La planificación y la presupuestación anual siempre han sido un aspecto crítico para las empresas, aunque potencialmente engorroso, para establecer una postura de seguridad exitosa. La seguridad de la información no contribuye directamente al resultado final de la mayoría de las empresas y la dirección suele considerarla como un coste. Por eso, es esencial que los responsables de seguridad y CISO asignen el presupuesto que reciben de la manera más eficaz posible cada año. Entonces, ¿cuáles son las buenas prácticas clave para la planificación de la seguridad este 2021?
Índice de temas
¿Por dónde empezar?
Por desgracia, no existe un “botón fácil” para saber exactamente cuánto se debe gastar en seguridad. Cada organización es única, y la cantidad que debe invertir depende de su perfil de riesgo TI específico. Para calibrar el riesgo es necesario realizar una auditoría completa de la infraestructura y los datos de cada organización. Hasta que no sepa qué datos importantes almacena, dónde se encuentran y cuál sería el impacto de la pérdida o filtración de esos datos, no sabrá los costes asociados a la gestión de un incidente de seguridad. Conocer esos costes le ayudará a identificar una cantidad razonable a dedicar para prevenirlos. No olvide que la “disponibilidad” de sus datos también es importante. Necesita protegerse contra el tiempo de inactividad tanto como de la pérdida de datos.
También debe prestar atención a cualquier normativa que deba cumplir su empresa. Si su organización opera en el ámbito de la atención médica, debe cumplir con la HIPAA. Si acepta tarjetas de crédito, debe cumplir con los requisitos de la PCI. Estas regulaciones conllevan multas y sanciones muy específicas. Esas cuantías específicas pueden ayudarle a orientar el coste final de una infracción.
Dicho esto, la forma más fácil de ver si se está en el terreno correcto es compararse con empresas similares. Varias firmas analistas encuestan regularmente a las empresas para preguntarles qué porcentaje del presupuesto de TI dedican a seguridad. Las respuestas varían mucho, pero una encuesta de Deloitte de 2019 muestra entre el 6% y el 14% de los presupuestos de TI, con una media del 10%. Sopese la asignación de su presupuesto de seguridad en función de estas cifras, pero sepa que su posición dentro de estos rangos depende del grado en que su empresa confía en su infraestructura de TI y del volumen de datos sensibles que alberga. Si ejecuta un negocio de tipo heredado con menos recursos de TI, probablemente esté bien en el rango más bajo, mientras que una empresa más moderna y avanzada en TI, con información crítica de propiedad intelectual, financiera y de clientes, probablemente se encuentre en un rango superior.
El informe anual de Ponemon sobre el coste de una brecha de datos desglosa el coste de una filtración de datos por región, el sector vertical de la empresa y el tipo de ataque. De hecho, una de las estadísticas más interesantes del informe es su “coste medio de una brecha por registro de cliente” (150 dólares por registro comprometido en 2020). No importa lo grande o pequeña que sea su organización, estos datos le ofrecen una forma conveniente de estimar el coste medio de una brecha en función del número de registros de clientes que podría perder. Nunca debe gastar más en seguridad que el coste máximo de una brecha multiplicado por su porcentaje de probabilidad.
El impacto del COVID-19
A medida que los efectos de la pandemia global continúan haciéndose palpables en todo el mundo, el cambio acelerado al trabajo remoto ha sido y seguirá siendo una consideración importante para los CISO. Se necesitará algún tiempo para comprender plenamente cómo el COVID-19 afectará a las prioridades y al gasto en seguridad, pero hay dos cosas que probablemente resulten ciertas:
En primer lugar, es probable que aumente el gasto en seguridad por empleado. En su informe IT Key Metrics Data 2019, Gartner informó que el gasto medio en seguridad por empleado durante 2018 fue de 1.178 dólares, lo que representó un aumento significativo del 67% en comparación con 2012. El informe no especifica la causa de este pico, pero es probable que esté relacionado con el crecimiento del trabajo remoto durante ese período. En su oficina, puede consolidar muchas defensas en un solo perímetro de red: la puerta de entrada a la red de la oficina. No tiene que invertir tanto en defensas individuales cuando tiene una seguridad perimetral compartida. Sin embargo, las fuerzas de trabajo remotas significan que cada empleado necesita sus propias protecciones discretas, lo que podría explicar parte del aumento del gasto. El COVID-19 ha forzado de la noche a la mañana un cambio global hacia el teletrabajo, lo que podría aumentar ligeramente el gasto en seguridad por empleado en el futuro.
En segundo lugar -y esperemos que esto sea una mejor noticia-, el COVID-19 hará que las organizaciones reequilibren principalmente los presupuestos existentes. Aunque los presupuestos de seguridad pueden aumentar debido a los empleados remotos, usted tiene la opción de financiar parte de ese crecimiento simplemente reasignando el gasto en seguridad de forma estratégica. El perímetro de su oficina, la nube y los usuarios remotos necesitan controles de seguridad, pero en qué invierte más debería depender de dónde están sus datos más importantes y de cuántos activos tiene en cada lugar. Si tiene más empleados trabajando desde casa, y más servicios en la nube, quizá deba equilibrar su presupuesto actual para priorizar en eso, y viceversa. Sin embargo, al final la pandemia centrará o aumentará los presupuestos de la mayoría de las organizaciones en torno a las defensas basadas en los endpoints y en los usuarios.
La evolución de las amenazas puede ser su guía
Siempre hay que prestar atención al panorama actual de amenazas y ajustar el gasto y las prioridades de seguridad en consecuencia. Cuando el ransomware estalló por primera vez en 2016, debería haber concentrado su presupuesto en controles de seguridad relacionados con las copias de seguridad y la recuperación ante desastres o la detección avanzada de malware para atrapar el ransomware evasivo. A lo largo de 2019 y 2020, el spear-phishing y el robo de credenciales se han disparado, demostrando el mantra de que “los hackers no entran, se registran”. Este año puede centrar su gasto en la protección de la identidad digital de los usuarios con soluciones de autenticación multifactor (avanzado MFA) (especialmente cuando todos trabajan desde casa). Independientemente de cuáles sean las últimas tendencias en materia de ataques, manténgase siempre al tanto de la evolución del panorama de amenazas, ya que los cambios en la forma de operar de los hackers pueden afectar a la cantidad de presupuesto que necesita y a la forma de gastarlo.
Ponerlo todo junto
El aspecto más importante de cualquier ciclo exitoso de planificación y presupuestación de la seguridad es comenzar con mediciones de riesgo cuantificables y evaluaciones de impacto. Identifique todas y cada una de las normativas que debe cumplir su empresa, así como las sanciones asociadas a los incidentes y a los incumplimientos. Realice una auditoría de riesgos formal para inventariar sus datos sensibles y medir el impacto financiero de cualquier pérdida temporal o permanente. Consulte los puntos de referencia de presupuestos de seguridad para su sector vertical, el número de empleados y los costes medios de las brechas de datos.
Si hace ese trabajo, debería establecer un presupuesto decente para su organización. Sin embargo, no olvide dejar espacio para su crecimiento y transformación digital. Aunque la seguridad puede no percibirse como un elemento facilitador del negocio, la prevención de incidentes es un imperativo en los negocios modernos. Dicho esto, si implementa la seguridad de forma incorrecta o deficiente, esto puede convertirse en un impedimento para el negocio. Considere la posibilidad de incluir un margen adicional en su presupuesto de seguridad para asegurarse de que puede desplegar soluciones sofisticadas que permitan simplificar la seguridad, reducir la fricción e incluso ayudar a facilitar su transformación digital.
