Medir el riesgo en cifras económicas permite a las empresas pasar de hablar de vulnerabilidades técnicas a decisiones de negocio: cuánto se protege, cuánto se ahorra y cómo la seguridad digital impacta directamente en los resultados financieros.
Por Alberto Guerrero, co-CEO de ETEK International Corporation
La ciberseguridad dejó de ser un asunto que se resolvía en los pasillos del área de tecnología. Hoy se discute en la sala de juntas, al mismo nivel que la expansión internacional, la inversión en nuevas plantas o la diversificación de portafolio. Y no porque sea un tema ‘de moda’, sino porque cada decisión corporativa tiene detrás un riesgo digital que puede impactar ingresos, reputación y hasta la continuidad del negocio.
Las cifras hablan por sí solas. Según el Boardroom Cybersecurity Report 2024, los daños globales por ciberdelitos crecerán un 15% anual hasta llegar a $10,5 billones de dólares en 2025. Mientras tanto, las compañías que protegieron sus procesos esenciales —los que sostienen ingresos y operación— redujeron hasta 9% las tareas de remediación, liberando recursos. La diferencia fue un cambio de lente: de lo técnico a una estrategia que cruza vulnerabilidades con impacto real de negocio.
LA BRECHA INVISIBLE
En su recorrido por distintas industrias en América Latina, ETEK ha visto repetirse una escena: la seguridad suele medirse en claves técnicas, pero lo que realmente pone en jaque a una empresa no siempre está en el radar de los manuales. A veces no es un gran fallo de software, sino un proceso sencillo, casi invisible, que sostiene la operación y que, si cae, detiene todo.
Nuestra experiencia de más de treinta años nos ha enseñado que la clave no está en vigilarlo todo, sino en sentar en la misma mesa a directores de tecnología, de seguridad y líderes de negocio. Cuando esa conversación se da, lo técnico encuentra su traducción en lenguaje de estrategia, y la priorización se vuelve más clara: proteger justo lo que mantiene a la empresa en pie.
LECCIONES QUE CAMBIAN EL JUEGO
La primera: no todos los sistemas valen igual. Los equipos técnicos, con su experiencia, blindan lo que detectan, pero el verdadero valor está en priorizar los que sostienen ingresos y continuidad. La segunda: el contexto es el gran filtro. Una alerta puede parecer urgente en lo técnico, pero solo al cruzarse con funciones como pagos, producción o clientes adquiere peso real.
La tercera: hablar en cifras económicas transforma la conversación. Estudios como el de SAFE Security muestran que una inversión de $435.000 de dólares en soluciones para detección y respuesta en dispositivos finales (EDR) puede traducirse en una reducción de riesgo de $1.000.000 de dólares al año, un ROSI (retorno de la inversión en seguridad) del 330%. Este tipo de métricas permite a los directores de tecnología hablar en el idioma de las juntas directivas. Y la cuarta: menos volumen, más puntería. No es acumular reportes, sino definir juntos dónde colocar el candado para que la operación no se interrumpa.
PRÁCTICAS QUE FUNCIONAN EN EL TERRENO
Todo arranca por definir qué funciones no pueden detenerse bajo ninguna circunstancia. Luego, traducir esos procesos a los elementos técnicos que los soportan: sistemas, credenciales, bases de datos, sin afán de perfección absoluta, sino con un mapa pragmático. Con ese mapa en mano, lo técnico adquiere una dimensión adicional. No es cambiar lo que los CIOs o sus equipos hacen, sino dotarlos de un marco que relacione sus decisiones con la estrategia del negocio.
Es cuando la priorización deja de ser una lista extensa de vulnerabilidades y se convierte en un ejercicio de precisión: aplicar remediaciones donde más se reduce el riesgo y donde más se protege la continuidad. Así, cada acción técnica se traduce en valor perceptible para la organización.
EL MOVIMIENTO QUE NO PUEDE ESPERAR
La seguridad del futuro no será un muro infinito, sino una capa selectiva que protege lo esencial. Protegerlo todo es imposible; blindar lo que mantiene vivo al negocio es urgente. En síntesis: identificar lo que sostiene la operación, filtrar el ruido con lógica de negocio y traducir riesgos en cifras son las palancas que cambian el juego. El mercado de cuantificación del riesgo superó los $2.500 millones de dólares en 2023 y crecerá un 24% anual hasta 2030, según Market Reports World, confirmando la urgencia del enfoque.
Y aquí es donde la sala de juntas cobra protagonismo. Porque cuando llegue el próximo incidente —y llegará— no importará cuántos firewalls o parches se aplicaron, sino si la conversación previa entre CIOs, CISOs, CFOs y directivos permitió blindar el núcleo del negocio. Esa decisión se toma arriba, en la mesa donde se definen las prioridades.
La trayectoria de ETEK demuestra que las amenazas no se vencen solo con tecnología, sino con inteligencia contextual, priorización y —sobre todo— cuantificación del riesgo cibernético en términos económicos: la diferencia entre resistir un incidente o dejar que este defina el destino de la organización.