Consejos para preparar y gestionar el presupuesto de seguridad en 2023
- Actualidad
Según Gartner, para 2023, el 30% de la efectividad de un CISO se medirá directamente en su capacidad para crear valor para el negocio. Esto significa que cualquier programa de ciberseguridad deberá estar alineado con el plan de negocio corporativo, protegiendo y controlando todas las fuentes de ingresos existentes. Estos son los consejos de Qualys para que los responsables de ciberseguridad elaboren su presupuesto.
El papel del CISO actual es proteger el negocio, el personal y la información y una parte importante de estas tareas implica también administrar el presupuesto atendiendo a las prioridades de negocio. Estas son los cinco consejos de Qualys que deberían tener en cuenta para elaborar su próximo presupuesto en el contexto actual:
Ampliar las relaciones con otros departamentos
El CISO actual ha de ganar posicionamiento como socio de negocio dentro de la compañía y colocar la ciberseguridad como un facilitador de la actividad comercial, en lugar de como un mero centro de gastos. Para adoptar este enfoque es necesario estrechar sólidas relaciones con múltiples departamentos de la organización (ventas, comercial, marketing, logística, etc). Esto revertirá en un CISO mejor informado, que podrá demostrar que sus decisiones presupuestarias se relacionan directamente con la forma en que el negocio genera ingresos o logra otros objetivos, como la eficiencia operativa, y exponer así los riesgos de seguridad en función de su impacto comercial.
“Se trata de buscar las fórmulas más apropiadas para que la seguridad ayude a cada área de negocio. Sentar la base del presupuesto sobre las preocupaciones comerciales y operativas concretas permite una visión más completa y eficaz que realmente permite vincular los gastos de seguridad con los resultados”, subraya Sergio Pedroche, country manager de Qualys para España y Portugal.
Cada cosa en su lugar
El ciclo presupuestario debe comenzar con la evaluación de los activos y riesgos de la empresa y una descripción precisa de los mismos, así como de los recursos de TI. Aunque comprender los activos más críticos para el negocio garantizará que se les asigne la protección adecuada, no será posible si no cumplimos el primer paso: “conocer cada activo y donde está”. Porque los resultados de esta evaluación serán parte integral en la planificación y recomendaciones presupuestarias. Asimismo, un presupuesto eficaz contemplará también la fuerza laboral de la empresa y la cultura corporativa. Será importante reservar partidas concretas para aumentar el conocimiento y la concienciación en seguridad e ir creando una cultura que valore la importancia de los activos, reconozca los modelos de cumplimiento y esté familiarizada con la notificación de incidentes.
“Todavía es bastante común encontrar compañías sin inventarios de activos de TI precisos o que carecen de elementos clave de mitigación. Inventariar todo es un paso esencial, pero fomentar una cultura corporativa alineada con esta tarea, un reto igualmente necesario”, destaca Pedroche.
Habilidades y automatización
Una de las mejores inversiones que cualquier CISO puede hacer actualmente es en personal capacitado. Y dada la brecha de habilidades del mercado actual, -donde es muy difícil adquirir y retener profesionales de seguridad altamente cualificados-, una excelente opción se halla en invertir en el desarrollo de los propios empleados tanto como sea posible, así como en mantener una cultura que los retenga.
Otra clave se encuentra en apoyarse al máximo en la automatización para que el personal pueda ser más efectivo y productivo. Al analizar posibles inversiones, será necesario considerar no sólo el coste, sino también el ahorro que podrán implicar y los recursos que podrán liberar para destinarlos a otras tareas.
Establecer el presupuesto de manera diferente
En las desafiantes circunstancias actuales, se prevé que los presupuestos de ciberseguridad se mantengan estables en el mejor de los casos. La consolidación de proveedores puede ayudar a disponer de más recursos con menor inversión y aumentar la flexibilidad del presupuesto a nivel temporal puede ser otra vertiente de ahorro.
Por ejemplo, pasar a una revisión de presupuesto trimestral, más corta, en lugar de revisiones anuales puede ayudar a concentrar los esfuerzos y los recursos de manera más precisa donde se necesitan. Si un proveedor no ofrece suficiente valor, se puede tomar una decisión más rápido.
Métricas claras y precisas
Todos los presupuestos se revisan con el tiempo, y todos los equipos de seguridad deben informar a la dirección sobre sus resultados. Para que esto sea efectivo, es interesante considerar cómo diseñar métricas significativas que demuestren la contribución a la creación de valor empresarial, así como a la gestión de riesgos de seguridad. Esto debería garantizar un seguimiento adecuado de las operaciones de seguridad para una mejora continua y que obtenga soporte en el futuro.
En resumen, los expertos de Qualys consideran que los CISO deben realizar una evaluación exhaustiva de la postura de seguridad actual y estimar exactamente cómo la seguridad puede contribuir a los objetivos y prioridades de negocio. Este enfoque les permitirá priorizar y administrar el presupuesto de un modo más integral y efectivo de cara a 2023.