Cost real de la ciberseguretat: inversió, riscos i pressupost

Aventura Universal » General » Cost real de la ciberseguretat: inversió, riscos i pressupost

entendre el cost real de la ciberseguretat sha convertit en una de les grans obsessions dels consells dadministració, els CISO i els responsables de TI. No es tracta només de comprar eines de protecció: parlem de com cada euro invertit en seguretat impacta a la continuïtat del negoci, la reputació, la capacitat d'innovar (per exemple amb IA) i el compliment regulatori. Mesurar bé aquest cost és clau per no quedar curts… però tampoc disparar un pressupost que el negoci després no pugui sostenir.

A més, la conversa ha canviat: els directius ja no volen escoltar termes tècnics, sinó explicacions clares sobre riscos, retorn i prioritats. Un bon programa de ciberseguretat avui ha de justificar el pressupost amb números (ROSI, ALE, TCO), demostrar com redueix l'exposició davant d'atacs cada cop més automatitzats i, sobretot, integrar-se a l'estratègia global de l'organització com un habilitador i no com un fre.

Per què el cost real de la ciberseguretat s'ha disparat

Les empreses de tot el món, i especialment a Amèrica Llatina, estan notant que els costos associats a la ciberseguretat creixen any rere any. A la regió es registren ja més de 2.500 ciberatacs per setmana des de començament del 2025, un 40 % per sobre de la mitjana global, amb especial focus en sectors crítics com salut, administració pública, telecomunicacions i grans corporacions.

Aquest augment no és casual: els atacants han abraçat la automatització a gran escala. Avui operen xarxes capaces d'escanejar vulnerabilitats de milers de sistemes en minuts, robar credencials de manera massiva, vendre accessos a mercats clandestins i extorsionar amb filtracions de dades. El resultat és un impacte directe en operacions, reputació i, evidentment, en els pressupostos destinats a ciberseguretat.

El mateix mercat de solucions reflecteix aquesta realitat: segons dades de Precedence Research, el sector de la ciberseguretat va superar els 268.130 milions de dòlars el 2024, rondarà els 301.910 milions el 2025 i es projecta que superi els 878.480 milions el 2034, amb una taxa de creixement anual composta propera al 12,6%. És un creixement brutal que mostra que protegir-se ja no és opcional per a cap organització.

En paral·lel, l'informe Global Cybersecurity Outlook 2024 del World Economic Forum indica que el 65% de les empreses ja incorpora intel·ligència artificial en les defenses, cosa que confirma dues tendències: d'una banda, la inversió en seguretat segueix a l'alça; de l'altra, els pressupostos s'han d'adaptar per incloure tecnologies capaces de respondre a amenaces més sofisticades, però sense caure en la idea falsa que la IA permet retallar indiscriminadament en ciberseguretat.

Molts consells i executius busquen ara alliberar fons d'altres partides per finançar projectes d'IA, i la temptació de gratar en seguretat existeix. No obstant això, CISO com Mixter insisteixen que cada retallada de pressupost augmenta l'exposició: si es retiren diners, per exemple, s'allarguen les avaluacions de proveïdors de 30 a 60 dies, cosa que pot suposar un risc real de negoci quan es necessita incorporar ràpidament un tercer clau per a l'organització.

El cost de no invertir: quan el remei és més barat que la malaltia

Una de les maneres més senzilles d'aterrar el tema davant l'alta direcció és preguntar quant pot costar a l'empresa quedar inoperativa diversos dies per un incident. Si un atac de ransomware deixa fora de joc els sistemes una setmana i l'impacte econòmic es mesura en milions, destinar uns quants milers o centenars de milers a ciberseguretat deixa de semblar tan car.

Els efectes d?un ciberatac van molt més enllà del rescat que pugui demanar un delinqüent o del cost de recuperació tècnica. Parlem de paràlisi operativa entre 3 i 7 dies en molts casos, pèrdua directa d'ingressos, penalitzacions contractuals amb clients, ruptura de cadenes de subministrament i tota mena de costos indirectes que no sempre estan ben comptabilitzats a les anàlisis inicials.

També cal considerar el dany reputacional i la pèrdua de confiança. una filtració de dades sensibles pot provocar abandonament massiu de clients, rescissió dacords amb socis estratègics i problemes per captar nou negoci. A això se sumen multes i sancions legals en virtut dels marcs reguladors de protecció de dades, cada cop més durs a Amèrica Llatina i Europa.

Aquest conjunt d‟impactes fa que ignorar o minimitzar la inversió en ciberseguretat surti a la llarga molt més car. De fet, molts CISO han trobat a l'argument de “el cost de no fer res” una palanca molt eficaç per a convèncer els consells d'administració que la seguretat és una inversió d'alt retorn, i no una despesa supèrflua.

En sectors fortament regulats, com el financer, fins i tot s'observa que els pressupostos de seguretat segueixen una tendència alcista sostinguda. L'estudi “Estat Cyber ​​España 2023” mostra que els pressupostos de ciberseguretat han crescut globalment un 5%, mentre que el 58% dels CISO declara augments, el 40% estabilitat i només un 2% retallades. A la indústria financera espanyola, cap CISO ha reduït el seu pressupost, cosa que reflecteix un consens clar: retallar en aquest camp és enganxar-se un tret al peu.

Quin percentatge del pressupost destinar a ciberseguretat

Una de les preguntes més repetides és quant s'hauria d'invertir en ciberseguretat respecte del pressupost total de TI o els ingressos. Diferents estudis de consultores com Deloitte i Forrester coincideixen que entre un 7% i un 15% del pressupost de TI hauria d'anar a seguretat, depenent de factors com la mida de l'empresa, el sector, l'exposició al risc i el nivell de maduresa.

Si ho mirem en relació amb els ingressos anuals, els costos de ciberseguretat solen situar-se al voltant de entre el 0,3% i el 0,6% del revenue, de nou, amb variacions segons la indústria i el perfil de risc. Per aterrar-ho, pensem en una empresa a Argentina amb ingressos anuals de 1.000 milions de pesos i un pressupost de TI del 4% (40 milions). Si s'assigna un 10% del pressupost a ciberseguretat, es destinarien 4 milions a protegir l'operació.

Amb aquesta quantitat es poden cobrir les eines i serveis essencials: tallafocs, antivirus, sistemes de detecció i prevenció d'intrusos, solucions de monitorització, controls d'accés, resposta davant d'incidents i, un punt clau, formació al personal. La conscienciació dels empleats sol ser una de les línies més barates i, paradoxalment, més rendibles per reduir incidents.

El MIT, en la seva investigació “Optimització de les inversions en ciberseguretat resolent la paradoxa risc-recompensa”, apunta que al voltant del 8% del pressupost de TI destinat a gestió de riscos sol maximitzar la relació entre cobertura davant d'amenaces i exercici financer. És a dir, permet construir una postura de seguretat sòlida sense caure a la sobreinversió que llastraria altres projectes crítics de l'àrea de tecnologia.

Aquest tipus de referències no s'han de veure com a receptes rígides, sinó com punts de partida per al diàleg entre CISO, CIO i direcció. Cada organització necessitarà ajustar aquests percentatges en funció de la gana de risc, les exigències regulatòries i la criticitat dels seus actius digitals.

Càlcul del cost real: ROSI, ALE i TCO en ciberseguretat

Per justificar el pressupost, ja no n'hi ha prou amb dir “si no invertim, ens ataquen”. Els responsables de seguretat han de demostrar, amb números, que la inversió té sentit. Aquí entren en joc models com el ROSI (Return on Security Investment), l'ALE (Annualized Loss Expectancy) i l'anàlisi de TCO (cost total de propietat) en ciberseguretat.

El ROSI permet estimar el retorn econòmic d'una mesura de seguretat. La fórmula habitual és: ROSI = (Reducció del risc – Cost de la solució) / Cost de la solució. Per exemple, si el risc potencial de pèrdua es xifra en 1.000.000 de dòlars i una eina és capaç de reduir-lo un 80%, parlem d'un estalvi potencial de 800.000 dòlars. Si la solució costa 150.000, el ROSI seria (800.000 – 150.000)/150.000 = 4,33, és a dir, un 433%. Cada dòlar invertit en generaria més de quatre en pèrdues evitades, una xifra molt potent per argumentar davant la direcció.

L'enfocament ALE, per part seva, ajuda a calcular la pèrdua anual esperada si no es disposa de controls adequats. Es basa a multiplicar la pèrdua esperada per incident (SLE, Single Loss Expectancy) per la freqüència anual d'aquest incident (ARO, Annual Rate of Occurrence). Seguint un exemple senzill: si cada incident suposa 50.000 dòlars de pèrdua i s'espera que passi quatre vegades l'any, l'ALE serà 200.000 dòlars. Si una eina redueix el risc un 90% i costa 40.000, l'estalvi potencial (180.000) supera amb escreix el cost, cosa que torna a aportar una justificació econòmica clara.

Més enllà d'aquests models, moltes organitzacions han començat a analitzar el TCO (cost total de propietat) de la seva estratègia de ciberseguretat. El TCO no es limita al preu de compra d'una solució, sinó que inclou tots els costos associats a la seva implementació, operació i manteniment al llarg del temps, tant directes com indirectes.

En els costos directes s'engloben el maquinari i el programari de seguretat (tallafocs, antivirus, sistemes de detecció d'intrusions, etc.), els serveis gestionats, la consultoria especialitzada i el personal dedicat a ciberseguretat (salaris, beneficis, formació). En els costos indirectes s'han de considerar la continuïtat del negoci, l'impacte de les mesures en la productivitat del personal, la gestió de riscos reputacionals i legals, i l'eficiència organitzativa en la integració i l'operació de totes aquestes solucions.

Fabricants com SentinelOne ofereixen fins i tot calculadores de TCO que permeten estimar i optimitzar aquests costos al voltant de la plataforma Singularity XDR. Aquestes eines tenen en compte aspectes com ara la millora de la continuïtat de negoci mitjançant automatització de resposta, l'augment de productivitat dels analistes en reduir tasques manuals, la disminució de l'exposició al risc gràcies a més visibilitat i la possibilitat de consolidar solucions per reduir complexitat i despesa operativa.

Per aprofitar de debò aquest tipus de calculadores TCO, les empreses han de recopilar dades precises sobre el seu infraestructura actual de seguretat, costos i reptes, introduir-los a l'eina, analitzar els resultats i discutir-los internament. No és un simple generador de números bonics, sinó un suport per prendre decisions informades sobre què consolidar, què retirar i on invertir per obtenir més valor amb el mateix pressupost o fins i tot menys.

Com es determinen i prioritzen els costos de ciberseguretat

A l'hora de fixar el pressupost, no es tracta només de quant s'inverteix, sinó de on i quan es col·loca cada euro. El primer pas hauria de ser sempre una avaluació integral de riscos que identifiqui els actius crítics (dades sensibles, plataformes, serveis clau), les amenaces que els afecten (malware, ransomware, phishing, amenaces internes), la probabilitat que es materialitzin i l'impacte econòmic i operatiu potencial.

Amb aquesta foto, es construeix un mapa de prioritats que ajuda a dirigir el pressupost cap a les àrees que aporten més valor de protecció. Posteriorment té sentit organitzar les inversions seguint tres criteris bàsics: impacte potencial, probabilitat d'ocurrència i nivell de maduresa actual de l'organització.

L'impacte potencial respon a la pregunta de quin mal causaria una amenaça si es concreta; com més gran sigui, més recursos haurà d'absorbir la mitigació. La probabilitat d'ocurrència guia l'atenció cap a amenaces comunes o recurrents, com el ransomware o el robatori de credencials, que requereixen controls immediats. I el nivell de maduresa obliga a ser sincers: si l'empresa no té ni controls bàsics, és absurd llançar-se directament a models avançats com Confiança Zero o solucions basades en IA sense haver cobert allò elemental.

En aquest context, els bàsics inclouen tallafocs, antivirus, sistemes de prevenció d'intrusos, xifratge de dades, gestió d'identitats i accessos amb autenticació multifactor (2FA) i solucions de monitorització contínua (per exemple, un SIEM que centralitzi logs i alerta d'intrusions). Sobre aquesta base es podran anar incorporant eines més especialitzades i sofisticades a mesura que el pressupost i el nivell de risc ho justifiquin.

La revisió pressupostària també ha de ser més dinàmica que no pas en el passat. Com que les amenaces evolucionen molt ràpid, molts experts recomanen revisar els costos de ciberseguretat de forma semestral o fins i tot trimestral, en lloc dajustar una vegada a lany i oblidar-se. Noves vulnerabilitats crítiques, canvis normatius o moviments estratègics (com adquisicions o llançaments de nous serveis digitals) poden obligar a reconfigurar l'assignació a la meitat de l'exercici.

Amenaces actuals, eines prioritàries i reptes a la regió

Els darrers estudis d'incidents mostren clarament per on entren més cops. L'informe “Blancco 2025 State of Data Sanitization” assenyala que el 86% de les empreses ha patit una violació de dades en els darrers tres anys, i que els principals vectors d'atac han estat el phishing (54% de les filtracions), les configuracions incorrectes (46%) i el robatori de dispositius amb informació sensible (41%).

Aquestes dades complementen -i fins i tot superen en alguns casos- els vectors tradicionalment més citats, com el robatori de credencials o els atacs de ransomware. Per al pressupost significa que una estratègia de costos en ciberseguretat intel·ligent ha de prioritzar la seguretat del correu electrònic, la revisió contínua de configuracions crítiques, la protecció de dispositius físics i digitals, el control d'accessos i l'autenticació multifactor, així com la monitorització activa i la detecció d'intrusos amb plataformes SIEM o XDR.

Un cop coberts aquests fronts, té sentit avançar cap a tecnologies més avançades, com a solucions de detecció i resposta en endpoints (EDR), XDR, models Zero Trust, automatització d'orquestració de seguretat (SOAR) o analítica avançada impulsada per IA. Això sí, sempre després d'haver reforçat els fonaments, per evitar malgastar pressupost en eines sofisticades que després queden infrautilitzades.

A països com Argentina i altres de Llatinoamèrica, el panorama ve marcat per reptes molt similars: manca de consciència en moltes empreses sobre la magnitud real dels riscos, pressupostos molt limitats en pimes i una escassetat preocupant de talent especialitzat en ciberseguretat, atès que la demanda creix molt més ràpidament que l'oferta de professionals qualificats.

A més, no n'hi ha prou amb comprar eines; cal assegurar-ne l'adopció. Si en implementar una solució per prevenir incidents no s'acompanya d'una bona formació i gestió del canvi, els usuaris poden frustrar-se i entrar en una dinàmica de rebuig que acaba sent contraproduent. Per això la capacitació de tècnics, personal administratiu i usuaris de negoci és un component imprescindible del cost real de la ciberseguretat.

Finalment, el marc regulador ha esdevingut un impulsor clau de la despesa. A nivell financer internacional, creix la pressió d'organismes com la SEC per exigir informes més complets i ràpids sobre ciberincidents i dades d'usuaris afectats. A Europa, un banc pot estar subjecte simultàniament a CREU, PCI DSS 4.0, EBA, CNMV, GDPR, PSD2, TIBER-EU, SWIFT, NIS2/LPIC/NIST, DORA, a més de codis de bones pràctiques i normes com ISO 27001 o NIST CSF. Cada capa reguladora implica requisits tècnics i organitzatius que, alhora, exigeixen pressupost.

Integrar la ciberseguretat a l'estratègia de negoci

Les empreses més madures han deixat de veure la ciberseguretat com un “departament a part” i comencen a integrar-la de ple a l'estratègia corporativa. Els costos de seguretat s‟entenen així com una inversió transversal que sosté la continuïtat del negoci, protegeix l‟experiència de client, garanteix el compliment normatiu i preserva el valor de la marca.

Una bona prova daquest canvi és que molts consells dadministració ja compten amb el CISO com a membre del comitè de direcció o, almenys, ho inclouen de forma sistemàtica en les decisions estratègiques que afecten projectes digitals. D'aquesta manera, la seguretat es contempla des de l'inici i no com un pegat al final, cosa que permet optimitzar costos en evitar redissenys i correccions a posteriori.

Una altra pràctica fonamental és relacionar cada inversió en ciberseguretat amb indicadors de negoci concrets: ingressos protegits, reducció del temps d'inactivitat, millora del compliment, disminució del cost d'incidents, etc. Models com ara NIST CSF 2.0 o ISO/IEC 27001 ajuden a estructurar aquest enfocament, integrant govern corporatiu, gestió de riscos i millora contínua.

A més, els controls de seguretat s'han de vincular directament amb àrees com vendes, operacions, finances i legal per generar coresponsabilitat sobre el risc. No és només “cosa de TI”: qualsevol decisió sobre nous productes, aliances amb tercers, emmagatzematge i tractament de dades o ús d'IA hauria de passar per un filtre de ciberseguretat que contempli tant els impactes tècnics com econòmics.

La formació del personal tanca el cercle. Capacitar tots els empleats, des del comitè executiu fins als usuaris de primera línia, permet que cada persona entengui l'efecte que té el comportament sobre la seguretat col·lectiva. Una cosa tan simple com reconèixer un correu de pesca o aplicar correctament una política de contrasenyes pot estalviar a l'empresa quantitats significatives en costos de resposta i recuperació.

Quan s'analitzen tots aquests elements junts -riscos, models de càlcul financer, TCO, prioritats tecnològiques i regulatòries i alineament amb l'estratègia- es veu clarament que el cost real de la ciberseguretat no és únicament la suma de llicències, dispositius i salaris. És el preu de mantenir el negoci en marxa, de poder innovar amb tecnologies com la IA sense exposar-se innecessàriament i de sostenir la confiança de clients, reguladors i socis en un entorn on els ciberatacs són la norma, no pas l'excepció.