Saltar al contenido principal
Passwork LogoPasswork LogoSecurity champion course

Cómo conseguir el apoyo de la dirección

No puede ser un Security Champion efectivo sin el apoyo de la dirección. Eso significa tiempo dedicado, autoridad para crear tickets, acceso a los sistemas y reconocimiento de que este trabajo importa.

Conseguir ese apoyo requiere hablar un idioma con el que la mayoría de los técnicos no se sienten cómodos: el idioma del riesgo empresarial, el dinero y la ventaja competitiva.

Este capítulo le enseña cómo presentar el caso.

Por qué los argumentos técnicos no funcionan

Cuando los ingenieros hablan con la dirección sobre seguridad, las conversaciones suelen ir así:

"Deberíamos implementar MFA porque es una buena práctica de seguridad."

El CEO asiente. No pasa nada.

"Nuestras dependencias tienen CVEs conocidos. Deberíamos actualizarlas."

El CTO dice "añádelo al backlog". Se queda ahí durante seis meses.

"Necesitamos hacer revisiones de acceso. Es higiene básica."

Todos están de acuerdo. Nadie lo programa.

El problema no es que a la dirección no le importe. Es que "buenas prácticas" e "higiene" no se conectan con nada por lo que son evaluados. Ingresos, retención de clientes, velocidad de cierre de contratos, costos operacionales — estas son las métricas que impulsan las decisiones.

Si quiere que la seguridad obtenga recursos, tiene que conectarla con esas métricas.

Los tres argumentos que funcionan

Tras observar a Champions tener éxito y fracasar en conseguir apoyo, he visto tres argumentos que realmente mueven a la dirección.

Argumento 1: Estamos perdiendo contratos

Este es el argumento más poderoso para las empresas B2B.

Los clientes empresariales envían cuestionarios de seguridad. Si no puede responderlos de manera convincente, pierde el contrato. A veces ni siquiera sabe que lo perdió — el prospecto simplemente deja de dar señales.

Así es como presentar este argumento:

"El último trimestre, recibimos tres cuestionarios de seguridad de prospectos. No pudimos responder preguntas básicas: ¿Tiene MFA? ¿Hace revisiones de acceso? ¿Tiene un plan de respuesta a incidentes? No sabemos cuántos contratos hemos perdido por esto, pero sé que fallamos al menos un cuestionario completamente."

"Un Security Champion puede solucionar esto. En un mes, puedo implementar MFA, documentar nuestro proceso de revisión de acceso y escribir un plan de respuesta a incidentes. Entonces podremos responder estos cuestionarios honestamente."

Esto funciona porque se conecta directamente a los ingresos. La seguridad no es un costo — es un facilitador de ventas.

Argumento 2: Un incidente costará más que la prevención

Este argumento funciona cuando puede señalar riesgos concretos.

"Ahora mismo, tenemos credenciales de AWS en tres repositorios. Si alguna de esas se filtra, estamos mirando cargos por minería de criptomonedas — he visto empresas recibir facturas de $10k de la noche a la mañana. O peor, acceso a datos."

"Un Security Champion puede escanear todos nuestros repositorios en busca de secretos y configurar bloqueos para que esto no pueda volver a ocurrir. Eso son unas pocas horas de trabajo frente a potencialmente decenas de miles en daños."

La clave es la especificidad. No diga "tenemos riesgos de seguridad". Diga "tenemos claves de AWS en repositorios públicos, y esto es lo que pasa cuando esas se filtran."

Argumento 3: No cuesta casi nada

La dirección se preocupa de que la seguridad implique herramientas costosas y personal dedicado. Su trabajo es demostrar que el modelo Champion es diferente.

"No estoy pidiendo presupuesto. No le estoy pidiendo que contrate a nadie. Estoy pidiendo cuatro horas de mi tiempo por semana y permiso para priorizar las tareas de seguridad."

"A cambio, conseguimos MFA en todas partes, secretos fuera de los repositorios, revisiones de acceso cada trimestre y alguien que pueda responder preguntas de seguridad cuando los clientes pregunten."

Cuando el costo es casi cero y el beneficio es concreto, la decisión se vuelve más fácil.

Entender qué preocupa realmente a la dirección

Antes de presentar, entienda qué tienen en mente.

Los CEOs se preocupan por:

  • Ingresos y crecimiento
  • Pérdida de clientes
  • Reputación
  • Expectativas de inversores/consejo
  • Posicionamiento competitivo

Los CTOs se preocupan por:

  • Velocidad de envío
  • Deuda técnica
  • Productividad del equipo
  • Fiabilidad del sistema
  • Contratación y retención

Los CFOs se preocupan por:

  • Control de costos
  • Gastos predecibles
  • Hallazgos de auditoría
  • Primas de seguros

Su presentación del Security Champion necesita conectar con estas preocupaciones. "Buenas prácticas" no se conecta con ninguna de ellas. "Podemos ganar contratos más grandes" conecta con lo que le preocupa al CEO. "Esto no ralentizará el desarrollo" aborda el miedo del CTO. "No se requiere presupuesto adicional" hace que el CFO se relaje.

Construir su documento de una página

Antes de cualquier reunión, escriba un resumen de una página. Esto fuerza la claridad y le da a la dirección algo a lo que hacer referencia más tarde.

Estructura:

Problema (2-3 frases)

¿Cuál es el estado actual? Sea específico sobre las brechas, no abstracto sobre los riesgos.

Ejemplo: "No tenemos prácticas de seguridad sistemáticas. El MFA es opcional. Los exempleados conservan el acceso. Nadie revisa las dependencias en busca de vulnerabilidades. No podemos responder cuestionarios de seguridad básicos de los clientes."

Riesgo (2-3 frases)

¿Qué podría salir mal? Use escenarios concretos, no alarmismo.

Ejemplo: "Una filtración de credenciales podría resultar en facturas de nube significativas y posible exposición de datos. Un incidente de ransomware podría detener el desarrollo durante días. Estamos rechazando perseguir contratos empresariales porque no podemos superar las revisiones de seguridad."

Propuesta (2-3 frases)

¿Qué está pidiendo? Sea específico.

Ejemplo: "Propongo actuar como Security Champion con 4 horas/semana dedicadas al trabajo de seguridad. Implementaré MFA, limpiaré el acceso, configuraré el escaneo de secretos y crearé documentación básica. Sin presupuesto adicional requerido."

Resultados esperados (puntos)

¿Qué será diferente en 3 meses?

  • MFA habilitado para todos los servicios críticos
  • Revisiones de acceso trimestrales en funcionamiento
  • Secretos eliminados de los repositorios
  • Capacidad para responder cuestionarios de seguridad estándar
  • Proceso básico de respuesta a incidentes documentado

Lo que necesito

  • 4 horas/semana de tiempo protegido
  • Autoridad para crear tickets relacionados con la seguridad
  • Acceso de administrador para fines de auditoría
  • Reunión trimestral con la dirección sobre el progreso

Manténgalo en una página. Si no puede explicarlo en una página, no lo entiende lo suficientemente bien.

La conversación de 5 minutos

A veces no obtiene una reunión. Obtiene cinco minutos después del standup o un hilo de Slack que la dirección podría leer.

Aquí está la versión corta:

"Quiero asumir la seguridad como una responsabilidad secundaria — unas 4 horas a la semana. Sin necesidad de presupuesto. Implementaré MFA, limpiaré el acceso y me aseguraré de que podamos responder las preguntas de seguridad de los clientes. ¿Podemos probar esto durante un trimestre y ver cómo va?"

Eso es todo. Está pidiendo permiso para ayudar, no pidiendo recursos. La mayoría de los líderes dirán sí a eso.

Si se resisten, tiene dos respuestas:

"¿Cuál es la preocupación?" — A veces tienen una objeción real que puede abordar.

"¿Podemos probar durante un mes?" — Reduzca el compromiso. Un mes es fácil de decir sí.

Manejar las objeciones

Aquí están las objeciones que escuchará y cómo responder.

"No tenemos tiempo para esto."

"Entiendo que el equipo está al límite. Por eso propongo asumir esto yo mismo con solo 4 horas a la semana. Lo gestionaré sin apartar a los demás de su trabajo. Y honestamente, el tiempo que ahorraremos al no lidiar con incidentes de seguridad vale más que 4 horas."

"Contrataremos a una persona de seguridad eventualmente."

"Eso tiene sentido a largo plazo. Pero contratar lleva tiempo, y cuando lo hagamos, necesitarán a alguien que entienda nuestros sistemas. El trabajo que hago ahora construye la base que heredarán. Y aborda los riesgos inmediatos mientras resolvemos el cronograma de contratación."

"No hemos tenido ningún incidente de seguridad."

"Eso es bueno, pero en parte es suerte. Tenemos credenciales en repositorios que cualquiera podría encontrar. Tenemos exempleados con acceso a producción. Estos no son riesgos teóricos — son cosas que causan incidentes en empresas como la nuestra cada semana. El rol de Champion consiste en solucionar estos problemas antes de que se conviertan en incidentes."

"Nuestros clientes no están pidiendo esto."

"Algunos lo están. Hemos recibido tres cuestionarios de seguridad en el último trimestre. Pero incluso para los clientes que no preguntan, la seguridad se está convirtiendo en un requisito mínimo. Nuestros competidores están invirtiendo aquí. Si no lo hacemos, empezaremos a perder contratos frente a empresas que pueden responder preguntas de seguridad con confianza."

"¿Y si usted se va?"

"Buena pregunta. Todo lo que haga estará documentado. Los procesos que configuro funcionarán sin mí — como las revisiones de acceso trimestrales o el escaneo automatizado. Y si la empresa decide contratar a una persona de seguridad más adelante, tendrán una ventaja porque los conceptos básicos ya están en su lugar."

La presentación (si la necesita)

A veces la dirección quiere una presentación. Aquí hay una estructura que funciona:

Diapositiva 1: El problema

  • 2-3 brechas específicas (sin MFA, credenciales en código, sin revisiones de acceso)
  • Una frase sobre por qué importa ahora

Diapositiva 2: El riesgo

  • Qué pasa si no actuamos
  • Un ejemplo concreto (una empresa similar, un caso que casi nos afectó)

Diapositiva 3: La propuesta

  • Rol de Security Champion: qué es
  • Qué haré en el primer trimestre
  • Qué estoy pidiendo (tiempo, acceso, autoridad)

Diapositiva 4: Resultados esperados

  • 3-5 entregables concretos
  • Cómo mediremos el éxito

Diapositiva 5: Cronograma

  • Mes 1: [objetivos específicos]
  • Mes 2: [objetivos específicos]
  • Mes 3: [objetivos específicos]

Diapositiva 6: La petición

  • Resumen de lo que necesita
  • Próximo paso (aprobación para empezar)

Manténgalo en menos de 10 minutos. La atención de la dirección es corta. Si quieren más detalle, lo pedirán.

Después de conseguir el sí

El apoyo no es un evento único. Necesita mantenerlo.

Semana 1: victoria rápida

Haga algo visible en la primera semana. Active el MFA para las cuentas de la dirección. Elimine el acceso de un exempleado. Encuentre un secreto en un repositorio. Envíe una actualización breve: "Esto es lo que encontré y corregí en la semana uno."

Esto construye credibilidad. Demuestra que es serio y capaz.

Mensualmente: actualización de progreso

Envíe una breve actualización mensual. Tres secciones:

  • Lo que hice
  • Lo que encontré (riesgos, brechas)
  • Con qué necesito ayuda

Manténgalo corto. La dirección no quiere leer un informe. Quiere saber que las cosas avanzan.

Trimestralmente: reunión de revisión

Cada trimestre, programe 30 minutos con quien aprobó el programa. Revise lo que logró, lo que aprendió y cuáles son los próximos pasos.

Este es también el momento de renegociar el alcance si es necesario. "He hecho los conceptos básicos. Esto es lo que me gustaría abordar el próximo trimestre. Puede que necesite un poco más de tiempo o acceso."

Cuando el apoyo falla

A veces la dirección dice no. O dice sí pero no cumple.

Si dicen no directamente:

  • Pregunte qué cambiaría su opinión
  • Proponga un piloto más pequeño ("¿Puedo dedicar solo 2 horas a esto durante un mes?")
  • Espere un desencadenante externo (un cuestionario de seguridad, un caso cercano, un competidor que sufre una brecha) y vuelva a plantearlo

Si dicen sí pero no le dan tiempo:

  • Empiece a hacerlo de todas formas a un nivel mínimo
  • Documente lo que está haciendo y lo que está bloqueado
  • Cuando algo salga mal (un incidente, un cuestionario fallido), tiene evidencia de que intentó prevenirlo

A veces la respuesta correcta es irse. Si una empresa no va a invertir ninguna atención en la seguridad, está asumiendo un riesgo que eventualmente los alcanzará. No tiene que estar ahí cuando ocurra.

Taller: construya su presentación

Dedique 30 minutos a preparar sus propios materiales de apoyo.

Paso 1: Liste tres brechas específicas (5 minutos)

¿Qué problemas de seguridad puede señalar en su empresa ahora mismo?

No "tenemos mala seguridad" — cosas específicas como "el MFA es opcional", "no eliminamos el acceso cuando la gente se va", "hay claves de AWS en nuestro repositorio principal".

Paso 2: Conecte cada brecha a un riesgo comercial (5 minutos)

Para cada brecha, ¿cuál es la consecuencia para el negocio?

  • Oportunidad de contrato perdida
  • Pérdida financiera potencial
  • Interrupción operacional
  • Daño a la reputación

Paso 3: Escriba su documento de una página (15 minutos)

Use la estructura de antes en este capítulo:

  • Problema (2-3 frases)
  • Riesgo (2-3 frases)
  • Propuesta (2-3 frases)
  • Resultados esperados (puntos)
  • Lo que necesita

Paso 4: Practique la versión de 5 minutos (5 minutos)

Condense su presentación a algo que pueda decir en una conversación en el pasillo. Practíquelo en voz alta. Mídalo.

Entregable: Un documento de presentación de una página y una versión verbal de 5 minutos, listos para usar.

Conclusión

Conseguir el apoyo es una habilidad, y es una que la mayoría de los ingenieros nunca aprenden. Pero es esencial para el rol de Champion.

La idea clave: a la dirección no le importa la seguridad por sí misma. Le importan los ingresos, los costos y el riesgo. Su trabajo es traducir el trabajo de seguridad a esos términos.

Hágalo bien y obtendrá el tiempo, el acceso y la autoridad que necesita. Hágalo mal, y estará haciendo trabajo de seguridad en su tiempo libre sin apoyo — lo cual no es sostenible.

Esto completa la primera sección del curso. Ahora entiende qué es un Security Champion, en qué consiste el rol día a día, cómo ayuda a su carrera y cómo conseguir el apoyo de la dirección.

Próximo: el trabajo práctico — victorias rápidas que demuestran su valor y construyen impulso.

© 2014–2025 «Passwork»
Empresa
Sobre nosotrosPolítica de privacidadCertificado ISO 27001Notas de la versiónHoja de rutaBlog
Extensión de navegador
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Aplicación móvil
App StoreGoogle Play
Para empresas
EquiposPequeñas empresasEmpresas y corporacionesEnterpriseSolución on-premiseHerramienta para compartir contraseñasGestión de secretos
Ayuda
Manual de usuarioDocumentación técnicaCentro de ayuda