Cómo cambiar la forma en que se asignan los presupuestos de ciberseguridad

Los presupuestos de ciberseguridad están en alza después de sufrir recortes en el presupuesto y la incertidumbre económica, revela un informe reciente de Forrester. Aún así, las empresas están luchando por combatir las amenazas de ciberseguridad y mantener seguras sus compañías.

Cómo cambiar la forma en que se asignan los presupuestos de ciberseguridad - Seguridad | Imagen 1 Newsmatic

El informe Perspectivas de Ciberseguridad 2023 de Scale revela que la mayoría de las empresas (71%) están experimentando tres o más incidentes de seguridad, un aumento del 51% en comparación con 2022. Los equipos de seguridad luchan con la falta de talento, están abrumados por las alertas y no pueden encontrar las herramientas adecuadas, a pesar de que los presupuestos de seguridad aumentaron en promedio un 20% en grandes empresas y un 5% en empresas medianas.

El problema parece ser la falta de financiamiento suficiente, pero para Ira Winkler, director de seguridad de la información de CYE Security, se reduce a cómo se determinan y asignan los presupuestos de ciberseguridad. CYE es una plataforma SaaS y ofrece consultoría experta para líderes de seguridad para maximizar las estrategias y las inversiones en ciberseguridad.

El 20 de julio asistí a la Cumbre Virtual de Ciberseguridad del Noreste para obtener información sobre nuevos métodos que se pueden utilizar para cambiar con éxito la asignación de presupuestos de ciberseguridad.

Índice de Contenido
  1. Cambiar mentalidades obsoletas hacia modelos impulsados por el negocio
  2. Obtener apoyo de ejecutivos y consejos directivos
  3. Presupuestos de ciberseguridad basados en ROI
  4. Pensamientos finales: Estableciendo prioridades

Cambiar mentalidades obsoletas hacia modelos impulsados por el negocio

En la cumbre, Winkler explicó que la industria de la ciberseguridad ha pasado de proteger software y hardware bajo un enfoque de gestión de recursos de información, a proteger la información que se mueve a través de los sistemas con la aparición de directores de seguridad de la información. Sin embargo, las empresas todavía asignan presupuestos de ciberseguridad con una mentalidad obsoleta.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

La economía de la ciberseguridad, las valoraciones de la ciberseguridad y los modelos de enfoque de riesgos son campos emergentes que pueden cuantificar los riesgos, las contramedidas y el retorno de la inversión para maximizar la seguridad del sistema y minimizar las pérdidas. Sin embargo, son mal entendidos y no se aplican.

  • Economía de la ciberseguridad es el estudio de los costos y beneficios económicos de la ciberseguridad. Su objetivo es comprender cómo las organizaciones pueden tomar decisiones de inversión óptimas en ciberseguridad dados los riesgos a los que se enfrentan.
  • Valoraciones de la ciberseguridad son los métodos utilizados para estimar el valor de los activos de ciberseguridad, que pueden incluir datos, sistemas y redes.
  • Modelos de enfoque de riesgos se utilizan para evaluar los riesgos de una amenaza y sus consecuencias. Se consideran diferentes factores en la modelización de riesgos, incluyendo la probabilidad de un ciberataque, el impacto potencial de un ciberataque y el costo de mitigar los riesgos.

"¿Cuánto cuesta un incidente de ransomware?" preguntó Winkler a los asistentes. "La mayoría de las personas realmente no saben. Y lo que es más importante, en ciberseguridad no sabemos cuánto nos cuesta un incidente que no sucede. En su mayoría, no seguimos la cantidad de veces que detenemos cosas. Y eso es una falta fundamental de disciplina empresarial y de procesos de pensamiento empresarial."

Winkler explicó que esta falta de enfoque empresarial es única de los departamentos de ciberseguridad. En otras áreas, como finanzas y contabilidad, cadenas de suministro y operaciones y manufactura, no se asignan presupuestos de manera arbitraria. Por ejemplo, las fábricas modernas suelen tener un entendimiento completo de cuánto cuesta un tiempo de inactividad específico y cuál es el valor cuando la fábrica está en funcionamiento.

En una era basada en datos, los equipos de ciberseguridad deben tener información sobre interrupciones, incidentes y cualquier otro factor que afecte el desempeño y los resultados financieros de la empresa. Con esta información, los ejecutivos pueden tomar decisiones basadas en datos sobre los presupuestos en función del impacto económico, los riesgos y las pérdidas frente al retorno de la inversión y las ganancias.

Obtener apoyo de ejecutivos y consejos directivos

No es ningún secreto que uno de los mayores desafíos que enfrentan los CISO y otros líderes de seguridad es obtener apoyo de los consejos directivos y los ejecutivos. Además, los equipos de seguridad enfrentan una presión creciente por parte de los consejos a medida que sus roles y responsabilidades se expanden.

En el último Informe ClubCISO 2023, el 62% de los CISO encuestados enumeraron el respaldo de la dirección como el factor más crítico para fomentar una mejor cultura de seguridad. A pesar de una mayor alineación entre los equipos de seguridad, los ejecutivos y los consejos directivos, el 20% de los encuestados aún afirma que la falta de apoyo y respaldo afecta la seguridad de sus empresas.

Cómo proteger tu computadora de los virus: métodos y consejos

"Desafortunadamente, en ciberseguridad, tenemos personas que no saben cómo discutir los presupuestos con la dirección", dijo Winkler.

Según Winkler, mientras los líderes de seguridad no adopten enfoques más científicos y empresariales para la elaboración de presupuestos, siempre recibirán asignaciones aleatorias y obtendrán resultados no deseados. Al presentar argumentos a los ejecutivos para obtener apoyo, los líderes de seguridad deben estar bien informados sobre los niveles aceptables de riesgo, la efectividad de sus contramedidas y cuánto les cuestan las principales vulnerabilidades.

Winkler dijo que solo se deben presentar presupuestos que minimicen riesgos y posibles pérdidas a la dirección. Cuando un consejo directivo o un ejecutivo sugiere recortar un presupuesto, el equipo de seguridad debe saber cuánto costará a la empresa ese recorte. Este método presenta mejor información a los ejecutivos, les permite tomar mejores decisiones y ayuda a obtener apoyo. También alivia a los líderes de seguridad de responsabilidades a medida que informan a la dirección de la empresa sobre los riesgos antes de que ocurran.

"Saber cómo presentar programas de ciberseguridad en términos empresariales es la forma más efectiva de obtener el presupuesto que necesitas", dijo Winkler a la audiencia de expertos en seguridad.

Los incumplimientos de privacidad, los problemas de cumplimiento, las leyes nacionales, de la UE e internacionales, los costos de seguro, las multas y las interrupciones causadas por desastres naturales también deben incorporarse en los programas de seguridad, según Winkler.

Presupuestos de ciberseguridad basados en ROI

La cuantificación de riesgos cibernéticos no es un concepto nuevo, pero los modelos de enfoque de riesgos aún están en sus primeras etapas. Si bien organizaciones como Gartner informan sobre su mayor adopción y los principales proveedores como Bitsight, SecurityScorecard, Corax, UpGuard y Squalify lo ofrecen, implementar todo puede resultar abrumador.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Winkler aseguró que los modelos de enfoque de riesgos no deben ser complicados en exceso. "Este es el único diagrama que tengo en mi empresa", dijo Winkler (Figura A).

Figura A

Cómo cambiar la forma en que se asignan los presupuestos de ciberseguridad - Seguridad | Imagen 2 Newsmatic

La línea roja en el gráfico representa las vulnerabilidades de una empresa y todo lo que está por debajo de la línea roja representa pérdidas potenciales. Cuando una empresa comienza a modelar riesgos sin contramedidas, las vulnerabilidades y las pérdidas potenciales están en su máximo nivel; a medida que se implementan y aumentan las contramedidas, las pérdidas potenciales comienzan a disminuir. Sin embargo, Winkler explicó que hay un problema.

Cuando se gestionan los riesgos, la mayoría de las personas piensa que una empresa debe agregar tantas contramedidas como sea posible para lograr un valor mínimo de vulnerabilidades y reducir las pérdidas potenciales a cero. Sin embargo, no es así, ya que el costo de implementar las contramedidas necesarias para reducir las vulnerabilidades al mínimo generalmente es exponencialmente mayor que el costo de las vulnerabilidades.

Una empresa no desea que el costo de sus contramedidas sea mayor que el costo de sus pérdidas, ni tampoco igual a ellas. Lograr el equilibrio adecuado puede ser un desafío.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

"Lo que quieres hacer es descubrir lo que llamo el punto óptimo de optimización de riesgos", explicó Winkler. "Y eso es esencialmente donde determinas la pérdida potencial que estás dispuesto a aceptar y luego qué contramedidas te llevarán teóricamente a ese punto". El concepto es muy similar a las inversiones a largo plazo.

El desafío tanto para los equipos de seguridad como para los ejecutivos es aceptar que, sin importar lo que hagan, siempre enfrentarán pérdidas y riesgos potenciales. Además, debe cambiarse una cultura empresarial que ha asignado presupuestos de ciberseguridad durante décadas simplemente añadiendo un aumento del 5% al 20% al presupuesto del año anterior.

Asignar "un presupuesto arbitrario te da resultados arbitrarios", dijo Winkler. Instó a los expertos en seguridad en el evento a mapear fuentes de amenazas, activos, vulnerabilidades y pérdidas potenciales para comprender su exposición. El experto en ciberseguridad también presentó una ecuación de riesgo para explicar cómo las empresas pueden cuantificar factores, destacando el poder disruptivo de la IA y el aprendizaje automático para impulsar estos cálculos matemáticos (Figura B).

Figura B

Cómo cambiar la forma en que se asignan los presupuestos de ciberseguridad - Seguridad | Imagen 3 Newsmatic

Pensamientos finales: Estableciendo prioridades

Establecer prioridades e implementar las contramedidas de mayor valor que generen el mayor retorno de la inversión mientras se analizan el costo y la probabilidad de las vulnerabilidades puede parecer un juego de números fijos donde los incidentes y las pérdidas están destinados a ocurrir. Sin embargo, aceptar pérdidas mínimas e incidentes supera con creces otras alternativas.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

Los métodos tradicionales utilizados para asignar presupuestos de ciberseguridad se han vuelto obsoletos y las consecuencias asociadas con este tipo de enfoques se documentan ampliamente en informes de amenazas que muestran los crecientes costos anuales de las amenazas.

Más financiamiento y más herramientas no se traducen necesariamente en una mayor seguridad. Los recursos de seguridad deben asignarse correctamente y los costos de cada solución de contramedida deben equilibrarse con el costo de los ataques.

Aunque se deben considerar otros factores, como las responsabilidades éticas de las empresas para proteger a cada cliente, socio y sistema, un enfoque empresarial basado en datos para los presupuestos de ciberseguridad puede cambiar sin duda la industria de la ciberseguridad.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo cambiar la forma en que se asignan los presupuestos de ciberseguridad , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.