logo nova
Search
logo nova

Mes: mayo 2026

Publicado en

Mesa de servicio de TI: qué es, para qué sirve y cómo saber si la tuya está funcionando bien.

mesa de servicio de TI

Hay una pregunta que cualquier gerente de TI debería poder responder sin pensarlo demasiado: ¿cuánto tiempo le toma a tu área resolver un problema técnico que está frenando la operación de alguien?

Si la respuesta requiere revisar un reporte, preguntar al equipo o simplemente no existe, ahí hay un problema que va más allá de la tecnología.

Una mesa de servicio de TI no es solo un sistema de tickets. Es la estructura que define cómo el área de tecnología entrega valor al resto de la organización. Y cuando esa estructura no está bien definida, el costo no siempre aparece en un reporte, pero sí se siente en la operación todos los días.

¿Qué es una mesa de servicio de TI y por qué importa?

Una mesa de servicio de TI es el punto de contacto formal entre los usuarios de una organización y el equipo de tecnología. Su función no se limita a atender fallas o recibir solicitudes. Cuando está bien implementada, gestiona incidentes, administra solicitudes de servicio, documenta problemas recurrentes y genera información que permite tomar mejores decisiones sobre la operación tecnológica.

La diferencia entre una mesa de servicio de TI reactiva y una proactiva es significativa. La primera atiende cuando algo falla. La segunda anticipa, documenta y mejora continuamente. Y esa diferencia se traduce directamente en tiempos de inactividad, satisfacción de usuarios y capacidad del área de TI para ser percibida como un aliado estratégico del negocio, no solo como un equipo que resuelve problemas.

Las señales de que tu mesa de servicio de TI necesita un cambio

No siempre es fácil saber cuándo una mesa de servicio de TI dejó de funcionar bien. Los problemas rara vez se presentan de golpe. Se acumulan de forma silenciosa hasta que ya son difíciles de ignorar.

Algunas señales concretas que vale la pena revisar: los usuarios no saben bien cómo reportar un problema y terminan llamando, mandando correos o buscando directamente al técnico de confianza. Los tiempos de resolución varían mucho dependiendo de quién atiende, no de la prioridad real del incidente. No hay métricas claras sobre cuántas solicitudes llegan, cuántas se resuelven en el primer contacto y cuánto tiempo toma cada categoría. Y cuando alguien pregunta cómo está el desempeño del área, la respuesta es subjetiva.

Cada una de esas situaciones tiene un costo operativo real. El problema es que ese costo rara vez se mide, y lo que no se mide no se gestiona.

El rol de ITIL en una mesa de servicio de TI moderna

ITIL, el marco de mejores prácticas para la gestión de servicios de TI, no es un conjunto de reglas rígidas. Es una guía para estructurar la operación de TI de forma que entregue valor real a la organización de manera consistente y medible.

Aplicado a la mesa de servicio de TI, ITIL propone elementos que parecen simples, pero hacen una diferencia enorme en la práctica. Un catálogo de servicios que define qué puede solicitar el usuario y en qué condiciones. Un proceso formal de gestión de incidentes con clasificación, priorización y tiempos de atención definidos. Acuerdos de nivel de servicio que establecen compromisos medibles entre TI y sus usuarios. Y un ciclo de mejora continua que usa los datos de la operación para identificar oportunidades de optimización.

La clave no está en implementar ITIL de forma teórica. Está en aterrizar sus principios en la realidad operativa de cada organización, con la herramienta adecuada y el proceso claro.

De los tickets a las métricas: qué debe poder medir una mesa de servicio de TI bien estructurada

Una mesa de servicio de TI madura no solo atiende, también genera inteligencia operativa. Los datos que produce son los que le permiten al área de TI tener conversaciones informadas con la dirección general, justificar inversiones y demostrar su impacto en el negocio.

Los indicadores básicos que cualquier mesa de servicio de TI debería tener visibles son el tiempo promedio de resolución por categoría de incidente, el porcentaje de solicitudes resueltas en el primer contacto, el volumen de tickets por área o usuario, el cumplimiento de los acuerdos de nivel de servicio y la satisfacción del usuario después de cada atención.

Sin esos números, el área de TI opera a intuición. Con ellos, puede tomar decisiones, anticipar problemas recurrentes y mostrar resultados concretos.

Lo que cambia cuando la mesa de servicio de TI está bien estructurada

El impacto de una mesa de servicio de TI bien implementada no es solo técnico. Es organizacional.

Los usuarios dejan de buscar atajos porque confían en que el proceso funciona. El equipo de TI deja de apagar incendios de forma reactiva porque tiene visibilidad sobre lo que está pasando. Los líderes de otras áreas empiezan a ver a TI como un socio confiable, no como una caja negra donde entran solicitudes y salen respuestas con tiempos impredecibles.

Y para el director de TI o el gerente responsable del área, tener una mesa de servicio de TI estructurada significa poder reportar con datos, defender presupuesto con evidencia y enfocarse en lo que realmente importa para el negocio, en lugar de estar resolviendo la operación del día a día.

Ese es el salto que muchas organizaciones en LATAM todavía no han dado. Y en la mayoría de los casos, no es por falta de intención. Es por falta de estructura y de la herramienta correcta para sostenerla.

Para mantenerte informado y protegido, sigue las redes sociales de Nova en: Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

Publicado en

Ciberseguridad sin claridad: el problema que ninguna herramienta resuelve sola.

Modelo CROC de Nova para gestión de riesgo cibernético en empresas

Hay una conversación que ocurre con frecuencia en las salas de consejo de empresas en América Latina. Alguien pregunta: ¿qué tan expuestos estamos hoy ante un ciberataque? Y la respuesta, casi siempre, es una combinación de datos técnicos, nombres de herramientas y porcentajes que no le dicen nada concreto a quien toma las decisiones.

No es un problema de tecnología. Es un problema de traducción.

Muchas herramientas, poca claridad

La mayoría de las organizaciones medianas y grandes en la región ya tienen inversiones significativas en ciberseguridad. Tienen soluciones de detección, gestión de vulnerabilidades, protección en la nube y monitoreo de red. El problema no es la ausencia de herramientas. Es que todas esas herramientas generan señales que viven en silos, que hablan lenguajes distintos y que no se traducen en una respuesta clara a la pregunta más importante: ¿cuánto riesgo real tiene mi organización hoy?

Cuando un director general o un CFO no puede responder esa pregunta con certeza, la ciberseguridad deja de ser una función estratégica y se convierte en un gasto difícil de justificar. Las inversiones se hacen por intuición, no por evidencia. Las prioridades se definen por urgencia, no por impacto. Y los equipos de seguridad operan en modo reactivo, atendiendo alertas sin contexto, sin saber cuáles realmente importan.

Ese es el problema estructural que CROC resuelve.

De alertas a decisiones: qué es el modelo CROC

El Nova CROC, Cyber Risk Operations Center, es un modelo estratégico desarrollado por Nova para gestionar el riesgo cibernético de forma continua, proactiva y conectada al impacto del negocio. No es una herramienta. No es un software. Es un modelo operativo que cambia la forma en que una organización entiende, mide y actúa sobre su exposición al riesgo.

La diferencia con el enfoque tradicional es de fondo. La ciberseguridad convencional está centrada en alertas e incidentes. CROC está centrado en exposición y decisiones. No se trata de saber cuántos eventos de seguridad ocurrieron esta semana. Se trata de saber qué activos críticos están expuestos hoy, qué tan probable es que sean explotados y cuánto le costaría a la organización si eso ocurriera.

Ese cambio de perspectiva transforma completamente la conversación entre el área de seguridad y la dirección general.

El índice de riesgo cibernético: un número que todos pueden entender

Uno de los elementos más concretos del modelo CROC es el Índice de Riesgo Cibernético, conocido como CRI. Su propósito es simple pero poderoso: traducir información técnica compleja en una métrica comprensible que cualquier tomador de decisiones pueda interpretar y actuar sobre ella.

En lugar de presentar al consejo una lista de vulnerabilidades con códigos CVE y niveles de severidad técnica, el CRI responde una pregunta directa: ¿dónde está concentrado el riesgo real de la organización y cuánto podría costar un incidente hoy?

Eso es lo que permite tomar decisiones de inversión con base en evidencia. Asignar presupuesto donde el impacto es mayor. Priorizar acciones no por lo que genera más ruido, sino por lo que representa mayor exposición al negocio.

Cómo opera en la práctica

CROC funciona sobre cinco principios que se retroalimentan de forma continua. Primero, la contextualización de activos: entender qué existe en el entorno digital de la organización, desde endpoints hasta aplicaciones en la nube, y por qué cada uno es crítico. Segundo, la medición continua del riesgo a través del CRI. Tercero, la mitigación estratégica y proactiva, implementando controles antes de que las amenazas se materialicen. Cuarto, el monitoreo continuo de la postura de seguridad con ajustes basados en impacto real. Y quinto, la mejora constante como ciclo permanente, no como proyecto puntual.

Este modelo se integra con las herramientas que la organización ya tiene, XDR, EDR, gestión de vulnerabilidades, seguridad de nube, SIEM, consolidando sus señales en una visión unificada de riesgo. No reemplaza la inversión existente. La hace más inteligente.

Lo que cambia para la organización

El resultado de operar bajo el modelo CROC no es solo técnico. Es estratégico. Una organización que implementa este modelo conoce su nivel real de exposición, puede priorizar con inteligencia, actúa antes de que ocurra el incidente y convierte la ciberseguridad en una función alineada al negocio.

Eso tiene un impacto directo en cómo el área de seguridad se relaciona con la dirección general, con el consejo y con los reguladores. Ya no se trata de reportar incidentes. Se trata de gestionar riesgo con evidencia, con métricas y con criterio de negocio.

Para los líderes que hoy enfrentan la presión de justificar inversiones en seguridad, de demostrar que sus controles son efectivos y de anticiparse a amenazas que evolucionan constantemente, CROC representa exactamente eso: claridad donde antes había incertidumbre y decisiones donde antes había reactividad.

Si quieres profundizar en cómo CROC evoluciona el modelo tradicional del SOC, puedes leer nuestro artículo Del SOC al CROC: eventos vs exposición real al riesgo.

Para mantenerte informado y protegido, sigue las redes sociales de Nova en: Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

Publicado en

Cuando el ataque dura 60 segundos y tu respuesta tarda horas.

Los ataques DDoS crecieron 168% en 2025. El problema ya no es el volumen: es que ocurren más rápido de lo que cualquier equipo puede responder.

Hubo un tiempo en que un ataque DDoS era predecible. Venía con volumen, duraba horas y daba margen para reaccionar. Ese modelo ya no existe.

En 2025, el panorama cambió de forma estructural. Los ataques no solo crecieron en número, crecieron en velocidad, en escala y en inteligencia. Y esa combinación está dejando a muchos equipos de seguridad respondiendo a algo que ya terminó antes de que pudieran reaccionar.

El problema de los 60 segundos

El reporte global de amenazas 2026 de Radware documenta algo que debería cambiar la forma en que cualquier organización piensa su defensa: la mayoría de los ataques DDoS de mayor escala registrados en 2025 duraron menos de 60 segundos. Algunos de los más voluminosos, atribuidos a la botnet Aisuru, no superaron los cinco minutos.

Esto no es un detalle técnico menor. Es un cambio operativo fundamental.

Si tu modelo de respuesta depende de que un analista detecte el ataque, evalúe la situación, escale el incidente y active una mitigación, ya perdiste. El ataque terminó. Y el daño, dependiendo del objetivo, ya ocurrió.

Los atacantes lo saben. Por eso diseñan campañas algorítmicas que rotan vectores de ataque más rápido de lo que un operador humano puede procesar. Inundaciones UDP, carpet bombing, reflexión y amplificación, todo en secuencia y en cuestión de minutos. No están improvisando. Están ejecutando.

Un crecimiento que no es incremental.

Los números del reporte de Radware son difíciles de ignorar. Los ataques DDoS de red crecieron 168% en 2025 comparado con 2024. En la segunda mitad del año, el cliente promedio enfrentó más de 25,000 ataques, lo que equivale a un promedio de 139 por día.

Al mismo tiempo, los ataques DDoS web crecieron más del 100%, con un patrón que también cambió: el 94% de los eventos fueron ataques pequeños, por debajo de 100,000 solicitudes por segundo. Más frecuentes, más persistentes y diseñados precisamente para evadir los sistemas de detección volumétrica tradicionales.

Esto no es ruido. Es una estrategia deliberada. Los actores más sofisticados aprendieron que no necesitan el ataque más grande para causar impacto. Necesitan el ataque más difícil de detectar.

Lo que esto significa para la operación.

Hay una tensión real en este escenario que vale la pena nombrar. Por un lado, los ataques de mayor escala, algunos superando los 29.7 terabits por segundo, exigen infraestructura capaz de absorber volúmenes que hace pocos años eran impensables. Por otro, los ataques más frecuentes y pequeños exigen precisión de detección, no solo capacidad de absorción.

Ninguno de los dos extremos se resuelve con los mismos controles.

Un equipo que confía en umbrales volumétricos para detectar amenazas va a pasar por alto el 94% de los eventos. Un equipo que depende de intervención manual no va a responder en 60 segundos. Y un equipo que no tiene visibilidad en tiempo real sobre su superficie expuesta no va a saber qué proteger primero.

El reporte de Radware es claro en su conclusión: la defensa moderna requiere automatización, escala masiva e inteligencia integrada. No como aspiración futura, sino como condición operativa del presente.

La implicación para LATAM

América Latina no es un espectador en este panorama. La región registró un crecimiento del 146% en ataques DDoS web durante 2025, con un aumento significativo en amenazas automatizadas dirigidas a aplicaciones y APIs. Los actores de amenaza están diversificando su infraestructura y ampliando su alcance geográfico.

Para las organizaciones en la región, esto plantea una pregunta concreta: ¿está tu arquitectura de seguridad diseñada para responder en segundos o en minutos?

La diferencia entre ambas respuestas ya no es técnica. Es operativa. Y en muchos casos, es la diferencia entre un incidente contenido y uno que termina en los titulares.

Operar el riesgo, no solo detectarlo.

Lo que describe el reporte de Radware no es solo una evolución de las amenazas. Es una señal de que el modelo de seguridad reactivo tiene un límite de vigencia y ese límite ya se alcanzó.

Las organizaciones que van a navegar este entorno con éxito son las que dejen de pensar en la seguridad como una función de respuesta y empiecen a operarla como una función de gestión continua. Visibilidad en tiempo real, detección automatizada, mitigación sin intervención humana y capacidad de sostener la defensa no solo durante el pico del ataque, sino durante las horas que siguen.

El ataque de 60 segundos no es el problema. El problema es tener una respuesta que tarda más que eso.

Para mantenerte informado y protegido, sigue las redes sociales de Nova en: Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma

Publicado en

Cuando la IA descubre vulnerabilidades más rápido de lo que puedes parchear

gestión de vulnerabilidades con inteligencia artificial

Escucha este artículo aquí:

El modelo de seguridad que la mayoría de las organizaciones conoce —esperar un aviso, aplicar un parche, cerrar el ticket— está a punto de quedar obsoleto. No porque haya fallado históricamente, sino porque el ritmo al que se descubren vulnerabilidades acaba de cambiar de forma estructural.

La iniciativa Glasswing de Anthropic es una señal de eso. Aplicar inteligencia artificial al descubrimiento de vulnerabilidades de software significa que lo que antes tomaba semanas o meses de investigación humana especializada, ahora puede ocurrir en una fracción del tiempo. Más rápido, más volumen, más superficie expuesta.

Para un CISO o un gerente de TI, esto plantea una pregunta muy concreta: si mañana hay diez veces más vulnerabilidades descubiertas, ¿tiene su organización la capacidad de operar ese volumen sin colapsar?

El problema no es el descubrimiento. Es todo lo que viene después.

Encontrar una vulnerabilidad no cierra el riesgo. Lo abre. Desde el momento en que existe un hallazgo hasta que hay un parche disponible, probado e implementado en producción, puede transcurrir semanas. A veces meses. En ese intervalo, los actores maliciosos operan con una ventaja estructural: conocen la exposición antes de que usted pueda cerrarla.

Escalar la detección sin escalar la capacidad de respuesta no mejora la postura de seguridad. La amplía. Es una trampa que muchos equipos están a punto de caer si no reorientan su operación hacia algo más parecido a la gestión continua de exposición que a la gestión reactiva de parches.

TrendAI y el ciclo completo

TrendAI lleva más de tres décadas operando en la vanguardia de la investigación de amenazas. Su programa Zero Day Initiative —el programa de divulgación de vulnerabilidades independiente de proveedores más grande del mundo— no es una respuesta al momento actual. Es una infraestructura construida con anticipación a él.

La lógica es clara: el descubrimiento sin coordinación genera exposición no gestionada. Por eso TrendAI trabaja activamente junto a iniciativas como Glasswing para garantizar que cada vulnerabilidad identificada siga un proceso de divulgación responsable, que los fabricantes tengan el tiempo necesario para desarrollar soluciones y que los atacantes no lleguen primero.

Pero más allá de la divulgación, la propuesta de TrendAI resuelve el problema operativo de fondo.

Cuando se identifica una vulnerabilidad, la organización enfrenta una ventana de exposición antes de que exista un parche oficial. TrendAI cierra esa ventana con protecciones virtuales que pueden activarse hasta 96 días antes de que el fabricante publique una solución. Eso no es un detalle menor: es la diferencia entre estar expuesto durante los días más activos del ciclo de explotación, o no.

De vulnerabilidades a exposición gestionada

El otro problema que escala con el volumen es la priorización. Si antes era difícil decidir qué parchar primero, en un entorno donde la IA multiplica los hallazgos, la dificultad se convierte en parálisis.

La plataforma TrendAI Vision One, a través de su módulo de Cyber Risk Exposure Management, conecta el descubrimiento, la priorización y la remediación en un ciclo continuo. No opera sobre listas de vulnerabilidades. Opera sobre exposición real: qué está activo en el entorno, qué es explotable hoy, qué impacta directamente en los activos críticos del negocio.

Eso es lo que diferencia un inventario de vulnerabilidades de una operación de riesgo. El primero informa. El segundo actúa.

Detrás de todo esto opera AESIR —la plataforma interna de inteligencia de seguridad de TrendAI— que aplica IA y flujos de trabajo basados en agentes para automatizar el análisis, gestionar la divulgación coordinada y habilitar el parcheo virtual cuando es posible. No es una capacidad construida en respuesta a Glasswing. Es la infraestructura que TrendAI lleva años desarrollando para este momento.

Lo que esto implica para su organización

La era del descubrimiento de vulnerabilidades impulsado por IA no está llegando. Ya llegó. Y las organizaciones que la naveguen con éxito no serán necesariamente las que tengan más herramientas, sino las que puedan convertir volumen en claridad y claridad en acción.

Eso requiere tres cosas: un proceso de divulgación coordinada que no genere exposición prematura, capacidad de priorizar por impacto real y no por severidad abstracta, y protección que no dependa de esperar el parche.

Si su equipo ya está al límite gestionando el volumen actual, la pregunta no es si este cambio los afectará. Es cuánto tiempo tienen para reorientar su operación antes de que el volumen los supere.

Para mantenerte informado y protegido, sigue las redes sociales de Nova en: Instagram,  Facebook y LinkedIn, donde puedes encontrar más noticias y conocer las soluciones en ciberseguridad que ofrecemos.

#NovaInforma