EDUARDO TAMBIÉN ESTÁ EN:

Cuando tu bono depende de la ciberseguridad: la nueva estrategia corporativa

La ciberseguridad dejó de ser solo cosa de TI. Hoy, empresas como Microsoft ligan la compensación a los resultados en ciberseguridad.¿Podría aplicarse en México y Latinoamérica?

18 de agosto, 2025

Jose Luis Garcia

La ciberseguridad está dejando de ser un tema exclusivo del área de TI para convertirse en un asunto estratégico que involucra directamente a los colaboradores y a la alta dirección. La razón es clara: la mayoría de los incidentes de seguridad tienen como punto de entrada al factor humano. Ahora, algunas empresas han decidido dar un paso más allá: ligar la compensación económica de sus ejecutivos —y en algunos casos de empleados clave— a los resultados en materia de seguridad informática.

Motivos detrás de esta estrategia

El impacto de un ataque cibernético no se mide solo en datos robados, sino en pérdidas millonarias, sanciones regulatorias y daños reputacionales que pueden tardar años en repararse. En este contexto, la ciberseguridad esta dejando de ser un “checklist técnico” y se ha convertido en un indicador de desempeño corporativo.

Ejemplos reales de aplicación

· Microsoft anunció en 2024 que un tercio de los bonos de desempeño de sus líderes senior está vinculado a hitos de ciberseguridad dentro de su plan “Secure Future”. El propio CEO, Satya Nadella, aceptó una reducción de casi 50 % en su incentivo en efectivo, tras incidentes que afectaron la confianza en la compañía.

· Marks & Spencer (M&S), Reino Unido: su CEO Stuart Machin se enfrenta a la posibilidad de perder más de £1 millón en acciones por desempeño, tras un ciberataque que impactó severamente al negocio y a la acción de la empresa.

Tendencia global: en el S&P 500, el 9.6 % de las empresas ya incorpora métricas de ciberseguridad en sus esquemas de compensación ejecutiva, incluyendo nombres como Johnson & Johnson y London Stock Exchange Group.Estos casos muestran que la seguridad ya no solo se mide en firewalls y antivirus, sino también en los indicadores financieros de quienes toman decisiones clave.

IrVentajas y beneficios

Para los colaboradores y ejecutivos:· Refuerza el sentido de corresponsabilidad: la seguridad ya no es “problema del área de TI o de Ciberseguridad”.

· Reconocimiento directo de que las acciones de cada persona impactan en la protección de la empresa.

· Alineación clara de objetivos: cuidar la información también cuida su bono.

Para la organización:

· Mejora del compromiso en todos los niveles.

· Reducción de riesgos humanos en incidentes como phishing o fugas de información.· Mayor atractivo para clientes, socios y aseguradoras que valoran este tipo de prácticas.· Transparencia: si el liderazgo no cumple en ciberseguridad, se refleja directamente en sus ingresos.

Tendencia a futuro

Aunque todavía son pocos los casos, la presión regulatoria y el aumento de ciberataques acelerarán la adopción de esta estrategia. Es probable que en sectores como financiero, salud y telecomunicaciones se convierta en un estándar en los próximos años. Además, el mercado de programas de concientización está en expansión: pasó de USD 5.6 mil millones en 2023 y casi se duplicará para 2027, lo que demuestra que las organizaciones ya ven la seguridad como una inversión y no solo un gasto.

Acciones complementarias necesarias

Para que este modelo funcione no basta con ligar un bono a la seguridad. Se requiere:· Capacitación continua para mantener actualizada a la plantilla.

· Simulaciones de ataques (Phishing, Smishing, Ingeniería Social) realistas.

· Retroalimentación clara y constructiva a los colaboradores.

· Ejemplo desde la alta dirección: Líderes que participen activamente en programas de seguridad.

Métricas transparentes y alcanzables, comunicadas de manera sencilla a toda la organización.

Conclusión

Vincular la compensación económica a la ciberseguridad es un cambio de paradigma que eleva este tema al nivel estratégico que merece. No se trata solo de proteger sistemas, sino de alinear incentivos financieros con la supervivencia y reputación de la empresa.¿Crees que esta iniciativa aplicaría en México y Latinoamérica? Espero tus comentarios.

Fuentes:

HR Brew

Business Chief

Financial Times

Harvard Law – Corporate Governance

KnowBe4 Blog

SHRM

Comentarios

Jose Luis Garcia

BIO JOSE LUIS GARCIA José Luis García es Emprendedor y Director General de Grupo ETP. Graduado de la Universidad Autónoma Metropolitana como Ingeniero Industrial, con posgrados en Ciberseguridad y Finanzas por el Tecnológico de Monterrey y CISO Club, ha colaborado en posiciones ejecutivas para empresas como NCR de México, Moore de México y fue socio fundador de Netrix empresa especializada en Seguridad Informática. Durante su carrera profesional ha desarrollado exitosamente la instalación del primer SOC-MSSP de carácter internacional con Verisign, hoy Secure Works, desarrollando proyectos de integración en Seguridad informática, gestión de riesgos, certificación ISO 27000, y Security Awareness entre otros para instituciones como el SAT, SCT, Banorte, BanBajio, HDI, Banco Ve Por Mas, etcétera. Cuenta con las certificaciones Certified Cybersecurity Awareness Professional Certified Cybersecurity Professional por HIPAA y Cybersecurity Awareness – CAPC por CertiProf. Actualmente, dirige ETP Tecnología - unidad de negocios de Grupo ETP - como una empresa especializada en el ramo de la Seguridad de la Información y Gestión de Activos de TI.

See Full Bio