Cuando hablamos de ciberseguridad y dinero, la pregunta más común —y quizá la más relevante— es: ¿cuánto debo invertir? Sin embargo, en muchas organizaciones esta conversación comienza desde el ángulo equivocado, enfocándose primero en la tecnología que se debe adquirir, en lugar de cuestionarse por qué es necesario invertir en ciberseguridad y qué es lo que realmente se está protegiendo.

Existe una máxima ampliamente conocida en seguridad informática que aprendí durante mi formación en el Tecnológico de Mérida. Mi maestro de Redes de Computadoras, el Ing. Pastor, solía decir:

"El valor de la solución no debe superar el valor de lo que proteges.”

Esta frase, sencilla pero contundente, sigue siendo totalmente vigente.

Para entenderla mejor, imaginemos el siguiente escenario. Supongamos que poseemos un Tsuru II modelo 1987, con la pintura dañada, faros opacos y asientos deteriorados. En esas condiciones, su valor de mercado difícilmente superaría los $35,000 MXN. Ahora bien, decidimos instalarle un sistema antirrobo de tecnología militar, con un costo aproximado de $30,000 MXN, sin considerar instalación ni cuotas de servicio. La pregunta es inevitable: ¿tiene sentido realizar esa inversión?

Este mismo principio aplica directamente a la ciberseguridad empresarial. No existe una cifra universal que indique cuánto se debe invertir, ya que intervienen múltiples variables como el sector de negocio, el tamaño de la organización, el nivel de madurez tecnológica y el riesgo operativo. En la práctica, las empresas no asignan un monto fijo, sino un porcentaje de su presupuesto de Tecnologías de la Información (TI).

Actualmente, las grandes empresas destinan en promedio el 13.2 % de su presupuesto de TI a ciberseguridad, mientras que el sector comercial y las PyMEs asignan entre el 4 % y el 7 %. Estas cifras reflejan que la seguridad digital ha dejado de ser un tema secundario para convertirse en una prioridad estratégica.

Pero más allá del porcentaje, la pregunta clave es: ¿por qué invertir en ciberseguridad? La respuesta es clara. Tras un ciberataque, una empresa puede permanecer entre 7 y 21 días sin operar, sin facturar y sin generar ingresos. En ese contexto, resulta fundamental preguntarse: ¿cuánto tiempo puede sobrevivir una organización sin flujo de efectivo? ¿Cuánto dinero pierde por cada día de inactividad?

La realidad es que algunas empresas nunca logran recuperarse de un incidente de seguridad y terminan cerrando. Por ello, la ciberseguridad no debe verse como un gasto tecnológico, sino como un mecanismo de protección del negocio. Es un seguro que no deseamos utilizar, pero que resulta indispensable tener.

En México, los delitos informáticos han crecido aproximadamente un 25 %, de acuerdo con datos del INEGI y la Asociación Mexicana de Ciberseguridad, lo que confirma que el riesgo no es hipotético, sino real y creciente.

En conclusión, la inversión en ciberseguridad ya no es opcional. La pregunta no es si una empresa será víctima de un ciberataque, sino cuándo. Y estar preparado marcará la diferencia entre la continuidad del negocio o su desaparición.

Ingeniero en Sistemas Computacionales con trayectoria en infraestructura, redes, seguridad informática y virtualización.

Actualmente Gerente Comercial TI en Estrategia y Tecnología THO.