Los líderes de las empresas deben reconocer la gravedad del riesgo cibernético, convertir la concienciación en acción y poner la seguridad en primer plano.
07 de octubre de 2025
•
,
5 min. leer
Estos son tiempos de nerviosismo para muchos líderes empresariales. Las tasas de interés persistentemente altas, las tensiones geopolíticas, la interrupción de la cadena de suministro y los cambios abruptos en las políticas comerciales han creado un nuevo clima de incertidumbre. En este contexto, se podría perdonar a muchos por detener la inversión y buscar áreas en las que reducir costos. Hay varias razones por las que la ciberseguridad no debería estar entre ellas.
Como líder de seguridad o TI, ya sabrá por qué. ¿Pero su director ejecutivo o su junta directiva? Las investigaciones revelan que sólo el 29% de los CISO creen que tienen suficiente presupuesto para lograr sus objetivos de seguridad. Sin embargo, el 41% de los miembros de la junta directiva piensa que los presupuestos son apropiados. Si existe tal brecha en su organización, es hora de defender con más fuerza la ciberseguridad. Y dado que octubre es el Mes de la Concientización sobre la Ciberseguridad, no hay mejor momento para reconocer la gravedad del riesgo cibernético, cerrar las brechas de percepción y poner la seguridad en primer plano y, en última instancia, convertir la concientización en acción.
Las pymes siguen apagando incendios
Sin duda, la ciberseguridad se entiende y aprecia mejor que antes en los niveles superiores. Pero todavía se considera un centro de costos más que una necesidad estratégica, especialmente por parte de las PYMES. Según el Asociación de la industria tecnológica global (GTIA), casi la mitad (46%) de las pequeñas y medianas empresas describen la cibernética como un área sólo de “importancia moderada”. Otro 12% de las PYMES encuestadas admiten que todavía están en modo táctico/reactivo. En otras palabras, están constantemente apagando incendios, en lugar de gastar tiempo y dinero por adelantado para detener los incendios.
Hay dos maneras de cambiar esta mentalidad. En primer lugar, articule más claramente cómo la ciberseguridad puede ayudar a su junta directiva a evitar riesgos comerciales potencialmente críticos. Y en segundo lugar, defender con más fuerza la cibernética como facilitador de negocios.
Contando el coste de una ciberseguridad inadecuada
La buena noticia es que no faltan estudios de casos que podría utilizar para convencer a la junta directiva del costo potencial de un gasto insuficiente en ciberseguridad:
- EM predice perdió ganancias operativas de £300 millones debido a un reciente ataque de ransomware que obligó a sus sistemas de comercio electrónico a desconectarse durante varias semanas.
- Grupo UnitedHealth estimaciones El coste de un ataque de ransomware contra Change Healthcare será de casi 2.900 millones de dólares en 2024.
- El especialista en verificación de antecedentes, National Public Data, se vio obligado a declararse en quiebra tras una infracción de seguridad en 2024 que expuso casi tres mil millones de registros.
Otro buen recurso es el de IBM. Costo de una violación de datos informe, que no solo describe el costo promedio de una vulneración ($4,4 millones), sino también cuánto pueden reducirse esta cantidad inversiones en tecnología específicas o estrategias de ciberseguridad. La conclusión es que cuanto más tiempo se permita a los actores de amenazas permanecer dentro de su red, más costoso podría resultar. Por lo tanto, productos como SIEM, SOAR y la inteligencia contra amenazas ocupan un lugar destacado en cuanto a posibles ahorros de costos. Aún mejor, también enumera iniciativas más estratégicas, como DevSecOps, el nombramiento de un CISO y la supervisión a nivel de junta directiva.
Es de esperar que este tipo de inteligencia pueda comenzar a desviar la conversación del gasto reactivo hacia el desarrollo de una cultura de seguridad por diseño más considerada en su organización.
De centro de costos a facilitador de negocios
Si el riesgo de daño financiero y de reputación no es suficiente para cambiar la percepción de la ciberseguridad en su organización, tal vez el argumento del cumplimiento ayude a llevar estas conversaciones al límite.
Los gustos de NIS2 y DORA en la UE exigen ahora que la ciberseguridad se trate como un programa continuo de gestión de riesgos diseñado para mejorar la resiliencia empresarial. Se espera que los altos directivos definan, aprueben y supervisen directamente estos programas y se sometan a una formación obligatoria para que los miembros comprendan los riesgos y tomen decisiones informadas. Serán personalmente responsables de su ejecución.
Sin embargo, no todas las PYMES estarán cubiertas por regulaciones tan progresivas. Entonces, ¿cómo se puede persuadir a los ejecutivos que no creen que su organización sea lo suficientemente grande como para ser víctima de una infracción, de que una seguridad “suficientemente buena” en realidad no es lo suficientemente buena? Apelar a sus instintos empresariales. De esta manera, existen argumentos sólidos para decir que una estrategia de ciberseguridad eficaz podría:
- Ayudar a proteger la propiedad intelectual y la diferenciación competitiva. Esto será particularmente importante en ciertos sectores como la manufactura, la tecnología y los medios de comunicación.
- Permitir la expansión a nuevos mercados donde se puedan aplicar regulaciones rigurosas, como la UE o algunos estados de EE. UU. (por ejemplo, la ley de protección de datos CCPA de California).
- Proteger la transformación digital. Si su organización sufre un ciberataque crítico, podría detener proyectos, desviar recursos, erosionar la confianza de las partes interesadas y provocar un cambio en las prioridades comerciales.
- Ayude a fidelizar a sus clientes y a generar ganancias llevando productos innovadores al mercado. Hoy en día todas las empresas son, en cierta medida, empresas de software. Pero si lanza un producto inseguro, podría destruir la reputación y la lealtad del cliente.
El mensaje y el mensajero.
Entonces usted tiene las ideas correctas, pero la junta directiva aún no las escucha. ¿Cuál podría ser el problema? La desconexión puede venir de ambos lados. Por un lado, los líderes empresariales a menudo están culturalmente predispuestos a pensar en lo cibernético como una “cuestión de TI” divorciada de la tarea seria de administrar una organización. Pero, por otro lado, a veces los CISO pueden socavar su causa al no hablar el idioma de la empresa.
Para superar este desafío, considere:
- Enmarcar la ciberseguridad como un riesgo empresarial; abandonando la jerga técnica y hablando sobre el impacto empresarial de varios escenarios.
- Utilizar métricas alineadas financiera y empresarialmente en lugar de métricas centradas en la seguridad. El estudio de IBM podría ser útil aquí, al igual que los estudios de Impacto Económico Total para soluciones codiciadas.
- Usar ejemplos del mundo real y cuentos de advertencia (como los anteriores) al intentar persuadir a la junta directiva para que apruebe inversiones específicas.
- Poner en contexto la postura de seguridad de su organización. En otras palabras, utilice la inteligencia sobre en qué están invirtiendo empresas similares, por qué y qué han logrado. Esto ayudará a los líderes a comprender dónde se pueden estar quedando atrás.
- Informar poco y con frecuencia a la junta. No quieren verse ahogados en datos, así que haga presentaciones breves y atractivas para llamar su atención. Pero igualmente, el panorama de amenazas avanza tan rápido que las actualizaciones periódicas son importantes.
- Construir relaciones personales con miembros de la junta directiva y/o altos ejecutivos. Siempre ayuda tener un defensor en la mesa superior.
Las empresas más resilientes son aquellas que pasan de considerar la ciberseguridad como un costo de hacer negocios a un motor de confianza y valor a largo plazo. En última instancia, es mucho más barato incorporar la seguridad desde el diseño en nuevos proyectos empresariales y ofertas de productos que modernizarla cuando algo sale mal. Ya lo sabes. Ahora es su trabajo persuadir a la junta.
Acerca del autor
