La priorización de la inversión en ciberseguridad es uno de los mayores desafíos para el 40% de los líderes empresariales en América Latina.
Esta dificultad es admitida por el 47% de los líderes peruanos, 46% de los colombianos y 45% de los mexicanos.
Según la encuesta de Kaspersky a responsables de seguridad digital en la región, más de la mitad de las organizaciones (56%) tampoco cuenta con un calendario regular de evaluaciones de riesgo, lo que las obliga a actuar de manera reactiva, revisando sus medidas solo tras un incidente o una alerta externa.
Otro hallazgo clave es que el 29% de los encuestados afirma no contar con una estrategia clara de seguridad.
Además, aunque la mayoría de las empresas realiza simulaciones de incidentes (43% cada mes), una de cada cinco no tiene ninguna rutina de pruebas, comprometiendo su preparación real.
Esta falta de disciplina para identificar debilidades genera una disparidad entre la confianza que las empresas tienen en su protección y su nivel de seguridad real.
“Cuando una organización no cuenta con una lectura precisa de su situación en ciberseguridad, las decisiones sobre dónde y cómo invertir se vuelven imprecisas y difíciles de justificar. La falta de métricas sólidas termina convirtiendo el ROI en un cálculo incierto”, comenta Andrea Fernández, gerente general para la Región Sur de América Latina en Kaspersky.
Fernández recomienda adoptar un enfoque pragmático basado en un diagnóstico estructurado del estado de la ciberseguridad actual o un análisis de riesgos basado en el impacto, como el Análisis Factorial del Riesgo de la Información (FAIR, por sus siglas en inglés).
A partir de este diagnóstico, el equipo de seguridad puede obtener un documento objetivo que identifica áreas críticas para la inversión y justifica los beneficios concretos y medibles.
La ejecutiva añade que: “Desde pequeñas compañías que buscan establecer una base segura hasta grandes corporaciones que requieren una estrategia más completa, todas pueden identificar con claridad cuáles son los pasos necesarios para avanzar; lo único que varía es el grado de complejidad”.
Para garantizar un ciclo de mejora continua y la eficacia de las inversiones, Kaspersky recomienda:
- Establecer un calendario de evaluaciones de riesgo recurrentes (mínimo trimestral o semestral).
- Realizar simulaciones de ataques mensuales o trimestrales para medir avances y ajustar acciones.
- Definir indicadores de riesgo claros, vinculados al impacto operativo en el negocio.
- Revisar políticas y controles con base en datos de nuevos ataques o riesgos, disponibles mediante servicios de Inteligencia de Amenazas.
- Alinear las inversiones a los resultados esperados, priorizando correcciones que fortalezcan la gobernanza empresarial.
