Decidir en qué invertir para fortalecer la ciberseguridad se ha convertido en uno de los principales retos para las empresas en Colombia. De acuerdo con un estudio reciente de Kaspersky, el 46 % de los líderes empresariales del país reconoce no tener claridad sobre cómo priorizar sus inversiones en protección digital, una situación que expone a las organizaciones a actuar de manera reactiva frente a los incidentes.
El informe revela que casi la mitad de las empresas no cuenta con un calendario regular de evaluaciones de riesgo, lo que las lleva a revisar sus medidas de seguridad únicamente cuando ocurre un ataque o surge una alerta externa. Esta ausencia de diagnóstico continuo limita la capacidad de anticipación y convierte la ciberseguridad en un proceso improvisado, más enfocado en apagar incendios que en prevenirlos.
Aunque muchas organizaciones aseguran realizar simulaciones de incidentes, los datos muestran una brecha preocupante. Solo el 28 % hace pruebas mensuales y el 48 % de manera trimestral, mientras que cerca del 76 % no mantiene ninguna rutina sistemática de simulación. Sin estas prácticas, las empresas pierden visibilidad sobre vulnerabilidades internas y reducen su nivel real de preparación ante amenazas complejas.
Otro hallazgo clave del estudio es que el 31 % de los encuestados afirma no contar con una estrategia clara de ciberseguridad. Esta falta de dirección evidencia que el problema no es únicamente presupuestal, sino estructural: sin una hoja de ruta definida, las decisiones se dispersan y las inversiones no siempre se enfocan en los riesgos más críticos para el negocio.
Los expertos advierten además una desconexión entre la percepción de seguridad y la protección real. Muchas empresas creen estar mejor preparadas de lo que realmente están, lo que dificulta identificar prioridades, justificar inversiones ante la alta dirección y corregir debilidades que pueden ser explotadas por atacantes cada vez más sofisticados.
“Muchas empresas avanzan en ciberseguridad casi a ciegas, sin una percepción concreta de cuáles son sus vulnerabilidades reales. Esto provoca esfuerzos dispersos y decisiones que no siempre responden a las necesidades más urgentes”, explica Daniela Álvarez de Lugo, Gerente General para la Región Norte de América Latina en Kaspersky, al referirse a la importancia de contar con diagnósticos claros.
Para revertir este escenario, la compañía recomienda adoptar un enfoque pragmático basado en evaluaciones estructuradas del estado actual de la seguridad o en análisis de riesgos que midan el impacto real de un incidente. Herramientas como el Análisis Factorial del Riesgo de la Información permiten traducir los riesgos técnicos en consecuencias comprensibles para el negocio.
Desde la perspectiva de los especialistas, una estrategia de ciberseguridad efectiva no depende únicamente del tamaño de la empresa o del presupuesto disponible, sino de contar con una dirección clara. Establecer diagnósticos periódicos, medir avances y alinear las inversiones con resultados concretos permite construir una protección más sólida y sostenible, capaz de responder al entorno digital cada vez más desafiante.
