Construir madurez en ciberseguridad es un desafío estratégico del negocio

Por Felipe Gómez, CISO, Banco Pichincha.

En los últimos 7 años, la ciberseguridad ha ganado un importante espacio en las conversaciones ejecutivas. Pero, aunque hemos avanzado en visibilidad, la madurez dentro de las organizaciones, especialmente las más pequeñas, sigue lejos de lo necesario. Esto no se da por falta de voluntad técnica, sino por factores estructurales como decisiones apuradas que se toman bajo presión, la velocidad del negocio por llegar a tiempo a mercado sacrificando en ocasiones la seguridad, delitos digitales que avanzan más rápido que la capacidad de respuesta de las empresas, y una sociedad que aún no asume a la seguridad como parte del día a día.

Para que las decisiones de ciberseguridad se tomen con visión y no con urgencia, necesitamos traducir la seguridad a un lenguaje que conecte con quienes definen el rumbo. No se trata solo de explicar amenazas o riesgos, sino de mostrar cómo la ciberseguridad protege ingresos, habilita servicios, mejora la confianza y permite operar con continuidad. Es necesario posicionar a la ciberseguridad como lo que realmente es: una inversión que se recupera y una ventaja competitiva que impulsa el crecimiento, no solo de las empresas sino de una sociedad.

Eso comienza por llevar el tema a la mesa del Directorio de las empresas de forma periódica, no solamente cuando existe una obligación regulatoria o normativa como una auditoría o un problema como un incidente, sino como parte del ejercicio de liderazgo. Una sesión trimestral con la alta dirección, por ejemplo, no solo permite rendir cuentas, sino también compartir tendencias, aprendizajes y tomar decisiones que anticipen. Porque cuando la ciberseguridad se convierte en un tema permanente en la agenda directiva y se la integra como una responsabilidad del liderazgo, se fortalece todo el ecosistema organizacional.

En ese mismo sentido, las evaluaciones de madurez no son un lujo ni una formalidad. Son un ejercicio de honestidad estructurada que ayuda a entender no solo el estado técnico, sino también la capacidad cultural, estructural y adaptativa de una organización. Una evaluación bien hecha no busca señalar fallas, sino abrir oportunidades. Por eso, cada organización debería preguntarse: ¿vamos en la dirección correcta?, ¿vamos al ritmo adecuado? Y, si cumplimos nuestro plan, ¿dónde nos debería llevar o posicionar?

Sin estas evaluaciones, muchas organizaciones terminan gestionando la ciberseguridad de forma reactiva o limitada por el presupuesto, guiándose más por la intuición o las recomendaciones de moda de los proveedores. Evaluar la madurez permite identificar no solo vulnerabilidades técnicas, sino también brechas culturales, organizacionales y de liderazgo.

Por eso es recomendable mantener una evaluación interna, que se alimente de cada hito, mejora o proyecto implementado. Y complementarla, al menos cada dos años, con una mirada externa que contraste nuestros avances con lo que está ocurriendo en el sector. Porque la madurez no se improvisa: se mide, se gestiona y se mejora con intención.

Lo más importante, más allá de cualquier frecuencia que se pueda definir, es el compromiso de actuar en base a los hallazgos. Evaluar la madurez no se trata de descubrir “qué tan mal estamos”, sino de ejercer liderazgo. Es tener el coraje de mirar nuestras brechas de frente para convertirlas en capacidades, transformando personas, sin perder la oportunidad de disfrutar el proceso como organización.

En este camino, la planificación también necesita un cambio de enfoque. En 2024, el 57% de las organizaciones señaló, en la Encuesta de Estado Actual de la Ciberseguridad, que su inversión en ciberseguridad responde a escenarios de incidentes. Por tanto, invertir cuando tenemos una amenaza materializada, es como construir un hospital en medio de una pandemia: necesario, pero tarde.

Responder debe estar previsto, pero no puede ser el centro del plan. Planificar con sentido implica anticiparse, conectar la seguridad con el negocio y entender que cada empresa, incluso dentro del mismo sector, enfrenta realidades distintas. Por eso, la estrategia de ciberseguridad se diseña a medida.

Hay algo que repito con frecuencia, dentro y fuera del sector: la ciberseguridad no se trata solo de tecnología, se trata de confianza. Confianza en que tus datos están seguros. En que tus decisiones, tus finanzas y tu identidad no están en riesgo. Confianza en que puedes moverte en el mundo digital con libertad, sin sentir que caminas sobre terreno frágil.

Desde mi rol actual —liderando desde la seguridad en una organización que impacta la vida de millones— tengo una convicción clara: proteger no significa frenar, significa habilitar. Y si algo nos enseña el tiempo que vivimos, es que la ciberseguridad ya no es una promesa del futuro, sino la base del presente que lo hace posible.