Kaspersky: 46% de las empresas en Colombia no sabe cómo priorizar su inversión en ciberseguridad

Sin diagnósticos ni evaluaciones de riesgos claros, la protección empresarial se vuelve
reactiva. Expertos explican cómo entender el panorama para definir mejoras de manera
pragmática.
Diciembre de 2025
Decidir en qué invertir para fortalecer la ciberseguridad empresarial es uno de los
mayores retos para el 46% de los líderes empresariales en Colombia. Según la encuesta
más reciente de Kaspersky a responsables de seguridad digital en el país, casi la mitad
de las organizaciones (46%) no cuenta con un calendario regular de evaluaciones de
riesgo, por lo que terminan actuando de manera reactiva y revisan sus medidas de
protección solo cuando ocurre un incidente o aparece una alerta externa.
El estudio también revela que, aunque la mayoría de las empresas en el país realiza
simulaciones de incidentes, 28% cada mes y 48% de forma trimestral, casi 8 de cada 10
(76%) no tiene ninguna rutina de pruebas. La falta de estas prácticas abre una brecha
crítica que compromete su preparación real frente a un ataque. Sin un plan estructurado,
los equipos de seguridad dejan de identificar vulnerabilidades ocultas y no desarrollan la
resiliencia que exige el panorama de ciberamenazas actual.
Otro dato relevante es que el 31% de los encuestados en el país afirma no contar con una
estrategia clara de seguridad. Esto refuerza que, para muchas organizaciones, el reto no
solo está en saber qué se necesita hacer, sino en la falta de una directriz estructurada que
guíe las decisiones, priorice los recursos y defina el nivel mínimo de protección necesario.
Esta falta de disciplina para identificar y revisar debilidades y riesgos deriva en otro
problema identificado por los expertos: existe una disparidad entre la confianza que las
empresas tienen en su protección digital y el nivel de seguridad que poseen en realidad.
Cuando una empresa cree estar más protegida de lo que está, se vuelve más difícil
identificar prioridades, justificar inversiones y corregir los puntos críticos.
“Muchas empresas avanzan en ciberseguridad casi a ciegas, sin una percepción concreta
de cuáles son sus vulnerabilidades reales. Esto provoca esfuerzos dispersos y decisiones
que no siempre responden a las necesidades más urgentes. Cuando la organización logra
identificar con precisión su nivel de exposición, es posible organizar las prioridades y
construir un camino evolutivo mucho más coherente”, afirma Daniela Álvarez de Lugo,
Gerente General para la Región Norte de América Latina en Kaspersky.
Para cambiar este escenario, el ejecutivo de Kaspersky recomienda que los responsables
de seguridad adopten un enfoque pragmático, basado en un diagnóstico estructurado del

estado de la ciberseguridad actual y/o un análisis de riesgos basado en el impacto que un
incidente podría generar en su organización, como el Análisis Factorial del Riesgo de la
Información (FAIR, por sus siglas en inglés).
A partir de ese diagnóstico, ya sea un análisis de debilidades o una matriz de riesgos, el
equipo de seguridad contará con un documento objetivo que identifica las áreas críticas
que requieren mejoras y deben recibir las primeras inversiones. Además, este insumo
expone las razones para justificar cada inversión y define beneficios concretos y medibles.
La ejecutiva destaca que recientemente muchas empresas han sido noticia tras sufrir un
ciberataque, aumentando la preocupación de los directivos por los riesgos digitales.
Aunque el presupuesto puede ser un limitante, señala que una estrategia de
ciberseguridad pragmática puede establecer un nivel de protección adecuado para cada
organización, así como la inversión y el tiempo que se requieren para alcanzarlo.
“Desde negocios pequeños que buscan establecer controles básicos hasta grandes
corporaciones que requieren una arquitectura más sofisticada, todas pueden plantear
mejoras de forma objetiva. La diferencia está en la magnitud del trabajo, no en la
necesidad de contar con una dirección clara”, agrega.
Para garantizar un ciclo de mejora continua y una medición constante del avance,
Kaspersky recomienda las siguientes medidas para asegurar la eficacia de las inversiones
en ciberseguridad:
● Establecer un calendario de evaluaciones de riesgo recurrentes, con una
periodicidad mínima trimestral o semestral.
● Realizar simulaciones de ataques mensuales o trimestrales, incluso en
formato simplificado, para medir avances o identificar la necesidad de ajustar las
acciones de mitigación y respuesta ante incidentes.
● Definir indicadores de riesgo claros, vinculados a los planes de continuidad e
impacto operativo en el negocio.
● Revisar políticas y controles con base en datos de nuevos ataques o riesgos,
disponibles mediante servicios de Inteligencia de Amenazas, y no solo por
criterios de cumplimiento normativo. El uso de este tipo de información aumenta
las posibilidades de neutralizar ataques en curso, y los casos de éxito ayudan a
justificar inversiones.
● Alinear las inversiones a los resultados esperados, priorizando correcciones
que reduzcan exposición y fortalezcan la gobernanza empresarial.
Para conocer más sobre la investigación de Kaspersky, descarga el informe de la
encuesta CISO 2025.

Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil
millones de dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la
profunda inteligencia sobre amenazas y experiencia en seguridad de Kaspersky se transforma
constantemente en soluciones y servicios innovadores para proteger a individuos, empresas, infraestructuras
críticas y gobiernos en todo el mundo. El completo portafolio de seguridad de la empresa incluye protección

líder para la vida digital de dispositivos personales, productos y servicios de seguridad especializados para
empresas, así como soluciones Cyber Immune para combatir amenazas digitales sofisticadas y en evolución.
Ayudamos a millones de personas y a cerca de 200,000 clientes corporativos a proteger lo que más valoran.
Más información en: www.kaspersky.com
Kaspersky en redes sociales:
X: @KasperskyLatino IG: Kaspersky Latinoamérica
FB: KasperskyLabLatam IN: Kaspersky Lab Latinoamérica