No Hagas Clic a Ciegas

Visibilidad primero.

Antes de gastar en más “cajas negras”, traza el mapa. Haz un inventario vivo de dispositivos (PC, móviles, IoT, servidores), cuentas (humanas y de servicio) y datos críticos (PII, financieros, IP). Usa etiquetas por sensibilidad (pública, interna, confidencial, restringida) y define para cada conjunto de datos un data owner con responsabilidades explícitas: quién autoriza accesos, quién aprueba retención/borrado y quién responde ante incidentes. Normaliza fuentes de telemetría (endpoints, correo, SaaS, firewalls, autenticación) en un SIEM/SOAR ligero para detectar patrones: inicios de sesión fallidos en ráfaga, movimientos laterales, exfiltración por DNS o envíos masivos de correo. Establece líneas base por usuario/rol/horario y genera alertas por desviaciones (p. ej., inicio de sesión desde dos países en 30 min). Documenta flujos de datos (de origen a destino, en reposo y en tránsito) y revisa quién puede extraerlos a USB, impresoras o nubes personales. Sin un mapa actualizado, no existe defensa ni auditoría; por eso programa reconciliaciones mensuales del inventario con CMDB/MDM, y pruebas aleatorias: pide a un equipo demostrar en 10 minutos dónde está el dueño y la clasificación de un documento al azar. Métrica sugerida: % de activos descubiertos vs. estimados, tiempo medio para identificar dueño de un dataset, cobertura de logs por fuente crítica.

Menos es más.

Reducir la superficie es aumentar la seguridad. Aplica mínimo privilegio y Zero Trust entre usuarios, servicios y redes: nadie es confiable por defecto, se verifica de forma continua, se otorga acceso al recurso exacto, por el tiempo estrictamente necesario. Limpia cuentas huérfanas al offboarding y automatiza su revocación (identidad como código). Implementa revisiones trimestrales de acceso (recertificaciones) con evidencia: qué permisos, por qué, por cuánto. En autenticación, prioriza MFA resistente a phishing (FIDO2/passkeys) y políticas de riesgo adaptativo (geolocalización, reputación IP, dispositivo gestionado). En el puesto de trabajo, bloquea macros por defecto, permite solo firmadas, y usa Applocker/WDAC o listas de allow-list para binarios y scripts. Segmenta la red con microsegmentación: el ERP no debería hablar con laboratorios; impresoras no deben ver bases de datos; los entornos de desarrollo no tocan producción. Aplica RBAC/ABAC en SaaS críticos (correo, almacenamiento, CRM) y exige justificación al elevar privilegios (PIM/JIT). No olvides la higiene de dependencias: fija versiones, firma artefactos, y ejecuta SCA/SAST en CI/CD. Métricas: n.º de cuentas con privilegios altos, tiempo de vida medio de permisos elevados, % de estaciones con macros bloqueadas, ratio de reglas de firewall/segmentación revisadas al trimestre.

Automatiza lo repetible.

Todo lo que se repite es candidato a orquestación. Centraliza parcheo (SO y aplicaciones), crea ventanas de mantenimiento y reporta cobertura por criticidad CVSS. Rota claves y tokens automáticamente; impón caducidad a enlaces compartidos y auditoría de cambios en permisos. Activa DLP sencillas: bloquear datos etiquetados “confidencial” saliendo del dominio o pegados en chats públicos, alertar al equipo de seguridad con contexto (usuario, archivo, destino). Usa bloqueo por geolocalización y horario: accesos administrativos solo desde países/ventanas horarias definidos; todo lo demás requiere aprobación. Automatiza copias inmutables (WORM) con separación lógica/física y pruebas de restauración mensuales; un backup no probado es una ilusión. En correo, aplica DMARC/DKIM/SPF con política “reject” gradual, filtros de adjuntos ejecutables y aislamiento de enlaces. Para endpoints, habilita EDR con respuesta automática (aislar host, matar proceso, poner en cuarentena el hash). En la nube, ejecuta CSPM/CWPP para detectar buckets públicos, claves sin rotación y puertos expuestos. En workflows, usa SOAR para playbooks repetibles (p. ej., phishing: extraer encabezados, sandbox, buscar IOC, cuarentena, notificación). Métricas: SLA de parches críticos, tiempo de rotación de credenciales comprometidas, tasa de restauración exitosa, porcentaje de incidentes resueltos con automatización.

Prepara el qué pasa si

La diferencia entre un susto y una crisis es la preparación. Define playbooks breves (1–2 páginas) para tres escenarios mínimos: ransomware, fuga de datos y suplantación de correo. Cada playbook debe indicar roles (líder de incidente, IR técnico, legal, comunicaciones), métodos de verificación (cómo confirmo que el incidente es real) y las primeras 8 horas (decisiones, umbrales y contactos). Practica aislar equipos (EDR/segmentación), preservar evidencias (imágenes forenses, cadena de custodia) y contener sin destruir (no apagar sistemas críticos; primero snapshots/inmutabilidad). Establece canales de emergencia fuera del entorno comprometido: listas de difusión por telefonía, chat alterno y puente de conferencia. Preaprueba plantillas de comunicación: breves, verificadas, sin especulación y con compromiso de actualización; define quién informa a clientes, proveedores y autoridades y en qué plazos legales. Involucra al equipo legal desde el minuto uno para proteger el privilegio y el cumplimiento normativo. Tras cada incidente, ejecuta un post-mortem sin culpables: línea de tiempo, causas raíz, impacto medido (datos afectados, tiempo de inactividad, coste) y acciones correctivas con responsables y fechas; conviértelas en tickets rastreables y revísalas en el comité de riesgos. Ensaya con tabletops trimestrales y escenarios realistas (p. ej., OAuth-phishing que roba un token SaaS). Mide MTTD/MTTR, tiempo hasta contención y porcentaje de hallazgos cerrados. Actualiza pólizas de ciberriesgo, inventario de terceros críticos y cláusulas contractuales (notificación, pruebas de penetración, derecho de auditoría). Con esto, cuando llegue el “qué pasa si”, tu organización ya habrá hecho el trabajo difícil antes del incidente.