La incapacidad para definir en qué áreas invertir limita la efectividad de la ciberseguridad empresarial en México. De acuerdo con el estudio más reciente de Kaspersky, 45% de los líderes corporativos no sabe cómo priorizar sus presupuestos de protección digital, mientras que 66% de las organizaciones no cuenta con evaluaciones de riesgo periódicas, lo que deriva en decisiones reactivas que solo se activan tras un incidente o una alerta externa.
Diagnóstico de riesgos y falta de estructura en las empresas
El análisis revela que, aunque la mayoría de las compañías realiza simulaciones de incidentes para medir su capacidad de respuesta, solo 42% las ejecuta de manera mensual y 48% trimestral, mientras que una de cada diez no lleva a cabo ninguna rutina de pruebas. Esta falta de disciplina operativa reduce la capacidad para identificar vulnerabilidades ocultas y limita la resiliencia frente a ataques cada vez más sofisticados.
El diagnóstico también muestra que 15% de las empresas no tiene una estrategia clara de ciberseguridad, lo que dificulta la asignación de recursos y la definición de un nivel de protección mínimo. Según los analistas, esta falta de estructura provoca una brecha entre la percepción que las organizaciones tienen de su seguridad y el nivel real de preparación.
“Cuando no hay visibilidad real sobre el estado de la ciberseguridad, las decisiones de inversión se vuelven inciertas, intuitivas y más difíciles de medir”, explicó Claudio Martinelli, director general para las Américas en Kaspersky. Añadió que, a diferencia de otras áreas de negocio, el retorno de inversión en seguridad no se mide en ingresos, sino como un habilitador operativo equivalente a un seguro, necesario, pero cuya activación se desea evitar.
Martinelli subrayó que, ante el incremento de incidentes recientes, los directivos están más atentos a los riesgos digitales, aunque los presupuestos siguen siendo un desafío. Un enfoque pragmático, basado en diagnósticos formales y análisis como el FAIR (Factor Analysis of Information Risk), permite establecer prioridades, justificar inversiones y definir beneficios medibles, independientemente del tamaño de la empresa.
Hacia una ciberseguridad más pragmática y basada en riesgo
Con un diagnóstico estructurado, las empresas pueden identificar las áreas críticas que requieren inversión inmediata y establecer rutas de mejora progresiva. Este enfoque, señala Kaspersky, permite alinear presupuestos con riesgos reales y fortalecer la gobernanza corporativa.
Para asegurar un ciclo de mejora continua, la firma recomienda:
• Establecer evaluaciones de riesgo trimestrales o semestrales.
• Realizar simulaciones de ataque mensuales o trimestrales para medir avances y ajustar planes de respuesta.
• Definir indicadores de riesgo vinculados a la continuidad operativa.
• Actualizar políticas con base en inteligencia de amenazas y no solo por cumplimiento regulatorio.
• Priorizar inversiones que reduzcan exposición y mejoren la gobernanza.
Kaspersky destacó que una estrategia pragmática puede ajustarse tanto a pequeñas empresas como a grandes organizaciones; lo que cambia es el nivel de complejidad, no la necesidad de estructurar prioridades.
