El Caballo de Troya en la Sala de Juntas: ENTRADA 1: La ceguera del hardware o por qué tu matriz de riesgos está incompleta

 

El Caballo de Troya en la Sala de Juntas: Por qué el hardware es el gran punto ciego del Compliance moderno

ENTRADA 1: La ceguera del hardware o por qué tu matriz de riesgos está incompleta

En gestión de riesgos, lo que no se nombra no existe. Y lo que no se mide no se controla. El hardware de seguridad electrónica —cámaras, sensores, grabadores— es hoy el punto ciego más extendido en las matrices corporativas.

Cuando una empresa adquiere un sistema de videovigilancia, suele evaluar su fiabilidad física. Pero ignora el firmware que lo gobierna. Si el fabricante no publica CVEs ni revela qué componentes utiliza, la organización introduce una caja negra en su red.

La herramienta para romper esa opacidad existe: el SBOM, la lista de materiales de software. Es la etiqueta de ingredientes del firmware. Sin ella, es imposible saber si un dispositivo contiene una librería vulnerable ya explotada por ciberdelincuentes.

Para el oficial de cumplimiento, exigir el SBOM no implica tener que saber programar; hoy en día existen herramientas de auditoría automatizadas que leen estos registros y alertan instantáneamente sobre los componentes obsoletos o peligrosos que contiene el dispositivo. Sin esta trazabilidad, gestionar el riesgo es una quimera.

Actualización necesaria de la matriz de riesgos:

• Riesgo: Cadena de suministro tecnológica (IoT/Hardware)
• Causa raíz: Opacidad del fabricante y ausencia de SBOM
• Impacto: Intrusión, interrupción del negocio, sanciones regulatorias
• Mitigación: Exigir SBOM, vetar marcas sin CVEs, automatizar escaneos

El compliance moderno no puede detenerse en los activos intangibles. Si un dispositivo se conecta a tu red, su software debe ser auditado con el mismo rigor que tu ERP.