Dirigido a: CISOs, CIOs, CTOs, Directores y Gerentes de Tecnología
Delegar la gestión de vulnerabilidades al área de Tecnología de la Información (TI) representa un riesgo estratégico para cualquier organización. Esta función, crítica para la protección del activo digital, debe recaer en el equipo de Ciberseguridad, de acuerdo con marcos regulatorios y buenas prácticas internacionales.
1. Conflicto de intereses (Segregación de funciones)
TI diseña, configura y mantiene sistemas; si además evalúa sus propias implementaciones, se rompe la independencia requerida. ISO/IEC 27001:2022 (Control 8.2) exige separar funciones para reducir el riesgo de abuso o error involuntario. Quien construye no debe auditarse a sí mismo.
2. Falta de enfoque en la gestión de riesgos
TI prioriza continuidad operacional. Sin embargo, la gestión de vulnerabilidades requiere análisis de riesgo y priorización de acuerdo con la exposición. NIST SP 800-30 Rev.1 establece que la evaluación de vulnerabilidades debe basarse en el riesgo, no en la urgencia técnica.
3. Ausencia de especialización en amenazas
TI rara vez cuenta con el conocimiento técnico para interpretar CVE, CWE, CVSS, o relacionarlo con amenazas activas (e.g., ransomware-as-a-service). Esta tarea corresponde a profesionales de ciberseguridad entrenados en threat intelligence.
4. Desalineación con normativas y estándares
Regulaciones como PCI-DSS v4.0 (Requisito 11.3), NIST CSF y ISO/IEC 27002:2022 recomiendan que la detección y mitigación de vulnerabilidades sea un proceso controlado por la función de seguridad, no por operaciones TI.
5. Falta de visibilidad de amenazas externas
TI gestiona sistemas internos, pero no tiene acceso a feeds de amenazas, inteligencia externa, ni contexto global. Ciberseguridad opera con datos actualizados de ataques reales (tácticas MITRE ATT&CK, CVE explotados, IOC activos).
6. Trazabilidad y auditoría comprometidas
Cuando TI detecta y mitiga vulnerabilidades sin supervisión externa, no hay evidencia independiente para auditorías. ISO 27001 (Cláusula 9.1) exige monitoreo, medición y evaluación de controles de forma verificable.
7. Riesgo de despriorización operativa
TI puede demorar correcciones críticas si afectan la continuidad del negocio. NIST SP 800-40 Rev.3 aclara que las vulnerabilidades deben gestionarse por nivel de severidad, no por conveniencia operativa.
8. Evaluación técnica vs. impacto estratégico
TI puede ver una vulnerabilidad como un error menor, sin evaluar su impacto sobre la confidencialidad, integridad o disponibilidad. Ciberseguridad aplica el modelo CIA y evalúa implicaciones regulatorias y de reputación.
9. Ambigüedad en la responsabilidad del riesgo
Si TI gestiona vulnerabilidades, ¿quién responde ante una brecha de seguridad? La rendición de cuentas queda diluida. COBIT 2019 señala que la gestión del riesgo de TI debe estar alineada con la función de aseguramiento, no con la de operación.
10. TI no cubre el ciclo completo de gestión
La gestión efectiva incluye: detección, análisis, priorización, remediación, validación y retroalimentación. TI suele limitarse a aplicar parches. ISO/IEC 27002:2022 (Control 8.8) establece que todo el ciclo debe estar gobernado bajo procesos de seguridad.
Conclusión
Permitir que TI gestione vulnerabilidades compromete la objetividad, el cumplimiento normativo y la gestión de riesgos. Las organizaciones deben alinear sus procesos con marcos como ISO 27001, NIST, PCI-DSS y COBIT, y asegurar que Ciberseguridad lidere esta función estratégica.
TI debe operar. Ciberseguridad debe vigilar. Confundir estos roles es debilitar la postura de seguridad organizacional.
