Ir al contenido
Blog del Arquitecto de Sistemas y CTO
Ciberseguridad como capacidad organizacional
  1. Posts/

Ciberseguridad como capacidad cultural: por qué la confianza ya no depende solo del CISO

·2099 palabras·10 mins
Categorías: Fintech y Banca Gestión y Liderazgo
Tags: #Ciberseguridad bancaria #Liderazgo tecnologico #Gobierno TI #Banca digital #Estrategia TI #Transformacion digital en bancos
César Oré
Autor
César Oré
Un espacio de divulgación profesional sobre arquitectura empresarial, banca digital y liderazgo tecnológico, orientado a transformar la tecnología en ventaja estratégica.
Velocidad con criterio en servicios financieros (visión 2026) - Serie
Parte 1: Innovar rápido sin improvisar: qué significa realmente acelerar en una institución financiera regulada
Parte 2: La velocidad no está en la tecnología: por qué el verdadero freno suele estar en la forma de decidir
Parte 3: ROI por etapas: cómo evaluar innovación sin matar la exploración desde el inicio
Parte 4: IA con propósito: cuándo genera valor real y cuándo solo produce experimentos caros
Parte 5: De la moda a la ventaja competitiva: cómo distinguir innovación útil de adopción apresurada
Parte 6: Arquitectura, riesgo y compliance desde el diseño: la base de una innovación que sí escala
Parte 7: Qué innovaciones priorizar primero: cómo reducir fricción en los momentos que más importan al cliente
Parte 8: Gobernanza que acelera: cómo rediseñar comités, umbrales y decisiones para ganar velocidad útil
Parte 9: Innovación abierta sin perder control: cómo colaborar con terceros sin comprar más complejidad
Parte 10: La velocidad correcta: cómo medir si una organización está innovando al ritmo adecuado
Parte 11: Este artículo
Parte 12: Deepfakes, fraude avanzado y sistemas agénticos: cómo prepararse para la nueva frontera del riesgo
Parte 13: Hiperpersonalización con control: cómo usar IA y automatización sin comprometer resiliencia ni confianza
Parte 14: Consejos Directivos y fluidez tecnológica: cómo elevar la conversación sobre innovación sin caer en el hype
Parte 15: Tecnología que deja capacidades: el papel de la arquitectura para convertir innovación en ventaja sostenible
Tabla de contenido

Ciberseguridad como capacidad cultural: por qué la confianza ya no depende solo del CISO
#

Durante muchos años, muchas organizaciones trataron la ciberseguridad como un territorio relativamente claro: había un área especializada, un responsable visible, un conjunto de controles técnicos y una expectativa implícita de que el problema estaba “contenido” dentro de la función de seguridad. En ese modelo, el CISO aparecía como guardián principal del tema.

Hoy esa idea ya no alcanza.

En servicios financieros, la ciberseguridad dejó de ser solo una función técnica porque el perímetro real ya no coincide con el perímetro del equipo de seguridad. La superficie de exposición atraviesa diseño de producto, fraude, experiencia del cliente, identidad, terceros, automatización, operación, atención, datos y decisiones cotidianas de personas que no trabajan en el área de seguridad. El World Economic Forum señaló en su Global Cybersecurity Outlook 2026 que el riesgo cibernético sigue aumentando y que 87% de los encuestados identificó las vulnerabilidades relacionadas con IA como el riesgo cibernético de crecimiento más rápido durante 2025.

Por eso, en 2026, seguir hablando de ciberseguridad como si fuera “un tema del CISO” ya no describe bien el problema. Tampoco describe bien la solución.

¿Por qué la ciberseguridad ya no depende solo del CISO?
#

Porque la confianza digital se construye a través de decisiones distribuidas en toda la organización, no solo desde el área de seguridad. En banca y servicios financieros, producto, operaciones, desarrollo, arquitectura, fraude, atención, terceros y negocio influyen directamente en la exposición real al riesgo. NIST mantiene un programa específico de Human-Centered Cybersecurity precisamente para ayudar a responsables de políticas, ingenieros, tomadores de decisión organizacional y profesionales de ciberseguridad a tomar mejores decisiones considerando el elemento humano como parte central de la seguridad. El FFIEC también insiste en una aproximación integral para que la alta dirección y las instituciones financieras comprendan mejor los riesgos cibernéticos y los mitiguen.

El error más común: pensar que cultura de seguridad es solo awareness (concientización)
#

Cuando se habla de cultura de ciberseguridad, muchas organizaciones todavía piensan casi automáticamente en campañas, cursos anuales, simulaciones de phishing o piezas de comunicación interna. Todo eso puede ayudar, pero no alcanza para definir una capacidad cultural.

La razón es simple: una cultura no se prueba por lo que la empresa dice, sino por lo que la gente hace cuando toma decisiones bajo presión.

NIST describe su enfoque de Human-Centered Cybersecurity como una forma de producir evidencia y guías que mejoren las interacciones de las personas con sistemas, procesos y servicios de seguridad, de modo que puedan ser socios informados y activos de la ciberseguridad. Eso implica que el problema no es solo si la gente “sabe” algo sobre seguridad, sino si el sistema completo la ayuda a decidir bien.

La confianza del cliente también se diseña operativamente
#

En servicios financieros, una mala cultura de seguridad no solo aumenta probabilidad de incidente. También erosiona confianza del cliente aunque no haya una brecha masiva visible.

Un journey confuso de autenticación, una atención deficiente ante fraude, un proceso torpe para recuperar acceso o una mala gestión de alertas y señales puede hacer que el cliente sienta exactamente lo mismo que sentiría frente a un sistema inseguro: incertidumbre, descontrol y desconfianza.

El FFIEC publica recursos específicos para que la dirección y los órganos de gobierno de las instituciones financieras entiendan expectativas supervisoras, eleven la conciencia sobre los riesgos cibernéticos y evalúen mejor su exposición. Aunque buena parte de ese material no es nuevo, el principio sigue plenamente vigente: la seguridad no protege solo tecnología, protege confianza.

El factor humano ya no es una nota al pie del problema
#

La conversación de ciberseguridad durante mucho tiempo trató al “usuario” como eslabón débil. Esa forma de mirar el tema es demasiado pobre para el contexto actual.

NIST ha venido empujando explícitamente una visión human-centered, no para romantizar el comportamiento humano, sino para reconocer que la seguridad real depende de cómo las personas entienden señales, toman decisiones, operan herramientas y responden a procesos. Eso cambia el foco. El problema ya no puede reducirse a “capacitar mejor al usuario”. Hay que diseñar mejor:

  • identidades,
  • flujos de autorización,
  • privilegios,
  • validaciones,
  • interfaces,
  • señales de riesgo,
  • escalamiento,
  • respuesta a incidentes,
  • y decisiones operativas cotidianas.

En 2026, la IA vuelve todavía más cultural el problema de seguridad
#

Aquí aparece un cambio importante respecto de años anteriores.

La seguridad ya no solo enfrenta phishing, ransomware o errores humanos clásicos. También enfrenta entornos donde la IA acelera ataques, automatiza engaños, mejora personalización de fraudes y vuelve más difícil distinguir señales falsas de señales auténticas. El World Economic Forum reportó que 87% de los encuestados vio las vulnerabilidades relacionadas con IA como el riesgo cibernético de crecimiento más rápido de 2025. El mismo informe indicó que el porcentaje de organizaciones con procesos para evaluar la seguridad de herramientas de IA antes de desplegarlas casi se duplicó, de 37% en 2025 a 64% en 2026.

Eso refuerza una tesis importante: cuando la amenaza se acelera y se vuelve más persuasiva, la capacidad cultural pesa más, no menos. Ya no basta con tener un área técnica fuerte. Hace falta una organización que detecte mejor, dude mejor, escale mejor y decida mejor.

Un ejemplo realista: fraude, atención y seguridad como sistema cultural
#

Imaginemos una institución financiera con buenos controles técnicos, monitoreo razonable y un área de seguridad competente. Ahora imaginemos que, aun con eso, ocurren estas situaciones:

  • atención al cliente minimiza señales tempranas de fraude;
  • producto prioriza fluidez sin considerar abuso del flujo;
  • operaciones mantiene privilegios excesivos “por practicidad”;
  • desarrollo deja configuraciones laxas por presión de entrega;
  • y negocio sigue viendo seguridad como última revisión en vez de restricción de diseño.

Formalmente, la empresa “tiene seguridad”. Culturalmente, no la tiene integrada.

Ese contraste es exactamente el punto. La seguridad como capacidad cultural no exige que toda persona sea experta técnica. Exige que toda función relevante entienda cómo sus decisiones alteran el nivel de exposición real.

En México, la conversación también tiene traducción práctica
#

En el contexto mexicano, esta visión no es solo una preferencia conceptual.

La Estrategia de Ciberseguridad 2024-2027 del Banco de México muestra con claridad que la institución vincula ciberseguridad con coordinación, cumplimiento, inteligencia, respuesta a incidentes, cultura y ciberresiliencia. El documento incluso señala la designación del titular de la Dirección de Ciberseguridad como CISO del Banco y plantea objetivos explícitos para fortalecer la cultura de ciberseguridad tanto al interior como hacia el sistema financiero.

Eso importa porque muestra algo clave: incluso a nivel de autoridad e infraestructura crítica, la ciberseguridad se entiende como una práctica de gobierno, coordinación y mejora continua, no solo como un conjunto de herramientas.

Además, si una institución financiera trata datos personales, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares vuelve evidente que seguridad, datos y confianza del titular no son conversaciones separadas.

La cultura correcta cambia cómo se distribuye la responsabilidad
#

Decir que la ciberseguridad es una capacidad cultural no significa diluir la responsabilidad del CISO. Significa otra cosa: reconocer que el CISO no puede compensar solo decisiones malas tomadas en el resto del sistema.

La función de seguridad sigue siendo indispensable. Pero su papel madura cuando deja de ser vista como “la dueña única del riesgo” y pasa a ser habilitador, traductor, diseñador de controles, coordinador y referente técnico para una organización que asume su parte.

El Information Security Booklet del FFIEC plantea que la evaluación de seguridad debe considerar factores necesarios para valorar el nivel y la efectividad del programa de seguridad de una institución financiera. Eso implica mirar no solo controles técnicos, sino también gobierno, proceso, personas y capacidad organizacional.

Qué debería verse en una cultura real de ciberseguridad
#

Yo buscaría señales como estas:

  • producto incorpora amenazas y abuso del journey desde el diseño;
  • arquitectura trata seguridad como capacidad transversal y no como excepción;
  • fraude, operaciones y atención comparten lenguaje de riesgo;
  • desarrollo integra prácticas seguras sin verlas como carga externa;
  • terceros se evalúan con criterios de seguridad y continuidad desde antes del contrato;
  • líderes no solo preguntan “si pasó auditoría”, sino “qué exposición real estamos comprando”;
  • y la organización aprende de incidentes, near misses y señales tempranas.

En el fondo, NIST y el FFIEC convergen bastante bien: la seguridad efectiva necesita mejores decisiones humanas, mejor diseño organizacional y una aproximación integral, no exclusivamente técnica.

Reflexión de Arquitectura
#

Cuando la seguridad vive solo en un área especializada, la organización suele reaccionar tarde. Cuando vive como capacidad transversal, el diseño cambia antes. La arquitectura madura no “agrega seguridad” al final; ayuda a que producto, datos, integraciones, identidad y operación ya nazcan con una lógica de confianza incorporada.

Lo que un CTO debería leer detrás de esta conversación
#

Desde dirección tecnológica, este tema tiene una implicación directa: no basta con fortalecer al CISO si el resto del operating model sigue empujando decisiones inseguras por velocidad, comodidad o falta de contexto.

Un CTO serio debería preguntarse:

  • ¿qué incentivos están empujando decisiones inseguras?
  • ¿qué journeys del cliente están debilitando confianza?
  • ¿qué equipos toman decisiones con impacto de seguridad sin suficiente contexto?
  • ¿qué parte del problema se está tratando como awareness cuando en realidad es diseño?
  • ¿qué señales muestran que la seguridad ya forma parte del lenguaje de negocio y operación?

La conversación madura ya no es “quién es dueño de seguridad”. La conversación madura es “cómo evitamos que la organización le transfiera al CISO un problema que en realidad es sistémico”.

Reflexión CTO
#

La ciberseguridad deja de ser solo técnica cuando entiendes que lo que realmente protege no es la infraestructura aislada, sino la capacidad de la organización para tomar mejores decisiones bajo presión. El liderazgo maduro no delega totalmente esa capacidad. La distribuye con criterio.

Mi opinión: la cultura de ciberseguridad se nota más en lo cotidiano que en el discurso
#

No creo que la prueba definitiva de una cultura de seguridad sea un gran marco de políticas (policy framework) o una presentación impecable al comité. Todo eso importa, pero no es suficiente.

La verdadera prueba está en lo cotidiano:

  • cómo se diseña un flujo de recuperación,
  • cómo se responde a una alerta,
  • cómo se trata un tercero,
  • cómo se maneja un privilegio,
  • cómo se escala una duda,
  • cómo se equilibra experiencia con control,
  • y cómo reacciona la organización cuando algo sale mal.

Ahí es donde se ve si la seguridad vive en la cultura o si solo vive en el organigrama.

Conclusión
#

En servicios financieros, la ciberseguridad ya no puede sostenerse como una función aislada del CISO. La confianza digital depende de una capacidad cultural mucho más amplia: cómo diseñan producto, cómo operan los equipos, cómo se gobiernan terceros, cómo se trata la identidad, cómo se responden incidentes y cómo decide la organización completa frente al riesgo.

Eso no reduce la importancia del CISO. La redefine.

En 2026, la pregunta ya no debería ser si la institución “tiene un área de seguridad fuerte”. La pregunta más importante es si la organización, en su conjunto, sabe comportarse como un sistema que protege la confianza.

Glosario breve
#

CISO
Chief Information Security Officer. Responsable ejecutivo de liderar la estrategia y gobierno de seguridad de la información y ciberseguridad.

Human-Centered Cybersecurity
Enfoque que incorpora el comportamiento humano, la experiencia de uso y la toma de decisiones reales como parte central del diseño de seguridad.

Threat intelligence
Información contextualizada sobre amenazas, atacantes, técnicas y vulnerabilidades que ayuda a prevenir, detectar o responder mejor.

Near miss
Evento o situación que pudo haber terminado en incidente, pero no lo hizo. Es útil para aprendizaje y mejora antes de que ocurra daño real.

LFPDPPP
Ley Federal de Protección de Datos Personales en Posesión de los Particulares, aplicable en México para el tratamiento de datos personales por particulares.

WEF
World Economic Forum. Publica estudios y reportes sobre riesgos globales y ciberseguridad, incluido el Global Cybersecurity Outlook.

FFIEC
El Consejo Federal de Examen de Instituciones Financieras (FFIEC) es un organismo interinstitucional de Estados Unidos, encargado de establecer estándares, principios y directrices uniformes para la supervisión y examen de las instituciones financieras.

Marco de políticas (policy framework) Es el conjunto estructurado y jerárquico de políticas, estándares, procedimientos y directrices que definen cómo una organización gestiona, protege y gobierna sus activos de información.

Referencias
#

Velocidad con criterio en servicios financieros (visión 2026) - Serie
Parte 1: Innovar rápido sin improvisar: qué significa realmente acelerar en una institución financiera regulada
Parte 2: La velocidad no está en la tecnología: por qué el verdadero freno suele estar en la forma de decidir
Parte 3: ROI por etapas: cómo evaluar innovación sin matar la exploración desde el inicio
Parte 4: IA con propósito: cuándo genera valor real y cuándo solo produce experimentos caros
Parte 5: De la moda a la ventaja competitiva: cómo distinguir innovación útil de adopción apresurada
Parte 6: Arquitectura, riesgo y compliance desde el diseño: la base de una innovación que sí escala
Parte 7: Qué innovaciones priorizar primero: cómo reducir fricción en los momentos que más importan al cliente
Parte 8: Gobernanza que acelera: cómo rediseñar comités, umbrales y decisiones para ganar velocidad útil
Parte 9: Innovación abierta sin perder control: cómo colaborar con terceros sin comprar más complejidad
Parte 10: La velocidad correcta: cómo medir si una organización está innovando al ritmo adecuado
Parte 11: Este artículo
Parte 12: Deepfakes, fraude avanzado y sistemas agénticos: cómo prepararse para la nueva frontera del riesgo
Parte 13: Hiperpersonalización con control: cómo usar IA y automatización sin comprometer resiliencia ni confianza
Parte 14: Consejos Directivos y fluidez tecnológica: cómo elevar la conversación sobre innovación sin caer en el hype
Parte 15: Tecnología que deja capacidades: el papel de la arquitectura para convertir innovación en ventaja sostenible