Cuando una organización evalúa el riesgo de su ciberseguridad, casi siempre mira las mismas variables: vulnerabilidades sin parchar, incidentes recientes, cumplimiento normativo, inversión en tecnología. Son variables visibles, medibles, con un número al lado. Pero hay un riesgo que rara vez entra a esa conversación porque no tiene una casilla en ningún reporte: qué pasa con la seguridad de la organización el día que la persona que la entiende mejor decide irse.
Ese riesgo no es hipotético. En la mayoría de las organizaciones de la región, la ciberseguridad no vive en un proceso documentado y replicable: vive en la cabeza de dos o tres personas. Cuando una de ellas se va —por una mejor oferta, por agotamiento, por una decisión personal que no tiene nada que ver con la empresa— se va también una parte de la capacidad de respuesta de la organización, aunque la tecnología siga funcionando exactamente igual.
El talento humano como punto único de falla
En arquitectura de sistemas, un "punto único de falla" es cualquier componente cuya ausencia detiene todo lo demás. Las organizaciones invierten años eliminando esos puntos en su infraestructura: redundancia, respaldos, failover automático. Pero pocas veces se aplica el mismo criterio a las personas que operan esa infraestructura.
Es común encontrar organizaciones donde una sola persona sabe por qué se configuró una regla de firewall hace tres años, o qué hacer exactamente cuando aparece cierto tipo de alerta. Ese conocimiento no está en ningún documento porque nunca hubo tiempo —o presión suficiente— para escribirlo. Mientras esa persona esté, el riesgo es invisible. El día que no está, se vuelve el problema más urgente de la organización, justo cuando menos preparados están para resolverlo.
Por qué la rotación no figura en ningún reporte de riesgo
La razón por la que este riesgo casi nunca llega a la mesa del CFO o del director general es simple: no tiene una métrica asociada. El riesgo de una vulnerabilidad se puede clasificar por severidad. El riesgo de un incidente se puede medir en tiempo de inactividad o costo estimado. Pero el riesgo de que una persona clave renuncie no tiene un score, y lo que no tiene score no entra al comité de riesgo.
Esto genera una distorsión importante: una organización puede tener toda su tecnología de seguridad al día y, aun así, estar operando sobre una base extremadamente frágil, porque esa tecnología solo funciona bien en manos de quien sabe interpretarla. La rotación de talento en ciberseguridad en la región es, además, un fenómeno estructural: la demanda de especialistas supera por mucho la oferta disponible, lo que empuja salarios al alza y acorta la permanencia promedio en cada puesto [DATO A VALIDAR]. No es un problema de una empresa en particular; es una condición del mercado con la que toda organización tiene que aprender a operar.
El costo real de operar solo cuando el equipo cambia
El costo de este riesgo no se ve en el momento de la renuncia. Se ve semanas o meses después, cuando ocurre un evento que antes se hubiera resuelto en minutos y ahora toma horas, porque nadie en el equipo actual tiene el contexto que tenía la persona anterior. Se ve en decisiones que se posponen porque nadie quiere tomar responsabilidad sobre un sistema que no conoce a fondo. Se ve, sobre todo, en la sensación —muy real para un CIO o un CISO— de que la seguridad de la organización depende de que ciertas personas específicas no se vayan nunca.
Esa dependencia es exactamente lo que separa a una organización que opera su seguridad de una que simplemente la sobrevive. Operar con criterio significa que la salida de una persona es un evento de recursos humanos, no un evento de seguridad. Sobrevivir significa que cada renuncia es, en el fondo, una exposición nueva.
Diseñar la continuidad antes de necesitarla
La forma de cerrar esta brecha no es contratar más gente ni depender de la lealtad de quienes ya están —ambas son variables que la organización no controla del todo. Es diseñar la operación de seguridad para que no dependa de personas específicas: procesos documentados, criterios de decisión explícitos, y capacidades que sostengan la vigilancia y la respuesta incluso cuando el equipo humano cambia. La pregunta que debería hacerse cualquier CISO, CIO o CFO no es "¿confío en mi equipo actual?", sino "¿mi operación de seguridad sobrevive el día que mi equipo actual ya no esté?". La diferencia entre esas dos preguntas es, muchas veces, la diferencia entre un incidente menor y una crisis.
En la práctica
Este es exactamente el tipo de riesgo que TBSEK está diseñado para absorber. Al operar la ciberseguridad como un servicio continuo —y no como una función interna que depende de que ciertas personas sigan ahí— la organización deja de estar expuesta a su propia rotación de talento. Un ejemplo concreto de esto es cómo TBSEK integra Darktrace dentro de su operación: Darktrace aprende el comportamiento normal de la red de cada organización y detecta desviaciones en tiempo real, sin depender de que un analista específico reconozca el patrón o esté disponible en el momento en que ocurre. Esa capacidad de aprendizaje continuo funciona igual un martes cualquiera que la semana en que el especialista que conocía mejor la red decidió tomar otro rumbo profesional. Cuando el equipo interno del cliente cambia —o simplemente no está disponible en el momento del incidente— la vigilancia y la capacidad de respuesta no se detienen ni pierden calidad, porque no dependen de la memoria de una persona sino de un criterio operativo sostenido por TBSEK. Para un CIO o un CFO, esto se traduce en algo muy concreto: la seguridad de la organización deja de ser tan fuerte como la persona más informada del equipo, y pasa a ser tan sólida como el operador que la sostiene, independientemente de quién entre o salga del equipo interno.