De la urgencia a la gobernanza
En una entidad pública, el impacto de una brecha de seguridad o de una no disponibilidad de los sistemas trasciende el ámbito técnico. Afecta directamente a la continuidad del servicio, a la confianza de los ciudadanos y a la capacidad de cumplir con los requisitos normativos.
Por este motivo, el primer paso no consistió en incrementar las actuaciones, sino en ordenarlas: definir prioridades, asignar responsables, establecer criterios de riesgo y convertir cada decisión en evidencia verificable.
En este contexto, la PMO de ciberseguridad se configura como un elemento clave para alinear áreas, coordinar a los distintos actores —internos y externos— y garantizar que cada iniciativa disponga de un objetivo claro, un plan definido, métricas asociadas y un resultado medible.
Este enfoque permite que la seguridad deje de depender de esfuerzos individuales y pase a integrarse como parte del sistema de gestión de la organización.
Capacidades operativas que transforman el día a día
La tecnología no es el fin, pero sí actúa como acelerador de transformación cuando se implanta con un propósito claro. En este proyecto, la implantación de capacidades operativas supuso un punto de inflexión al permitir pasar de la intuición a la evidencia.
Por un lado, se consolidó un modelo de monitorización centralizada de servicios e infraestructura, con definición de alertas, umbrales y visibilidad continua. Esto permitió mejorar la detección temprana de incidencias, reducir los tiempos de respuesta y priorizar las actuaciones en función del impacto real. La monitorización rigurosa transforma la gestión: se abandona la percepción subjetiva y se adoptan datos objetivos sobre qué ocurre, dónde y desde cuándo.
En paralelo, se implantó un control formal de credenciales y contraseñas, incorporando trazabilidad, auditoría y gobierno efectivo de los accesos. Este avance redujo significativamente los riesgos asociados a contraseñas compartidas, dispersas o gestionadas de forma insegura.
Asimismo, se integró la inteligencia de amenazas como capacidad operativa continua, permitiendo contextualizar riesgos, identificar patrones y reaccionar con mayor rapidez ante campañas activas. La disponibilidad de información accionable redujo la exposición y mejoró la capacidad de anticipación.
Por último, se reforzó el control del direccionamiento de red, mediante la gestión estructurada del inventario, la asignación y los cambios debidamente trazables. Aunque pueda parecer un aspecto básico, constituye uno de los pilares fundamentales para garantizar la estabilidad operativa y la correcta gestión de incidentes.
La clave del proyecto fue que estas capacidades no se abordaron como herramientas aisladas, sino como funciones integradas: prevenir, detectar, responder y asegurar la trazabilidad.
El marco que evita interpretaciones
La definición de una política de seguridad institucional, alineada con el Esquema Nacional de Seguridad (ENS), constituyó uno de los hitos más relevantes del proyecto.
Esta política establece el marco de referencia sobre cómo se entiende la seguridad en la organización: qué se protege, por qué se protege, quién es responsable y cómo se garantiza su sostenibilidad en el tiempo.
Sin un marco definido, cada área tiende a interpretar la seguridad de forma distinta. Con una política formal, la seguridad deja de ser un ámbito exclusivamente técnico, “un asunto de TI”, y se convierte en una responsabilidad organizacional.
En el contexto del sector público, este aspecto es especialmente crítico, ya que la seguridad debe mantenerse independientemente de cambios organizativos, rotación de equipos o presión operativa. Debe ser institucional, no personal.
El control que más retorno aporta
La tecnología, por sí sola, no garantiza la seguridad. El factor humano sigue siendo uno de los principales vectores de riesgo. Sin concienciación, la seguridad se rompe por los mismos puntos de siempre: confianza excesiva, rutina, prisas y errores humanos.
Por ello, se desarrollaron campañas de concienciación en ciberseguridad con un enfoque práctico: mensajes claros, repetición estructurada, ejemplos reales, contenidos breves aplicables al día a día y recordatorios en el momento oportuno.
El objetivo no era eliminar completamente los incidentes —un escenario irreal—, sino mejorar la calidad de la defensa. Como resultado, se consiguió una mayor implicación de los usuarios, que comenzaron a detectar, reportar y validar situaciones anómalas con mayor eficacia.
La cultura de seguridad no sustituye a los controles técnicos, pero incrementa significativamente su efectividad.
Cuando se decide jugar en serio
La implantación de un Sistema de Gestión de Seguridad de la Información (SGSI), alineado con el ENS, supuso un cambio de enfoque definitivo: la seguridad deja de entenderse como un proyecto con inicio y fin, y pasa a gestionarse como un proceso continuo, que implica operar bajo un ciclo permanente de:
- Análisis de riesgos
- Implantación de controles
- Generación de evidencias
- Auditorías
- Mejora continua
El principal reto no radica en la elaboración de documentación, sino en lograr que la organización actúe conforme a lo definido y sea capaz de demostrarlo de forma sistemática.
Esta disciplina es la que transforma la seguridad en un sistema real de gestión y no en un conjunto de intenciones.
Madurez: disciplina sostenida
La experiencia demuestra que la madurez en ciberseguridad se alcanza cuando deja de abordarse como un conjunto de tareas aisladas y pasa a integrarse como una forma de gestión.
La implantación de capacidades de monitorización, control de accesos, inteligencia de amenazas y gobierno de red resultó eficaz porque respondió a necesidades concretas y se apoyó en un marco sólido de política, concienciación y gestión.
La seguridad institucional no se mide por las herramientas implantadas, sino por la capacidad de gobernarlas: responsabilidades definidas, controles operativos, cultura activa, métricas visibles y evidencias auditables.
Esa es la diferencia entre “tener seguridad” y “ser una organización segura”.
por Marlon Altamirano Di Luca
