Blog

Inicio » Lo que el CEO y el CISO deben atender en ciberseguridad
27 octubre, 2025 by Tecnología

Lo que el CEO y el CISO deben atender en ciberseguridad

*Mtra. Nazly Borrero / Especialista en Ciberseguridad.

La ciberseguridad ya no es una opción para las empresas; es parte inherente de su supervivencia y reputación. En México, los primeros meses de 2025 exhiben cifras que llaman la atención de quienes lideran compañías medianas o pequeñas: la magnitud de los ataques cibernéticos creció de forma significativa. Por ejemplo, solamente un primer trimestre dejó más de 1,770 millones de intentos de ataque digital contra servicios, lo que se traduce en cerca de 59 millones por día. En promedio, cada organización enfrenta miles de intentos semanales de ransomware, phishing y acceso no autorizado.

Además, alrededor del 73 % de las empresas mexicanas declararon haber recibido al menos un intento de hackeo durante 2024. Sectores como manufactura, gobierno y servicios de salud son los más atacados, mientras muchas pymes aún operan sin protocolos claros para responder ante incidentes.

Conciencia y protección de la información: un asunto de todos

Cuando un CEO o CISO considera la protección de datos como asunto exclusivo del área de TI, se pierde perspectiva. La información que se maneja día a día datos de clientes, facturación digital, correos internos, procesos de entrega representa activos que pueden ser explotados si caen en malas manos.

Los ataques de phishing, impulsados ahora con herramientas de inteligencia artificial, permiten engaños extremadamente personalizados. El 78 % de empresas en México identifica estos ataques como amenazas serias, y la mitad asegura que la mayoría de los ataques que han enfrentado ya involucra IA de alguna forma.

Un incidente de violación de datos no solo pone en riesgo la operación, también daña la confianza de clientes, proveedores y socios. Cuando la empresa no tiene visibilidad sobre quién accede a qué información, cuándo, desde dónde o con qué dispositivo, esa empresa está a merced de errores humanos, negligencias o brechas técnicas que podrían evitarse.

Estadísticas que no dejan margen a ignorar

  • México experimentó un promedio de 3,429 ciberataques por semana por organización en algunos sectores, cifra que refleja un incremento anual estimado de cerca del 10 %.
  • En 2024 se registraron más de 80 mil millones de intentos de ataques digitalizados contra entidades en sectores financiero, gubernamental y telecomunicaciones. Esa cifra supera en un 25 % la del año anterior.
  • Más de 30 % de pymes mexicanas fueron víctimas de phishing, con pérdidas que en ciertos casos superan miles de pesos por incidente. Solo un 4 % de empresas considera que los ataques que han enfrentado no han involucrado IA, lo que sugiere que la mayoría ya está lidiando con amenazas más sofisticadas.

“Estas cifras muestran que ya no se trata de un “cuando suceda”, sino de “ya está sucediendo””.

Protocolos que las organizaciones deben adoptar

Para que una empresa pequeña o mediana reduzca su riesgo, no basta con comprar software caro, sino con establecer reglas, roles y procesos claros. Aquí algunos componentes que deben formar parte de su protocolo de seguridad:

  1. Evaluación de riesgos inmediata Identificar qué información es sensible: bases de clientes, registros financieros, propiedad intelectual, datos de empleados. Evaluar qué tan confiables son los proveedores de servicios digitales que se usan.
  2. Políticas de acceso y control Asignar quién puede acceder a qué datos, en qué condiciones y usar autenticación fuerte, multifactor, control de identidad de dispositivos.
  3. Capacitación constante Personal administrativo, de servicio al cliente, ventas, TI; todos deben reconocer phishing, enlaces maliciosos, ingeniería social. Ejercicios simulados ayudan a interiorizar comportamientos seguros.
  4. Respuesta ante incidentes Tener un plan documentado: quién informa qué, cómo se detiene una propagación (por ejemplo ransomware), cómo se contactan autoridades o especialistas, y cómo se comunica al cliente si corresponde.
  5. Respaldo y preservación Copias de seguridad regulares, sistemas redundantes, almacenamiento cifrado y fuera del entorno operativo principal.
  6. Monitoreo y auditoría Registro de logs, revisiones periódicas, uso de herramientas de detección en tiempo real, alertas automatizadas.
  7. Simulacros y pruebas Ensayos de escenarios: qué sucede si falla un servidor, si un empleado con rol clave es víctima de phishing, si se filtra algo de reputación. Ensayar mejora la rapidez de respuesta.

El reto del talento certificado

Una barrera real para muchas pymes es la ausencia de personal especializado. No es que falten personas interesadas; el problema está en los requisitos exigentes de certificaciones costosas y la poca oferta local de formaciones que se puedan pagar sin comprometer presupuestos operativos.

Algunas certificaciones internacionales tienen costos altos en inscripción, renovación, capacitación preparatoria y mantenimiento. Esto coloca en desventaja a empresas con presupuestos de TI limitados. Un CEO que quisiera certificar a su equipo puede enfrentar costos que representen una proporción significativa del presupuesto de seguridad, lo que frena la adopción.

También existe falta de personal formativo local con experiencia práctica reconocida. En muchos casos, los esfuerzos de capacitación terminan siendo teóricos, sin aplicación real, lo que genera un déficit de competencias para desplegar protocolos y reaccionar ante un incidente.

La inversión en conciencia y su retorno

Una empresa que invierte en conciencia y protección de la información no solo evita pérdidas, también reduce tiempos de mitigación y recuperación. El hecho de que un ataque sea detectado pronto y gestionado con procedimientos claros puede disminuir el daño operativo, evitar sanciones legales, proteger reputación frente a clientes.

Seguros cibernéticos, recientes en el mercado mexicano, han crecido como una alternativa para compartir riesgo. Se estima que para 2025 la demanda de estos seguros puede aumentar en un 30 % en México. Además, parte de ese gasto está siendo dirigido no solo a pay-outs en caso de incidente, sino a solución preventiva: herramientas, mejores copias de seguridad, capacitación.

Qué puede hacer un CEO o CISO hoy

  • Priorizar la elaboración de políticas internas donde la protección de datos sea claro objetivo estratégico.
  • Asignar presupuesto específico para formación continua en ciberseguridad, convenciendo al consejo que esto no es gasto prescindible.
  • Seleccionar certificaciones que sean accesibles: buscar opciones locales, formación modular, capacitación subvencionada, alianzas con instituciones educativas.
  • Contratar servicios externos al menos como complemento: auditorías, peritaje digital, monitoreo conjunto, consultoría que ayude a diseñar protocolos.
  • Fomentar cultura de seguridad: comunicar amenazas reales, compartir experiencias, valorar reportes de incidentes internos sin culpar precipitadamente.
  • Medir regularmente: número de incidentes, tiempo de respuesta, costo de mitigación, pérdida de datos; usar métricas para mejorar protocolos.

Cada día que pasa, la amenaza digital se ajusta, se vuelve más personalizada y depende más de errores humanos que de fallas tecnológicas puras. Para las pymes mexicanas, adoptar conciencia en ciberseguridad y protección de datos no es una carga extra, sino la base de su sostenibilidad en el mercado digital. Un CEO que asume que su empresa ya puede estar siendo observada; un CISO que busca escalar protección sin romper el presupuesto; ambos pueden liderar el cambio hacia organizaciones más seguras, más resilientes… y más confiables.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Award winning creative agency

We are building for tomorrow because tomorrow is the future and we want to make a contribution to the wonderful digital age that is awaiting us.