**Líderes de Ciberseguridad Debaten el Valor Real de los Indicadores de Éxito en la Protección Empresarial**

### Introducción

En un reciente panel de expertos compuesto por directivos del más alto nivel (CISO, CIO, CTO) de grandes corporaciones, se abordó una cuestión crucial para la industria: ¿cómo se mide realmente el éxito en ciberseguridad y por qué, a pesar de los esfuerzos y recursos invertidos, los resultados no muestran mejoras significativas? El encuentro, celebrado en el contexto de un foro internacional sobre seguridad digital, ha puesto de manifiesto los desafíos, limitaciones y paradojas en la gestión y evaluación de la ciberresiliencia empresarial.

### Contexto del Incidente o Vulnerabilidad

Las organizaciones, impulsadas en parte por regulaciones como el GDPR y la futura directiva NIS2, han incrementado notablemente sus presupuestos de ciberseguridad en los últimos cinco años —se estima un crecimiento medio anual del 12% según Gartner— y han desplegado sofisticados marcos de control y monitorización. Sin embargo, el número total de filtraciones, incidentes críticos y pérdidas económicas asociadas sigue en aumento. Solo en 2023, las pérdidas globales por ciberataques superaron los 8.100 millones de dólares, según cifras de IBM y Ponemon Institute. Ante este panorama, surge la pregunta de si los indicadores utilizados para medir el éxito —como el número de incidentes detectados, el tiempo medio de respuesta (MTTR) o el número de vulnerabilidades parcheadas— reflejan realmente una mejora sustancial en la postura de seguridad.

### Detalles Técnicos

El panel analizó los principales frameworks y métricas empleadas. Entre los más comunes destacan los Key Performance Indicators (KPIs) y Key Risk Indicators (KRIs), como el tiempo medio de detección (MTTD), el porcentaje de endpoints protegidos, la cobertura de parches críticos (CVE recientes), el número de simulaciones de ataque realizadas (red teaming con frameworks como MITRE ATT&CK, Metasploit o Cobalt Strike) y la tasa de éxito en ejercicios de phishing.

Sin embargo, varios CISOs coincidieron en que muchas métricas se limitan a cuantificar acciones (por ejemplo, vulnerabilidades cerradas o alertas gestionadas) y no necesariamente el nivel real de exposición o el impacto potencial para el negocio. Asimismo, señalaron una brecha entre los indicadores operativos y los objetivos estratégicos: mientras que muchas organizaciones logran cumplir sus SLAs internos (por ejemplo, cerrar un ticket en menos de 24 horas), siguen siendo vulnerables a ataques avanzados como el ransomware dirigido, la explotación de zero-days (CVE-2023-23397, CVE-2023-34362, entre otros) o la lateralización interna detectada en simulaciones de adversario.

El uso de TTPs (Tactics, Techniques, and Procedures) de MITRE ATT&CK en ejercicios de red teaming ha permitido identificar debilidades no cubiertas por los controles estándar, lo que evidencia la necesidad de métricas más alineadas con la realidad de las amenazas.

### Impacto y Riesgos

El exceso de confianza en métricas tradicionales puede generar una falsa sensación de seguridad. Las organizaciones que se basan exclusivamente en el cumplimiento de KPIs pueden pasar por alto amenazas persistentes, brechas no detectadas y riesgos emergentes asociados a la cadena de suministro o al shadow IT. Este enfoque puede dejar expuestos datos sensibles, servicios críticos y facilitar el incumplimiento normativo, lo que conllevaría multas millonarias bajo GDPR o NIS2.

Además, el panel destacó el incremento del tiempo de permanencia de los atacantes en los sistemas antes de ser detectados (dwell time), que según Mandiant en 2023 sigue superando los 16 días de media en Europa, a pesar de la mejora en los tiempos de respuesta declarados por los SOC.

### Medidas de Mitigación y Recomendaciones

Los expertos recomendaron complementar las métricas operativas con indicadores de madurez y simulaciones continuas de ataques reales (purple teaming), así como introducir métricas basadas en resultados de negocio: impacto económico potencial, tiempo de recuperación efectiva, y alineación con el apetito de riesgo corporativo. Se aconseja aprovechar herramientas de Threat Intelligence para enriquecer los KPIs y realizar ejercicios regulares de tabletop y simulacros de crisis, además de fomentar la colaboración interdepartamental para que la seguridad sea un objetivo transversal.

### Opinión de Expertos

Según Marta Rodríguez, CISO de una multinacional del sector financiero, “Las métricas deben servir para anticipar y no solo para reportar. Medir lo que no se ve, como la capacidad de respuesta ante ataques desconocidos, es clave”. Por su parte, Jorge Salazar, CTO de una compañía tecnológica, añadió: “La integración de simulaciones adversariales y la correlación de eventos en tiempo real nos están permitiendo detectar gaps que antes pasaban desapercibidos”.

### Implicaciones para Empresas y Usuarios

Para los responsables de seguridad, el desafío es doble: demostrar el retorno de la inversión en ciberseguridad ante la dirección y garantizar que las métricas reflejen la verdadera resiliencia. Para los usuarios, la mejora de métricas debe traducirse en una reducción tangible de riesgos, menos incidentes y una mayor confianza en los sistemas corporativos. El panel subrayó que la transparencia y la formación continua son esenciales para que la cultura de seguridad impregne toda la organización.

### Conclusiones

La medición del éxito en ciberseguridad sigue siendo un reto complejo y multidimensional. Los indicadores tradicionales, aunque útiles, no bastan para reflejar la exposición real ni para anticipar amenazas avanzadas. La tendencia apunta hacia la adopción de métricas más holísticas, alineadas con el negocio y centradas en la reducción efectiva del riesgo. Solo así las empresas podrán evolucionar desde el simple cumplimiento hacia una ciberresiliencia demostrable y sostenible.

(Fuente: www.darkreading.com)