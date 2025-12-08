Estudio de Kaspersky revela retos en la inversión y estrategia de Ciberseguridad Empresarial en América Latina

• El 56% de las organizaciones carece de un calendario regular de evaluaciones de riesgo, lo que subraya la necesidad de adoptar un enfoque pragmático basado en diagnósticos claros para fortalecer la resiliencia ante ciberamenazas.

La toma de decisiones sobre la inversión en ciberseguridad empresarial representa un desafío significativo para el 40% de los líderes en América Latina, según una reciente encuesta de Kaspersky a responsables de seguridad digital en la región. El estudio subraya que más de la mitad de las organizaciones (56%) tampoco mantiene un calendario regular de evaluaciones de riesgo, lo que las obliga a actuar de forma reactiva, revisando sus medidas de protección solo después de un incidente o una alerta externa.

La ausencia de diagnósticos y evaluaciones de riesgo estructuradas crea una brecha crítica. Aunque la mayoría de las empresas en la región realiza simulaciones de incidentes —43% mensualmente y 38% trimestralmente—, una de cada cinco organizaciones carece por completo de esta rutina de pruebas. Esta falta de práctica sistemática impide la identificación de vulnerabilidades ocultas y limita el desarrollo de la resiliencia necesaria frente al panorama actual de ciberamenazas.

Desafíos Estratégicos y de Confianza

Otro hallazgo relevante indica que el 29% de los encuestados afirma no tener una estrategia de seguridad clara. Este dato refuerza que la dificultad no reside únicamente en la ejecución, sino en la ausencia de una directriz estructurada que guíe la priorización de recursos y la definición de un nivel mínimo de protección.

Esta falta de disciplina para la revisión de debilidades y riesgos se correlaciona con una disparidad entre la autoconfianza de las empresas sobre su protección digital y el nivel de seguridad real. Una percepción exagerada de la protección dificulta la justificación de inversiones y la corrección de puntos críticos.

Daniela Álvarez de Lugo, Gerente General para la Región Norte de América Latina en Kaspersky, señala que “muchas empresas avanzan en ciberseguridad casi a ciegas, sin una percepción concreta de cuáles son sus vulnerabilidades reales. Esto provoca esfuerzos dispersos y decisiones que no siempre responden a las necesidades más urgentes”. La ejecutiva enfatiza que la identificación precisa del nivel de exposición es clave para organizar prioridades y construir un camino evolutivo coherente.

Enfoque Pragmático y Ciclo de Mejora Continua

Para revertir esta situación, Kaspersky recomienda a los responsables de seguridad digital la adopción de un enfoque pragmático. Este debe basarse en un diagnóstico estructurado del estado actual de la seguridad o en un análisis de riesgos enfocado en el impacto potencial de un incidente, como el Análisis Factorial del Riesgo de la Información (FAIR).

A partir de este diagnóstico, el equipo de seguridad obtiene un documento objetivo que identifica las áreas críticas que requieren mejoras y justifica las primeras inversiones, definiendo beneficios concretos y medibles.

Álvarez de Lugo añade que, si bien el presupuesto puede ser un limitante, una estrategia pragmática permite establecer el nivel de protección adecuado para cada organización, así como la inversión y el tiempo requeridos para alcanzarlo. “Desde negocios pequeños que buscan establecer controles básicos hasta grandes corporaciones que requieren una arquitectura más sofisticada, todas pueden plantear mejoras de forma objetiva”, concluye.

Para asegurar la eficacia de las inversiones y un ciclo de mejora constante, Kaspersky sugiere las siguientes prácticas:

Recomendaciones Clave para Inversiones Efectivas

• Establecer un calendario de evaluaciones de riesgo recurrentes, con una periodicidad mínima trimestral o semestral.

• Realizar simulaciones de ataques mensuales o trimestrales para medir avances y ajustar acciones de mitigación y respuesta ante incidentes.

• Definir indicadores de riesgo claros y vinculados a los planes de continuidad y al impacto operativo en el negocio.

• Revisar políticas y controles con base en datos de nuevos ataques o riesgos, disponibles mediante servicios de Inteligencia de Amenazas, en lugar de limitarse solo a criterios de cumplimiento normativo.

• Alinear las inversiones a los resultados esperados, priorizando correcciones que reduzcan la exposición y fortalezcan la gobernanza empresarial.

Las organizaciones interesadas pueden profundizar en el tema consultando el informe completo de la encuesta CISO 2025.