Cada año, muchos CISOs enfrentan la misma situación: tienen claro qué necesitan, por qué lo necesitan y cuánto cuesta. Pero cuando llega el momento de presentarlo ante el comité de dirección, la conversación no avanza como debería.

El problema rara vez está en la falta de argumentos técnicos. El problema es que esos argumentos no conectan con quienes tienen la última palabra. Mientras el CISO habla de vectores de ataque, el board está pensando en márgenes, continuidad y reputación.

Por qué el discurso técnico no funciona en el board

Cuando un CISO habla de CVEs, superficie de exposición o puntuaciones de riesgo, la dirección escucha complejidad que no puede valorar ni priorizar. No es falta de interés: es falta de un marco de referencia común entre las dos partes.

El comité de dirección toma decisiones basadas en impacto financiero, continuidad operativa y reputación. Si la propuesta de ciberseguridad no habla ese idioma, compite en desventaja frente a otras inversiones que sí lo hacen con claridad.

No se trata de simplificar los conceptos técnicos. Se trata de traducirlos. Un mismo riesgo puede explicarse como una lista de vulnerabilidades o como el coste estimado para el negocio si ese riesgo se materializa. Una forma cierra puertas. La otra las abre.

Esa desconexión tiene también una consecuencia práctica en cómo se percibe la función de seguridad desde fuera de IT. Cuando el CISO no consigue que sus argumentos resuenen, la ciberseguridad se percibe como un coste puro, no como una inversión gestionada. Y eso hace que cada conversación presupuestaria empiece con desventaja acumulada.

Las métricas que sí generan conversación

El coste medio de un incidente de seguridad para una empresa mediana es un número que cualquier director financiero puede comparar con el coste de prevenirlo. Ese contraste directo es el núcleo del argumento presupuestario más efectivo que existe.

El tiempo de inactividad operativa, el impacto sobre clientes y proveedores, y las multas regulatorias derivadas del RGPD o de la directiva NIS2 son métricas que no requieren formación técnica para entenderse. Presentar el riesgo residual en términos monetarios —lo que la empresa asume si no invierte— suele ser más convincente que cualquier inventario de vulnerabilidades pendientes.

También ayuda enmarcar el argumento en términos de probabilidad de impacto. No se trata de decir que algo ocurrirá, sino de cuantificar qué significa para el negocio si ocurre. Ese nivel de concreción convierte el riesgo abstracto en algo evaluable por cualquier perfil directivo.

Los marcos argumentales que abren conversaciones

Estos son los enfoques que mejor funcionan para generar una conversación real sobre inversión en ciberseguridad con un comité de dirección que no tiene formación técnica:

1. El coste de un incidente frente al coste de prevenirlo: la prevención siempre sale más barata cuando se cuantifica con datos del propio negocio.
2. El impacto en la continuidad: cuántos días puede operar la empresa sin sus sistemas críticos y qué implica eso económicamente.
3. El cumplimiento normativo: las multas por incumplimiento del RGPD o de la directiva NIS2 son cuantificables y comprensibles para cualquier perfil directivo.
4. La comparativa sectorial: qué están invirtiendo organizaciones similares y cuál es el estándar de seguridad del propio sector.
5. El riesgo reputacional: el daño a la confianza de clientes y socios tras un incidente público es difícil de cuantificar, pero imposible de ignorar.

Ninguno de estos marcos funciona de forma aislada. Lo que genera decisiones es presentarlos con datos propios del negocio, no con estadísticas genéricas del sector. Cuanto más específico es el impacto estimado, más difícil resulta ignorarlo en una reunión de presupuesto.

Los errores más frecuentes al presentar el presupuesto

El error más común es llegar con una lista de necesidades sin priorizar. La dirección necesita saber qué es crítico, qué es importante y qué puede esperar. Una propuesta que trata todo como urgente consigue que nada lo parezca.

Otro error frecuente es no vincular cada inversión a un riesgo concreto. Pedir dinero para mejorar la postura de seguridad en general genera escepticismo. Pedir dinero para reducir la probabilidad de un ataque sobre un sistema específico, con un impacto estimado y cuantificado, genera atención y conversación real.

Ignorar el contexto del negocio en el momento de la presentación también penaliza. Si la empresa está en un periodo de contención de costes, las propuestas que mejoran la seguridad y reducen gasto operativo al mismo tiempo tienen mucho más recorrido que las que solo añaden coste fijo.

Hay también un error de timing que se repite con frecuencia. Presentar el presupuesto de ciberseguridad sin haberlo trabajado previamente con los aliados adecuados dentro de la organización es llegar tarde. Las conversaciones que importan ocurren antes de la reunión formal, no durante ella.

El CISO que conecta con el negocio, consigue el presupuesto

Conseguir financiación para ciberseguridad no es un problema técnico. Es un ejercicio de comunicación estratégica que requiere conocer bien al interlocutor, preparar el mensaje con sus prioridades en mente y elegir el momento adecuado.

Los CISOs que logran presupuestos consistentes no son siempre los que tienen los mejores argumentos técnicos. Son los que han aprendido a hablar el idioma de su organización, a construir relaciones con los interlocutores clave antes de necesitar su apoyo y a presentar la ciberseguridad como una función que protege el valor del negocio. Cada presentación ante el board es una oportunidad para cambiar esa percepción de forma duradera.