¿Por qué el CISO necesita CTI si ya tiene un SOC?

El SOC opera en el nivel táctico/operacional: detecta y responde. El CISO necesita inteligencia estratégica para priorizar inversiones, justificar presupuestos ante el board y anticipar amenazas que afecten al sector. Sin CTI estratégica, las decisiones de seguridad se basan en titulares mediáticos en lugar de evidencia sobre amenazas reales al negocio.

¿Con qué frecuencia debe recibir el CISO un threat landscape briefing?

Mínimo trimestral para briefings completos del panorama de amenazas. Mensual para actualizaciones de riesgo operacional. Inmediato (ad-hoc) cuando hay una amenaza activa contra el sector, una vulnerabilidad crítica explotada activamente o un incidente en un competidor directo.

¿Qué métricas CTI interesan realmente al board?

El board quiere saber tres cosas: (1) cuánto riesgo residual hay y cómo evoluciona, (2) si la inversión en seguridad está alineada con las amenazas reales al negocio, y (3) cómo se compara la organización con su sector. Métricas como 'amenazas activas contra nuestro sector', 'cobertura de detección de TTPs relevantes' y 'tiempo medio de respuesta' son más útiles que contadores de IOCs bloqueados.

IntermedioCTICISOestrategiagestión de riesgosliderazgo

CTI para CISO: Traducir Inteligencia Técnica a Decisiones de Negocio

Cómo traducir la inteligencia de amenazas técnica en decisiones de negocio para el CISO. Productos de inteligencia estratégica, priorización basada en riesgo, briefings ejecutivos, métricas relevantes para la dirección e inversión informada por CTI.

MalwareIntel Research·5 de junio de 2026·12 min lectura

Serie: Cyber Threat Intelligence — Parte 22

El gap entre el equipo CTI y el CISO es el problema más caro de la inteligencia de amenazas

Un equipo CTI puede producir análisis técnico de calidad excepcional y seguir siendo irrelevante para la organización. El problema no es la calidad del análisis, sino la traducción. Cuando el informe CTI habla de "APT28 usando T1566.001 con payload Cobalt Strike beacon en infraestructura fast-flux", el CISO escucha ruido. Cuando el CISO pregunta "¿estamos protegidos?", el equipo CTI responde con 47 páginas de IOCs.

Este gap no es un problema de comunicación. Es un problema de producto. La inteligencia que no se consume no existe. Y la inteligencia que no informa decisiones es un coste, no una inversión.

Inteligencia estratégica vs. inteligencia táctica

La mayoría de equipos CTI producen inteligencia táctica por defecto: IOCs, reglas de detección, análisis de malware. Esta inteligencia alimenta al SOC y es necesaria. Pero no es lo que el CISO necesita para tomar decisiones.

Nivel	Consumidor	Producto típico	Horizonte temporal
Táctico	SOC Analyst N1/N2	IOCs, reglas Sigma/YARA, alertas en tiempo real	Horas
Operacional	SOC Lead, IR Manager	Informes de campaña, TTPs activas, playbooks actualizados	Días a semanas
Estratégico	CISO, CRO, Board	Threat landscape, tendencias sectoriales, evaluación de riesgo	Meses a trimestres

El error habitual es que el equipo CTI solo produce los dos primeros niveles. El nivel estratégico requiere un esfuerzo diferente: no es agregar más datos, sino sintetizar menos conclusiones con mayor impacto.

Productos de inteligencia estratégica

Threat Landscape Report (trimestral)

El producto estrella para el CISO. No es un listado de amenazas, sino un análisis del panorama filtrado por relevancia al negocio.

Estructura recomendada:

Executive Summary (1 página). Tres amenazas principales, impacto estimado, recomendación de acción.
Sector Threat Profile. Amenazas activas contra el sector de la organización (financiero, energía, salud, etc.). Datos de campañas documentadas, no hipótesis.
Adversary Focus. 2 o 3 actores con capacidad e intención demostrada contra organizaciones similares. Motivación, sofisticación, TTPs principales.
Vulnerability Exposure. CVEs activamente explotadas que afectan al stack tecnológico de la organización. No todas las CVEs: solo las que tienen exploit in-the-wild y afectan a la superficie de ataque real.
Trend Analysis. Evolución respecto al trimestre anterior. ¿Ha cambiado el perfil de riesgo? ¿Nuevos vectores emergentes?
Investment Implications. Qué gaps de protección existen frente a las amenazas identificadas. Esto es lo que justifica presupuesto.

Threat Advisory (ad-hoc)

Cuando surge una amenaza inmediata relevante para la organización. No es un boletín genérico: es un análisis de impacto específico.

Formato: 1 página máximo. Qué está pasando, si afecta a la organización, qué acción tomar, qué monitorizar.

Competitive Intelligence Brief

Incidentes de seguridad en competidores o empresas del mismo sector. No es morbo: es evidencia de que las amenazas son reales y de qué vectores están funcionando.

Priorización basada en riesgo: del IOC al impacto

El CISO no puede actuar sobre 50.000 IOCs. Necesita saber cuáles importan. La priorización basada en riesgo conecta la inteligencia táctica con el contexto de negocio.

Modelo de priorización CTI para el CISO

Relevancia = f(Capacidad del adversario, Intención hacia el sector,
               Exposición de la organización, Impacto potencial en el negocio)

Cada amenaza se evalúa en cuatro dimensiones:

Dimensión	Preguntas clave	Fuentes
Capacidad	¿Qué sofisticación tiene el adversario? ¿Qué TTPs usa?	MITRE ATT&CK, informes de vendores, análisis de malware
Intención	¿Ha atacado nuestro sector antes? ¿Hay indicios de targeting?	Campañas documentadas, dark web monitoring, HUMINT
Exposición	¿Tenemos la superficie de ataque que este adversario explota?	Asset inventory, vulnerability scans, configuración detectada
Impacto	Si tiene éxito, ¿cuál es el impacto en operaciones, reputación, regulatorio?	BIA (Business Impact Analysis), registros de riesgo

La combinación de estas cuatro dimensiones produce un score de prioridad que el CISO puede usar para decidir dónde invertir.

De TTPs a controles

El puente entre CTI e inversión pasa por MITRE ATT&CK y D3FEND:

CTI identifica las TTPs más probables contra la organización.
Se mapean contra la cobertura de detección actual (ATT&CK heatmap).
Los gaps de cobertura se traducen a controles necesarios (D3FEND, CIS Controls).
Los controles necesarios se traducen a presupuesto.

Este flujo convierte "necesitamos más presupuesto de seguridad" en "necesitamos invertir 120K en capacidad de detección de movimiento lateral porque APT41 ha atacado a tres empresas de nuestro sector en los últimos 6 meses y no detectamos T1021 ni T1047".

Threat Landscape Briefings: formato ejecutivo

Reglas del briefing al CISO

Máximo 15 minutos. Si necesitas más, el contenido no está sintetizado.
Empieza por la conclusión. "Nuestro perfil de riesgo ha aumentado este trimestre por tres razones." No por el contexto técnico.
Usa el lenguaje del negocio. No "TTPs", sino "técnicas de ataque". No "IOCs", sino "indicadores que nos permiten detectar". No "kill chain", sino "fases del ataque".
Cuantifica cuando puedas. "3 de 12 controles recomendados están implementados" es mejor que "hay gaps de cobertura".
Termina con opciones. No con una lista de problemas. "Opción A: invertir X en Y. Opción B: aceptar el riesgo Z."

Estructura del briefing trimestral

Sección	Duración	Contenido
Estado del riesgo	3 min	Resumen: mejor, peor, igual que el trimestre anterior. Por qué.
Top 3 amenazas	5 min	Las tres amenazas más relevantes para el negocio. Con evidencia.
Cobertura	3 min	Heatmap simplificado: qué detectamos, qué no detectamos.
Recomendaciones	4 min	2 o 3 acciones concretas con coste estimado y reducción de riesgo esperada.

Board-ready summaries: comunicar al consejo

El board de una empresa no son profesionales de seguridad. Necesitan entender el riesgo en términos de impacto financiero, operacional y reputacional.

Formato para el board

Un informe de seguridad para el board debería caber en una página (o una slide) y responder a tres preguntas:

¿Cuál es nuestro nivel de riesgo? Expresado como comparación con el sector y tendencia (mejorando, empeorando, estable).
¿Qué ha cambiado? Incidentes relevantes en el sector, nuevas regulaciones, cambios en el panorama de amenazas.
¿Qué necesitamos? Inversión, decisiones o aprobaciones pendientes.

Visualizaciones que funcionan para el board

Risk heatmap 3x3 (probabilidad vs. impacto). Sencillo, intuitivo, comparable entre trimestres.
Trend line de incidentes en el sector (no en la organización, a menos que haya habido).
Cobertura de controles como porcentaje: "Cubrimos el 67% de las técnicas usadas por adversarios relevantes."
Benchmark sectorial. Si existe, comparar la postura de seguridad con la media del sector.

Evitar: gráficos de barras con millones de eventos, diagramas de red, jerga técnica, listas de CVEs.

Métricas CTI que importan al liderazgo

No todas las métricas de un programa CTI son relevantes para el CISO. Muchas son métricas operacionales internas del equipo. Las métricas estratégicas miden el impacto de la inteligencia en las decisiones.

Métricas de impacto (para el CISO y el board)

Métrica	Qué mide	Por qué importa
Cobertura de detección de TTPs relevantes	% de técnicas de adversarios sectoriales cubiertas por detecciones activas	Muestra si la inversión cubre las amenazas reales
Tiempo medio de awareness	Tiempo entre publicación de amenaza y briefing al CISO	Velocidad a la que la organización se entera de amenazas relevantes
Decisiones informadas por CTI	Número de decisiones de inversión, arquitectura o respuesta basadas en inteligencia	Justifica la existencia del programa CTI
Alertas prevenidas	Amenazas detectadas proactivamente por inteligencia antes de que generasen alerta	ROI directo del programa CTI
False positive reduction	Reducción de falsos positivos en el SOC atribuible a contexto CTI	Eficiencia operacional medible

Métricas operacionales (para el CTI manager)

Estas no suben al board, pero el CISO puede preguntar por ellas:

IOCs producidos/consumidos por período
Tiempo de producción de informe
Fuentes activas y cobertura
Feedback loop: qué porcentaje de inteligencia se consume realmente

Inversión informada por CTI

El caso más potente de CTI estratégica es informar las decisiones de inversión en seguridad. En lugar de comprar herramientas por marketing o por miedo, el CISO usa inteligencia para invertir donde el riesgo es mayor.

Framework de inversión basada en CTI

Identificar adversarios relevantes. Filtrar por sector, geografía, tamaño de empresa, historial de ataques.
Mapear sus TTPs principales. Usando ATT&CK, informes de vendores y análisis propios.
Evaluar cobertura actual. ¿Qué detectamos? ¿Qué prevenimos? ¿Qué gaps hay?
Priorizar gaps por impacto. No todos los gaps son iguales. Un gap en Initial Access es más crítico que uno en Discovery si el adversario ya tiene acceso.
Proponer inversión contra gaps. Cada propuesta con: coste, gap que cierra, reducción de riesgo estimada, alternativas.

Este framework convierte la CTI en un input directo para el ciclo presupuestario.

Evaluación de inteligencia de vendores

El CISO recibe inteligencia de múltiples fuentes: equipo interno, MSSPs, vendores de plataformas, ISACs, agencias gubernamentales. Evaluar la calidad de cada fuente es crítico.

Criterios de evaluación

Criterio	Preguntas	Peso
Relevancia	¿Cubre mi sector, geografía y stack tecnológico?	Alto
Actionability	¿Puedo actuar sobre la inteligencia recibida? ¿Incluye contexto suficiente?	Alto
Timeliness	¿Llega a tiempo para ser útil? ¿O es retrospectiva?	Medio
Accuracy	¿Cuántos falsos positivos genera? ¿Las atribuciones son fiables?	Alto
Uniqueness	¿Aporta algo que no tengo por otras fuentes?	Medio
Integration	¿Se integra con mis herramientas (SIEM, SOAR, TIP)?	Medio

Evaluar fuentes cada 6 meses. Eliminar las que no aportan. El exceso de fuentes de baja calidad genera más ruido que valor.

Construir el puente CTI-to-business

El puente entre la inteligencia técnica y las decisiones de negocio no se construye con un informe. Se construye con un proceso continuo.

Elementos del puente

CTI liaison. Una persona (o rol compartido) que entiende tanto el dominio técnico como el negocio. Traduce en ambas direcciones.
Requisitos de inteligencia. El CISO define qué necesita saber (PIRs: Priority Intelligence Requirements). El equipo CTI produce en función de esos requisitos, no en función de lo que les parece interesante.
Feedback loop. El CISO indica qué inteligencia fue útil, qué faltó y qué sobró. Sin feedback, el equipo CTI produce en el vacío.
Cadencia establecida. Briefings regulares (no solo cuando hay incidente). Informes con calendario predecible. Advisories ad-hoc con criterios definidos.
Lenguaje compartido. Acordar un vocabulario común. Si el CISO dice "riesgo", ¿significa probabilidad x impacto o solo impacto? Si CTI dice "confianza alta", ¿qué porcentaje es?

Antipatrones del puente CTI-CISO

Antipatrón	Síntoma	Solución
Firehose	El CISO recibe todos los informes CTI sin filtrar	Definir PIRs y producir solo lo relevante
Ivory tower	CTI produce sin saber qué necesita el CISO	Reuniones mensuales de requisitos
Alarm fatigue	Todo es "crítico", nada es prioridad	Usar modelo de priorización con scoring
Post-mortem only	CTI solo actúa tras incidentes	Establecer cadencia proactiva trimestral
Vendor dependency	Toda la inteligencia viene de un vendedor	Diversificar fuentes, construir capacidad interna

Caso práctico: de amenaza técnica a decisión ejecutiva

Situación: El equipo CTI detecta que el grupo FIN7 (G0046) ha lanzado una campaña contra empresas del sector retail en Europa.

Traducción táctica (para el SOC): "Bloquear estos 47 IOCs, activar estas 12 reglas Sigma, monitorizar estos 5 vectores."

Traducción estratégica (para el CISO):

"FIN7, un grupo criminal especializado en robo financiero, ha atacado a tres retailers europeos esta semana. Nuestra exposición es media-alta: usamos el mismo stack de pagos que dos de las víctimas. Nuestra cobertura de detección para las técnicas principales de FIN7 es del 58%. Recomendación: (1) activar controles de detección adicionales para movimiento lateral (coste: 0, configuración del EDR existente), (2) acelerar el proyecto de microsegmentación de la red de pagos (coste: pendiente de evaluación, reduce la superficie de ataque del vector principal)."

Traducción para el board:

"Un grupo criminal activo ha atacado a empresas de nuestro sector en Europa. Hemos activado controles adicionales de detección. Identificamos una inversión pendiente en segmentación de red que reduciría significativamente nuestro riesgo frente a este tipo de amenaza."

Tres niveles de profundidad. Mismo incidente. Diferentes audiencias. Diferentes acciones.

Recursos

SANS: CTI for the Executive Suite (sans.org/white-papers). Framework para producir inteligencia consumible por liderazgo.
FIRST PSIRT Services Framework. Modelo de madurez que incluye comunicación ejecutiva como competencia.
MITRE ATT&CK Navigator (mitre-attack.github.io/attack-navigator). Para generar heatmaps de cobertura que se pueden simplificar para presentaciones ejecutivas.
CISA Cybersecurity Performance Goals (cisa.gov/cpg). Objetivos de rendimiento que se pueden usar como benchmark sectorial.
Gartner: How to Build and Run a Threat Intelligence Program. Incluye frameworks de métricas y reporting ejecutivo.
MalwareIntel (malwareintel.es). Plataforma CTI con datos de amenazas, actores y campañas para informar decisiones de seguridad.