Ciberseguridad

Una elección para el futuro: descubre las mejores opciones de presupuesto para la ciberseguridad de tu negocio.

Calcular cuál será tu presupuesto para ciberseguridad no es fácil. Conoce dos posibles enfoques para el sector y qué puedes aprender con cada uno de ellos.

Compartir articulo

Alrededor del mundo, los gastos con productos y servicios de ciberseguridad han crecido mucho en los últimos años. De acuerdo con la consultora Gartner, el gasto total superó los US $114 mil millones en 2018, un valor 12,4% más alto que el de 2017, y alcanzó los US $124 mil millones en 2019. O sea, este es el momento para unirse a esa corriente.

Además, los propios líderes de seguridad de TI dentro das empresas también tienen expectativas altas para el sector, ya que el 72% de ellos afirman que su presupuesto para 2020 aumentó. Pero, con más dinero invertido en la seguridad de datos, una pregunta queda en el aire: ¿cómo está siendo invertido ese dinero?

El tema es: existen dos maneras de decidir el futuro de la ciberseguridad dentro de tu empresa:

  1. Apostar en tu intuición y la experiencia previa en situaciones similares o seguir las decisiones de terceros. Ese es el enfoque convencional.
  2. Analizar tu caso específicamente, separarlo en pequeñas partes y tratar de calcular la probabilidad de que cada una de esas partes cambie en un futuro cercano. Eso es lo que llamamos un enfoque basado en riesgos.

Ahora vamos a analizar esas dos estrategias en detalles, lo que cada una de ellas significa en términos prácticos y cual de ellas tiene más chances de tener resultado en tu negocio.

Haciendo tu presupuesto de seguridad digital – Enfoque 1: Convencional

La estrategia más común a la hora de planear el presupuesto de ciberseguridad de una compañía está comúnmente basada en las necesidades actuales e inmediatas o en experiencias previas, especialmente en los casos de compañías en crecimiento que necesitan tener las medidas mínimas de ciberseguridad y las herramientas para seguir creciendo.

Para ese tipo de organización, el planteamiento de presupuesto está basado en el patrimonio, con el mismo nivel de presupuesto siendo mantenido por varios ciclos, solamente con ajustes mínimos. No existe la práctica de definir objetivos estratégicos de seguridad de TI o de evaluar riesgos específicos: el dinero generalmente es usado en necesidades emergentes y para soporte, con un enfoque despreocupado. El dinero se destina a lo que ocurra primero.

Esa estrategia tiene todo para funcionar, a menos que ocurran cambios repentinos en la empresa. Por ejemplo, puedes decidir de un instante a otro que quieres invertir en la transformación digital de una empresa o traer un servicios de CRM o contabilidad basado en la nube. Pero acciones como esa exigen, en el escenario ideal, un aumento rápido de los gastos en seguridad de TI y mano de obra cualificada en el área para poder protegerse de las amenazas que la tecnología trae. Con eso, otros cambios e implantaciones son pospuestas y acumuladas para el futuro.

Infelizmente, eso significa que más dinero será necesario. ¿Porqué? Los gastos en seguridad pueden aumentar considerablemente cada vez que algo inesperado ocurra, porque aún será necesario solucionar el problema de la forma más rápida posible, no importa el valor, pero sin una defensa preventiva. Al mismo tiempo algunas organizaciones de gran porte ya tienen un enfoque más experimentado y maduro para gestionar riesgos pueden terminar gastando menos en seguridad de TI con ese enfoque. De cualquier forma, esa es la primera opción.

Haciendo tu presupuesto de seguridad digital – Enfoque 2: Calculando riesgos

No es algo sorprendente que en el 2019, la experiencia en gestión de riesgos haya sido citada dentro de las tres habilidades más importantes para los gerentes de seguridad de datos. Alrededor del planeta, compañías maduras actúan con la gestión de riesgos como parte fundamental de sus operaciones. Y el TI y la ciberseguridad no son ajenos a eso.

La cuestión no es sobre tratar de tapar todos los agujeros al mismo tiempo, es sobre estrategia. Primero, vale averiguar los riesgos asociados a casos críticos de ataques virtuales, sea la disminución en la oferta y en la calidad del servicio ofrecido a los clientes, daños a la reputación de la empresa, la pérdida de oportunidades de negocio o hasta prejuicios directamente financieros. Luego, calcula los riesgos: multiplica la probabilidad de que uno de esos incidentes ocurra por el costo que eso tendría y decide si existe la necesidad de implementar medidas de seguridad para evitarlo. Para negocios con ese tipo de pensamiento, la seguridad digital no es un hábito o una inversión vista como un “mal necesario” causado por titulares sensacionalistas. Es una acción apropiada y derivada de cálculos y planificación.

Cada negocio es único, lo que significa que enfrentan diferentes tipos de riesgos. Por ejemplo, para un e-commerce, existe una buena chance de que un ataque DDoS (“Denegación de servicio distribuido”, en traducción libre) que derriban los servidores al sobrecargarlos y aumentar el volumen del tráfico de internet, puedan causar daños masivos, tanto en el ámbito financiero cuanto en la reputación de la compañía. Mientras eso, organizaciones financieras y gubernamentales están sujetas a multas en caso de que sus sistemas sean invadidos o atacados, lo que exige que gran parte de su presupuesto sea gasto para contener esos ataques.

Además, los desarrolladores de softwares y proveedores de servicios también pueden ser blancos para ataques, así como invasiones a su cadena de suministros puede terminar en un problema para sus consumidores. En otras palabras: existen casi tantos modelos de ataques cuánto de negocios,  cada uno con sus riesgos muy específicos y en constante evolución.

Calcular riesgos involucra siempre un cierto nivel de probabilidad y la experiencia en seguridad de TI se está volviendo una parte crucial de los procesos de análisis de riesgos. En ese caso, los expertos en ciberseguridad, incluyendo los servidores externos, pueden ayudar a evaluar las posibilidades y usar su experiencia para causar un impacto positivo.

Finalmente, cuando ese es el enfoque elegido para decidir sobre una compra de una solución o servicio de ciberseguridad, generalmente existe un proceso más transparente de aprobación con los directores y gerentes del alto escalón. Eso significa que son evitadas decisiones repentinas y centralizadas, donde un funcionario de TI toma una decisión para elegir la forma más barata y eficaz de manejar esos problemas, pero termina eligiendo otra solución, por ejemplo, por ya estar familiarizado con la herramienta o por haber trabajado con ella en el pasado, entre otros motivos.

Claro que los procesos de análisis de riesgo cambian de una empresa para otra y están en constante evolución. Aún así, tres componentes permanecen fundamentales para ayudar a hacer la planificación de presupuesto más eficiente: expertos, evaluación de riesgos y el establecimiento de una cadena clara de decisiones. En el fondo, esa aún es la mejor forma de asegurar que las inversiones hechas en la seguridad de TI estén alineadas con las necesidades e intereses de la compañía.

¿Qué lecciones pueden aprender las compañías?

it security spend

Planear un presupuesto de seguridad es parecido a cuidar de la mantención de un auto. Como dueño, debes hacer un cálculo aproximado para estimar el costo promedio de gastos regulares como neumáticos, revisiones y otras cosas.  Pero aquellos que son entusiastas de las carreras saben que es necesario prácticamente cambiar las ruedas en movimiento antes mismo de que estén gastadas, todo para estar preparado para completar la carrera y asegurar de que tengas presupuesto suficiente para todos los componentes de auto que suelen tener vida corta, como neumáticos y frenos. Ese segundo enfoque es más maduro y generalmente suele ayudar a ahorrar dinero, pero también exige más experiencia, tiempo y dedicación.

En general, existen algunas consideraciones a la hora de calcular tu presupuesto para el área de TI:

Conocimiento es poder

Mientras estés evaluando riesgos, mantente atento a las amenazas que más suelen afectar a las compañías de tu ramo y tamaño, y empieza a planear de acuerdo. Para eso, es crucial informarse y acceder a los reportes más actualizados sobre amenazas inteligentes.

Abraza la experiencia

Independiente de si estás usando talento interno, externo o ambos, es importante que esas personas sepan evaluar los riesgos y el valor potencial de soluciones y servicios de ciberseguridad. Incluso la mayoría de los proveedores ofrece una variedad de entrenamientos para que las organizaciones puedan mejorar sus niveles internos de experiencia sobre el tema.

Llama a los expertos (si necesario)

La subcontratación es una opción muy válida para organizaciones que aún no tengan experiencia suficiente entre sus empleados, ni procesos establecidos de evaluación de riesgos. Lo importante es tener un acuerdo de servicio (SLA) para poder trasladar los valores invertidos desde la plantilla de gastos de capital (CapEx) hacia la de gastos de operación (OpEx), y así mantener un nivel seguro de gastos en seguridad.

Prueba diferentes herramientas

Estudiar solamente benchmarks y referencias de tu industria para elegir tu presupuesto no es suficiente, pero herramientas como la Kaspersky IT Security Calculator pueden proveer informaciones valiosas sobre amenazas, mensuración y números que ayuden a evaluar las opciones para una industria en particular, su tamaño y localización.

Cuando estás manejando algo tan serio como la seguridad digital de una corporación o preparándote para correr en alta velocidad, cómo comparamos, es mejor gastar un buen tiempo preparándote con anticipación, consultando a los expertos en el tema y planeando posibles situaciones. Después de todo, como dice el dicho, la prisa es enemiga de la perfección.

 

Conoce las amenazas más comunes para tu negocio

Lee el reporte de 2019 de la Kaspersky IT Calculator y entérate sobre las principales amenazas digitales en tu industria