraudulentas por error. Un sistema automatizado que responda a consultas de clientes podría filtrar datos sensibles si no está debidamente restringido.

Los primeros usuarios reportan retornos significativos. El estudio de IA agentica de Google Cloud 2025 muestra 88% de ROI positivo, 85% de mejora en identificación de amenazas y 65% de reducción en el tiempo de resolución para casos de seguridad.

El patrón es claro: el éxito requiere estructura. Las empresas con patrocinio de nivel C para iniciativas de IA logran ROI el 78% de las veces, frente a organizaciones donde la responsabilidad sigue dispersa entre departamentos.

Los consejos deben establecer mecanismos formales de supervisión que aborden tres requisitos clave:

La privacidad de datos debe ser central en toda implementación de IA. Los sistemas necesitan controles que eviten el procesamiento o compartición indebida de información confidencial. Esto incluye prevenir la exposición accidental a modelos públicos de IA donde los datos podrían usarse para entrenamiento o ser accesibles por terceros.

La seguridad no puede ser secundaria. Los sistemas de IA requieren el mismo rigor aplicado a otra infraestructura crítica para el negocio. Esto implica clasificar datos antes de que lleguen a herramientas de IA, controles de acceso que limiten quién puede implementar capacidades de IA y registros auditables que muestren exactamente qué datos fueron accedidos y por quién.

Los éxitos iniciales deben escalarse. Los programas piloto validan conceptos, pero los consejos deben asegurar que los enfoques exitosos puedan repetirse en toda la empresa sin crear brechas de seguridad o violaciones de cumplimiento.

Los directores deben preguntar a la dirección cómo los marcos de gobernanza de IA traducen el éxito piloto en valor empresarial a gran escala. La conversación debe centrarse en qué controles existen para evitar implementaciones no autorizadas de IA, cómo se monitorea el comportamiento de los sistemas de IA y si las medidas de protección de datos acompañan el ritmo de adopción de IA.

Replanteando la ciberseguridad como estrategia empresarial

Las métricas de cumplimiento dominan muchas discusiones en los consejos. Porcentaje de sistemas parchados, número de vulnerabilidades corregidas, hallazgos de auditoría cerrados. Estas medidas muestran actividad, pero rara vez se conectan con resultados de negocio.

Ahora los consejos exigen una conversación diferente. Los líderes de seguridad deben presentar el desempeño en el mismo lenguaje usado para otros riesgos empresariales: ingresos protegidos, operaciones sostenidas, confianza del cliente mantenida.

Este cambio requiere traducir controles técnicos en impacto empresarial. Una reducción en intentos de acceso no autorizado importa menos que demostrar cómo esos intentos pudieron haber interrumpido operaciones o comprometido datos de clientes. La inversión en sistemas de detección de fraude cobra sentido cuando se presenta como protección de ingresos en vez de solo cumplir requisitos regulatorios.

Tres áreas requieren atención del consejo:

La responsabilidad de riesgos debe ir más allá del equipo de seguridad. Los líderes de unidades de negocio deben asumir la propiedad de los riesgos de seguridad ligados a sus operaciones. El responsable de ventas asume los riesgos asociados al manejo de datos de clientes. El CFO asume los riesgos en sistemas financieros. Esta distribución asegura que la seguridad reciba atención donde se toman decisiones.

La salud del programa necesita métricas operativas. Los consejos deben seguir medidas que conecten controles de seguridad con resultados como tiempo de actividad del sistema, reducción de fraude o términos contractuales que dependen de certificaciones de seguridad. Estas métricas muestran si las inversiones en seguridad apoyan los objetivos de negocio o solo cumplen con el check list de cumplimiento.

La resiliencia importa más que solo la prevención. Ninguna organización detiene todos los ataques. Los consejos deben confirmar que el negocio puede recuperarse y adaptarse rápidamente tras incidentes. Esto incluye entender los objetivos de tiempo de recuperación, probar los procedimientos de recuperación ante desastres y conocer qué sistemas son más críticos para la continuidad del negocio.

Cuando el desempeño de seguridad aparece en los materiales del consejo junto a métricas financieras y operativas, los directores pueden tomar decisiones estratégicas de asignación de capital. La comparación revela si las inversiones en seguridad reducen el riesgo empresarial a tasas comparables con otras estrategias de minimización de riesgos.

Innovación sin compromisos

Los consejos enfrentan una tensión constante entre impulsar la innovación y gestionar el riesgo. Las nuevas tecnologías prometen ventaja competitiva, pero introducen exposiciones desconocidas. La IA y la automatización amplifican esta dinámica al acelerar tanto la oportunidad como la amenaza.

La pregunta no es si adoptar nuevas capacidades, sino cómo implementarlas de forma responsable. Los consejos deben asegurar que la dirección entienda cómo las decisiones tecnológicas apoyan los objetivos de negocio, en vez de perseguir innovación solo por innovar.

Esto requiere visibilidad en varias dimensiones:

Cómo se aseguran las nuevas herramientas importa tanto como lo que hacen. Un sistema de IA que brinda insights de clientes crea valor, pero ese valor desaparece si filtra datos de clientes o toma decisiones sesgadas que dañan la marca. Los consejos deben preguntar cómo se integran la seguridad y la privacidad desde el inicio en las nuevas implementaciones tecnológicas.

La madurez de los controles debe medirse y rastrearse. Las organizaciones deben evaluar la eficacia de los controles de seguridad antes de expandir sistemas que dependen de ellos. Un proof of concept con datos de prueba es muy distinto a un sistema en producción que procesa información de clientes. Los consejos necesitan la seguridad de que las capacidades de seguridad escalan junto con las implementaciones de negocio.

Los límites deben habilitar, no bloquear. El objetivo no es impedir la innovación, sino asegurar que avance dentro de tolerancias de riesgo aceptables. Esto implica establecer criterios claros sobre los estándares de seguridad que deben cumplir los nuevos sistemas, definir flujos de aprobación que equilibren velocidad y supervisión, y crear mecanismos para corregir rápidamente el rumbo cuando surjan problemas.

La confianza entre los consejos y el liderazgo de seguridad lo hace posible. Cuando los directores entienden cómo el CISO evalúa el riesgo y el CISO comprende las prioridades del consejo, las decisiones se toman más rápido y mejor alineadas con la estrategia empresarial.

El perímetro de red en erosión

Los dispositivos de perímetro de red—routers, VPNs, firewalls, puertas de enlace de correo electrónico—siguen siendo vectores de ataque primarios. En 2024, aproximadamente un tercio de las filtraciones comenzaron con la explotación de vulnerabilidades en infraestructura expuesta al público, a menudo apuntando a dispositivos de borde de red.

La mayoría de los dispositivos de red no pueden ejecutar agentes EDR tradicionales, lo que limita la visibilidad a nivel host y los vuelve objetivos atractivos tanto para grupos criminales como para actores estatales. Esta brecha permite a los adversarios establecer puntos de apoyo sin activar las capacidades de detección desplegadas en estaciones de trabajo y servidores.

La explotación de vulnerabilidades Zero-day en dispositivos de borde aumentó en 2024, y los investigadores de seguridad señalan los defectos en dispositivos de seguridad como vía principal de entrada. La campaña de espionaje BRICKSTORM demostró cómo los adversarios explotan estas debilidades para establecer persistencia en la red.

Los consejos deben ver la defensa proactiva como una forma de evitar costos, no como un gasto discrecional de TI. Tres prioridades merecen atención:

La gestión de vulnerabilidades necesita priorización guiada por inteligencia. No todas las vulnerabilidades críticas representan el mismo riesgo. Las organizaciones deben enfocar el parcheo en sistemas bajo ataque activo en vez de tratar todos los hallazgos de alta severidad por igual. La inteligencia de amenazas que muestra qué vulnerabilidades están siendo explotadas permite asignar recursos de forma más efectiva.

La detección debe ir más allá del perímetro. Una vez que los atacantes comprometen dispositivos de borde, se mueven lateralmente hacia objetivos valiosos. El registro y monitoreo mejorados ayudan a detectar intrusiones tras el compromiso inicial. Esto incluye analizar patrones de autenticación, rastrear tráfico de red inusual y correlacionar eventos entre sistemas para identificar cadenas de ataque.

Los activos de alto valor requieren protección adicional. Entornos de virtualización, controladores de dominio y sistemas que procesan datos sensibles deben segmentarse y aislarse para limitar el impacto de una filtración. Si se asume el compromiso del perímetro, estos controles impiden que los atacantes se muevan libremente una vez dentro.

El perímetro seguirá erosionándose a medida que las organizaciones adopten servicios en la nube, habiliten el trabajo remoto e integren socios. Los consejos deben asegurar que las estrategias de seguridad consideren esta realidad y no asuman que los límites de red ofrecen protección significativa.

Midiendo lo que importa

Los consejos necesitan métricas de seguridad que se conecten con el desempeño empresarial. Las medidas tradicionales—vulnerabilidades encontradas, incidentes detectados, sistemas parchados—muestran actividad, pero no demuestran valor.

Las métricas efectivas responden tres preguntas:

¿La organización es más segura que antes? Esto requiere rastrear tendencias a lo largo del tiempo, no solo mediciones puntuales. Una disminución en ataques de phishing exitosos, reducción del tiempo de permanencia en caso de filtraciones o mejoras en la detección de amenazas antes de que causen daño son señales de avance.

¿La seguridad apoya los objetivos de negocio? Las métricas deben mostrar cómo la protección impulsa el crecimiento. Esto puede incluir demostrar capacidades de seguridad que cierran ventas empresariales, medir el tiempo de actividad de sistemas orientados al cliente o cuantificar la prevención de fraude en operaciones financieras.

¿La organización puede demostrar su postura de seguridad ante las partes interesadas? Clientes, reguladores y socios exigen cada vez más pruebas de protección adecuada. Las métricas que muestran cumplimiento con marcos de la industria, certificaciones de seguridad obtenidas o hallazgos de auditoría resueltos ayudan a satisfacer estos requisitos.

La clave es seleccionar medidas relevantes para los directores que toman decisiones de asignación de recursos. Las métricas financieras resuenan: costo por incidente, ingresos en riesgo por tiempo de inactividad o valor de contratos dependientes de certificaciones de seguridad. Las métricas operativas aportan contexto: tiempo para detectar amenazas, velocidad de recuperación tras incidentes o porcentaje de activos de alto riesgo protegidos.

Los consejos deben rechazar métricas que oscurezcan en vez de aclarar. Informar que el 99% de los sistemas están parchados suena positivo, pero puede ocultar que el 1% sin parchar incluye la infraestructura más crítica. Mostrar cero filtraciones parece bueno hasta que el primer incidente revela detección inadecuada en vez de prevención efectiva.

Pasos prácticos para la acción del consejo

Los directores pueden impulsar la gobernanza de la ciberseguridad mediante acciones concretas:

Formalizar la supervisión de IA. Establecer responsabilidad clara para iniciativas de IA a nivel C. Definir criterios de aprobación para implementaciones de IA que incluyan requisitos de seguridad y privacidad. Revisar cómo la organización evita que datos sensibles lleguen a sistemas de IA no autorizados.

Exigir reportes relevantes para el negocio. Pedir a los líderes de seguridad que presenten el desempeño en términos financieros y operativos. Solicitar métricas que muestren cómo la protección reduce el riesgo empresarial, no solo medidas técnicas de cumplimiento. Comparar inversiones en seguridad con otras estrategias de minimización de riesgos usando marcos consistentes.

Evaluar la distribución del riesgo. Confirmar que los líderes de unidades de negocio asuman la propiedad de los riesgos de seguridad en sus áreas. Revisar si los líderes operativos comprenden su responsabilidad de proteger datos de clientes, mantener la disponibilidad de sistemas y prevenir fraudes.

Priorizar la planificación de resiliencia. Entender las capacidades de recuperación para funciones críticas del negocio. Revisar resultados de pruebas de recuperación ante desastres. Confirmar que existen sistemas de respaldo para operaciones esenciales para la generación de ingresos o el cumplimiento normativo.

Apoyar la defensa guiada por inteligencia. Asegurar que la gestión de vulnerabilidades incorpore inteligencia de amenazas sobre debilidades explotadas activamente por adversarios. Verificar que las capacidades de detección se extiendan más allá del perímetro de red para identificar movimientos laterales tras el compromiso inicial.

Fortalecer la relación con el CISO. Crear comunicación directa y regular entre el consejo y el liderazgo de seguridad fuera de los ciclos de reporte formales. Esto construye confianza y permite decisiones más rápidas ante riesgos urgentes.

La gobernanza de ciberseguridad para datos evoluciona

La gobernanza de ciberseguridad está evolucionando de una función de cumplimiento a una disciplina estratégica de negocio. Los consejos que reconocen este cambio pueden convertir la seguridad en una ventaja competitiva en vez de verla como un gasto.

Las organizaciones que logran ROI en inversiones de IA, demuestran el valor de la seguridad en términos empresariales y se recuperan rápidamente de incidentes comparten características comunes. Tienen liderazgo claro, miden resultados en vez de actividad e integran la seguridad en la estrategia de negocio desde el inicio.

Los directores no necesitan experiencia técnica en seguridad para supervisar de forma efectiva. Deben hacer las preguntas correctas, exigir métricas relevantes para el negocio y asegurar que la dirección trate la ciberseguridad con la misma seriedad que otros riesgos empresariales.

El panorama de amenazas seguirá evolucionando. Las capacidades de IA se expandirán, las técnicas de ataque avanzarán y las nuevas tecnologías generarán exposiciones desconocidas. Los consejos que establecen marcos sólidos de gobernanza ahora posicionan a sus organizaciones para navegar esta complejidad mientras impulsan la innovación y el crecimiento.

Cómo Kiteworks responde a las prioridades de ciberseguridad del consejo

Los retos de gobernanza descritos requieren soluciones concretas. Kiteworks ofrece capacidades que apoyan directamente las prioridades del consejo en gobernanza de datos de IA, administración de riesgos de seguridad, controles de innovación y defensa del perímetro.

Gobernanza de IA y protección de datos

La puerta de enlace de datos IA evita que información confidencial llegue por error a modelos públicos de IA mediante acceso controlado y monitoreo. La clasificación automática de datos identifica y protege contenido sensible antes de que llegue a los sistemas de IA. Los registros de auditoría completos brindan visibilidad sobre qué datos se acceden y por quién, apoyando la supervisión de nivel C que se correlaciona con el logro del 78% de ROI.

Riesgo cibernético como estrategia empresarial

El registro integral permite a los CISOs presentar el desempeño de seguridad en términos empresariales mostrando exposición reducida, filtraciones evitadas e ingresos protegidos. Los controles integrados para GDPR, HIPAA, CMMC y otras regulaciones demuestran reducción tangible de riesgos. La arquitectura de confianza cero con controles de acceso granulares y cifrado garantiza la continuidad segura de las operaciones.

Innovación con límites claros

Las capacidades de colaboración segura permiten a los equipos compartir datos sensibles para proyectos de IA y automatización manteniendo controles de seguridad. La aplicación de políticas asegura que las nuevas implementaciones tecnológicas no comprometan los estándares de seguridad de datos. Las integraciones de seguridad se conectan con las herramientas existentes para mantener visibilidad en toda la tecnología.

Más allá de la defensa tradicional del perímetro

El cifrado validado FIPS 140-3 Nivel 1 brinda defensa ante vulnerabilidades en dispositivos de borde responsables de un tercio de las filtraciones recientes. La seguridad centrada en el contenido protege los datos sin importar los compromisos del perímetro de red. El monitoreo avanzado y el registro integral apoyan las prioridades de detección mejorada que los consejos deben enfatizar.

Estas capacidades se traducen directamente en los resultados de negocio que los consejos necesitan: ROI demostrable de las inversiones en seguridad, reducción del riesgo empresarial y protección que impulsa el crecimiento en vez de limitarlo.

Preguntas frecuentes

Los sistemas de IA agentica ejecutan tareas y toman decisiones de forma autónoma dentro de parámetros definidos, a diferencia de la IA predictiva tradicional que solo analiza datos. Estos sistemas pueden tomar acciones que generen exposición financiera, filtraciones de datos o violaciones de cumplimiento sin marcos de gobernanza adecuados. Las organizaciones con patrocinio de nivel C para iniciativas de IA reportan ROI el 78% de las veces, por lo que la supervisión formal del consejo es esencial para una implementación exitosa.

Los consejos deben solicitar métricas que demuestren ingresos protegidos, operaciones sostenidas y confianza del cliente mantenida, en vez de medidas técnicas de cumplimiento como tasas de parches. Las métricas efectivas incluyen costo por incidente, ingresos en riesgo por tiempo de inactividad, tiempo para detectar y resolver amenazas y valor de contratos dependientes de certificaciones de seguridad. Este enfoque permite a los directores comparar inversiones en seguridad con otras estrategias de minimización de riesgos usando un lenguaje empresarial consistente.

La mayoría de los dispositivos de red (routers, VPNs, firewalls) no pueden ejecutar agentes EDR tradicionales, lo que limita la visibilidad a nivel host y los convierte en objetivos atractivos. En 2024, aproximadamente un tercio de las filtraciones comenzaron con la explotación de vulnerabilidades en estos sistemas expuestos al público. Los atacantes apuntan cada vez más a vulnerabilidades Zero-day en dispositivos de perímetro para establecer persistencia en la red antes de que los proveedores puedan lanzar parches.

Los líderes de ventas deben asumir riesgos relacionados con el manejo de datos de clientes, los CFOs deben asumir riesgos de protección de sistemas financieros y los líderes operativos deben asumir riesgos en sus respectivos ámbitos. Esta distribución asegura que las consideraciones de seguridad se integren en las decisiones empresariales donde se toman, en vez de permanecer aisladas como preocupaciones de TI. La responsabilidad de riesgos que va más allá de los equipos de seguridad convierte la ciberseguridad en una responsabilidad estratégica de toda la empresa.

Los consejos deben asegurar que la dirección defina estándares de seguridad que las nuevas tecnologías deban cumplir antes de su implementación, establezca flujos de aprobación que equilibren velocidad y supervisión y mida la madurez de los controles antes de escalar sistemas a nivel empresarial. El objetivo es habilitar la innovación dentro de tolerancias de riesgo aceptables mediante límites claros, en vez de bloquear nuevas capacidades. La confianza entre consejos y CISOs permite decisiones más rápidas y mejor informadas sobre qué innovaciones justifican los riesgos asociados.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks