La ciberseguridad es una de las pocas funciones del negocio donde el éxito suele ser silencioso. Desde afuera, incluso puede parecer que no pasa nada. En el interior, sin embargo, refleja una secuencia de procesos y controles aparentemente poco llamativos haciendo exactamente lo que fueron diseñados para hacer: evitar que incidentes técnicos escalen hasta convertirse en crisis de negocio. Tomando una analogía muy usada: nadie piensa en los cinturones de seguridad del auto cuando el trayecto es tranquilo. Pero cuando se necesitan, la perspectiva cambia.
Puede parecer un punto extraño para comenzar, pero esta dinámica está en el centro de un problema de larga data en ciberseguridad: cuando funciona, muy poco cambia en la superficie. Todos en la organización pueden hacer su trabajo y el día se ve como cualquier otro. Pero cuando falla, ¿qué pasa? Todos lo notan, aunque sea porque la diferencia es evidente y los costos se acumulan rápidamente.
Si bien la necesidad de prevenir interrupciones es innegable, justificar el costo de hacerlo frente a prioridades de negocio competidoras no siempre es sencillo. Otras partes del negocio, especialmente las áreas generadoras de ingresos, normalmente pueden señalar cambios visibles: mejores ventas o menor time-to-market. Seguridad rara vez tiene ese lujo. En cambio, se le pide justificarse en base a situaciones que nunca deberían ocurrir. En la lucha por el presupuesto, esta distinción pesa.
Por si pensara que estas preocupaciones están sobredimensionadas, considere esto: un estudio de IANS y Artico encontró que “el crecimiento promedio anual del presupuesto de seguridad [en 2025] cayó al 4% – el nivel más bajo en cinco años y un descenso marcado desde el 8% en 2024”. De manera significativa, el estudio también encontró que “hubo más CISOs enfrentando presupuestos estancados o reducidos que aquellos que vieron crecimiento, subrayando un desafío cada vez mayor para asegurar recursos adecuados en ciberseguridad”.
¿Las cuentas no cierran?
Cuando se pregunta “¿cómo prueba el valor de seguridad cuando nada salió mal?”, intenta justificar gastos señalando desastres que no ocurrieron. Este marco lo atrapa en una postura defensiva y, además, ignora la mayor parte de lo que seguridad hace día a día y, en última instancia, oscurece su verdadero valor.
Como dice el refrán, “no hay respuestas correctas para preguntas incorrectas”, así que quizá convenga empezar nuevamente definiendo cómo debe entenderse el valor. Medir lo que no ocurrió también significa que solo puede hablar de ahorros finitos, no del crecimiento y las oportunidades que habilitan las operaciones seguras. La capacidad de seguir operando de manera segura en un entorno inseguro donde sus competidores no pueden es una ventaja competitiva que rara vez se mide o discute.
También puede alimentar un tipo de sesgo de supervivencia: ejecutivos en una compañía que ha sobrevivido con un presupuesto de seguridad limitado pueden creer, por experiencia propia, que lo gastado hasta ahora ha sido suficiente. Sin embargo, un par de años en los que su negocio se mantuvo fuera de peligro dicen poco sobre el año siguiente. Además, la seguridad a menudo implica lo que se conoce como fat tail risk, o riesgos de eventos poco probables pero de alto impacto; ese tipo de riesgo donde todo está bien… hasta que repentinamente deja de estarlo y el daño puede ser existencial. Con muchas amenazas evolucionando y los requisitos regulatorios endureciéndose, las probabilidades no mejoran con el tiempo; de hecho, pueden empeorar.
Como dice el refrán, “no hay respuestas correctas para preguntas incorrectas”, así que quizá convenga empezar nuevamente definiendo cómo debe entenderse el valor. Medir lo que no ocurrió también significa que solo puede hablar de ahorros finitos, no del crecimiento y las oportunidades que habilitan las operaciones seguras. La capacidad de seguir operando de manera segura en un entorno inseguro donde sus competidores no pueden es una ventaja competitiva que rara vez se mide o discute.
Una pregunta útil sería: “¿qué nos permite hacer seguridad que, de otra manera, no podríamos hacer?”
Esto no debe entenderse de manera abstracta, sino literal y operativa. Así, en lugar de probar una eventualidad negativa que no ocurrió, puede demostrar una realidad positiva. En efecto, lo que seguridad habilita o cambia es la realidad diaria y las perspectivas futuras de la organización.
Donde la teoría se encuentra con la realidad
La realidad de seguridad suele ser dura, especialmente en organizaciones más pequeñas que viven perpetuamente con recursos limitados y son desproporcionadamente atacadas. Como la experiencia en seguridad no es fácil de encontrar, mantener coverage 24/7 internamente suele estar fuera de su alcance. Security monitoring, por ejemplo, puede significar que se recolectan logs y existen alerts, pero la atención y los recursos limitados resultan en seguimientos tardíos o inexistentes.
Estas limitaciones pueden tener consecuencias muy prácticas. Mientras más tiempo un atacante opera sin ser detectado dentro de la red de una compañía, más lejos y más profundo puede llegar: exfiltrar información crítica, identificar backups o descubrir qué causará el mayor daño.
El informe Cost of a Data Breach 2025 de IBM no solo expone el costo promedio de una brecha (USD 4.44 millones), sino que también muestra cuánto pueden reducir ese monto ciertas medidas de seguridad. Existen marcos dedicados de ROI de seguridad y cuantificación de riesgo cibernético, pero desglosarlos es otra conversación. El foco aquí está en algo más difícil de medir.
Este es también el contexto en el que un servicio como Managed Detection and Response (MDR) empieza a tener sentido. Sus variantes pueden diferir, pero el servicio es fundamentalmente activo: combina detection, response, threat research and intelligence y remediation en operaciones continuas que brindan incluso a organizaciones más pequeñas un tipo de cobertura que antes era exclusiva de grandes empresas. Entre otras cosas, significa que siempre hay alguien mirando y puede decidir si una señal anómala es inocua o indica actividad maliciosa.
Este cambio puede mostrarse de maneras pequeñas, pero tener impactos grandes. Incluso incidentes sutiles —como intentos de credential theft— se detienen desde el inicio antes de evolucionar hacia, por ejemplo, un ataque de ransomware. Tampoco está de más que tener este tipo de cobertura es, cada vez más, lo que las ciberaseguradoras esperan de las organizaciones.
Lo esencial
Argumentos estrechos basados solo en evitar costos ignoran lo que este servicio —o la seguridad en general— realmente hace. La inversión en seguridad puede no generar un momento de recompensa visible y satisfactorio. Mientras tanto, los intangibles son poderosos—y se multiplican. Seguridad está alineada con los objetivos estratégicos esenciales de cualquier organización, si acaso porque contribuye a operaciones ininterrumpidas, confianza del cliente y cumplimiento regulatorio. Bajo esta perspectiva, seguridad es el resultado necesario, no (solo) el producto o servicio.
Para quienes no juegan al corto plazo, las inversiones en seguridad se pagan solas muchas veces. Seguridad permite que las organizaciones crezcan, porque lo que están comprando es capacidad: operar a escala, entrar a nuevos mercados y mejorar los resultados del negocio. Están comprando margen de acción. Para organizaciones con visión de futuro, esto debería ser tan atractivo como suena.
Así que, cuando todos en su empresa pueden seguir con sus rutinas diarias, vale la pena preguntarse por qué. Podría ser que seguridad está funcionando —y ganándose su lugar.
