TemasRelacionados
Decidir en qué invertir para blindar la ciberseguridad de tu negocio es uno de los mayores dolores de cabeza para el 40% de los líderes en América Latina. Según la encuesta más reciente de Kaspersky a encargados de seguridad digital en la región, más de la mitad de las organizaciones (56%) tampoco tiene un calendario fijo de chequeos de riesgo, terminando por reaccionar a la defensiva y revisando sus defensas solo tras un incidente o una alerta externa.
El estudio también revela que, aunque la mayoría de los negocios en la región realiza simulacros de ataques, 43% cada mes y 38% de forma trimestral, una de cada cinco no tiene ninguna rutina de pruebas. Esta ausencia de prácticas genera una falla grave que pone en riesgo su verdadera preparación ante un ataque. Sin un plan de defensa claro, los equipos de seguridad no logran identificar puntos débiles ocultos y no desarrollan la resiliencia que exige el actual campo de ciberamenazas.
Otro dato clave es que el 29% de los encuestados afirma no tener una estrategia de seguridad definida. Esto confirma que, para muchas organizaciones, el desafío no es solo saber qué hacer, sino la ausencia de una hoja de ruta estructurada que oriente las decisiones, priorice los recursos y establezca el nivel de blindaje mínimo necesario.
Esta falta de rigor para detectar y revisar fallas y riesgos conlleva a otro problema señalado por los expertos: hay una desconexión entre la confianza que los negocios depositan en su defensa digital y la seguridad real que poseen. Cuando una empresa se cree más blindada de lo que está, resulta más complicado identificar prioridades, justificar inversiones y corregir sus puntos más vulnerables.
“Muchas empresas avanzan en ciberseguridad casi a tientas, sin una percepción clara de cuáles son sus puntos débiles reales. Esto provoca esfuerzos sin rumbo y decisiones que no siempre atienden las necesidades más urgentes. Cuando la organización logra identificar con exactitud su nivel de exposición, es posible organizar las prioridades y construir una ruta de mejora mucho más sólida”, afirma Daniela Álvarez de Lugo, Gerente General para la Región Norte de América Latina en Kaspersky.
Para cambiar este panorama, el ejecutivo de Kaspersky sugiere que los encargados de seguridad adopten una estrategia práctica, basada en un diagnóstico estructurado del estado actual de la ciberseguridad y/o un análisis de riesgos enfocado en el impacto que un incidente podría causar en su organización, como el Análisis Factorial del Riesgo de la Información (FAIR, por sus siglas en inglés).
A partir de ese diagnóstico, ya sea un análisis de fallas o una matriz de riesgos, el equipo de seguridad tendrá un documento objetivo que identifica las áreas clave que necesitan mejoras y deben recibir las inversiones iniciales. Además, este recurso expone las razones para validar cada inversión y define beneficios concretos y medibles.
La ejecutiva resalta que recientemente muchas empresas han estado en el ojo del huracán tras sufrir un ciberataque, incrementando la preocupación de los líderes de negocio por los riesgos digitales. Aunque el presupuesto ajustado puede ser un freno, señala que una estrategia de ciberseguridad práctica puede fijar un nivel de blindaje óptimo para cada organización, así como la inversión y el tiempo que se necesitan para lograrlo.
“Desde pymes que buscan establecer controles esenciales hasta grandes corporaciones que requieren una arquitectura más avanzada, todas pueden proponer mejoras de forma objetiva. La diferencia está en la magnitud del esfuerzo, no en la necesidad de contar con una dirección definida”, agrega.
Para asegurar una mejora constante y una medición continua del progreso, Kaspersky propone las siguientes acciones clave para garantizar la efectividad de las inversiones en ciberseguridad:
1. Fijar un calendario de chequeos de riesgo recurrentes, con una periodicidad mínima trimestral o semestral.
2. Ejecutar simulacros de ataques mensuales o trimestrales, incluso en formato simplificado, para medir progresos o identificar la necesidad de ajustar las acciones de mitigación y respuesta ante incidentes.
3. Definir métricas de riesgo claras, vinculadas a los planes de continuidad e impacto operativo en el negocio.
4. Revisar políticas y controles con base en datos de nuevos ataques o riesgos, disponibles mediante servicios de Inteligencia de Amenazas, y no solo por criterios de cumplimiento normativo. El uso de esta información incrementa las posibilidades de detener ciberataques en curso, y los casos de éxito ayudan a demostrar el valor de las inversiones.
5. Alinear las inversiones a los resultados esperados, priorizando correcciones que reduzcan la exposición y fortalezcan la gestión corporativa.
Para saber más sobre la investigación de Kaspersky, obtén el informe exclusivo de la encuesta CISO 2025.
Sobre Kaspersky
Kaspersky es una empresa global líder en ciberseguridad y privacidad digital, fundada en 1997. Con más de mil millones de dispositivos blindados hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda inteligencia sobre amenazas y experiencia en seguridad de Kaspersky se transforma constantemente en soluciones y servicios innovadores para resguardar a individuos, negocios, infraestructuras críticas y gobiernos en todo el mundo.
El completo portafolio de seguridad de la empresa incluye protección de vanguardia para la vida digital de dispositivos personales, productos y servicios de seguridad especializados para empresas, así como soluciones Cyber Immune para combatir amenazas digitales sofisticadas y en evolución. Ayudamos a millones de personas y a cerca de 200,000 clientes corporativos a proteger lo que más valoran.
