- Por Alexis Campos, CEO Grupotech, www.grupotech.cl
Una de las objeciones más frecuentes que se escucha en las organizaciones cuando se plantea un proyecto de ciberseguridad es que no hay presupuesto. La inversión se percibe como un costo operativo difícil de justificar, especialmente cuando los sistemas funcionan sin problemas visibles y no ha ocurrido ningún incidente. Esa lógica tiene sentido desde una perspectiva de corto plazo, pero cambia radicalmente cuando se considera lo que ocurre después de un ataque.
El costo promedio de una brecha de seguridad para una empresa mediana oscila entre $200.000 y $2 millones de dólares, según el reporte de IBM de 2023. Esa cifra no incluye solo la recuperación técnica: incluye tiempo de operación caída, pérdida de datos, notificaciones a clientes y reguladores, daño reputacional y, en muchos contextos, multas derivadas del incumplimiento de marcos normativos como la Ley Marco de Ciberseguridad o los requisitos de protección de datos vigentes. Lo que se percibe como un gasto preventivo es, en perspectiva, significativamente menor que el costo de gestionar las consecuencias de no haberlo hecho.
Para un CEO, gerente de operaciones o responsable de TI que no sabe por dónde empezar, el primer paso no es adquirir tecnología. Es entender el estado actual de la organización. Un diagnóstico de vulnerabilidades bien ejecutado identifica los puntos de mayor exposición, distingue lo urgente de lo importante, y permite tomar decisiones con información concreta en lugar de supuestos. Eso hace la diferencia entre una inversión bien orientada y un gasto disperso en herramientas que no resuelven el problema real.
Una vez que se conoce el punto de partida, la implementación puede hacerse por fases, con prioridades claras y costos distribuidos en el tiempo. No es necesario resolver todo al mismo tiempo. Hay medidas de bajo costo y alto impacto que pueden reducir el riesgo de forma importante desde el primer mes: gestión de accesos, autenticación de múltiples factores, capacitación básica del personal, y protocolos de respuesta ante incidentes son ejemplos de acciones que no requieren grandes presupuestos pero que cambian el perfil de riesgo de una organización.
Hay además una dimensión comercial que muchas organizaciones subestiman. Hoy, contratos con empresas de mayor tamaño, participación en licitaciones públicas, y relaciones con socios estratégicos exigen cada vez más evidencia de que la contraparte tiene controles de seguridad establecidos. No contar con esa documentación ya representa un obstáculo real para el crecimiento. La ciberseguridad, en ese sentido, no solo protege lo que ya existe: también abre puertas que de otra manera permanecen cerradas.
