Una encuesta de Kaspersky revela que, en América Latina, 40% de los líderes empresariales en la región no sabe cómo priorizar su inversión en ciberseguridad, lo que significa que, sin una visión clara del riesgo real, las decisiones terminan guiándose por la urgencia del momento.
Cuando ocurre un ciberataque, casi siempre escuchamos la misma frase en las juntas directivas: “No lo vimos venir”. Pero la verdad es otra: lo que no se vio venir no fue el ataque, sino la falta de preparación. En América Latina, muchas organizaciones siguen tratando la ciberseguridad como un gasto reactivo y no como una inversión estratégica, pagando el precio en continuidad operativa, confianza y reputación.
En la práctica, la seguridad digital suele revisarse solo después de que algo falla: una filtración, una alerta crítica o un incidente visible se convierten en el verdadero detonante del cambio. Este enfoque reactivo no solo es insuficiente frente a un entorno de amenazas cada vez más dinámico, sino también costoso, tanto en términos operativos como de credibilidad empresarial.
Aquí puedes leer más sobre este tema, de la autora de este artículo Daniela Álvarez Lugo.
Una encuesta de Kaspersky revela que, en América Latina, 40% de los líderes empresariales en la región no sabe cómo priorizar su inversión en ciberseguridad, lo que significa que, sin una visión clara del riesgo real, las decisiones terminan guiándose por la urgencia del momento, la presión mediática o el temor a repetir un incidente, en lugar de responder a una estrategia bien definida.
Algo similar ocurre con la planificación. 56% de las organizaciones no cuenta con un calendario regular de evaluaciones de riesgo, lo que en la práctica significa que muchas empresas no tienen una fotografía actualizada de su exposición. Mientras las superficies de ataque se transforman de manera constante, los mecanismos para medir ese cambio siguen operando de forma intermitente, dejando amplios espacios para la incertidumbre.
Aunque la mayoría de las empresas realiza simulaciones de incidentes —43% cada mes y 38% de forma trimestral—, una de cada cinco no ejecuta ningún tipo de prueba. Esta ausencia de ejercicios periódicos impide identificar vulnerabilidades ocultas, medir la eficacia de los controles existentes y fortalecer la capacidad de respuesta. Sin pruebas ni validaciones, la resiliencia digital queda incompleta.
A este escenario se suma que 29% de las empresas reconoce no contar con una estrategia clara de seguridad. Esto explica por qué, en muchos casos, la ciberseguridad queda confinada al ámbito operativo, cuando en realidad debería dialogar con las decisiones de negocio, continuidad y crecimiento, desde un punto estratégico. Y es que muchas empresas avanzan en ciberseguridad casi a ciegas, sin una percepción concreta de cuáles son sus vulnerabilidades reales. Esto provoca esfuerzos dispersos y decisiones que no siempre responden a las necesidades más urgentes. Identificar con precisión el nivel de exposición permite, en cambio, ordenar prioridades y construir una evolución coherente de la seguridad.
Aquí es donde el diagnóstico se vuelve clave. Antes de hablar de nuevas tecnologías o mayores presupuestos, las organizaciones necesitan entender su riesgo. Evaluaciones estructuradas del estado actual de la ciberseguridad y análisis basados en impacto —como el Análisis Factorial del Riesgo de la Información (FAIR)— permiten transformar la inversión en una decisión informada, con objetivos claros y beneficios medibles.
En un contexto donde los ciberataques ganan visibilidad y elevan la preocupación de los directivos, es natural pensar que el presupuesto es el principal obstáculo. Sin embargo, una estrategia pragmática demuestra que todas las empresas pueden definir un nivel de protección adecuado, independientemente de su tamaño. La diferencia está en el alcance del trabajo, no en la necesidad de contar con una dirección clara.
Para evitar que la ciberseguridad siga ajustándose después del golpe, y asegurar que cada inversión genere valor real, es importante que las compañías consideren adoptar prácticas concretas que fortalezcan la toma de decisiones, por ejemplo: establecer evaluaciones de riesgo recurrentes, al menos de forma trimestral o semestral, para mantener actualizada la visión de exposición. Ejecutar simulaciones de ataques periódicas, incluso en formatos simplificados, que permitan medir avances y ajustar planes de respuesta.
También es aconsejable, actualizar políticas y controles con base en información actual sobre nuevas amenazas, apoyándose en servicios de Inteligencia de Amenazas y priorizar inversiones que reduzcan exposición real, fortaleciendo la gobernanza y la resiliencia organizacional.
En ciberseguridad, esperar al incidente para actuar no es una estrategia: es una señal de alerta. Porque la verdadera diferencia no se marca el día del ataque, sino mucho antes, en esas reuniones donde se decide si el riesgo se gestiona… o simplemente se espera a que golpee. Y esa decisión termina definiendo no solo el nivel de protección, sino también el costo, económico y operativo, de los errores.
Por Daniela Álvarez de Lugo, gerente general para la región Norte de América Latina en Kaspersky
Las opiniones expresadas en este artículo son responsabilidad de su autor y no tienen que ver con la opinión de Forbes República Dominicana.