Skip to main content
Marsh logo

Artículo

Ciberseguridad: una decisión estratégica de negocio

Descubra por qué la ciberseguridad debe gestionarse como riesgo estratégico desde la alta dirección. Conozca las amenazas que ya enfrenta su empresa.

15/06/2026

La ciberseguridad ya no puede analizarse sólo como un asunto tecnológico. Hoy impacta directamente en continuidad operativa, generación de ingresos, reputación, cumplimiento, confianza de clientes, relación con terceros y capacidad de aseguramiento.

Los datos muestran por qué debe estar en la agenda de los CEO, CFO y CRO. Los ataques públicos de los principales grupos de ransomware en Latinoamérica y el Caribe crecieron más de un 40% desde el año 2023 al 2025. En 2025, Brasil concentró el 32% de los casos, México 17% y Argentina 12%. Según el reporte de The state of ransomware 2025 de Sophos, a nivel global, la pérdida promedio por ransomware alcanza USD 1,53 millones, sin considerar pagos de extorsión, y 49% de las empresas afectadas pagaron la extorsión.

Para la alta dirección, la pregunta ya no es si la empresa puede superar todos los intentos de ataque. La pregunta es si puede resistir, responder y recuperarse sin comprometer su operación crítica, cuando un incidente de seguridad significativo se materialice.

El riesgo cibernético ya es un riesgo estratégico

Un incidente cibernético puede detener plantas, bloquear sistemas financieros, afectar entregas, interrumpir servicios, comprometer datos sensibles y activar costos legales, regulatorios y reputacionales, e incluso poner en riesgo la vida de las personas. 

Según el reporte de Sophos, solo 16% de las organizaciones logra recuperarse de un ataque de ransomware en menos de un día. Este dato cambia la conversación: la ciberseguridad no debe medirse únicamente por prevención, sino por la capacidad real de recuperación. 

La alta dirección debe tener claridad sobre tres puntos: qué activos y procesos son verdaderamente críticos, cuánto tiempo puede operar la empresa sin sus sistemas esenciales y qué decisiones deben estar aprobadas antes de una crisis. 

Los planes no probados, falta de planes de continuidad, capacidades de contingencia insuficientes, respaldos sin monitoreo e inventarios tecnológicos incompletos elevan el impacto de un incidente.

La gestión de cibercrisis debe ser una capacidad de negocio

La gestión de una crisis cibernética no comienza cuando ocurre el ataque. Comienza antes, con un gobierno claro, roles definidos, escenarios priorizados, planes definidos, capacidades de respuesta y recuperación probadas, y protocolos de comunicación. Una organización preparada no solo responde mejor; también protege mejor su reputación, reduce improvisación, acelera reclamos de seguros y mejora la toma de decisiones bajo presión. 

Para la alta dirección, esto implica validar si los objetivos y puntos de recuperación son realistas, si los respaldos están segregados y probados, si hay responsables claros para las decisiones financieras, legales, operativas y reputacionales, si los equipos han hecho simulaciones de crisis y si el programa de protección está alineado con los escenarios de pérdida más probables.

Cuantificar el riesgo permite invertir mejor

La alta dirección necesita datos para decidir dónde invertir primero. La cuantificación del riesgo cibernético ayuda a comparar escenarios, estimar pérdidas probables, priorizar controles y conectar ciberseguridad con resiliencia financiera. 

Los modelos no predicen el futuro con certeza, pero ordenan información compleja y ayudan a responder preguntas clave: qué controles reducen más exposición, qué inversiones tienen mayor impacto y cómo demostrar madurez ante los grupos de interés. 

Algunos datos que ayudan a orientar la decisión:

  • Los beneficios completos de EDR se observan con despliegues de 75% a 100%.
  • Hallazgos en mercados de dark web se asocian con tasas de pérdida de 8,69%, frente a 3,61% cuando no existe hallazgo.
  • Credenciales expuestas y señales externas elevan la probabilidad de pérdida.

Para el CFO, estos datos permiten traducir la ciberseguridad a términos de pérdida esperada, reducción de exposición, protección del balance y asegurabilidad.

Asegurabilidad: el mercado ofrece una oportunidad estratégica

El mercado del seguro de riesgo cibernético en Latinoamérica y el Caribe atraviesa una etapa más favorable para compradores. Las tasas pasaron de incrementos de +40% en 2021 a reducciones de -7% en 2024 y -14% en 2025. 

Esta ventana no debería interpretarse solo como una oportunidad para pagar menos. Para la alta dirección, es el momento de mejorar la calidad del programa: revisar límites, retenciones, exclusiones, sublímites y capacidades de respuesta. 

Las empresas con controles sólidos, información clara y preparación ante incidentes están mejor posicionadas en sus renovaciones. MFA, EDR, respaldos segregados, gestión de vulnerabilidades, respuesta a incidentes, formación, PAM, gestión de parches y control de proveedores digitales son elementos relevantes para sostener capacidad, condiciones y primas. 

También es clave revisar exclusiones que pueden definir la respuesta: guerra cibernética, infraestructura crítica, fraude por transferencia de fondos, proveedores tecnológicos y eventos sistémicos.

El subaseguro cyber sigue siendo un reto

La reducción de tasas no elimina el problema del subaseguro. Muchas empresas todavía no tienen límites alineados con su exposición real, especialmente cuando existen dependencias de cloud, proveedores tecnológicos, operación digital, ransomware, interrupción operativa o regulación. El riesgo no está solo en tener o no tener seguro cyber. Está en contar con un programa que responda ante el escenario correcto y al nivel de pérdidas que la organización podría sufrir. 

Por eso la alta dirección debería revisar si el límite contratado resistiría un escenario severo de interrupción operativa, si contempla a los proveedores tecnológicos críticos, si existen sublímites o niveles de retención que comprometan la recuperación, y si la cobertura se conecta con los planes de continuidad y respuesta a incidentes. 

En este sentido, una evaluación de escenarios de ciberriesgo —cualitativa y cuantitativa— permite tener una idea clara de la exposición financiera a este riesgo.

Terceros y cadena de suministro: una exposición que escala

La estrategia cyber debe mirar más allá de la empresa. Los riesgos frontera —incluidos terceros, cadena de suministro, IA, OT/IoT y computación cuántica— amplían la exposición y pueden multiplicar impactos entre proveedores, clientes y operaciones. 

En los incidentes analizados por Verizon, 30% se vinculó con terceros o cadena de suministro. Este dato es especialmente relevante para empresas con alta dependencia de proveedores tecnológicos, plataformas cloud, integradores, operadores logísticos o servicios compartidos. 

Para CEO, CFO y CRO, esto exige una visión de ecosistema. No basta con fortalecer controles internos, si proveedores críticos pueden convertirse en la vía de entrada o en el punto de interrupción. Un monitoreo continuo del nivel de exposición de los terceros puede ayudar a controlar oportunamente esta situación.

Gobernanza: de reportes técnicos a decisiones ejecutivas

La alta dirección no necesita más reportes técnicos, sino indicadores que permitan tomar decisiones. Una estrategia de ciberseguridad ejecutiva debe dejar claro cuál es la exposición actual al riesgo cibernético, qué escenarios podrían generar mayor pérdida, qué controles reducen más esa exposición y qué terceros concentran un riesgo crítico. 

También debe orientar qué inversiones priorizar, qué capacidad real existe para recuperar las operaciones, qué decisiones corresponden al comité ejecutivo y si la organización cuenta con un nivel de protección adecuado frente a su exposición. 

A través de evaluaciones de madurez complementadas con evaluaciones de ciberriesgos, se pueden definir estrategias de ciberseguridad que permitan traducir la incertidumbre en inversión priorizada, responsables claros y criterios de aceptación de riesgo.

Qué debe liderar la alta dirección

La ciberseguridad para la alta dirección requiere pasar de la supervisión general a una agenda de decisiones concretas. El CEO, el CFO y el CRO deberían empezar por entender el nivel actual de madurez y exposición frente a los ciberataques, definir el apetito de riesgo cibernético de la organización y conocer los escenarios que podrían afectarla. 

Sobre esa base, les corresponde definir una estructura de gobierno adecuada para supervisar la estrategia de ciberseguridad, y evaluar, aprobar y monitorear tanto esa estrategia como los planes de tratamiento de los ciberriesgos. A ello se suma promover una cultura de ciberseguridad en toda la organización, definir las expectativas de detalle, indicadores y frecuencia del reporte a los distintos comités, y mantener claridad sobre sus propias responsabilidades ante una cibercrisis. Finalmente, la dirección debería entender las capacidades reales de respuesta y recuperación ante un incidente, anticipar los cambios regulatorios que puedan afectar al negocio y evaluar la conveniencia de transferir parte del riesgo cibernético.

Cómo puede ayudar Marsh

Marsh ayuda a las organizaciones a gestionar el riesgo cibernético desde una perspectiva integral, conectando estrategia, cuantificación, continuidad operativa, respuesta ante incidentes, asegurabilidad y transferencia de riesgo.

Nuestro enfoque permite apoyar a la alta dirección en decisiones críticas, a través de servicios como: evaluación del nivel de madurez en ciberseguridad, evaluación de la exposición al riesgo cibernético, cuantificación de escenarios de ciberriesgo, definición de planes de respuesta ante ciberincidentes, ejecución de simulaciones de cibercrisis y respuesta ante ciberincidentes, definición de la estructura organizacional de ciberseguridad y el apoyo en la contratación de un seguro de riesgo cibernético.

Acceda al repositorio Cyber Summit 2026 para ver las ponencias completas y profundizar en los datos, metodologías y decisiones que pueden fortalecer la resiliencia cibernética de su empresa.

Preguntas frecuentes

Porque un incidente cibernético puede afectar ingresos, continuidad operativa, reputación, cumplimiento, proveedores, clientes y asegurabilidad. Ya no es solo un riesgo tecnológico; es un riesgo estratégico.

El C-Suite debe enfocarse en entender las capacidades reales de la organización para prevenir, responder y recuperarse frente a los principales escenarios de ciberriesgo que pueden afectar la organización, así como las pérdidas que se pueden generar por un ciberataque, el retorno de la inversión en ciberseguridad, el avance de la estrategia de ciberseguridad y los planes de tratamiento de los ciberriesgos relevantes, sus responsabilidades antes, durante y después de una cibercrisis, y si la compañía cuenta con una adecuada cobertura de seguros.

La inversión puede justificarse con criterios cualitativos o cuantificación, como los siguientes: reducción de pérdida probable, mejora de controles o nivel de madurez, reducción de tiempos de detección y respuesta, fortalecimiento de la continuidad, disminución de exposición, obtención de una certificación para la organización, mejor posición ante aseguradoras, entre otros.

Porque combina interrupción operativa, extorsión, pérdida de datos, presión reputacional, costos legales y recuperación compleja. Además, solo una minoría de organizaciones logra recuperarse en menos de un día.

El seguro cyber ayuda a transferir parte del impacto financiero y acceder a capacidades de respuesta. Sin embargo, debe estar alineado con los escenarios reales de pérdida, la continuidad operativa y la exposición de terceros.

MFA, EDR, respaldos aislados y probados, PAM, gestión de parches, respuesta a incidentes, formación y gestión de proveedores digitales son controles relevantes para mejorar resiliencia y condiciones de seguro.

Debe asegurar la definición de una adecuada gestión de ciberriesgos de terceros que incluya la identificación de proveedores críticos, evaluación de dependencias digitales, revisión de obligaciones contractuales, validación de la continuidad, análisis de la exposición de cadena de suministro y considerar estos riesgos dentro del programa de seguros.

Perspectivas relacionadas

Baner Summit

Webcast

Cyber Summit 2026: Estrategias de ciberseguridad

27/05/2026
Estuary at Bair Island Marine Park in Redwood City, CA

Artículo

Los riesgos cibernéticos de terceros afectan a todas las organizaciones

10/03/2026
Cyber express

Artículo

Cyber Express: protección cibernética ágil para empresas de Latinoamérica

14/01/2026
Digital cyberspace with particles and Digital data network connections concept.

Artículo

Cyber Talks

16/12/2025
Ver más