• 23 febrero, 2026

La frase que da título a la columna de esta semana hace referencia a uno de los principios fundamentales de la ciberseguridad moderna y la gestión de riesgos. Es oportuno abordar este tema porque la seguridad empresarial está justo en medio de una tormenta perfecta.

En efecto, mientras las grandes organizaciones están creando una falsa sensación de seguridad en las empresas, nuevos atacantes emergen con herramientas innovadoras y optimizadas. Asimismo, centrarse en el cumplimiento normativo lleva al riesgo de que los negocios se confundan y oculten el verdadero alcance de las mejoras que podrían implementarse en la resiliencia de sus datos. Esta “falsa sensación de seguridad” podría tener su origen en la “desconfianza”.

De acuerdo con datos del Foro Económico Mundial (WEF), citados en el estudio Global Cybersecurity Outlook 2025, América Latina es la región en el mundo donde menos directivos de TI, Seguridad de la Información y Negocios se sienten “confiados” (14%) o “muy confiados” (4%) de que su país esté bien preparado para responder a incidentes cibernéticos mayores dirigidos a su infraestructura crítica. Por el contrario, el 42% de ellos “no confían en absoluto”.

De esta manera, estar en cumplimiento (compliance) significa adherirse a estándares, leyes y regulaciones externas (como GDPR, HIPAA, ISO 27001), mientras que estar seguro significa proteger proactivamente los activos, datos y sistemas contra amenazas reales. 

Para describirlo de manera gráfica, el cumplimiento es como una “foto”; la seguridad es un proceso. El cumplimiento normativo a menudo implica superar una auditoría en un momento específico (“marcar casillas”, dirían algunos); por su parte, la seguridad es un esfuerzo continuo 24/7 para protegerse contra amenazas que evolucionan constantemente.

El cumplimiento es el mínimo aceptable, ya que seguir las normas a menudo representa el estándar mínimo de seguridad requerido, no la máxima protección posible. Una organización puede ser 100% conforme con las normas y aun así ser vulnerable a un ciberataque.

De ahí la insistencia en advertir sobre una “falsa sensación de seguridad”: creer que, por tener certificaciones (como PCI DSS), los datos están automáticamente protegidos es una trampa peligrosa. Las regulaciones se enfocan en la responsabilidad legal, mientras que la seguridad se enfoca en reducir el riesgo real.

A manera de conclusión, podríamos afirmar que el cumplimiento normativo no garantiza la seguridad, pero una seguridad robusta ayuda a alcanzar el cumplimiento normativo. ¿Qué opina de esto, estimado lector?

___________

Por José Luis Becerra, Director Editorial de CISOCLUB, jlbecerra@cisoclub.mx

Post Tags :
Written by

Jose Luis Becerra

Elaborar materiales editoriales de interés para la comunidad de CISO y CSO, así como la generación de contenidos para eventos organizados por CISO Club.

Copyright © 2025 Design by Boomerang Media

Background

¡Descubre "Datos Descifrados con José Luis Becerra"!

Opinión, análisis y tendencias clave de ciberseguridad.

🔐 Acceso exclusivo para miembros registrados
📝 Registro gratuito y rápido

 

👉 Regístrate y accede a la comunidad CISO Club

Quiero registrarme