¿Cómo puede la ciberseguridad ir más allá de la protección del valor para crear valor?

Aunque la mayoría de las funciones de ciberseguridad han estado implicadas en al menos una iniciativa empresarial de valor añadido, como la adopción de tecnología en toda la empresa, la innovación empresarial o la expansión de nuevos mercados, el 58 % de los CISO y ejecutivos de ciberseguridad afirman que es difícil articular su valor más allá de la mitigación de riesgos, según nuestro estudio.

Para ayudar a ello, la organización EY creó un marco para cuantificar el valor que la ciberseguridad añade a la empresa a través de sus contribuciones a los ingresos y al ahorro de costes en las prioridades empresariales estratégicas. Para calcular la contribución a la creación de valor empresarial, identificamos seis iniciativas clave —basadas en la experiencia de los equipos de EY con los clientes— en las que la ciberseguridad debería tener una participación significativa:

1. Adoptar y crear tecnología
2. Reforzar la confianza y la reputación de la marca
3. Mejorar la experiencia del cliente
4. Transformar e innovar en toda la empresa
5. Expandirse a nuevos mercados
6. Desarrollar nuevos productos y servicios

En nuestra investigación, los líderes proporcionaron los ingresos generados y el ahorro medio anual de costes de estas iniciativas, así como la proporción del resultado atribuido a la función de ciberseguridad. Juntos, nos permitieron calcular la creación de valor empresarial de la ciberseguridad para cada proyecto o iniciativa en los que la función de ciberseguridad está implicada de forma significativa.

En particular, observamos una atribución coherente de los resultados a la ciberseguridad en otros puestos directivos, lo que indica que los CISO no están atribuyendo en exceso sus contribuciones.

En total, por cada iniciativa que implique ciberseguridad, la cifra mediana de creación de valor es de 36 millones de dólares. Esto varía significativamente según el tamaño de la organización, oscilando entre una mediana de 11 millones de dólares por proyecto para organizaciones con ingresos de 1.000 a 4.900 millones de dólares, hasta 154 millones de dólares para empresas con ingresos anuales de 20.000 millones de dólares o más. 

Pero, ¿cómo es en realidad la participación de la ciberseguridad en la creación de valor empresarial a través de diferentes iniciativas? 

Cómo los Creadores de Seguridad añaden valor a las iniciativas estratégicas clave

El estudio reveló un grupo de encuestados conocidos como "Creadores de Seguridad" —identificados por primera vez en el 2023 EY Global Cybersecurity Leadership Insights Study como organizaciones con funciones de ciberseguridad más avanzadas que sus homólogas— que se implicaban antes y más profundamente que sus pares en las iniciativas clave de su negocio.

Los Creadores de Seguridad eran más propensos a ayudar a otras funciones empresariales a implantar la IA que las "Empresas Propensas" (48 % frente a 31 %). Más allá de los beneficios inmediatos de una adopción de tecnología más segura, una colaboración más frecuente y estrecha con las iniciativas tecnológicas de alto crecimiento ayuda a establecer una mejor relación entre los CISO y los líderes empresariales del front-office. Los líderes del front-office que trabajan con los Creadores de Seguridad verán cada vez más al CISO como el verdadero facilitador de la transformación tecnológica, en lugar del departamento al que sólo se recurre para decir "no".

Los Creadores de Seguridad también tenían más probabilidades de haber influido positivamente en la forma en que las partes interesadas externas perciben su marca (72 % frente a 56 % de las Empresas Propensas). La relación obvia entre la ciberseguridad y la confianza de la marca radica en prevenir los hackeos y las violaciones de datos que dañan la reputación, y en minimizar las pérdidas o el impacto en caso de un incidente de ciberseguridad. Pero para los Creadores de Seguridad, esa relación es aún más profunda y sitúa la ciberseguridad más cerca de los puntos de contacto con el cliente que determinan la fiabilidad de la marca. Entre los ejemplos ofrecidos por los encuestados se incluyen evitar pérdidas potenciales y de reputación durante un ataque de ransomware y garantizar transferencias de datos seguras, lo que se traduce en un aumento de la confianza con los clientes actuales, así como en la captación de nuevos clientes que valoran la protección de datos.

En relación con esto, los Creadores de Seguridad se implicaron más en los esfuerzos para mejorar la experiencia del cliente que sus compañeros (53 % frente a 42 %). La aceptación y el uso de un servicio dependen en parte de la confianza de los clientes, especialmente cuando ese servicio utiliza IA, ya que 64 % de los consumidores están preocupados por la forma en que sus datos personales se utilizarán en los sistemas de IA sin su consentimiento o permiso, según el EY AI Sentiment Index Study. Algunos ejemplos de cómo los Creadores de Seguridad del estudio están mejorando la confianza y la experiencia de los clientes son la mejora de la seguridad de las comunicaciones internas para ofrecer un mejor servicio al cliente y una resolución más rápida de las reclamaciones, y la creación de portales de clientes que simplifican el acceso a los servicios.

Los Creadores de Seguridad son más propensos a decir que su enfoque influye positivamente en el ritmo de la transformación y la innovación. "Estábamos desarrollando un producto de IA puntero, pero los datos sensibles de entrenamiento estaban en peligro. Ciberseguridad implementó la encriptación de datos y los controles de acceso para proteger el entorno de entrenamiento de la IA", afirmó un Creador de Seguridad. "El producto de IA se lanzó a tiempo y su éxito nos dio una ventaja competitiva en el mercado".

Los ejecutivos reconocen cada vez más el papel de la función de ciberseguridad cuando se expanden a nuevos mercados. Un estudio reciente de Gartner reveló que el 85 % de los CEO consideran que la ciberseguridad es fundamental para el crecimiento empresarial. Los CISO, junto con los ejecutivos de riesgos, ayudan a sus organizaciones a considerar las innumerables implicaciones de entrar en nuevos mercados, desde el aumento de la exposición al riesgo hasta la visibilidad de los activos. Cuando se implica en una fase temprana de la exploración del mercado, la función de ciberseguridad puede tanto proteger como añadir valor a las nuevas aventuras de mercado.

Del mismo modo, en el desarrollo de nuevos productos y servicios, la función de ciberseguridad añade un valor que no siempre se reconoce. "La ciberseguridad no consiste sólo en proteger el valor de los nuevos productos y servicios, sino en crearlo. Cuando los equipos de ciberseguridad se integran en una fase temprana del desarrollo del producto, ayudan a generar confianza en las ofertas principales. Esa confianza se convierte en un elemento diferenciador en el mercado y en un catalizador para el crecimiento", dijo Jeremy Pizzala, EY Asia-Pacific Cybersecurity Consulting Leader.

Es probable que los Creadores de Seguridad sigan superando a sus homólogos

El 73 % de la cohorte de Creadores Seguros de nuestro estudio cree que su capacidad para añadir valor aumentará en el futuro. Una participación exitosa y temprana en iniciativas clave dará a los CISO una mayor exposición a la Junta y un mayor poder en la C-suite. También ayudará a los CISO a desarrollarse como ejecutivos estratégicos, una evolución de su papel tradicional como profesionales técnicos. Combinadas, está claro por qué los CISO creen que es probable que aumente la creación de valor de su empresa.

"Cuando a los CISO se les da un asiento en la mesa en las primeras fases de las iniciativas estratégicas, no sólo integran la seguridad en la planificación empresarial desde el principio, sino que añaden valor al aumentar la velocidad de adopción y al generar confianza con los consumidores", afirmó Rudrani Djwalapersad, EY Global Cyber Risk and Cyber Resilience Lead.

Nuestro análisis muestra que algunos de los motores más impactantes de la repercusión de la ciberseguridad en la creación de valor son el núcleo del enfoque de los Creadores de Seguridad sobre la ciberseguridad:

• Enfoque cibernético eficaz: en lugar de limitarse a proteger el valor, cambiar el enfoque hacia la creación de valor, por ejemplo convirtiéndose en los primeros en adoptar la tecnología emergente.
• Implicación estratégica: integrarse en las prioridades y estrategias empresariales fundamentales.
• Colaboración: intermediación y utilización de fuertes líneas de comunicación y vínculos con la C-suite.

La edición 2024 de este estudio enumeró las formas en que la IA está transformando la ciberseguridad. La IA —o, más concretamente, el aprendizaje automático (ML, por sus siglas en inglés)— está automatizando tareas como la detección de amenazas y anomalías, el reconocimiento de patrones y la identificación de actividades sospechosas. Desde ese estudio, la IA agéntica ha empezado a ofrecer una mejora radical. Por ejemplo La Charlotte AI de Crowdstrike, impulsada por los microservicios NIM de NVIDIA es capaz de gestionar todo el flujo de trabajo, desde la detección de la amenaza hasta su resolución, sin intervención humana, lo que reduce drásticamente el tiempo de resolución de las amenazas de ciberseguridad.

El estudio de este año examinó un aspecto diferente de la IA: el ahorro de costos y tiempo. El estudio reveló que la simplificación y la automatización de la ciberseguridad han supuesto un ahorro directo de costes, con una media de 1,7 millones de dólares ahorrados anualmente.

Dado que la mayoría de las funciones de ciberseguridad aún se encuentran en las primeras fases de una integración significativa de la IA —un estudio de CrowdStrike de 2024 descubrió que sólo el 6 % de las funciones de ciberseguridad utilizan activamente herramientas de IA generativa (GenAI)— los líderes esperan que la cifra de ahorro anual crezca rápidamente en los próximos años a medida que maduren los programas de IA.

Simplificación y optimización

A medida que los CISO continúan con el despliegue de la IA en toda la función de ciberseguridad, deben considerar cómo pueden simplificar su enfoque. Un reciente informe de ServiceNow muestra que las empresas más preparadas para la IA adoptan un enfoque de plataforma que aprovecha una única base de código, lo que simplifica la gestión en toda la empresa. Este enfoque les ayuda a emplear más rápidamente nuevas herramientas de IA —como la IA agéntica— a escala, porque "no tienen que reinventar la rueda cada vez que una nueva tecnología o aplicación sale al mercado", según el informe.

"La mayoría de las organizaciones que están posicionadas para superar a sus competidores en el despliegue de la IA, la innovación tecnológica y la toma de decisiones a escala están adoptando un enfoque de plataforma tecnológica unificada", afirmó Dan Mellen, EY Global and US Cyber Chief Technology Officer.

La optimización de las herramientas tecnológicas heredadas y la simplificación de las herramientas de ciberseguridad pueden eliminar la duplicación y reducir los costos, al tiempo que mejoran la visibilidad y reducen el número de superficies de ataque. Hoy en día, las organizaciones utilizan una mediana de 35 herramientas cibernéticas diferentes, y 37 % utilizan más de 50 herramientas de ciberseguridad. Muchos CISO buscan simplificar su pila tecnológica, así como disminuir el gasto en estos recursos: 23 % de los encuestados en el estudio completaron un esfuerzo de racionalización tecnológica en los últimos dos años, y 41 % están emprendiendo uno. Del mismo modo, 18 % han simplificado su plataforma tecnológica, y 41 % están en proceso de hacerlo.

Estos esfuerzos pueden ahorrar dinero y tener un impacto positivo en las limitaciones presupuestarias. Los Creadores de Seguridad tienen funciones de ciberseguridad más avanzadas pero requieren presupuestos más reducidos —10 % menos de media— y es menos probable que citen los presupuestos como un desafío clave.

IA y automatización

Las herramientas de IA y ML están ayudando a automatizar los procesos en toda la función de ciberseguridad. 

La implementación de la IA en las prioridades de ciberseguridad está dando lugar a mejores resultados. En concreto, los CISO afirman que estos esfuerzos de automatización han reducido su tiempo medio de detección (MTTD, por sus siglas en inglés) y su tiempo medio de respuesta (MTTR, por sus siglas en inglés) en un 28 %, de media. Además, seis de cada 10 encuestados apuntan a una mayor visibilidad en las superficies de ataque. 

Utilizar el ahorro de costos y tiempo para ofrecer más valor

Además de las mejoras directas en la eficacia y el ahorro de costos de la ciberseguridad, la optimización y la automatización permiten dedicar más dinero y tiempo a la creación de valor, lo que permite a las organizaciones adelantarse a las amenazas emergentes y mejorar su postura general de seguridad.

Los ahorros combinados —a través de la automatización, la simplificación y la externalización— quizás no sorprendentemente se utilizaron para mejorar aún más las capacidades cibernéticas de una organización, con 74 % informando de que invirtieron para hacer frente a las debilidades de control y 46 % utilizando los ahorros para aumentar la cobertura de la superficie de ataque, lo que en última instancia conduce a una defensa más resistente contra posibles brechas.

Más notablemente, dos tercios (68 %) utilizaron el ahorro de costes generado por la optimización en innovación y otras iniciativas de IA, lo que indica que los CISO que se adelantan a la curva de la IA probablemente se mantendrán a la cabeza.

Destinar este dinero "realizado" a iniciativas de creación de valor como la IA no sólo beneficia a toda la organización, sino que también demuestra que las funciones avanzadas de ciberseguridad funcionan más como unidades empresariales estratégicas que como centros de costes.

Un estudio reciente de Ernst & Young LLP (vía ey.com EE. UU.) examinó el abismo existente entre la importancia de la ciberseguridad y la relativa falta de influencia de los CISO en la C-suite, con un 59 % de los encuestados afirmando que la función de ciberseguridad no es consultada cuando se toman decisiones estratégicas.

El estudio estadounidense también encontró una correlación directa entre las violaciones de la ciberseguridad y la caída del precio de las acciones de una empresa. En los días posteriores a un incidente de ciberseguridad, los precios de las acciones disminuyen —y pueden bajar hasta 90 días después del incidente— en comparación con las empresas que no sufrieron un incidente de ciberseguridad.

La ciberseguridad también está ganando importancia en la actividad de fusiones y adquisiciones. La encuesta de referencia sobre la creación de valor del capital riesgo de EY reveló que las empresas de capital riesgo tienen 2,3 veces más probabilidades de centrarse en la ciberseguridad durante su diligencia debida que hace dos años. Los CISO deben implicarse antes y de forma más estratégica para mejorar el proceso de negociación.

A medida que las empresas transforman sus estrategias y operaciones en torno a la IA, a los CISO se les presenta una oportunidad de oro para ser facilitadores clave de confianza, velocidad y valor, y para posicionar la función de ciberseguridad como un departamento de crecimiento estratégico. Al hacerlo, es más probable que los CISO sean incluidos antes y de forma más significativa en las demás iniciativas clave de su organización.

He aquí tres pasos que los CISO pueden dar para garantizar que la ciberseguridad sea un socio clave en toda la empresa:

1. Reformular el funcionamiento del CISO

Una visión renovada del cometido de la ciberseguridad requiere un replanteamiento de la forma de actuar del CISO.

Los CISO deben pasar de ser profesionales técnicos dentro de sus funciones a convertirse en habilitadores estratégicos —Creadores de Seguridad— en toda la empresa. Este cambio requiere construir una profunda perspicacia sectorial y empresarial para alinear la función de ciberseguridad con los objetivos de la organización. También requiere que los CISO den prioridad a la financiación que ayude a la ciberseguridad a crear valor para iniciativas como la adopción de la IA en toda la empresa, la transformación del front-office y las adquisiciones y desinversiones.

Esto representa un cambio de paradigma en la forma de ver la función de ciberseguridad y su integración en la empresa, lo que probablemente exija cambios organizativos más amplios. Elevar al CISO a un papel estratégico puede provocar un replanteamiento de cómo se seleccionan y desarrollan los líderes de ciberseguridad, cómo se dota de personal a los equipos y dónde deben residir ciertas capacidades orientadas al negocio. Algunas capacidades, como la medición del valor o la planificación de la transformación, pueden construirse dentro de la ciberseguridad; otras pueden desarrollarse más eficazmente mediante una integración más estrecha con los equipos de finanzas, estrategia o transformación, o a través de servicios gestionados. En este contexto, un marco de cuantificación del valor no es sólo una herramienta de planificación, sino que puede servir como proyecto para guiar cambios más fundamentales en la forma en que la función de ciberseguridad está estructurada, dotada de recursos y conectada con el resto de la empresa. Dependiendo de la organización, este tipo de evolución puede estar dirigida por el CISO o impulsada desde arriba.

2. Reevaluar tus necesidades y asignación presupuestaria en materia de ciberseguridad

En el actual entorno de presupuestos limitados, todos los líderes funcionales deben presentar argumentos sólidos a favor de la inversión: la ciberseguridad no es una excepción. Este estudio aporta una nueva dimensión a ese caso: en lugar de considerar la ciberseguridad como un centro de costos o una función de reducción de riesgos, debe situarse como un multiplicador de valor. Al conectar la ciberseguridad con las iniciativas de crecimiento y transformación de toda la empresa, y cuantificar su contribución, el caso pasa de defensivo a estratégico, desbloqueando potencialmente una parte mayor y más convincente de la agenda de creación de valor de la organización.

Los CISO también deben considerar dónde asignar sus presupuestos. En términos generales, pueden optar por gastar en inversiones directas en seguridad o en iniciativas de creación de valor en toda la organización. Según el American Productivity & Quality Center (APQC), el rendimiento de las inversiones en seguridad (ROSI, por sus siglas en inglés) es de 19 % de media¹. Alternativamente, el gasto en creación de valor genera rendimientos aproximadamente 6,6 veces superiores. Este nuevo énfasis en la creación de valor puede ayudar a los CISO a justificar el presupuesto y a aumentar su influencia en las iniciativas clave.

Los CISO pueden racionalizar y optimizar simultáneamente sus herramientas de seguridad y trabajar para reducir sus costes tecnológicos asociados. Un enfoque "best-of-suite" o "platform-first" ayudará a los CISO a racionalizar y realizar la transición de sus herramientas de seguridad actuales a una plataforma de proveedor de tecnología estratégica existente, al tiempo que se destinan los ahorros previstos en costos de licencias a la mejora de los controles de seguridad mediante proyectos en curso y planificados. 

3. Facilitar la adopción de la IA para generar confianza en la C-suite y la junta de administración

Según nuestro estudio, solo el 43 % de las funciones de ciberseguridad están implicadas de forma significativa en ayudar a otras funciones a adoptar la IA.

Esto —de nuevo— es una oportunidad de oro para los CISO: Al posicionarse como socios estratégicos en la ejecución de la IA, pueden ganarse una mayor confianza y un asiento en la mesa para iniciativas de transformación más amplias. La misma lógica se aplica a las otras seis iniciativas clave en las que la ciberseguridad añade un valor significativo:

• Adoptar y crear tecnología
• Reforzar la confianza y la reputación de la marca
• Mejorar la experiencia del cliente
• Transformar e innovar en toda la empresa
• Expandirse a nuevos mercados
• Desarrollar nuevos productos y servicios

Para los directores generales, los directores financieros y los miembros del consejo de administración, implicar al CISO es más que un ejercicio de mitigación de riesgos; es una oportunidad para desbloquear más valor en cada una de las iniciativas estratégicas y generadoras de ingresos de su organización. Una integración más temprana y significativa de la función de ciberseguridad puede ayudar a impulsar implantaciones más rápidas, la confianza en el mercado y la creación de productos, servicios y experiencias que mantengan el valor empresarial.

Una visión estrecha de la ciberseguridad como un gasto necesario destinado únicamente a la mitigación de riesgos lleva a las organizaciones a invertir poco en una capacidad que podría impulsar un valor empresarial más amplio. Esta perspectiva debe cambiar. La llamada a la acción es clara: cambie las decisiones presupuestarias de una óptica centrada en los costos a otra centrada en el valor, tratando la ciberseguridad no como una partida defensiva, sino como un catalizador para el crecimiento, la innovación y el rendimiento sostenido.

AnnMarie Pino, Associate Director, Ernst & Young LLP; Ed Wong, Associate Director, Ernst & Young Group Limited; Joe Morecroft, Associate Director, EYGS LLP; y William Reid, Supervising Associate, Ernst & Young LLP, han contribuido a este artículo.