¿Cómo conseguir más presupuesto para seguridad?

Adrian Gonzalez

Es común ver a los CISO y CSO quejándose de que los fondos no son suficientes, a pesar de que la información que esta en peligro es la de toda la empresa.

CIO

Este es un tema en constante debate. Un presupuesto de seguridad influirá indirectamente en lo bien que un CISO pueda proteger tu negocio y sus bienes y, finalmente, en lo bien que hagan su trabajo lo que, a su vez, determinará cuánto tiempo permanecerán en la empresa.

Los CISO, CSO y  CIO entienden que, en estos tiempos económicamente difíciles, deben investigar con más cuidado. Para ellos esto implica utilizar eficientemente el dinero y arreglárselas con las soluciones que ya poseen, con el fin de proteger los bienes que realmente les importan. También involucra la mejora del personal y el desarrollo de campañas eficaces para la concientización de la seguridad.

Tenga cuidado con el gran agujero negro

Se estima que los presupuestos de seguridad representan entre el 5% y el 15% del total asignado al departamento de TI. Un informe de Gartner detalló que compararse con los pares de la industria es inútil, ya que se puede gastar en las cosas equivocadas y ser extremadamente vulnerable.

Por ello, existen numerosas preguntas que los CISO deben plantearse, por ejemplo: ¿En qué debo enfocar mis gastos? ¿Ya tenemos soluciones para protegernos? ¿El vendedor nos está ofreciendo aceite de serpiente? ¿Qué diferencias importantes hará esta inversión en nuestra capacidad de manejar riesgos y mejorar la seguridad?

En el Informe de Seguridad de Alto Rendimiento de Accenture de 2016, una encuesta entre 2 mil ejecutivos de seguridad de grandes empresas, mostró que el 53% de los encuestados mencionaron que la amenaza interna tiene el mayor impacto material en su negocio y, sin embargo, la mayoría de estas empresas estaban priorizando el gasto en seguridad de end point y en la nube.

Algunas empresas como Bank of America poseen una importante inversión en ciberseguridad. Por ejemplo, JP Morgan, luego de ser atacado en agosto de 2014, mencionó que su presupuesto de ciberseguridad superó los US$500 millones en 2016, más del doble de los US$250 millones que destinó el año anterior; mientras que un artículo de Crain afirmó recientemente que el presupuesto de seguridad de TI de Citibank es de alrededor de US$300 millones.

Igualmente, Yahoo Finance informó que Wells Fargo gasta en este rubro aproximadamente US$250 millones al año y la firma de analistas Cybersecurity Ventures pronosticó un mayor crecimiento en el próximo año, tanto en el gobierno como en los negocios.

Pidiendo más dinero

Si se alinea la seguridad con el negocio, se analiza y evalúa el desempeño del equipo y existe buena comunicación con la junta; siempre habrá oportunidades para más discusiones y reevaluaciones presupuestarias.

Chris Gibson, CISO en la firma británica de servicios financieros Close Brothers y anteriormente cabeza de CERT UK, expresó que los CISO deben ser lo suficientemente audaces para pedir más dinero.

“Tradicionalmente InfoSec es visto por las empresas como un gasto que está dirigido por un personal que no entiende sobre la gestión de riesgo. Tech es un escenario binario y a menudo basado en reglas. El riesgo no lo es, es una escala móvil. Lo que tengo que hacer es explicarle a la empresa y a la junta el nivel de riesgo que tiene una decisión. Es totalmente posible al ponderar el riesgo total de un proyecto, minimizar el de InfoSec, y eso les permite asumir más riesgos en algún otro lugar de ese proyecto”, amplió Gibson.

Aprovechando al máximo lo que tienes

El año pasado, mientras que dos tercios de los miembros del Institute of Information Security Professionals (IISP) dijeron que sus presupuestos de seguridad habían aumentado, el 60% dijo que no estaba siguiendo el ritmo del panorama de la amenaza. Solo 7% informó que sus presupuestos de seguridad estaban subiendo más rápido que las amenazas.

Steve Wright, jefe de privacidad de los datos de grupo y de InfoSec en John Lewis, recalcó que tiene algunos consejos útiles para hacer que el dinero dure y sea gastado en los lugares correctos. Detalló la importancia que tiene la revisión de la efectividad; es decir, ver si el presupuesto es efectivo para el propósito.

Señaló que en el 2017 deberían ver a los CISO o jefes de InfoSec invirtiendo más en la predicción de su capacidad de seguridad. Sin embargo, advirtió sobre el reto de aumentar la velocidad del cambio de los hábitos de gasto en el próximo año, lo que quizás no es sorprendente.

Este artículo está clasificado como: , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR