Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

Cómo asegurar un presupuesto para la ciberseguridad cuando los tiempos son apretados

Escrito por: Tanya Candia




Las organizaciones buscan cosas que recortar, pero la seguridad no puede ser una de ellas. Aquí hay cuatro pasos para asegurar el presupuesto necesario para proteger la empresa.


Los presupuestos de seguridad siempre han sido ajustados, pero la necesidad de seguridad no deja de crecer. Hoy en día, la situación presupuestaria se ha vuelto aún más difícil a medida que las empresas siguen sintiendo los efectos de la recesión económica: las empresas están buscando formas de reducir costos y los presupuestos de seguridad no son inmunes. No sorprende que la mayoría de los presupuestos se hayan visto afectados negativamente por COVID-19. De hecho, Gartner estimó una desaceleración sustancial del gasto en seguridad en 2020 , y Lawrence Pingree, socio gerente, pronosticó en un comunicado de prensa "una pausa y una reducción del crecimiento tanto en el software como en los servicios de seguridad". Al mismo tiempo, el 40 por ciento de las empresas le dijeron a Barracuda Networks en mayo que redujeron sus presupuestos de seguridad. Después de varios años de centrarse en el crecimiento y la innovación, la pandemia ha obligado a los líderes de seguridad de TI a limitar su mirada a iniciativas de misión crítica. Pero con el doble de personas trabajando desde casa que antes, los equipos de seguridad deben enfrentar un mayor riesgo. El malware remoto, los ataques man-in-the-middle, el phishing y el uso generalizado de BYOD significan que los trabajadores remotos representan un riesgo adicional para la empresa. Los despidos de personal para reducir costos tienen efectos de gran alcance, incluido menos personal de apoyo que de otra manera podría ayudar a mitigar el aumento del riesgo. El personal de seguridad experimentado es difícil de encontrar, contratar y retener en el mejor de los casos, y llenar los vacíos será aún más difícil en el futuro.


Por qué la seguridad es una inversión estratégica

La lucha por el presupuesto de seguridad destaca la desconexión entre los equipos de seguridad y la alta dirección. Durante mucho tiempo, la seguridad se ha considerado un centro de costos inevitable. Los equipos de seguridad que se comunican con los ejecutivos destacaron cuántas vulnerabilidades se corrigieron y cuántos parches se instalaron, pero a menudo no lograron convencer a la alta dirección de la necesidad (y el valor) de la seguridad.

De hecho, la seguridad es una inversión estratégica que reduce el riesgo corporativo y ayuda a la organización a alcanzar sus objetivos de valor comercial. Los pasos a continuación ayudarán a los profesionales de la seguridad de TI a construir un argumento sólido para aumentar los presupuestos de seguridad.


Paso 1: mire el negocio primero

En lugar de comenzar con las amenazas o los sistemas implementados, observe primero el negocio: ¿Cuáles son las iniciativas estratégicas más importantes de la organización? ¿Cuáles son los procesos de apoyo críticos que necesitan protección contra amenazas? ¿Qué procesos generan valor? Considere la posibilidad de consultar con colegas empresariales para comprender mejor los aspectos financieros de determinadas iniciativas.


Paso 2: cuantifique el riesgo para su organización

A continuación, determine qué recursos se verían afectados por las amenazas a la seguridad. ¿Qué parte del negocio se vería afectada por una interrupción? ¿Se vería amenazado el 10 o el 25 por ciento de los ingresos? ¿Más?


¿Qué pasa si un activo no estuviera disponible durante una hora, un día o una semana? ¿Qué impactos secundarios podrían derivarse de eso? ¿Habría un impacto regulatorio o posibles multas? ¿Daño a la marca? ¿Un impacto en el precio de las acciones?

Para cada una de las iniciativas, procesos y activos más importantes, ¿podría la seguridad tener un impacto en su éxito? Observe qué amenazas existen (las fuentes de inteligencia sobre amenazas pueden ayudar aquí) y determine la probabilidad de que representen un riesgo real para la confidencialidad, integridad o disponibilidad de los sistemas críticos. No está de más pensar como un hacker: ¿a qué activos (propiedad intelectual, base de clientes) o procesos (ventas, finanzas, recursos humanos) se dirigirá el hacker y por qué (monetización, interrupciones, etc.)?


Paso 3: cuantifique el valor de la seguridad

Para evaluar el riesgo de cada iniciativa o proceso importante, simplemente multiplique el impacto total de la vulnerabilidad por la probabilidad de que una amenaza explote esa vulnerabilidad. Una matriz de riesgos puede ayudar a priorizar los riesgos al mostrar el daño potencial en comparación con la probabilidad de que ocurra el riesgo.

Para activos o procesos donde tanto el riesgo como la probabilidad son altos, identifique los controles implementados para reducir la probabilidad o mitigar el riesgo. ¿Qué tan buenos son? ¿Cuál es el tiempo medio actual para detectar una amenaza? Calcule en dólares el valor de una respuesta rápida que reduce el impacto comercial de la filtración de datos u otras violaciones de seguridad. Busque datos públicos, como el marco VERIS (Vocabulary for Event Recording and Incident Sharing), para construir una línea de base de métricas, como:

  • Tiempo desde el compromiso hasta el descubrimiento (tiempo de permanencia)

  • Tiempo desde la alarma inicial hasta la clasificación

  • Es hora de cerrar un incidente

Luego, puede comparar su desempeño con el de sus pares a través del Informe anual de Investigaciones de Violación de Datos de Verizon.


Paso 4: Priorice sus esfuerzos de seguridad

Evalúe si mejores herramientas, cambios en los procesos, aumentos de personal o capacitación podrían reducir los tiempos de respuesta y resolución. Si es así, ahora puede medir y comunicar el valor en dólares de esa diferencia mientras impulsa un aumento en el presupuesto.

Al buscar áreas que pueden presentar un valor claro, no pase por alto las herramientas que pueden ayudar a automatizar procesos y herramientas para ayudar a comprender los riesgos en el nuevo mundo del trabajo remoto.

Otra área de examen son las fuentes de inteligencia de amenazas actualizadas: utilice sus conexiones laborales o sociales para explorar las mejores prácticas y los recursos óptimos. Por último, considere la posibilidad de subcontratar, especialmente cuando falte la experiencia interna.

Los que toman las decisiones para aumentar los presupuestos residen en la suite ejecutiva, donde el lenguaje de la comunicación es valioso. Al discutir el valor que la seguridad aporta a la organización al respaldar iniciativas críticas, así como al evitar los riesgos y los costos asociados a una infracción, el equipo de seguridad puede presentar un caso sólido para aumentar el presupuesto para ayudar a lograr los objetivos estratégicos de la organización.


Fuente: https://biztechmagazine.com/article/2021/02/how-secure-budget-cybersecurity-when-times-are-tight

7 vistas0 comentarios

Entradas Recientes

Ver todo