En un reciente encuentro de líderes tecnológicos, celebrado en Madrid bajo el paraguas de CIO ForwardTech & ThreatScape Spain, se puso sobre la mesa una pregunta incómoda pero necesaria: ¿siguen viendo las empresas el ciberseguro como un gasto inevitable o han empezado a tratarlo como un habilitador estratégico? La respuesta, según los expertos, es contundente: quienes aún lo consideran un coste están condenados a quedar fuera del mercado.

Javier Sánchez, CISO de Engie España, lo expresó sin rodeos: “Nosotros aseguramos la continuidad del negocio. Si no nos ven como algo valioso, ese CISO tiene un problema”. La frase, pronunciada durante un panel moderado por Fernando Muñoz, director del CIO Executive de Foundry España, resuena como un aviso para los directivos que aún no han integrado la ciberseguridad en el núcleo de su estrategia empresarial.

De coste a habilitador: el cambio de paradigma

David Pérez Sánchez, subdirector corporativo de Gestión de Riesgos de Seguridad y Fraude de Mapfre, fue claro: “La seguridad ha dejado de ser un coste para convertirse en un habilitador. El negocio está entendiendo que sin seguridad, no hay operaciones ni confianza de los clientes”. Esta visión, compartida por los tres ponentes, marca un punto de inflexión en la forma en que las organizaciones deben abordar la protección digital.

Javier Tobal, director sénior de Seguridad de la Información y GRC de Planet, añadió un matiz clave: “La ciberseguridad hace que la empresa sea mejor y gane valor. El CISO tiene que hablar y que la empresa le entienda. Explicarles cómo estar preparados para crecer, hablar su idioma, no mentir, ser honesto con el mensaje que transmite”. En otras palabras, la comunicación y la transparencia son tan importantes como las propias medidas técnicas.

ROI vs. reducción del riesgo: ¿qué métrica importa?

Uno de los debates más interesantes giró en torno a la validez del ROI (retorno de la inversión) como métrica para medir la eficacia de las inversiones en ciberseguridad. Para Javier Sánchez, esta métrica no es tan relevante como la reducción del riesgo. “Eso es lo que compran ahora. Mi idioma es el riesgo y es lo que entiende el Consejo de Dirección”, aseguró.

Desde el sector asegurador, David Pérez explicó que ellos trabajan con base estadística y que la comprensión es muy buena cuando se habla de cuantificación del riesgo. “Ahora presentamos KPI agregados que evidencian el riesgo por detrás”, dijo. Su método consiste en evaluar riesgos y estudiar cuánto podría suponer un incidente, traduciéndolo a un número que todo el mundo entiende. “Queremos que ese número no suba, nuestro objetivo es mantenerlo”, explicó.

Engie España emplea un enfoque similar. Sánchez confirmó que mantienen un apetito de riesgo con el que todo el mundo esté cómodo, aunque reconoció que “medimos demasiado. Nos demandan cada vez más KPI. Vivimos en un mundo interconectado en el que todo se mide”.

La inteligencia artificial entra en escena

La irrupción de la IA en el área de la ciberseguridad fue otro de los temas centrales. David Sánchez advirtió del incremento que supone en el coste de la seguridad: “Es cierto que a la empresa le supone una mejora en la eficiencia, pero hay que tratar de protegerse del uso que hacen los atacantes”. Esta dualidad, en la que la IA actúa tanto como aliada como amenaza, está marcando la agenda de los CISO.

Javier Tobal utilizó una metáfora gráfica: “La inteligencia artificial es como un hijo en bachillerato, que algún día dará resultados, pero ahora debe darse bastantes trastazos para aprender”. En este contexto, la prioridad, según David Pérez, debe seguir siendo invertir en resiliencia. “Yo protegería los datos de los clientes, ahí no se puede reducir el presupuesto”, defendió.

Este debate conecta directamente con el análisis que publicamos recientemente sobre cómo Google quiere que la defensa con IA sea tan rápida como el ataque, una tendencia que está redefiniendo la carrera armamentista en ciberseguridad.

Decisiones de presupuesto: ¿dónde poner el dinero?

Los ponentes también fueron preguntados sobre dónde enfocarían sus esfuerzos si su presupuesto creciese un 10%. El representante de Engie lo dedicaría a securizar las comunicaciones, mientras que el de Planet contrataría a una persona. Por el contrario, si el presupuesto se redujese un 20%, en Engie lo tienen claro: el mundo IT caería ante el mundo OT. En Planet tratarían de proteger las certificaciones.

David Pérez insistió en que es vital que el riesgo ‘ciber’ entre en el riesgo operacional, ya que “es el más importante de todos”. También descartó que en el futuro haya empresas inasegurables, aunque vaticinó que a muchas compañías les ofrecerán primas que seguramente rechacen, algo que podría ocurrir en un plazo de dos o tres años.

Ninguna empresa está sobreprotegida

Para cerrar, los asistentes coincidieron en una valoración final: ninguna de sus empresas está sobreprotegida respecto al riesgo real. En un entorno donde la IA generativa actúa como arma de doble filo y el factor humano se convierte en el eslabón más débil, la ciberseguridad debe entenderse como una inversión continua, no como un gasto puntual.

La conclusión es clara: las organizaciones que aún no han integrado la ciberseguridad en su estrategia de negocio están perdiendo competitividad. Como bien resumió Javier Sánchez, “si no nos ven como algo valioso, ese CISO tiene un problema”. Y ese problema, en última instancia, es de toda la empresa.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.