Gastos cruciales de ciberseguridad que no obtienen el presupuesto que se merecen

La preparación y aprobación del presupuesto de ciberseguridad es una de las responsabilidades más importantes para los ejecutivos de seguridad de TI. El presupuesto tiene un impacto directo en la capacidad de la organización para evitar o superar los ciberataques. Pero el panorama de la ciberseguridad es complejo y fluido. Por lo tanto, siempre existe la posibilidad real de no ver la imagen completa de los riesgos que enfrenta la empresa. Si el presupuesto de ciberseguridad no cubre adecuadamente todas las bases clave, la organización puede verse obligada a gastar mucho más en medidas correctivas más adelante para contener un ciberataque exitoso. Si bien los gastos de ciberseguridad más obvios son cruciales, es importante que no pierda de vista los no tan obvios, incluidos los siguientes.

gastos de ciberseguridad

1. Gastos de personal

Los costos de personal son quizás una cosa que no esperaría pasar desapercibida. Sin embargo, un número sorprendente de tomadores de decisiones no incorpora los gastos de los empleados en su presupuesto de ciberseguridad. A veces, se supone que la dotación de personal es algo que debe tratarse por separado. Sin embargo, este es un error potencialmente costoso.

Los expertos en ciberseguridad no son baratos. Desde hace años, queda un gran déficit de personal de seguridad de TI calificado en comparación con las vacantes de la industria. Se espera que este déficit persista durante años. Naturalmente, esto significa que la remuneración media de los profesionales de la ciberseguridad seguirá aumentando.

Pero este no es el único aspecto de los costos de los empleados que debería estar en el presupuesto de ciberseguridad. Los costos del presupuesto de los empleados deben incluir los gastos de capacitación del personal destinados a abordar el comportamiento malicioso, la negligencia o los errores del usuario.

2. Respuesta a incidentes

La respuesta a incidentes es otro gasto de ciberseguridad que no siempre recibe la atención presupuestaria y la asignación que se merece. Quizás eso se deba a que, para la mayoría de las organizaciones, los incidentes de seguridad significativos y exitosos no ocurren semanalmente, mensualmente o incluso trimestralmente. Es fácil que la respuesta a incidentes sea relegada a un segundo plano y tratada como una ocurrencia tardía.

Solo cuando ocurre un ciberataque, la organización se apresura a asignar fondos a la respuesta a incidentes. Este enfoque de la gestión de incidentes es una oportunidad perdida. Una estrategia de respuesta a incidentes bien pensada y debidamente financiada puede reducir o limitar la pérdida financiera resultante de un ciberataque.

El costo de la respuesta a incidentes debe incluir la revisión del plan de incidentes, la capacitación del personal y la adquisición de software.

3. Subestimación de la sustitución de recursos

Al contemplar los recursos que podrían verse comprometidos o destruidos después de un ciberataque, los tomadores de decisiones de seguridad cibernética se centrarán en los sistemas de misión crítica. Las estimaciones de los costos de reemplazo se calculan teniendo en cuenta estos sistemas sensibles y vulnerables. Y, en gran medida, esto parecería lo correcto.

Sin embargo, los ataques a los sistemas menos sensibles y vulnerables aún podrían afectar significativamente la capacidad de la organización para operar y cumplir con sus obligaciones. Sin tener en cuenta estos sistemas en los costos de reemplazo de recursos, la empresa seguramente tendrá dificultades para restaurar rápidamente las operaciones a la normalidad o casi a la misma.

4. Consultores

A las organizaciones no siempre les gustan los consultores y, a menudo, creen que es un lujo cuando se trata de gastos de ciberseguridad. Existe la sensación de que a los consultores se les pagan honorarios exorbitantes por afirmar lo obvio. Pero los consultores son un mal necesario, especialmente en el ámbito de la ciberseguridad. Cuando ocurre un ciberataque, pocas organizaciones tendrán la experiencia interna para contener y resolver el incidente por sí mismas.

Será necesario atraer a terceros que tengan un conocimiento más profundo de ese tipo de ataque y puedan proporcionar una guía basada en la experiencia que conduzca a una resolución rápida y concluyente. Sin reservar un presupuesto para consultores de ciberseguridad, la respuesta empresarial puede verse seriamente limitada. Cada minuto que el ataque permanece sin resolver es más tiempo para que los ciberdelincuentes logren sus nefastos objetivos.

5. Ciberseguro

seguro de ciberseguridad

Shutterstock

Muchas organizaciones están comenzando a considerar el ciberseguro como un componente clave de su estrategia de ciberseguridad. Sin embargo, una cantidad sorprendentemente grande de empresas no considera que el ciberseguro sea lo suficientemente importante como para incluirlo en su presupuesto de ciberseguridad.

La ausencia de un ciberseguro significa que la organización debe asumir la totalidad de las pérdidas financieras y los costos resultantes de una infracción. Tan útil es el ciberseguro que sigue siendo útil incluso si no termina suscribiéndose a la póliza. El proceso de suscripción en sí mismo puede identificar brechas de seguridad. Llenar estos vacíos puede mejorar su entorno de seguridad, ya sea que se suscriba o no a la póliza de seguro.

6. Servicios de seguridad en la nube

Atrás quedaron los días en los que necesitaba hacer todo lo relacionado con la seguridad internamente. El entorno informático ha cambiado drásticamente en los últimos años. Los servidores en la nube son la norma empresarial. Por lo tanto, si dirige una organización grande o tiene un número limitado de personal de ciberseguridad, debe considerar incluir un presupuesto para la seguridad como servicio.

Esto reduce la carga de su personal de ciberseguridad al tiempo que le permite aprovechar la experiencia de un equipo con amplia experiencia en seguridad en la nube. En ausencia de seguridad en la nube, sus empleados de seguridad podrían estar al límite y tener dificultades para mantenerse al tanto de los riesgos de la computación en la nube.

7. Gestión del cambio

El cambio es un hecho de la vida diaria. Esto también es válido para la ciberseguridad. No solo tiene que lidiar con las preocupaciones de seguridad de su configuración existente, sino que también debe adaptarse a los costos del panorama de la ciberseguridad en evolución. Los nuevos escenarios pueden requerir una nueva postura de seguridad, y esto requerirá gastos adicionales.

En lugar de esperar hasta que se desarrollen estos nuevos escenarios, es prudente reservar un presupuesto para la gestión del cambio desde el principio. Los costos cubrirían todo, desde cambios de estrategia y cambios de proceso hasta actualizaciones de software y necesidades de capacitación.

Lo que gasta es tan importante como cuánto gasta

Si bien el aumento del gasto en ciberseguridad es positivo, la solidez de la protección no es solo un factor de la cantidad total de dinero gastado. Saber en qué gastar es el verdadero desafío. Un presupuesto de seguridad integral no tiene que estar respaldado por grandes cantidades de efectivo para ser efectivo. Sin embargo, requiere identificar y abordar todos los riesgos clave.

Nunca hay garantía de protección al 100 por ciento. Sin embargo, su mejor opción es implementar un presupuesto de ciberseguridad dinámico y multifacético basado en riesgos. Con eso, existe un menor riesgo de que cualquier componente crítico se caiga por las grietas.

Imagen destacada: Shutterstock


Vistas de publicaciones:
13


EzoicoQuéjate de este anuncio

Leave a Reply

Your email address will not be published. Required fields are marked *