Cada organización depende de un pequeño conjunto de activos de información que no puede permitirse el lujo de perder. Identificar estas “joyas de la corona” y protegerlas con una gobernanza disciplinada, una propiedad clara y controles específicos es la base de la resiliencia moderna, escribe Steve Durbin, director ejecutivo del Foro de Seguridad de la Información (ISF).
Las organizaciones gastan miles de millones en herramientas cibernéticas, pero la mayoría de las infracciones importantes se producen porque los equipos no se han puesto de acuerdo sobre lo que realmente están defendiendo. Las “joyas de la corona” no son jerga de marketing; es una forma disciplinada de identificar el puñado de activos de información cuya pérdida dañaría materialmente el negocio. Si tratas todo como crítico, entonces nada lo es. Si puede nombrar y poseer los pocos activos que impulsan los ingresos, la reputación, el cumplimiento normativo o las operaciones principales, puede centrarse en los recursos que cambian los resultados.
Me gusta definir las “joyas de la corona” de una empresa como activos de información de misión crítica (datos, procesos y los sistemas que los habilitan) donde las fallas de confidencialidad, integridad o disponibilidad causarían pérdidas financieras graves, sanciones regulatorias o daños existenciales a la reputación. La definición debe provenir de la empresa, no del equipo de seguridad. Pregunte a los ejecutivos: ¿qué activos podrían impedirnos operar durante días, hundir la confianza de los clientes o provocar multas de decenas de millones? Sus respuestas deberían impulsar la clasificación.
Comience con el descubrimiento y la clasificación basada en el impacto
No puedes proteger lo que no has identificado. Realice descubrimientos específicos para mapear flujos de datos y dependencias para procesos centrales: transacciones de clientes, facturación, controles de fabricación, propiedad intelectual o datos personales de alto riesgo. Clasifique los activos por impacto en el negocio (financiero, operativo, reputacional y regulatorio) y aísle el pequeño conjunto que es verdaderamente crítico para la misión.
Este no es un ejercicio aislado. Las joyas de la corona evolucionan a medida que cambian los productos, se completan adquisiciones o cambian los regímenes regulatorios; programar reevaluaciones en los principales hitos del negocio.
Asignar derechos claros de propiedad y decisión.
Cada joya de la corona necesita un propietario de negocio designado y un administrador técnico. El propietario del negocio decide el tiempo de inactividad aceptable, las prioridades de recuperación y el apetito por el riesgo. El administrador técnico traduce esas decisiones comerciales en arquitectura, controles y guías de recuperación.
Sin responsabilidades claras, la protección se convierte en una ocurrencia tardía y las decisiones de respuesta se dispersan entre los equipos durante las crisis.
Hacer que la gobernanza sea proporcional y pragmática
La gobernanza no es un ejercicio burocrático sino el mecanismo que impone la priorización de las inversiones. Un foro de gobernanza que incluya a partes interesadas de alto nivel de los sectores empresarial, de seguridad, de TI y jurídico debe aprobar lo que se considera una joya de la corona. Ese foro debería impulsar los presupuestos y las hojas de ruta.
Cuando los compromisos son necesarios, deben ser explícitos y atribuibles a una decisión de riesgo, no a incumplimientos implícitos que expongan al negocio.
Aplicar controles que reduzcan el impacto empresarial
Priorice la segmentación, los privilegios mínimos, la autenticación sólida y el cifrado donde reduzcan la exposición real. La segmentación y microsegmentación de la red limitan el radio de la explosión. La autenticación multifactor y la higiene de los certificados protegen la identidad.
La detección de anomalías en entornos de joyas de la corona proporciona una alerta temprana; registrar sin contexto es ruido. Por encima de todo, diseñe para la recuperabilidad: copias de seguridad inmutables o con espacios aislados, procedimientos de restauración probados y runbooks de recuperación que asumen lo peor.
La cultura es el multiplicador.
Los controles técnicos fallan cuando las personas no comprenden su papel en la protección del negocio. Traducir el valor de las joyas de la corona en comportamientos cotidianos. Pregunte quién debe aprobar las exportaciones de datos. ¿Qué procesos requieren controles privilegiados?
Haga que los hábitos seguros sean medibles incluyendo KPI relevantes en revisiones operativas, ejercicios teóricos y objetivos de desempeño de los líderes. La capacitación debe ser concisa, específica para cada función y estar vinculada a escenarios que sean importantes para el negocio.
Prueba sin descanso
Los planes de recuperación son sólo una hipótesis hasta que sean validados. Los ejercicios regulares basados en escenarios, desde la simulación hasta la conmutación por error completa, reducen las conjeturas y revelan dependencias ocultas.
Pruebe las rutas de escalada de incidentes con los propietarios de negocios informados para que practiquen la toma de decisiones bajo presión.
Sea económico y transparente con las inversiones
No todos los conjuntos de datos requieren el mismo nivel de protección. Como dijo Greg Neville de Towerwall: “No guardes mantequilla de maní en Fort Knox”. Los líderes deben decidir qué vale la inversión y qué puede tolerar el riesgo residual.
Esa decisión debe ser rastreable: aceptación del riesgo documentada, opciones de mitigación calculadas y un plan para revisar la elección. Esta disciplina evita gastos de seguridad desenfocados y garantiza que los recursos escasos protejan lo que importa.
Mide lo que importa
Vaya más allá de las casillas de verificación de cumplimiento a métricas que reflejen la resiliencia del negocio: tiempo medio para detectar y recuperar los activos más valiosos, tasa de restauración exitosa en las pruebas y la proporción de sistemas más destacados cubiertos por la línea base de protección.
Informe esas métricas a la junta directiva en términos comerciales: costo potencial del tiempo de inactividad, impacto en el cliente y exposición regulatoria.
Nota final sobre cambio y vigilancia
Las joyas de la corona en 2025 no serán las mismas en 2027. Las migraciones a la nube, los modelos de inteligencia artificial, las estrategias de monetización de datos y la atención regulatoria remodelan rápidamente los factores de riesgo. Trate la clasificación y la protección como programas continuos, no como proyectos con una meta.
Proteger las joyas de la corona es un problema de liderazgo más que un problema tecnológico. Los equipos de seguridad brindan experiencia y controles; Los líderes empresariales deciden las prioridades, aceptan o transfieren riesgos y hacen cumplir la disciplina. Cuando la empresa define claramente lo que no puede permitirse perder y alinea la gobernanza, los controles, la cultura y las pruebas en torno a esa definición, la resiliencia empresarial seguramente llegará. Empiece poco a poco, sea riguroso y mantenga el negocio en el centro de cada decisión de seguridad.
Conclusiones clave
Obtenga la aceptación de los altos directivos. Los ejecutivos están en la mejor posición para identificar procesos críticos. Considere toda la gama de amenazas potenciales. No sólo debe preocuparse por los piratas informáticos. Tome todas las medidas pertinentes para controlar y mitigar las amenazas. Piense en las personas y los procesos, no sólo en la tecnología.
Steve Durbin es director ejecutivo del Information Security Forum (ISF), una asociación independiente que aborda los principales desafíos en seguridad de la información y gestión de riesgos para organizaciones de Fortune 500 y Forbes 2000. Es un orador frecuente sobre el papel de la Junta en ciberseguridad y tecnología. Para obtener más información sobre el Foro de Seguridad de la Información, visite SecurityForum.org
LEER MÁS: ‘La ISF advierte que la geopolítica será el riesgo de ciberseguridad que definirá el año 2026’. La geopolítica se convertirá en el riesgo de ciberseguridad dominante en 2026, advierte el Foro de Seguridad de la Información, a medida que los estados nacionales intensifican el espionaje digital y la presión sobre la infraestructura crítica, e incluso las copias de seguridad en papel recuperan importancia como última línea de defensa cuando los sistemas fallan.
¿Tiene noticias para compartir o experiencia para contribuir? El europeo acoge con agrado las opiniones de líderes empresariales y especialistas del sector. Póngase en contacto con nuestro equipo editorial para obtener más información.