Skip to content

Un sistema heredado no se puede parchear, y el negocio no financiará su reemplazo este año. ¿Cuál es la acción correcta del CISO?

Respuesta breve

Cuando no puedes remediar, gestionas el riesgo: reducir la exposición con controles compensatorios (segmentación de red, restricción de accesos, monitorización reforzada), cuantificar el riesgo residual y lograr que el propietario de negocio responsable lo acepte formalmente con una fecha de revisión definida. Un apagado unilateral excede la autoridad del CISO y daña al negocio. Ignorarlo porque no se puede arreglar es negligencia. Omitirlo del registro de riesgos oculta la responsabilidad, rompe el rastro de auditoría y significa que nadie consta como dueño de la decisión.

Toda organización tiene sistemas que no se pueden parchear — software al final de su vida, equipos congelados por el fabricante, dependencias de producción frágiles. El escenario evalúa si un CISO sabe que «no se puede arreglar» no significa «no se puede gestionar», y que las decisiones de riesgo pertenecen al negocio, documentadas y asumidas.

Por qué los controles compensatorios más la aceptación formal son lo correcto

Cuando la remediación está descartada, se recurre al tratamiento del riesgo. Primero, reducir la probabilidad y el impacto con controles compensatorios: aislar el sistema en una red segmentada, restringir quién y qué puede alcanzarlo, añadir monitorización y alertas más estrictas y limitar sus privilegios. Luego, cuantificar el riesgo residual que queda tras esos controles. Finalmente, presentarlo al propietario de negocio responsable — quien controla el presupuesto y el valor de negocio — y lograr que lo acepte formalmente por escrito, con una fecha de revisión para que la decisión se reexamine en lugar de olvidarse. Así la decisión queda donde corresponde y se crea un rastro de auditoría.

Por qué fallan las otras opciones

  • Apagarlo unilateralmente. El CISO asesora sobre el riesgo y lo gestiona; no decide por su cuenta detener un sistema que genera ingresos. Eso excede el gobierno y puede causar más daño que la vulnerabilidad.
  • Ignorarlo. «De todos modos no se puede arreglar» es negligencia. Un riesgo conocido no gestionado es precisamente lo que castigan los reguladores y las revisiones posteriores a un incidente.
  • Mantenerlo fuera del registro de riesgos. Ocultar el riesgo para no alarmar es la peor opción: elimina la responsabilidad, rompe el rastro de auditoría y significa que nunca se asignarán controles compensatorios ni aceptación. Cuando se explote, no habrá constancia de que alguien fuera dueño de la decisión.

Qué busca el entrevistador

Quiere el reflejo de aceptación del riesgo: documentar, mitigar lo que se pueda y trasladar la decisión de aceptar/aplazar al propietario de negocio con una cadencia de revisión — ni una hazaña (apagado) ni la evitación (ignorar/ocultar). El CISO maduro hace el riesgo visible y asumido, incluso cuando no puede eliminarse.

Posibles preguntas de seguimiento

  • ¿Qué controles compensatorios priorizaría para un sistema no parcheable expuesto a Internet frente a uno interno?
  • ¿Quién en la organización es la persona adecuada para aceptar formalmente este riesgo residual, y por qué no el CISO?
  • ¿Qué pondría en el disparador de la fecha de revisión para que esta aceptación no se vuelva permanente en silencio?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.