Mejores prácticas para distribuir los presupuestos de ciberseguridad entre las actividades de prevención, detección y respuesta

Nuestro nuevo artículo analiza cómo las organizaciones distribuyen sus presupuestos de seguridad entre prevención, detección y respuesta. La verdadera pregunta no es cuánto gastar, sino cómo gastarlo.

El reto de la asignación presupuestaria

La ciberseguridad se ha convertido en una de las partidas más analizadas de los presupuestos de TI.

En 2024, las organizaciones dedicaron una media del 13,2% de su presupuesto total de TI a la ciberseguridad, frente al 8,6% en 2020, según Help Net Security. (HelpNetSecurity, 2024).

Con la creciente complejidad de la transformación digital, la migración a la nube y los requisitos normativos como DORA y NIS2, los líderes ya no pueden limitarse a preguntarse «¿cuánto debemos gastar?». La pregunta es: «¿cómo lo gastamos de forma eficaz, entre prevención, detección y respuesta?».

 

Argumentos financieros a favor de una inversión equilibrada en ciberseguridad

Según el informe anual de IBM sobre el coste de las violaciones de datos, el coste medio global de una violación de datos alcanzó los 4,88 millones de dólares en 2024. En 2025, IBM constató que la cifra había descendido ligeramente hasta los 4,44 millones de dólares, la primera caída en cinco años (IBM, 2025).

Sin embargo, en Estados Unidos la situación sigue siendo grave: el coste medio de las violaciones de datos ascendió a 10,22 millones de dólares, más del doble de la media mundial (IBM, 2025).

El mismo informe reveló que las organizaciones que utilizan inteligencia artificial y automatización en materia de seguridad ahorran una media de 2,22 millones de dólares por incidente, lo que demuestra el rendimiento financiero de las inversiones bien realizadas en detección y respuesta (CSO Online, 2024).

 

Distribución recomendada entre prevención, detección y respuesta

No existe una fórmula universal, pero varios grupos de investigación, entre ellos Gartner, IBM y estudios del sector, sugieren los siguientes rangos equilibrados:

  1. Prevención (35-40%): gestión de identidades y accesos, concienciación de los empleados, gestión de parches y actividades de refuerzo.
  2. Detección (25-30%): inteligencia sobre amenazas, SIEM y operaciones SOC, cada vez más respaldadas por análisis basados en inteligencia artificial.
  3. Respuesta y recuperación (25-30%): respuesta a incidentes, análisis forense y continuidad del negocio.

Este equilibrio garantiza que los programas de seguridad puedan detener los ataques y sobrevivir a ellos, lo que es especialmente importante dado el aumento de los costes de la continuidad del negocio y la recuperación de la reputación.

 

Prevención en el punto de mira: el retorno de la inversión en identidad

La gestión de identidades y accesos (IAM) sigue siendo uno de los controles preventivos con mayor rendimiento.

Según Forrester Research, entre el 20 % y el 30 % de todas las llamadas al servicio de asistencia técnica de TI son para restablecer contraseñas, con un coste medio de unos 70 dólares estadounidenses cada una (Avatier, citando a Forrester).

Por lo tanto, la implementación de herramientas de restablecimiento de contraseñas de autoservicio y el aprovisionamiento automatizado pueden proporcionar una reducción cuantificable de los costes, al tiempo que mejoran la higiene de la seguridad.

Más allá del ahorro operativo, las inversiones en IAM mejoran directamente la preparación para el cumplimiento de las normativas DORA y NIS2, al garantizar la responsabilidad, la auditabilidad y el acceso con privilegios mínimos en entornos híbridos.

 

Detección y respuesta: maximizar el valor de la automatización

El informe sobre violaciones de seguridad de IBM para 2025 reveló que las organizaciones con automatización de la seguridad basada en IA detectaron y contuvieron las violaciones 108 días más rápido de media que aquellas que no la tenían (IBM, 2025).

Esta diferencia de velocidad es fundamental: cada día adicional de exposición aumenta los costes de contención y legales.

Por lo tanto, las inversiones en automatización, SOC gestionados y plataformas de detección de amenazas nativas de la nube no son opcionales, sino multiplicadores que reducen la duración de las violaciones, la exposición al riesgo y el coste por incidente.

 

Principios de optimización presupuestaria para 2025

  1. Asignación basada en el riesgoAsigne el gasto directamente a los activos más valiosos y las funciones empresariales críticas de la organización.
  2. Integre personas, procesos y tecnologíaEquilibre la concienciación, la gobernanza y la automatización para evitar una inversión excesiva en herramientas sin madurez operativa.
  3. Adopte la validación continuaLos equipos rojos, la simulación de ataques y las pruebas de penetración garantizan que los controles funcionen según lo previsto.
  4. Utilizar los servicios gestionados de forma estratégicaLa externalización de la detección o la respuesta puede ser rentable para las empresas más pequeñas con capacidad interna limitada.
  5. Realizar un seguimiento del retorno de la inversión medibleUtilizar métricas como la reducción del tiempo medio de detección (MTTD), el tiempo medio de respuesta (MTTR) y el ahorro de costes por incidente evitado.

 

Comunicar el retorno de la inversión al consejo de administración

Executives and boards care less about “security posture” and more about risk reduction, financial exposure, and operational continuity.

A los ejecutivos y consejos de administración les preocupa menos la «postura de seguridad» y más la reducción de riesgos, la exposición financiera y la continuidad operativa.

Los CISO más eficaces traducen las inversiones en resultados claros:

  • Menos incidentes detectados tarde.
  • Menores costes de recuperación de infracciones.
  • Ciclos de auditoría más rápidos y preparación para el cumplimiento normativo.
  • Reducción del tiempo de inactividad y de la interrupción del negocio.

Cuando se expresa en términos financieros (evitación de costes, continuidad y confianza), el gasto en seguridad se convierte en un facilitador del negocio, no en un centro de costes.

 

Mirando hacia el futuro: 2025 y más allá

El próximo ciclo presupuestario estará marcado por tres factores::

  1. Las amenazas impulsadas por la IA, que aumentan la automatización y los ataques de deepfakes.
  2. La presión reguladora de DORA, NIS2 y las leyes transfronterizas sobre datos.
  3. Las arquitecturas basadas en la nube, que exigen una garantía de identidad y una visibilidad continuas.

Las inversiones en identidad, automatización de la detección y gobernanza seguirán siendo las palancas de mayor valor en el próximo año.

 

Reflexión final: presupuestar para generar confianza

Los presupuestos de ciberseguridad no son gastos de defensa, sino inversiones en confianza, resiliencia y continuidad.

Las organizaciones que ajustan sus gastos a riesgos cuantificables y resultados medibles no solo minimizan las pérdidas, sino que maximizan la confianza, tanto dentro de sus equipos como entre sus socios y ante sus clientes.