Ante una mayor dependencia tecnológica, las empresas, sin importar su tamaño, deben considerar una estrategia de ciberseguridad y un plan financiero que contemple desde la prevención, la detección de posibles riesgos, hasta protocolos para la reparación del daño en caso de ser víctimas de algún ciberdelito.
Pero antes de elaborar este plan financiero hay que considerar que el presupuesto destinado a mejorar la seguridad digital no es un gasto, sino una inversión para fortalecer uno de los pilares más importantes: la continuidad del negocio.
Al blindar dicha continuidad, también se protegen procesos internos, información confidencial propia y de clientes, su infraestructura operativa y sus finanzas; de no hacerlo, las empresas se enfrentan a la pérdida de confianza de inversionistas, gastos en litigios y daño a su reputación.
¿Qué considerar?
Un plan bien estructurado debe contemplar el nivel de riesgo de la organización, el sector en el que participa, su tamaño operativo y su madurez digital, así como priorizar iniciativas que reduzcan el riesgo humano y cumplan con los requerimientos regulatorios vigentes.
Además, debe considerar la inversión en herramientas tecnológicas, como antivirus, firewalls o soluciones de protección en la nube; servicios profesionales para detectar el nivel de riesgo, como auditorías o pentesting; capacitación de sus colaboradores generales para evitar ser víctimas de ciberdelitos como el phishing, y para especializar al personal del área de TI.
También contempla planes para el cumplimiento de reglamentos, normativas o certificados como ISO 27001, y protocolos de respuesta a incidentes y de continuidad del negocio, como sistemas de respaldo, simulacros, herramientas especializadas para gestión de crisis o planes de recuperación ante desastres.
¿Cuándo preparar el presupuesto?
De acuerdo con el Marco de Seguridad Cibernética del Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU., la elaboración de un presupuesto para ciberseguridad evoluciona con el crecimiento de la empresa y los riesgos que va adquiriendo.
Si bien su planeación y alcance debe integrarse al presupuesto anual del área de TI y de la empresa, es necesaria una revisión constante, la cual puede hacerse de forma trimestral o incluso anual, dependiendo del nivel de riesgo o incidentes previos.
Algunos momentos clave para ajustar el plan financiero de ciberseguridad son:
- Anualmente: Para alinearlo con las estrategias de la empresa.
- Después de una evaluación de riesgos:Ya que se identifiquen las brechas de seguridad críticas o vulnerabilidades.
- Tras un incidente: Luego de evaluar cómo mejorar la resiliencia de la empresa se ajusta el presupuesto para integrar nuevas medidas de protección y detección.
Al adoptar nuevas tecnologías: Cuando se implementan nuevas tecnologías (como IA, gemelos digitales, machine learning) en los procesos de la empresa o cambia su infraestructura, aparecen nuevas vulnerabilidades.
¿Qué áreas deben participar en su elaboración?
Aunque la ciberseguridad de una empresa recae operativamente en el área de Tecnologías de la Información o en la Dirección de Seguridad de Información, lo óptimo es que al diseñar su presupuesto intervengan otros departamentos, como el de finanzas, legal o incluso recursos humanos, expone LevelBlue, pues cada uno tiene diferentes perspectivas que aportar:
- Dirección de Seguridad de la Información o CISO: Es la mayor responsable de la estrategia, ya que considera la evaluación de riesgos, define los controles y desarrolla un plan operativo a la medida.
- Área de Tecnologías de la Información (TI): Alinea la estrategia operativa y la infraestructura tecnológica de la empresa con las herramientas de seguridad necesarias, como sistemas de detección, firewalls o antivirus.
- Dirección de Finanzas: Es la que se encarga de aprobar la inversión y evalúa el retorno de inversión (ROI) ante el riesgo de ciberataques.
- Recursos Humanos: Apoya a diseñar la partida presupuestal que se destina a capacitación del personal, concientización y prevención de amenazas internas.
- Operaciones: Es necesaria su participación para definir las prioridades para la continuidad del negocio y establecer qué activos críticos necesitan mayor protección.
Dirección General: Aprueba la inversión estratégica para la protección de reputación y es en parte responsable de establecer la cultura de seguridad dentro del negocio.
El costo de la seguridad, en la actualidad
La inversión para ciberseguridad de las PyMEs representa entre 5% y 8% de su presupuesto para TI, pues en vez de adquirir hardware contratan licencias de antivirus o servicios en la nube, que incluyen protección básica, de acuerdo con la empresa mexicana Delta Protect.
Las empresas medianas destinan entre 10% y 12%, ya que tienen infraestructuras híbridas, como servidores locales y servicios en la nube, pero delegan la detección de riesgos a un tercero.
Mientras que los grandes corporativos, principalmente del sector financiero, invierten entre el 15% y 20% del presupuesto para TI, al tener su propio Centro de Operaciones de Seguridad (SOC) y usar herramientas para automatizar la respuesta ante ataques masivos; además de que una parte de su presupuesto se destina a certificaciones internacionales y auditorías para cumplir con reglamentos y normativas.
Hay que destacar que cualquier plan financiero para ciberseguridad debe ser personalizado, considerando los riesgos propios de la empresa, dependiendo de los factores antes mencionados, como su tamaño o dependencia digital, pero también pensando en la frecuencia de las pruebas periódicas de análisis y recuperación o soluciones de respaldo automatizadas.
