5 recomendaciones para gestionar el presupuesto de seguridad en 2023

El papel del CISO actual es proteger el negocio, el personal y la información yasí como administrar el presupuesto atendiendo a las prioridades de negocio. Según Gartner, para 2023, el 30% de la efectividad de un CISO se medirá directamente en su capacidad para crear valor para el negocio.

Publicado el 09 Sep 2022

cybersecurity concept, internet security, screen with padlock

El papel del CISO actual es proteger el negocio, el personal y la información y una parte importante de estas tareas implica también administrar el presupuesto atendiendo a las prioridades de negocio. Según Gartner, para 2023, el 30% de la efectividad de un CISO se medirá directamente en su capacidad para crear valor para el negocio. Esto significa que cualquier programa de ciberseguridad deberá estar alineado con el plan denegocio corporativo, protegiendo y controlando todas las fuentes de ingresos existentes.

Los expertos de Qualys, Inc. proveedor pionero de soluciones de cumplimiento y seguridad basadas en la nube, han elaborado una guía con las 5 recomendaciones clave que cualquier CISO debería tener presente en el contexto actual, a la hora de elaborar su próximo presupuesto:

1. Ampliar las relaciones con otros departamentos:

El CISO actual ha de ganar posicionamiento como socio de negocio dentro de la compañía y colocar la ciberseguridad como un facilitador de la actividad comercial, en lugar de como un mero centro de gastos. Para adoptar este enfoque es necesario estrechar sólidas relaciones con múltiples departamentos de la organización (ventas, comercial, marketing, logística, etc). Esto revertirá en un CISO mejor informado, que podrá demostrar que sus decisiones presupuestarias se relacionan directamente con la forma en que el negocio genera ingresos o logra otros objetivos, como la eficiencia operativa, y exponer así los riesgos de seguridad en función de su impacto comercial.

“Se trata de buscar las fórmulas más apropiadas para que la seguridad ayude a cada área de negocio. Sentar la base del presupuesto sobre las preocupaciones comerciales y operativas concretas permite una visión más completa y eficaz que realmente permite vincular los gastos de seguridad con los resultados”, subraya Sergio Pedroche, country manager de Qualys para España y Portugal.

2. Cada cosa en su lugar:

El ciclo presupuestario debe comenzar con la evaluación de los activos y riesgos de la empresa y una descripción precisa de los mismos, así como de los recursos de TI. Aunque comprender los activos más críticos para el negocio garantizará que se les asigne la protección adecuada, no será posible si no cumplimos el primer paso: “conocer cada activo y donde está”. Porque los resultados de esta evaluación serán parte integral en la planificación y recomendaciones presupuestarias. Asimismo, un presupuesto eficaz contemplará también la fuerza laboral de la empresa y la cultura corporativa. Será importante reservar partidas concretas para aumentar el conocimiento y la concienciación en seguridad e ir creando una cultura que valore la importancia de los activos, reconozca los modelos de cumplimiento y esté familiarizada con la notificación de incidentes.

“Todavía es bastante común encontrar compañías sin inventarios de activos de TI precisos o que carecen de elementos clave de mitigación. Inventariar todo es un paso esencial, pero fomentar una cultura corporativa alineada con esta tarea, un reto igualmente necesario”, destaca Pedroche.

3. Habilidades y automatización

Una de las mejores inversiones que cualquier CISO puede hacer actualmente es en personal capacitado. Y dada la brecha de habilidades del mercado actual, -donde es muy difícil adquirir y retener profesionales de seguridad altamente cualificados-, una excelente opción se halla en invertir en el desarrollo de los propios empleados tanto como sea posible, así como en mantener una cultura que los retenga.

Otra clave se encuentra en apoyarse al máximo en la automatización para que el personal pueda ser más efectivo y productivo. Al analizar posibles inversiones, será necesario considerar no sólo el coste, sino también el ahorro que podrán implicar y los recursos que podrán liberar para destinarlos a otras tareas.

4. Establecer el presupuesto de manera diferente

En las desafiantes circunstancias actuales, se prevé que los presupuestos de ciberseguridad se mantengan estables en el mejor de los casos. La consolidación de proveedores puede ayudar a disponer de más recursos con menor inversión y aumentar la flexibilidad del presupuesto a nivel temporal puede ser otra vertiente de ahorro.

Por ejemplo, pasar a una revisión de presupuesto trimestral, más corta, en lugar de revisiones anuales puede ayudar a concentrar los esfuerzos y los recursos de manera más precisa donde se necesitan. Si un proveedor no ofrece suficiente valor, se puede tomar una decisión más rápido.

5. Métricas claras y precisas

Todos los presupuestos se revisan con el tiempo, y todos los equipos de seguridad deben informar a la dirección sobre sus resultados. Para que esto sea efectivo, es interesante considerar cómo diseñar métricas significativas que demuestren la contribución a la creación de valor empresarial, así como a la gestión de riesgos de seguridad. Esto debería garantizar un seguimiento adecuado de las operaciones de seguridad para una mejora continua y que obtenga soporte en el futuro.

En resumen, los expertos de Qualys subrayan que los CISO deben realizar una evaluación exhaustiva de la postura de seguridad actual y estimar exactamente cómo la seguridad puede contribuir a los objetivos y prioridades de negocio. Este enfoque les permitirá priorizar y administrar el presupuesto de un modo más integral y efectivo de cara a 2023.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

T
Redacción TICPymes

Artículos relacionados