Cuando la seguridad deja de ser un lugar y se convierte en un trayecto

Por Félix Martín, Global Cybersecurity Transformation Services Lead, HPE Advisory and Professional Services

 

¿Puede una organización confiar completamente en su seguridad cuando sus datos ya no se alojan en un único entorno, sino que viajan, se transforman y se replican entre plataformas locales, privadas y públicas? Esta pregunta aparece recurrentemente en conversaciones estratégicas, porque la seguridad ha dejado de ser un espacio estático para convertirse en un movimiento constante que acompaña la evolución del propio negocio.

Durante años se asumió que la nube implicaba ceder control y reducir protección. Esa visión se ha ido matizando gracias a la experiencia acumulada y a la comprensión de que el riesgo no desaparece por mantenerlo todo en local ni aparece automáticamente por adoptar la nube. Lo que realmente importa es cómo se integran los distintos entornos y qué decisiones se toman para mantener el equilibrio entre control, flexibilidad y resiliencia.

La nube híbrida se ha consolidado como una vía para encontrar ese equilibrio. Permite mantener ciertos datos en local cuando es necesario maximizar el control, y al mismo tiempo posibilita aprovechar la capacidad de los entornos en la nube para escalar, externalizar seguridad especializada o mejorar la capacidad de respuesta. También introduce redundancia operativa y facilita que una empresa disponga de un plan de apoyo para cargas críticas, lo que contribuye a reducir el tiempo de inactividad en situaciones adversas. Y aunque exige cierto nivel de gestión adicional, también disminuye parte del riesgo asociado a la pérdida de control o a modelos demasiado rígidos.

Tras no pocos años de trabajar con organizaciones de todo tipo y tamaño, puedo decir que he escuchado prácticamente de todo. Algunos profesionales sostienen que la seguridad es “solo una ilusión”, una forma de recordarnos que incluso los entornos más controlados enfrentan la creatividad constante de los atacantes. Otros consideran que, en la nube, se pierde la granularidad que sí ofrece un sistema local, algo que incomoda especialmente a quienes mantienen una baja tolerancia al riesgo. Muchos coinciden en una idea esencial: la complejidad tecnológica trae consigo más responsabilidad y, con ella, más riesgo. Las empresas no buscan una seguridad perfecta porque saben que no existe. Buscan que su estrategia tecnológica no se convierta en un freno para sus objetivos.

Esa percepción revela una realidad fundamental. La seguridad no es un destino, sino un nivel de riesgo que cada organización decide aceptar. En un entorno híbrido, esa gestión exige adoptar posturas distintas según dónde se encuentren los datos. Los datos locales pueden reforzarse con controles profundos, mientras que la seguridad en la nube puede externalizarse a proveedores con más experiencia y recursos. Esta combinación ayuda a optimizar esfuerzos, permite que los equipos internos se centren en prioridades de negocio y abre la puerta a nuevos proyectos sin incrementar la carga operativa.

Sin embargo, esta flexibilidad trae consigo un desafío adicional. Cuando los datos se mueven entre entornos, deben hacerlo a través de canales protegidos. Existen opciones como las VPN o los túneles privados según el tipo de información que se transfiera y el nivel de protección que se necesite. Cifrar la información en tránsito es ya considerado casi una “comodity”, pero hay datos críticos de negocio que requieren considerar proteger la información cuando esta almacenada (en reposo) e incluso escenarios que requieren proteger cuando se está procesando con computación confidencial. La clave es entender el valor de los datos para decidir qué nivel de protección conviene aplicar en cada caso. Lo que está en juego no es solo la seguridad, sino la capacidad futura de la organización para seguir operando incluso bajo presión.

En este escenario, la resiliencia adquiere un papel determinante. Saber proteger es esencial, pero saber recuperarse lo es aún más. Las amenazas actuales incluyen interrupciones, fallos y, por supuesto, ransomware. Aquí resulta especialmente valioso contar con mecanismos de protección continua, replicación en tiempo real y tiempos de recuperación extremadamente reducidos. Estas capacidades, presentes en las soluciones orientadas a impulsar la resiliencia, permiten que una interrupción -que antes habría paralizado la operativa durante días- se convierta en un incidente controlado. Gracias a la replicación continua y a la detección rápida del cifrado malicioso, las organizaciones pueden reducir la pérdida de datos y se vuelven capaces de acortar drásticamente los tiempos de recuperación, lo que limita el impacto en el negocio.

La nube híbrida -además- abre la puerta a una TI multigeneracional que integra sistemas heredados con plataformas modernas, lo que favorece evolucionar sin renunciar al conocimiento acumulado ni a la estabilidad operativa. También facilita el cumplimiento de requisitos normativos y el establecimiento de una estrategia de protección que asigna niveles diferentes de seguridad según la naturaleza de cada dato. La seguridad deja de ser un muro homogéneo y se convierte en un conjunto de decisiones adaptativas que responden mejor a la diversidad del entorno.

Lo más relevante es que esta transformación no surge de modas tecnológicas, sino de experiencias reales compartidas por líderes de TI. Coinciden en que la seguridad siempre debe evolucionar. Que ningún entorno, por seguro que parezca, está completamente protegido. Y que la verdadera fortaleza reside en la combinación entre control, especialización y capacidad de recuperación. Aceptar que la seguridad perfecta no existe libera a las organizaciones para centrarse en mejorar la resiliencia, optimizar su estructura operativa y diseñar un modelo en el que los incidentes no paralicen su crecimiento.

Cuando los atacantes se multiplican y la sofisticación aumenta, la seguridad ya no puede entenderse como el escudo estático de un perímetro que ya no existe. Es un viaje que obliga a tomar decisiones informadas, a evaluar riesgos con honestidad y a adoptar estrategias que permitan seguir avanzando incluso cuando las circunstancias se complican. Aquellas empresas que entienden esto y no se obsesionen con eliminar cada amenaza, sino con crear un entorno capaz de absorber el impacto y recuperarse con rapidez, serán las mejor capacitadas para afrontar con éxito los riesgos en materia de ciberseguridad. Y esa capacidad, más que cualquier otra, es la que define hoy la verdadera madurez en ciberseguridad.