La dirección quiere comprar un único producto «de nueva generación» para «resolver la seguridad». ¿Cómo respondes como arquitecto?
Respuesta breve
Ningún producto único detiene todos los ataques, así que la seguridad madura superpone controles independientes —la defensa en profundidad— para que el fallo de uno no signifique la compromisión. Asocia el gasto propuesto a las brechas reales en identidad, red, endpoint, datos y detección, y conserva los controles complementarios que ya funcionan. Apostarlo todo a una sola herramienta crea un punto único de fallo, y arrancar los controles existentes para sustituirlos reduce la cobertura. No gastar nada en absoluto ignora brechas reales.
La frase «un único producto para resolver la seguridad» es una señal de alarma. La seguridad no es un producto que se instala; es una propiedad que se diseña a través de personas, procesos y muchos controles. La tarea del arquitecto es reorientar el entusiasmo —y el presupuesto— hacia una reducción medible del riesgo.
Por qué gana la defensa en profundidad
Todo control acaba fallando: un fabricante tiene un día cero, una regla está mal configurada, un usuario cae en phishing, un parche se retrasa. La defensa en profundidad presupone el fallo y superpone controles independientes y solapados, de modo que cuando uno cede, otro sigue en pie. Identidad (MFA, acceso condicional), red (segmentación, filtrado de salida), endpoint (EDR), datos (cifrado, DLP) y detección/respuesta (registro, SIEM, respuesta a incidentes) capturan cada uno modos de fallo distintos.
La respuesta correcta no es «no», sino «coloquemos este gasto donde cierra una brecha real». Contrasta la propuesta con tu mapa de controles y tu modelo de amenazas: ¿refuerza una capa débil o duplica una cobertura que ya tienes?
Por qué las respuestas incorrectas lo son
«Comprarlo — un único producto sólido es más sencillo» es justo el instinto directivo que un arquitecto débil aprobaría sin más. La simplicidad atrae, pero una sola herramienta se convierte en un punto único de fallo: cuando se evade o se vulnera, no hay nada detrás. «Sustituir todos los controles existentes» es peor —arranca cobertura que funciona para perseguir a un solo fabricante, reduciendo la superficie defensiva y creando dependencia del proveedor. «Negarse a gastar nada» se pasa de frenada: puede haber una brecha real que el presupuesto debería financiar.
Qué evalúa el entrevistador
Quiere ver que sabes frenar el pensamiento mágico sin ser un obstáculo. Un buen arquitecto traduce un vago «resolver la seguridad» en una decisión de cartera: identificar las brechas de mayor riesgo, justificar el gasto por la reducción del riesgo, preservar los controles complementarios y evitar tanto los puntos únicos de fallo como la proliferación incontrolada de herramientas. La lección es el criterio —la seguridad es en capas y continua, nunca una compra puntual.
Posibles preguntas de seguimiento
- ¿Cómo decidirías dónde este presupuesto aporta la mayor reducción de riesgo?
- Da un ejemplo en el que dos controles solapados te salvaron cuando uno falló.
- ¿Cómo evitas que la defensa en profundidad degenere en una proliferación de herramientas redundantes e ingobernables?