Dentro de los presupuestos de seguridad de las compañías: más gasto no significa éxito
Muchas organizaciones cometen el error de equiparar inversión con madurez en sus estrategias de defensa.
De media, los negocios invierten el 5,6% del total de sus presupuestos para IT en el departamento de seguridad. Y, tal y como revela la consultora Gartner, este gasto suele oscilar entre el 1% y el 13% del presupuesto dependiendo de la empresa. Sin embargo, los números son un indicador totalmente engañoso del éxito que puede tener la estrategia. Muchas organizaciones cometen el error de equiparar inversión con madurez en sus programas de defensa.
“Los directivos quieren saber si lo que están invirtiendo en seguridad de la información es similar a lo que gastan otras firmas que comparten industria, localización geográfica y tamaño de negocio con el fin de saber si van por el buen camino”, explica Rob McMillan, director de investigación de Gartner. “Sin embargo, las comparaciones generales no dicen nada acerca del estado de la seguridad de una compañía”.
En este sentido, McMillan cree que una organización puede hacer una inversión que esté al mismo nivel que la de sus competidores pero en una dirección errónea y que provoque “deficiencias” en la seguridad. Como resultado, el experto opina que la mayoría de los directivos continuarán “malgastando” el dinero en seguridad durante tres años más.
Sin tener en cuenta los requisitos del negocio, la tolerancia al riesgo y los niveles de satisfacción, el porcentaje del gasto en seguridad IT no proporciona por sí mismo unos datos fiables sobre como asignar o reubicar ese presupuesto. “Las estadísticas por si mismas no miden la eficacia IT y no son un indicador de éxito.”.
Generalmente, el gasto en seguridad se divide entre hardware, software, servicios y personal. “Pero muchas empresa no saben ni siquiera como se distribuye su presupuesto”, confiesa McMillan. “Esto se debe a que muchos departamentos de cuentas desglosan la seguridad como si fuese una unidad diferente y muchos de los procesos relevantes para la seguridad dependen de personal que no está dedicado a tiempo completo a esa rama, haciendo imposible contabilizar con precisión a las personas que pueden atender a esta área”.
En muchas ocasiones, ni siquiera el CISO tiene información del montante total del gasto en ciberseguridad de toda la empresa. Así pues, según Gartner, las firmas seguras emplean muchas veces menos dinero que las “inseguras”.
La visión de McMillan pasa por que las empresas gasten entre el 4% y el 7% de sus presupuestos IT en seguridad dependiendo de si cuentan con sistemas maduros o si están abiertos o en riesgo. “Además, un CISO ha de tener conocimiento de todas las funciones de seguridad que tienen lugar dentro de la organización”, apostilla.
