Más gasto, más brechas de seguridad: la engorrosa verdad sobre el retorno de la inversión en ciberseguridad.

Marks and Spencer proyectó obtener cientos de millones de libras en beneficios el año pasado. Pero en los reportes de fin de año, solo obtuvieron una pequeña fracción de esa cantidad.  

Los beneficios de M&S se esfumaron porque un ataque de ransomware dejó las ventas online fuera de servicio durante seis semanas e interrumpió la logística durante meses. El negocio se desangraba en tiempo real mientras los esfuerzos de recuperación avanzaban a paso de tortuga.

Esa cifra se convirtió en un tema recurrente cuando me reuní con Andrew Rubin, CEO y fundador de Illumio, en un episodio reciente del podcast The Segment . Esto pone una cifra concreta e innegable a algo que la industria estuvo eludiendo durante años: durante una década consecutiva, las organizaciones gastaron más en ciberseguridad cada año.  

Compraron más herramientas y asignaron más cotización. Y las únicas cifras que crecieron más rápido que la inversión son el número de brechas de seguridad, la magnitud de esas brechas y el costo económico total de la destrucción.

Es el tipo de patrón que debería generar preguntas difíciles en todas las salas de juntas. Sin embargo, la mayoría de las juntas directivas no se lo piden, al menos no todavía.

Según Andrew, el modelo de inversión en ciberseguridad está obsoleto. El aumento del gasto en ciberseguridad solo encareció el problema de las filtraciones de datos.  

Mientras los responsables de seguridad no estén dispuestos a admitir el problema del retorno de la inversión en ciberseguridad, el ciclo continuará. La brecha entre el gasto en seguridad y los resultados obtenidos sigue ampliar, y necesitamos un modelo fundamentalmente diferente.

ROI: datos que la industria cibernética ignoró silenciosamente

Andrew se describe a sí mismo como un creyente en las matemáticas y los datos, y las matemáticas aquí son claras.

Según Gartner, el gasto mundial en seguridad de la información alcanzó los 193.000 millones de dólares en 2024. Se prevé que alcance los 240.000 millones de dólares en 2026. IDC prevé que el gasto mundial en seguridad alcanzará los 377.000 millones de dólares en 2028.

Al mismo tiempo, el reporte de IBM sobre el costo de una filtración de datos registró aumentos interanuales en los costos medios de las filtraciones durante la mayor parte de la última década.  

El gasto en ciberseguridad no deja de aumentar. Mientras tanto, el número de filtraciones reportadas sigue aumentando. El impacto económico de los incidentes cibernéticos en la economía global se mide actualmente en billones de dólares anuales.

Andrew se cuidó de señalar que esto no significa que todo lo que hace la industria esté mal. Algunos controles funcionan, y algunas inversiones están reduciendo realmente la frecuencia o la gravedad de incidentes que, de otro modo, serían peores.  

Pero si eres un líder en seguridad que presenta un reporte a una junta directiva, y un afiliado a la junta analiza las cifras y pregunta por qué una década de inversión acelerada no logró frenar la curva de brechas de seguridad, necesitas una respuesta mejor que "sería peor sin ello".

En 2026, con reguladores, aseguradoras e inversionista prestando más atención que nunca a los resultados en materia de seguridad, el tiempo se está agotando.

Por qué el modelo tradicional de inversión en valores está estructuralmente roto.

Andrew identificó tres posibles respuestas a la brecha entre el gasto y los resultados:

• Desechar todo el modelo y empezar de nuevo, lo que admitió que probablemente sea una reacción exagerada.
• Agregar nuevas capacidades, reconociendo que lo que funcionó en el pasado sigue siendo necesario pero ya no suficiente.
• Cambiar el modelo en sí, descartando los enfoques que ya no son relevantes y construyendo otros nuevos en su lugar.

Su opinión —y la mía— es que la respuesta probablemente sea una combinación de la segunda y la tercera opción.

Pero para hacer cualquiera de esas dos cosas de forma inteligente, primero hay que ser honesto sobre por qué el modelo actual no funciona. Existen tres problemas estructurales que rara vez se nombran directamente.

Problema 1: la industria estuvo midiendo la actividad en lugar de los resultados.

Durante la mayor parte de la última década, los programas de seguridad se evaluaron en función de los siguientes datos:  

• ¿Cuántas herramientas están desplegadas?
• ¿Cuántas alertas se generan?
• ¿Cuántas vulnerabilidades se corrigieron?
• ¿Cuántas sesiones de entrenamiento se completaron?

Estas son métricas de actividad. Te informan sobre lo que hace la función de seguridad, pero no te dicen si la organización es más segura.

La razón por la que esto persiste se debe en parte a la inercia y en parte a que las métricas de resultados son más difíciles de definir y más difíciles de defender.  

¿Cómo se demuestra que una brecha de seguridad no se produjo a causa de su programa, sino porque los atacantes eligieron un objetivo diferente? En general, no se puede. Así pues, la industria optó por medir lo que podía medir en lugar de lo que realmente importaba.

El resultado es una generación de líderes en seguridad que son muy buenos para demostrar actividad, pero mucho menos hábiles para demostrar impacto. Y cuando las cotizaciones se asignan en función de las métricas de actividad, se obtiene más actividad, pero no necesariamente mejores resultados.

Problema 2: el modelo está construido en torno a la prevención

Andrew afirmó que el modelo de ciberseguridad de los últimos 50 años se basó en detener las amenazas. La promesa implícita de casi todos los productos de seguridad que se vendieron es alguna variante de "implemente esto y no ocurrirá nada malo".

Ese modelo tenía cierto sentido cuando el costo de no detectar una brecha de seguridad era menor y la frecuencia de los ataques sofisticados era manejable.  

El costo de no detectar una brecha de seguridad aumentó significativamente en la actualidad. El ejemplo de M&S es la ilustración más clara disponible. La brecha de seguridad fue el incidente, pero los meses sin servicio fueron la catástrofe.  

Un modelo de seguridad basado en detenerlo todo no tiene ningún plan para cuando algo logra pasar. En un entorno de amenazas donde las brechas de seguridad son estadísticamente inevitables, un plan de resiliencia no puede ser una ocurrencia tardía.

Problema 3: la proliferación de herramientas creó complejidad sin cobertura.

Actualmente, la gran compañía promedio emplea entre 50 y 100 herramientas de seguridad. Cada una de esas herramientas se adquirió para solucionar una necesidad específica.  

Y, sin embargo, las brechas siguen creciendo.

Disponer de más herramientas no se traduce en una mejor cobertura si esas herramientas no están integradas, las señales que generan no se pueden correlacionar y los equipos que las operan no tienen la capacidad de actuar ante cada alerta que producen.  

La proliferación de herramientas creó, en muchos casos, la ilusión de una cobertura integral. En realidad, hizo que el entorno de seguridad sea más difícil de gestionar.  

Los atacantes se adaptaron para encontrar las fisuras entre las herramientas. Los defensores estaban demasiado ocupados gestionando la proliferación de herramientas como para dar.

Cómo cuantificar los resultados de seguridad en el mundo real.

La pregunta que Andrew recibe con más frecuencia de los CISO sobre cómo demostrar el valor de la seguridad es la más difícil del sector: ¿cómo se cuantifica algo que no sucedió?  

No puedes señalar una brecha que se evitó porque no puedes probar que se produjo. ¿Cómo se puede, entonces, elaborar un argumento creíble y cuantitativo para la inversión en valores?

La respuesta de Andrew es dejar de intentar cuantificar la prevención y empezar a cuantificar la resiliencia. Aquí tienes algunos pasos prácticos para lograrlo.

Medir el costo de los incidentes en lugar de su ausencia.

Cuando se produce un incidente de seguridad , y en la mayoría de las organizaciones, alguno se produce, incluso si no alcanzan la gravedad de una brecha de seguridad, los datos están ahí mismo.  

• ¿Cuánto tiempo estuvieron caídos los sistemas?  
• ¿Cuál fue el costo directo de la recuperación?  
• ¿Cuál fue el impacto en el negocio del tiempo de inactividad?  
• ¿Cuál fue el nivel de exposición regulatoria?  

Estas cifras son reales, medibles y pueden proyectar hacia el futuro.  

Si su herramienta de segmentación reduce el radio de explosión de un incidente en un 60%, eso representa una reducción cuantificable de las pérdidas esperadas. Si su capacidad de detección y respuesta reduce el tiempo medio de contención de 48 horas a cuatro, eso supone una reducción cuantificable del impacto en el negocio.

Emplee puntos de referencia externos para fundamentar la conversación.

Andrew citó a M&S como el tipo de ejemplo público y cuantificable que los consejos de administración entienden.  

Cuando una organización similar pierde cientos de millones por estar desconectada durante meses, ese es el punto de referencia. Demuestra cómo tu arquitectura convirtió meses en horas, y tendrás un caso de negocio que ningún consejo de administración podrá desestimar.  

Crea una biblioteca con estos ejemplos. Los consejos de administración responden mucho más a precedentes concretos y relevantes que a marcos de riesgo abstractos.

Replantear la conversación sobre el retorno de la inversión en torno a la reducción de pérdidas esperadas.

El lenguaje de los seguros resulta útil en este caso, porque los consejos de administración ya lo entienden.  

Todas las organizaciones registran una pérdida anual prevista debido a incidentes cibernéticos, una estimación basada en la probabilidad de violación de seguridad, la frecuencia de las violaciones y el costo promedio de las mismas. La inversión en seguridad debe evaluar en función de cuánto reduce esa pérdida anual prevista, en relación con su costo.  

Es un planteamiento más defendible que intentar demostrar una negación, y obliga a entablar un debate sobre qué controles realmente influyen en la pérdida esperada.  

A menudo, esa conversación revela que algunas de las partidas más importantes de la cotización de seguridad no son las más efectivas.

El reloj del modelo antiguo se está agotando.

Una década de gasto creciente produjo una década de resultados cada vez peores.  

En algún momento, quienes financian los programas de seguridad se preguntarán si el problema reside en el modelo en sí. Y ese momento está llegando más rápido de lo que la mayoría de los líderes de seguridad están preparados.

Los CISO que quieran liderar en este momento, en lugar de ser liderados, deben hacer tres cosas:

• Sé honesto sobre lo que el modelo actual puede y no puede ofrecer.
• Cambiar el marco de medición, pasando de la actividad a los resultados y de las métricas de prevención a las métricas de resiliencia.
• Reorientar el diálogo con la junta directiva hacia la reducción de pérdidas prevista y la resiliencia demostrable, no hacia la cantidad de herramientas empleadas ni las tasas de resolución de vulnerabilidades.

Nada de eso es fácil, pero es mucho más fácil que explicar, a posteriori, por qué falló el modelo.

Las compañías deberían estar preparadas para vivir su momento M&S en cualquier momento. Los CISO que ya cambiaron el discurso en torno a la seguridad liderarán la respuesta cuando esta llegue.

Escucha el episodio completo de The Segment: A Zero Trust Leadership Podcast en Apple Podcasts, Spotify, o Nuestro sitio web.