Ciberseguridad: De proceso técnico a estrategia del Consejo Directivo

En los últimos años, la percepción de la ciberseguridad en la alta dirección ha evolucionado de un enfoque técnico y marginal a un componente estratégico clave. Gracias a la inteligencia artificial, los modelos de gobernanza y una cultura organizacional consciente, la seguridad digital se ha convertido en un habilitador real del negocio.

En este contexto, el rol del CIO deja de ser operativo y se redefine como un orquestador estratégico, capaz de conectar valor tecnológico, seguridad y cultura digital en la toma de decisiones corporativas, según lo explica Luis Budge, director de Ciberseguridad (CISO, por sus siglas en inglés) & director de Datos (CDO, por sus siglas en inglés) del Grupo UNACEM, corporativo especializado en negocios de cemento, concreto, energía y servicios relacionados.

La convergencia entre inteligencia artificial e inteligencia de amenazas está redefiniendo lo que significa estar preparados en ciberseguridad en el sector industrial. En conversación exclusiva con ComputerWeekly en Español, dentro del marco del Congreso Internacional de Ciberseguridad Industrial en Latinoamérica 2023, Budge destaca que el grupo empresarial ha pasado de un enfoque reactivo a uno predictivo, con análisis avanzados de comportamiento, simulaciones realistas de ataques y métricas alineadas a indicadores globales.

¿Cómo ha evolucionado la percepción de la ciberseguridad en la alta dirección y qué desafíos ha enfrentado para posicionarla como una prioridad?

Luis Budge

Luis Budge: En los últimos años, la percepción de la ciberseguridad en la alta dirección ha pasado de ser un tema técnico y aislado, a convertirse en un componente central de la estrategia corporativa como habilitador del negocio.

En Grupo UNACEM, hemos logrado que la ciberseguridad sea parte del lenguaje del directorio, articulándola como un habilitador de la continuidad operativa, la resiliencia y la confianza. Contamos con una estrategia de ciberseguridad corporativa aprobada, la cual viene siendo desplegada en todas las unidades de negocio. Es importante tener en cuenta que se realiza un seguimiento de avances a través de KPI (indicadores clave de desempeño) y KRI (indicadores clave de riesgo) de ciberseguridad de forma recurrente para velar por el cumplimiento de los objetivos trazados. Hay un seguimiento mensual con las unidades de negocio y trimestral con el comité de riesgos corporativo, en donde hay cuatro miembros del board de la compañía.

Un dato importante es que, hoy en día, las empresas que buscamos cumplir los temas de sostenibilidad tenemos como objetivo el índice DJSI, que mide los avances en ciberseguridad en las empresas. Es por eso por lo que la ciberseguridad es tan relevante el día de hoy.

¿Podría compartir ejemplos específicos de cómo la IA mejora la seguridad?

Luis Budge: La inteligencia artificial está revolucionando al mundo y también la forma en la que gestionamos la ciberseguridad. Definitivamente, es una aliada poderosa en el panorama actual. En nuestro caso, hemos implementado tecnologías de detección de anomalías basados en machine learning para identificar comportamientos atípicos en redes, anticipándonos a posibles intrusiones o sabotajes operacionales. Además, utilizamos modelos de IA generativa para simular campañas de phishing sofisticadas, lo que nos permite entrenar a los usuarios en contextos muy cercanos a situaciones reales.

Sin embargo, el verdadero salto cualitativo ha venido con la integración de estas capacidades con plataformas de Threat Intelligence. Hoy, la IA nos permite no solo detectar amenazas conocidas, sino también correlacionar indicadores débiles, enriquecerlos con fuentes externas en tiempo real, y generar alertas proactivas frente a tácticas, técnicas y procedimientos (TTP) emergentes. Esto nos ha permitido automatizar tareas críticas, reducir significativamente los tiempos de respuesta y, sobre todo, pasar de un enfoque reactivo a uno predictivo, anticipándonos a los adversarios antes de que su ataque se materialice. En definitiva, la convergencia entre inteligencia artificial e inteligencia de amenazas está redefiniendo lo que significa estar preparados en ciberseguridad.

¿Qué estrategias han sido más efectivas para fomentar una cultura de seguridad entre los empleados y cómo se mide su impacto?

Luis Budge: La inteligencia artificial está transformando la manera en que concebimos la ciberseguridad, y su valor se potencia aún más cuando la integramos en programas de concientización estructurados y medibles.

En nuestro caso, hemos diseñado un plan de capacitación a medida, soportado por una plataforma especializada, que combina contenido educativo adaptado a cada perfil de usuario con simulaciones prácticas basadas en amenazas reales. Cada año, realizamos dos charlas estratégicas de ciberseguridad abiertas a toda la organización, donde abordamos tendencias, lecciones aprendidas y casos reales. Complementamos esto con seis pruebas anuales de phishing masivo, realizadas cada dos meses, y campañas dirigidas de spear phishing enfocadas en usuarios con acceso privilegiado o roles críticos. Lo innovador es que estos escenarios se generan usando IA generativa, lo que garantiza ejercicios altamente realistas y alineados con las técnicas utilizadas por los actores maliciosos.

Medimos el impacto de este programa a través de dos KRI clave, que son reportados a la alta dirección como parte de nuestra estrategia:

1. Porcentaje de usuarios entrenados y que completaron los cursos;
2. Porcentaje de usuarios que hicieron clic en correos de phishing simulados.

Gracias a esta combinación de automatización, realismo y análisis de inteligencia, hemos logrado reducir significativamente la tasa de clics en correos maliciosos y aumentar el nivel de madurez de nuestros colaboradores. Este enfoque nos permite cerrar el ciclo entre educar, probar y ajustar, generando una cultura de seguridad más resiliente y basada en datos.

¿Cuáles son las principales lecciones aprendidas en la gestión de incidentes de ciberseguridad?

Luis Budge: Una de las lecciones más relevantes es que la preparación no se limita a tecnología, sino a resiliencia organizacional. Las mejores capacidades para responder a incidentes en el sector industrial se dan cuando existe un modelo de gobernanza clara entre IT y OT. Esto es sumamente importante, ya que históricamente se han manejado como áreas tecnológicas totalmente independientes.

Otro tema crítico y muy relevante es la necesidad de una segmentación de red efectiva, ya que muchos ataques se propagaron por redes planas que no separaban entornos críticos. En las empresas industriales es clave definir modelos de convergencias y segmentación entre redes IT y OT, y para ello se sugiere adoptar el modelo Purdue.

Finalmente, es clave contar con capacidad de visibilidad en las redes OT para buscar y detectar amenazas originadas por agentes maliciosos, y es altamente recomendable contar con capacidades de monitoreo especializado del tipo CyberSOC o un servicio MDR para una respuesta ágil. Estas lecciones aplican más allá del sector industrial: toda organización que dependa de sistemas críticos debe pensar en resiliencia más allá del perímetro técnico.

¿Qué políticas y tecnologías se están implementando en la industria peruana para garantizar la privacidad y seguridad de la información, tanto interna como externamente?

Luis Budge: La industria peruana se encuentra en una etapa de maduración en materia de privacidad y protección de datos, impulsada tanto por la evolución tecnológica y ciberataques que comprometen la información de las compañías, así como por el fortalecimiento del marco regulatorio. La nueva Ley de Protección de Datos Personales (LPDP), vigente desde marzo 2025, está marcando un antes y un después al exigir mayor responsabilidad proactiva, trazabilidad en el tratamiento de datos y medidas técnicas adecuadas, alineadas a estándares internacionales.

Las organizaciones más avanzadas en materias de ciberseguridad están adoptando el concepto de Zero Trust, apoyado por tecnología y capacidades tecnológicas para evitar la fuga de información a través de herramientas de Data Loss Prevention (DLP) y Cloud Access Security Broker (CASB). Sin embargo, desde mi perspectiva, es clave tener capacidades de identificación de información crítica y poder etiquetarla para protegerla con la tecnología disponible en el mercado que he mencionado.

Dado que el 93 % de las empresas buscan implementar IA, pero solo el 1 % se sienten protegidas ante los riesgos que conlleva, ¿qué marcos de gobernanza y evaluación de riesgos se utilizan hoy para asegurar una adopción segura y efectiva de nuevas tecnologías?

Luis Budge: El marco de gobernanza que sugiero explorar y utilizar es el NIST AI Risk Management Framework, que ofrece lineamientos para identificar, evaluar y mitigar riesgos asociados al desarrollo e implementación de sistemas de inteligencia artificial. Este marco busca promover el uso ético y seguro de la IA mediante principios fundamentales como transparencia, equidad, responsabilidad, privacidad y robustez técnica.

El AI RMF está estructurado en torno a cuatro funciones clave que garantizan una gestión integral de los riesgos: 

• Gobernanza, estableciendo responsabilidades claras y estructuras organizativas para supervisar adecuadamente la IA; 
• Mapeo, que identifica contextos específicos, usuarios involucrados y potenciales impactos derivados de la implementación de IA; 
• Medición, que evalúa objetivamente el desempeño, seguridad y confiabilidad a través de métricas cualitativas y cuantitativas; y 
• Gestión, que pone en práctica medidas concretas para mitigar los riesgos identificados, asegurando así la mejora continua de los sistemas de inteligencia artificial.

Finalmente, ¿cómo visualiza el futuro del rol del CIO en la alta dirección, especialmente en sectores industriales como al que usted pertenece?

Luis Budge: El rol del CIO está evolucionando desde la gestión de infraestructura hacia el liderazgo estratégico. En sectores industriales, donde la digitalización de operaciones y la convergencia IT/OT son críticas, desde mi perspectiva, el CIO del futuro debe dominar tres dimensiones:

1. La tecnología como negocio; es decir, comprender cómo la tecnología crea valor operacional.
2. Gobernanza y ciberseguridad, para garantizar seguridad y cumplimiento en entornos complejos. La ciberseguridad es un habilitador del negocio hoy en día.
3. El cambio cultural, para liderar la transformación organizacional hacia una mentalidad digital.

Competencias clave incluyen el pensamiento sistémico, el storytelling de datos, la gestión del riesgo digital y la colaboración transversal. El CIO debe dejar de ser el responsable de TI para convertirse en un orquestador de innovación resiliente.