Texto: Carlos Rubio (Director de soluciones de Arquitectura y Ciberseguridad de GFT España) •

El coste medio de una brecha de seguridad superó los $4,88 millones en 2024 -incluyendo sanciones, coste legal, reputacional…- de acuerdo con IBM. Para este 2025 se calcula un coste global de los ciberdelitos de $10,5 billones.

Security is always too much until the day it is not enough”. Esta frase, atribuida al exdirector del FBI y la CIA William H. Webster, resume en pocas palabras una gran paradoja: solemos percibir la seguridad como costosa, molesta o innecesaria, hasta que se revela como insuficiente. El valor de protegerse pasa desapercibido… hasta que se necesita. Y, para muchas empresas, ese momento llega tarde.

Se estima que, para 2025, el coste del ciberdelito alcanzará los 10,5 billones de dólares a nivel global, una cifra superior a los PIB de Alemania, Francia y España juntos, según un estudio de Cybersecurity Ventures. Por lo tanto, la conversación no debe de centrarse en “si debemos hacer” sino en “cómo lo hacemos”. Es necesario abordar la ciberseguridad en la empresa como una pieza fundamental de nuestra estrategia.

El coste medio de una brecha de seguridad superó los 4,88 millones de dólares en 2024, aumentando un 10% con respecto al año anterior, de acuerdo con IBM. La cifra contempla mucho más que la respuesta técnica, ya que incluye el daño reputacional, los costes legales, la interrupción del negocio y las sanciones regulatorias. De hecho, ya estamos viendo casos en empresas líderes en sus sectores y ampliamente reconocidas que evidencian que, ninguna organización, por sólida que sea, es inmune.

UNA INVERSIÓN ESTRATÉGICA, NO UN GASTO OBLIGADO

«Uno de los mayores desafíos a la hora de impulsar la ciberseguridad es cómo justificar su inversión. A menudo se percibe como un centro de costes. Sus efectos no se perciben a primera vista».

Para superarlo, es clave presentarla como lo que realmente es: una herramienta de gestión de riesgos, ya que su valor no está en lo que genera, sino en lo que evita. Un incidente puede suponer millones en sanciones, demandas o pérdida de negocio. Y evitarlo, aunque parezca un proceso invisible, tiene un impacto directo sobre los resultados. Debemos establecer la manera de medir este impacto. Uno de los mayores desafíos a la hora de impulsar la ciberseguridad es cómo justificar su inversión. A menudo se percibe como un centro de costes. Sus efectos no se perciben a primera vista. Para superarlo, es clave presentarla como lo que realmente es: una herramienta de gestión de riesgos, ya que su valor no está en lo que genera, sino en lo que evita. Un incidente puede suponer millones en sanciones, demandas o pérdida de negocio. Y evitarlo, aunque parezca un proceso invisible, tiene un impacto directo sobre los resultados. Debemos establecer la manera de medir este impacto.

También hay una segunda forma de evaluar la ciberseguridad, no sólo como defensa, sino como activo diferenciador. Una estrategia bien diseñada puede convertirse en un habilitador de negocio: permite abrir nuevos canales digitales con mayor agilidad, construir relaciones de confianza con los clientes, diferenciar servicios por su nivel de seguridad o cumplir requisitos que otros no pueden alcanzar. En algunos casos, puede incluso acelerar procesos que de otro modo serían demasiado arriesgados. Por eso, integrar la ciberseguridad en la estrategia empresarial no es solo una cuestión de prudencia: es una oportunidad para competir mejor.

Para ello, es necesario que el liderazgo empresarial asuma esta transformación. Y debe empezar desde arriba, desde los Consejos de Administración. El papel de los Consejos de Administración es clave: no solo en la supervisión de los riesgos, sino en la promoción activa de una visión donde la seguridad forme parte de la propuesta de valor. Una visión en la que proteger no sea sinónimo de limitar, sino de habilitar. Y donde las decisiones sobre inversión tecnológica se tomen con una perspectiva de retorno, no de contención.

En paralelo, el sector público debe ejercer un rol vertebrador: fijar estándares mínimos, facilitar recursos, coordinar con el entorno internacional y asegurar que todas las empresas –independientemente de su tamaño– tengan acceso a niveles básicos de protección. Porque en el terreno digital, las vulnerabilidades individuales se convierten en amenazas colectivas.

TRES PUNTOS DONDE INVERTIR (Y POR QUÉ AHORA)
Aunque el universo de la ciberseguridad es amplio, hay tres áreas donde hoy se concentran los mayores riesgos… Y también las mejores oportunidades de mejora: las personas, la cadena de suministro y la seguridad desde el diseño.

Las personas son y seguirán siendo en el medio plazo el punto más débil del sistema. Mi recomendación es invertir en formación y concienciación –sigue siendo esencial–, pero también lo es ayudarlas con herramientas y procesos que eviten el error humano. Hoy, con ataques cada vez más sofisticados gracias a la inteligencia artificial, el riesgo de engaño se ha multiplicado.

La cadena de suministro es el segundo foco. Muchas empresas han reforzado sus sistemas internos, pero no han hecho lo mismo con los proveedores que manejan datos o sistemas críticos. La protección aquí no puede ser solo contractual o técnica: debe abordarse desde ambos frentes. Es importante que las prácticas acordadas contractualmente sean supervisadas.

«El ciberdelito ya no es una posibilidad lejana, es una industria y la seguridad no es una carga sino una apuesta por la continuidad»

El tercer punto es más estratégico: incorporar la seguridad desde el diseño. Es una inversión a medio y largo plazo, pero es la única forma real de construir procesos resilientes y sostenibles. No se trata de reaccionar ante cada amenaza, sino de anticiparse desde el núcleo del negocio.

Si buscamos incrementar los beneficios de esta inversión para el negocio, hay que considerar que las personas son también nuestros clientes o usuarios. Protegiéndolos nos protegemos, y generando mecanismos de contratación o de operación más cómodos podemos diferenciarnos. Esto lo lograremos incorporando la seguridad desde el diseño, de modo que habilitemos nuevos modelos de relación en lugar de simplemente proteger los que ya tenemos.

Este principio es aún más importante para las pequeñas y medianas empresas, que comparten los mismos riesgos que las grandes, pero cuentan con menos recursos. La complejidad de proteger sistemas, datos, comunicaciones y procesos no desaparece, pero cambia su capacidad para asumirla. Para ellas, apostar por soluciones externalizadas, gestionadas de forma especializada y adaptadas a su escala es la vía más efectiva para protegerse sin renunciar a su foco operativo. Además, hoy la tecnología permite que ninguna empresa quede atrás si se apuesta por los modelos adecuados.

CERRAR LA BRECHA ANTES DE QUE APAREZCA
A lo largo de este artículo hemos visto que el ciberdelito ya no es una posibilidad lejana, sino una industria en sí misma, constante y costosa. Que la seguridad digital no debe tratarse como una carga, sino como una apuesta por la continuidad y la competitividad. Y que no todas las organizaciones parten del mismo lugar, pero todas pueden –y deben– recorrer el camino.

Quizá la mejor forma de entender el valor de una ciberseguridad bien planteada sea recurrir a una antigua historia china sobre tres hermanos médicos. El más reconocido era quien curaba enfermedades graves; el segundo, quien las trataba en fases tempranas; el mayor, el menos conocido, evitaba que sus pacientes se enfermaran. Su trabajo pasaba desapercibido, pero era el más eficaz.

La buena ciberseguridad funciona igual: cuando está bien hecha, no llama la atención. Pero es justamente eso lo que la convierte en imprescindible. Hoy, ese “hermano mayor” –el que prevenía antes de que surgiera la enfermedad– probablemente tendría presencia en redes sociales y generaría valor reputacional. El mundo ha cambiado. Por eso, no deberíamos conformarnos solo con lo imprescindible. Nuestra estrategia de ciberseguridad también puede ser una fuente de confianza, diferenciación y valor para el negocio. ◊