Saltar a contenido
Empezar
Open search

La línea de la pobreza en ciberseguridad: por qué existe y por qué Sophos está aquí para eliminarla

«Eliminar» es una palabra ambiciosa. La hemos elegido porque la era de la IA «agente» nos ofrece una oportunidad real de cambiar las reglas del juego.

Joe Levy

Escrito por Joe Levy

Shared - Featured Image - CISO Playbook
Products & ServicesCISOAgentic AICybersecurity Poverty Line

Hay unos 359 millones de empresas en el mundo. Menos de 35 000 de ellas cuentan con un CISO.

Todos los marcos de trabajo, taxonomías de productos, informes de analistas, regímenes de cumplimiento y materiales de marketing sobre ciberseguridad que circulan dan por hecho que hay un responsable sénior de seguridad al otro lado: alguien capaz de evaluar las herramientas, definir la estrategia, configurar la pila tecnológica, supervisar el entorno y mejorar la postura de seguridad. En una de cada 10 000 organizaciones existe esa persona. En todas las demás, el trabajo no tiene a nadie a quien atribuirle la responsabilidad.

El liderazgo estratégico necesario para crear un programa de seguridad eficaz se concentra en una minúscula fracción del mercado, y la mayoría de las organizaciones no tienen cómo acceder a él. Democratizar ese liderazgo y esa estrategia, para que una seguridad eficaz ya no dependa de un puesto que solo unos pocos pueden cubrir, es la razón fundamental por la que existe Sophos.

Definición de la línea de pobreza en ciberseguridad

El término «línea de pobreza en ciberseguridad» no se acuñó en Sophos. El mérito es de Wendy Nather, quien introdujo el concepto de «umbral de pobreza en seguridad» en su trabajo de 2011 y lo consolidó como referencia en una presentación de la Conferencia RSA de 2013 titulada «Living Below the Security Poverty Line: Coping Mechanisms» (Vivir por debajo de la línea de pobreza en seguridad: mecanismos de adaptación).

Por aquel entonces era directora de investigación en 451 Research y se basó en su experiencia como CISO en los sectores público y privado, donde se encargó de la seguridad informática para la región EMEA de la división de banca de inversión de Swiss Bank Corporation y para la Agencia de Educación de Texas.

El línea de pobreza en materia de seguridad es la línea por debajo de la cual una organización no puede protegerse de forma eficaz. Identificó cuatro factores que empujan a las organizaciones por debajo de ese umbral:

  • Dinero. Si no puedes permitirte las herramientas, el personal o los servicios, tu seguridad se resiente.
  • Experiencia. Incluso con presupuesto, necesitas gente que pueda decidir qué comprar, cómo configurarlo y cómo gestionarlo.
  • Capacidad. Algunas organizaciones no pueden implementar controles en absoluto. Como dijo Nather, no puedes proteger la capa de red si no gestionas tu propia red.
  • Influencia. Si tus proveedores, partners, distribuidores o la dirección ejecutiva no cambian su cultura o sus prácticas debido a ti, la defensa termina en los límites de la propia organización. Este es el antecesor conceptual de lo que ahora consideramos el riesgo de «enésima parte».

Este marco se ha mantenido vigente durante más de una década porque identifica la naturaleza real del problema. La línea de pobreza no es una cifra presupuestaria. Es una condición estructural creada por la combinación de dinero, experiencia, capacidad e influencia. Si inviertes dinero en una organización que carece de experiencia, lo único que consigues es una estantería llena de herramientas sin usar. Si envías expertos a una organización que carece de capacidad, no podrán implementar lo que recomiendan. Desde entonces, todas las conversaciones sobre la línea de pobreza en ciberseguridad se remontan a esta base.

El tamaño no equivale a madurez

Un error común al interpretar la línea de pobreza es pensar que es sinónimo de «pequeña empresa». No es un problema exclusivo de las pymes ni del mercado medio. El tamaño se correlaciona con la línea en algunos casos, pero tratar el tamaño de la organización o el segmento de mercado como la línea divisoria oculta el verdadero problema.

Hay empresas globales con decenas de miles de empleados que operan por debajo de la línea, a veces en partes importantes de su entorno y otras veces en toda su actividad, porque su capacidad de seguridad no ha seguido el ritmo de su historial de adquisiciones, su complejidad geográfica, su gestión de la deuda técnica o los distintos niveles de madurez entre las unidades de negocio. 

Hay fabricantes de 200 personas que operan por encima de la línea porque han tomado decisiones deliberadas y disciplinadas sobre cómo gestionan su programa de seguridad. Al igual que la línea no viene determinada por el tamaño de la organización, tampoco se traza en función del organigrama. La línea se traza en función de la capacidad estratégica de seguridad.

Borrar la línea de pobreza de la ciberseguridad no es un tema poco importante. Es una condición estructural que puede afectar a cualquier organización, de cualquier tamaño, en cualquier sector.

Cómo ha evolucionado Sophos la definición

Nather nos presentó el problema. Lo que ha cambiado desde entonces es el entorno que lo rodea. El panorama de amenazas se ha acelerado, los sectores tecnológicos se han vuelto más complejos, las superficies de ataque se han ampliado, los requisitos de cumplimiento se han multiplicado y la IA autónoma ha llegado a ambos bandos de la lucha. 

Desde una perspectiva continua, que abarca varias décadas y una población protegida de todos los tamaños, regiones y sectores, hemos evolucionado la definición de cuatro maneras:

  1. La línea de la pobreza es, fundamentalmente, una brecha de capacidad estratégica, no una brecha de herramientas. La mayoría de las organizaciones que se encuentran por debajo de esa línea ya cuentan con endpoints, firewalls, seguridad de correo electrónico y herramientas de identidad. Lo que les falta es la capacidad estratégica para hacer que las herramientas funcionen como un sistema: para configurarlas, supervisarlas, medirlas, operarlas, calibrarlas y mejorar su eficacia, y para saber si su riesgo global está mejor gestionado hoy que ayer. Esa capacidad ha recaído históricamente en un único puesto, el del CISO, y el CISO es el puesto que la mayoría de las organizaciones no pueden cubrir.
  2. No puedes defender un mercado que no ves. El adversario no distingue por el tamaño de la organización, y la defensa tampoco puede hacerlo. El sector lleva décadas desarrollando inteligencia sobre amenazas centrada en las empresas del Global 2000. Esa orientación genera un punto ciego y contribuye a la brecha entre quienes tienen y quienes no tienen. Las amenazas que se gestan en entornos de pequeñas y medianas empresas acaban llegando a las cadenas de suministro de las grandes empresas. Una solución que se dirija exclusivamente a las organizaciones más grandes y a sus presupuestos más lucrativos es miope e incompleta, por muy sofisticada que parezca.
  3. La línea de la pobreza es un fracaso del mercado que dura ya 40 años, no un segmento de mercado. El sector se optimizó para vender herramientas a los «que tienen». El mercado nunca se creó para atender a los «que no tienen». Lo he descrito como un mercado de productos defectuosos potenciado por la IA, donde la brecha de información entre proveedores y compradores se amplía a medida que el sector tecnológico se vuelve más complejo, y el dinero gastado no se traduce de forma fiable en resultados concretos.
  4. La era de la IA agentiva es tanto la mayor amenaza para el umbral de la pobreza como la mejor herramienta para eliminarlo. Esta es la parte de la definición que es realmente nueva, y la más trascendental para nuestra capacidad de abordar el fallo de mercado.

Llevo años defendiendo esto públicamente: la brecha es económica, pero no estrictamente financiera, y cerrarla requiere una relación diferente entre los proveedores y las organizaciones a las que prestan servicio. Vender mejores herramientas no es suficiente.

Si usas el título de CISO como indicador de que tienes una estrategia de ciberseguridad, enseguida te das cuenta de que, como sector, estamos jugando al fútbol como niños de seis años. Perseguimos el balón, gastamos en productos y servicios, pero no tenemos ningún objetivo, ningún estado final ni forma de medir si realmente estamos mejorando.

Por qué la IA lo cambia todo, en ambos sentidos

La llegada de la IA autónoma es el cambio más trascendental en ciberseguridad desde la nube, y ha sometido a la línea de pobreza a más presión que en cualquier otro momento de la historia. La presión va en dos direcciones.

Por un lado, la IA es el gran igualador. Una empresa manufacturera de 200 personas sin equipo de seguridad ahora puede acceder a sistemas autónomos de detección y respuesta que clasifican las alertas en segundos, supervisados por analistas que han observado patrones de amenazas en cientos de miles de entornos protegidos. Una empresa de 40 000 personas que utiliza un conjunto de productos puntuales ahora puede gestionarlo como un sistema unificado, con capacidades autónomas que cubren las lagunas que su equipo no puede cubrir con personal.

Las decisiones que antes requerían la intervención de un CISO pueden codificarse cada vez más en sistemas que funcionan a la velocidad y a la escala del adversario.

Por otro lado, la IA amenaza con convertirse en el gran acelerador de la desigualdad. Las organizaciones con la madurez necesaria para aprovechar los sistemas autónomos, y la estrategia para utilizar la IA de forma segura, protegida y eficaz, están avanzando a un ritmo nunca visto en el sector. Sus defensores se vuelven más rápidos, su inteligencia se multiplica y su ventaja se amplía. Al mismo tiempo, los adversarios adoptan la IA sin ciclo de adquisición, sin preocupaciones de seguridad ni revisión de gobernanza. Toda organización que no pueda seguir el ritmo se queda atrás en ambos frentes: un atacante más rápido por un lado y un grupo de competidores con IA que se aleja cada vez más por el otro.

Quién gane esta lucha no está predeterminado. Depende de que los defensores cibernéticos hagan lo correcto. La mayoría de nuestros competidores usarán la IA para hacer lo que siempre han hecho: vender más productos del sector tecnológico a las organizaciones que ya tienen la mayor parte. Es el camino más fácil, y agrava la brecha. En Sophos, estamos trabajando para conseguir el resultado contrario. 

¿Qué hace falta para acabar con el umbral de la pobreza?

Si el umbral de la pobreza es una brecha de capacidad estratégica, eliminarlo significa proporcionar capacidad estratégica, no solo herramientas:

La defensa tiene que funcionar como un sistema, no como un conjunto de herramientas. Por debajo de esa línea, nadie va a integrar siete productos puntuales en una operación coherente. La integración tiene que ser el producto en sí. Los endpoints, la red, el correo electrónico, la nube, la identidad, el MDR, el SIEM y la inteligencia sobre amenazas tienen que compartir contexto en tiempo real y responder como uno solo, de forma predeterminada, sin que el cliente tenga que lidiar con una configuración pesada. Es un elemento importante del principio de «seguridad por defecto», y eso es lo que hemos creado con Sophos Central. 

La decisión hay que basarla en hechos, no en suposiciones. Si el cliente no tiene CISO, el sistema tiene que tomar decisiones al nivel de un CISO: IA agentiva que pueda investigar, razonar y actuar dentro de límites bien definidos, supervisada por analistas humanos que calibren el nivel de confianza y asuman la responsabilidad de los resultados. Un enfoque «human-on-the-loop». 

La información tiene que compartirse entre todos los clientes. Un SOC de un solo cliente está limitado por lo que ve, por muy bien dotado de personal que esté. Un sistema de defensa que opera en cientos de miles de organizaciones convierte la escala en inteligencia que beneficia a todos los clientes. Cada amenaza detectada, cada patrón nuevo resuelto, cada entorno defendido hace que la siguiente defensa sea más fuerte.

La economía tiene que funcionar para todos, no solo para los que están en lo más alto del mercado. Una arquitectura que elimina la línea de pobreza no puede dejar fuera a los clientes más pequeños por el precio. Tiene que dar servicio tanto a 10 empleados como a cien mil dentro de un sistema coordinado, sin que ninguno de los dos salga perjudicado. Esa es una elección de diseño deliberada que muchos sistemas heredados no logran ofrecer.

Nuestra visión y nuestra misión

Nuestra visión es un mundo en el que la ciberseguridad más fiable sea también la más accesible. Léelo con atención. No dice que la ciberseguridad deba ser barata, ni que todo el mundo deba recibir lo mismo. Dice que la calidad de tu defensa no debe venir determinada únicamente por el tamaño del presupuesto o el tamaño del equipo.

Nuestra misión es eliminar la línea de pobreza en ciberseguridad y democratizar la resiliencia impulsando avances en el sector tecnológico y servicios, IA e inteligencia global sobre amenazas.

«Eliminar» es una palabra ambiciosa. La elegimos porque la era de la IA con capacidad de acción crea una oportunidad genuina para cambiar la ecuación, porque cualquier cosa menos que eso sería un progreso incremental, y porque el incrementalismo no puede solucionar los fallos del mercado. No lo conseguiremos solos. Lo conseguiremos con nuestros partners, nuestros clientes y toda la comunidad que lleva años trabajando en este problema, con Wendy Nather a la cabeza.

La línea de pobreza no es una ley de la naturaleza. Es el resultado de un mercado que, durante 40 años, ha optado por servir a unos pocos. La era de la IA con capacidad de acción nos permite elegir de otra manera. Lo hemos hecho, y estamos a punto de demostrar lo que eso significa.

 

Acerca del autor

Joe Levy

Joe Levy

Joe Levy is the CEO of Sophos, a global leader in cybersecurity defending over 600,000 organizations worldwide. A 30-year industry veteran, Joe blends hands-on technical expertise with strategic vision to redefine how organizations of all sizes defend against modern cyber threats. Since becoming CEO in 2024, he has grown Sophos into one of the largest dedicated MDR providers in the world.