5 recomendaciones para gestionar el presupuesto
de seguridad en 2023

El CISO tiene un papel muy importante dentro de cualquier negocio. Es el encargado de protegerlo de las amenazas de la red, pero además de esto, su tarea también implica una correcta administración del presupuesto, atendiendo las principales prioridades. Según Gartner, para el año 2023, el 30% de la efectividad de un CISO se medirá dependiendo de su capacidad para crear valor para el negocio.

Los expertos de Qualys, Inc., proveedor pionero y líder de soluciones de cumplimiento y seguridad basadas en la nube, han elaborado una guía con las 5 recomendaciones clave que cualquier CISO debería tener presente en el contexto actual, a la hora de elaborar su próximo presupuesto:

Ampliar las relaciones con otros departamentos

El CISO actual ha de ganar posicionamiento como socio de negocio dentro de la compañía y colocar la ciberseguridad como un facilitador de la actividad comercial, en lugar de como un mero centro de gastos. Para adoptar este enfoque es necesario estrechar sólidas relaciones con múltiples departamentos de la organización (ventas, comercial, marketing, logística, etc). Esto revertirá en un CISO mejor informado, que podrá demostrar que sus decisiones presupuestarias se relacionan directamente con la forma en que el negocio genera ingresos o logra otros objetivos, como la eficiencia operativa, y exponer así los riesgos de seguridad en función de su impacto comercial.

“Se trata de buscar las fórmulas más apropiadas para que la seguridad ayude a cada área de negocio. Sentar la base del presupuesto sobre las preocupaciones comerciales y operativas concretas permite una visión más completa y eficaz que realmente permite vincular los gastos de seguridad con los resultados”, subraya Sergio Pedroche, country manager de Qualys para España y Portugal.

Cada cosa en su lugar

El ciclo presupuestario debe comenzar con la evaluación de los activos y riesgos de la empresa y una descripción precisa de los mismos, así como de los recursos de TI. Aunque comprender los activos más críticos para el negocio garantizará que se les asigne la protección adecuada, no será posible si no cumplimos el primer paso: “conocer cada activo y donde está”. Porque los resultados de esta evaluación serán parte integral en la planificación y recomendaciones presupuestarias. Asimismo, un presupuesto eficaz contemplará también la fuerza laboral de la empresa y la cultura corporativa. Será importante reservar partidas concretas para aumentar el conocimiento y la concienciación en seguridad e ir creando una cultura que valore la importancia de los activos, reconozca los modelos de cumplimiento y esté familiarizada con la notificación de incidentes.

“Todavía es bastante común encontrar compañías sin inventarios de activos de TI precisos o que carecen de elementos clave de mitigación. Inventariar todo es un paso esencial, pero fomentar una cultura corporativa alineada con esta tarea, un reto igualmente necesario”, destaca Pedroche.

Habilidades y automatización

Una de las mejores inversiones que cualquier CISO puede hacer actualmente es en personal capacitado. Y dada la brecha de habilidades del mercado actual, -donde es muy difícil adquirir y retener profesionales de seguridad altamente cualificados-, una excelente opción se halla en invertir en el desarrollo de los propios empleados tanto como sea posible, así como en mantener una cultura que los retenga.

Otra clave se encuentra en apoyarse al máximo en la automatización para que el personal pueda ser más efectivo y productivo. Al analizar posibles inversiones, será necesario considerar no sólo el coste, sino también el ahorro que podrán implicar y los recursos que podrán liberar para destinarlos a otras tareas.

Establecer el presupuesto de manera diferente

En las desafiantes circunstancias actuales, se prevé que los presupuestos de ciberseguridad se mantengan estables en el mejor de los casos. La consolidación de proveedores puede ayudar a disponer de más recursos con menor inversión y aumentar la flexibilidad del presupuesto a nivel temporal puede ser otra vertiente de ahorro.

Por ejemplo, pasar a una revisión de presupuesto trimestral, más corta, en lugar de revisiones anuales puede ayudar a concentrar los esfuerzos y los recursos de manera más precisa donde se necesitan. Si un proveedor no ofrece suficiente valor, se puede tomar una decisión más rápido.

Métricas claras y precisas

Todos los presupuestos se revisan con el tiempo, y todos los equipos de seguridad deben informar a la dirección sobre sus resultados. Para que esto sea efectivo, es interesante considerar cómo diseñar métricas significativas que demuestren la contribución a la creación de valor empresarial, así como a la gestión de riesgos de seguridad. Esto debería garantizar un seguimiento adecuado de las operaciones de seguridad para una mejora continua y que obtenga soporte en el futuro.

Ir arriba