5 consejos para gestionar el presupuesto de seguridad de cara a 2023

Ana Suárez,
Linkedin

El CISO actual ha de ganar posicionamiento como socio de negocio dentro de la compañía y colocar la ciberseguridad como un facilitador de la actividad comercial, en lugar de como un mero centro de gastos.

El CISO tiene una función principal: proteger el negocio, el personal y la información, además de tratar de administrar el presupuesto según las prioridades de negocio. Según los datos de Gartner, el 30% de la efectividad de un CISO se medirá directamente en su capacidad para crear valor de negocio.

El equipo de expertos de Qualys han elaborado una guía con las 5 recomendaciones clave que cualquier CISO debería tener presente en el contexto actual al elaborar su próximo presupuesto:

  1. Ampliar las relaciones con otros departamentos: El CISO debe tratar de afianzar las relaciones con los demás departamentos para así desarrollar una actividad comercial segura. Sergio Pedroche, country manager de Qualys para España y Portugal destaca: “Se trata de buscar las fórmulas más apropiadas para que la seguridad ayude a cada área de negocio. Sentar la base del presupuesto sobre las preocupaciones comerciales y operativas concretas permite una visión más completa y eficaz que realmente permite vincular los gastos de seguridad con los resultados”.
  2. Cada cosa en su lugar: El ciclo presupuestario comienza con la evaluación de los activos y riesgos de la empresa y una descripción de estos mismos, al igual que de los recursos de TI. Sin embargo, comprender los activos más críticos para el negocio garantizará que se les asigne la protección adecuada, no será posible si no cumplimos el primer paso: “conocer cada activo y donde está”. “Todavía es bastante común encontrar compañías sin inventarios de activos de TI precisos o que carecen de elementos clave de mitigación. Inventariar todo es un paso esencial, pero fomentar una cultura corporativa alineada con esta tarea, un reto igualmente necesario”, destaca Pedroche.
  3. Habilidades y automatización: La mejor inversión de un CISO es contar con personal capacitado. Teniendo en cuenta la dificultad para retener talento hoy en día, invertir en el desarrollo de los propios empleados es una buena opción. Al igual que apoyarse en la automatización para que el personal sea más efectivo y productivo.
  4. Establecer el presupuesto de manera diferente: En las circunstancias que nos encontramos, la mejor señal es que el presupuesto de ciberseguridad se mantenga estable. Por eso, la consolidación de proveedores puede ayudar a disponer de más recursos con una inversión menor y aumentar la flexibilidad del presupuesto.
  5. Métricas claras y precisas: Todos los presupuestos se revisan con el tiempo, y todos los equipos de seguridad deben informar a la dirección sobre sus resultados. Para que esto sea efectivo, es interesante considerar cómo diseñar métricas significativas que demuestren la contribución a la creación de valor empresarial, así como a la gestión de riesgos de seguridad. Esto debería garantizar un seguimiento adecuado de las operaciones de seguridad para una mejora continua y que obtenga soporte en el futuro.

En definitiva, los expertos de Qualys recalcan que es necesario que los CISO realicen una evaluación exhaustiva de la postura de seguridad actual y estimar cómo la seguridad puede contribuir a los objetivos y prioridades del negocio.