Un presupuesto de ciberseguridad sólido
8 de cada 10 empresas mexicanas aumentarían su presupuesto de ciberseguridad en los próximos 12 meses
La coordinación efectiva entre la alta dirección1 y los equipos encargados de la seguridad de la información o ciberseguridad2 es fundamental para diseñar un presupuesto cibernético sólido, que responda a los riesgos particulares que enfrenta la organización y a su estrategia de negocio.
El chief financial officer (CFO), particularmente, tiene la tarea de analizar el costo-beneficio para evaluar diferentes soluciones y estrategias de ciberseguridad. El retorno de la inversión (ROI) y los posibles ahorros en los costos son parte de los factores que tendrían que considerar al asignar un presupuesto a este rubro.
Un presupuesto adecuado en ciberseguridad es la base para que las iniciativas de digitalización cumplan los objetivos esperados de negocio y seguridad de la información.
La importancia de evaluar distintas visiones
La alta dirección busca mitigar los riesgos tecnológicos y digitales en un nivel general, mientras que los equipos de ciberseguridad se centran en riesgos específicos
Los CFO tienen la tarea de evaluar los riesgos financieros asociados con las amenazas de tecnología y de ciberseguridad. Además, en conjunto con el CISO, CIO o el responsable de la seguridad de la información, los directores de finanzas requieren analizar el posible impacto financiero de una violación de datos o un ciberataque y utilizar esta información para determinar el presupuesto adecuado para las medidas de ciberseguridad.
El análisis de los resultados de la encuesta Digital Trust Insights 2024 destaca que el 5% de las empresas alrededor del mundo tienen prácticas de ciberseguridad robustas, es decir, son guardianes de la confianza digital. Este selecto grupo señaló que su brecha de datos más dañina en los últimos 3 años costó menos de 100 mil dólares (28% vs 19% resto de empresas globales).
En México, más de la mitad de los encuestados (52%) señaló que la filtración de datos más dañina que experimentó en los últimos tres años representó un costo estimado de hasta los 999,000 dólares. Por otro lado, una de cada cuatro de las empresas (26%) tuvo pérdidas de entre un millón y más de 20 millones de dólares debido a este tipo de ciberataques.
El CFO puede fortalecer la seguridad financiera de la empresa al evaluar cómo las amenazas cibernéticas impactan en los activos estratégicos.
Para lograrlo, es aconsejable que el director financiero colabore estrechamente con los equipos de seguridad de la información, ya que esta colaboración potenciará la capacidad de tomar decisiones sólidas en cuanto a la inversión en ciberseguridad, garantizando así una mayor protección financiera de la empresa.
Analizar datos para determinar un presupuesto acorde a las necesidades del negocio
Un tercio de los líderes empresariales observó beneficios del uso de datos para cuantificar ciberriesgos y asignar un presupuesto
El análisis de datos en materia de ciberseguridad es crítico para los CFO, ya que tiene un impacto directo en el bienestar financiero y la estabilidad de la organización; además, ayuda a salvaguardar datos y activos sensibles.
De acuerdo con los resultados de la encuesta Digital Trust Insights 2024, el uso de datos para cuantificar ciberriesgos y un presupuesto cibernético es algo que un tercio de la alta dirección y los equipos de seguridad de la información consideran que ya se ha implementado y arrojado beneficios. Sin embargo, mientras que uno de cada cinco encuestados que forman parte de los equipos de seguridad de la información piensa que se está planeando hacer para los próximos tres años, solo 5% de los participantes que forman parte de la alta dirección comparte esta visión.
Considerando estas perspectivas, el director financiero tendría que considerar los siguientes pilares para asignar un presupuesto adecuado a la ciberseguridad de la empresa:
Detección y análisis de amenazas. Invertir en herramientas de gestión de ciberriesgos permitirá identificar y responder a las amenazas de seguridad en tiempo real, lo que ayudaría a minimizar el impacto de los incidentes cibernéticos.
Respuesta ante incidentes. Responder efectivamente a incidentes, por medio de datos, es fundamental para contener y mitigar el impacto de los incidentes de seguridad.
Evaluación de la postura de seguridad. Evaluar la postura de seguridad general de la organización a través del análisis de datos guía las estrategias para mejorar los controles de seguridad y reducir riesgos.
Inteligencia de amenazas. Ajustar proactivamente las medidas de seguridad en función de las amenazas y vulnerabilidades emergentes es vital para mantenerse por delante de los riesgos cibernéticos.
Reducir la complejidad tecnológica, una forma de ahorrar costos
La alta dirección no tiene visibilidad completa de las soluciones de seguridad tecnológica de su empresa
Integrar una sola suite de soluciones tecnológicas de seguridad puede ayudar a reducir costos. Si bien, más de la mitad de los encuestados de la alta dirección consideran que esto es algo que ya se ha hecho, la visión no es compartida por la mayoría de participantes pertenecientes a los equipos de seguridad de la información.
La comunicación entre CFO y CISO es primordial para comprender qué tecnologías pueden consolidarse y así, proporcionar una mayor transparencia y control presupuestario, lo que resulta en una administración financiera más eficiente.
La adopción de una sola suite de ciberseguridad ayuda a los equipos de ciberseguridad a centrarse en entregar más valor a la compañía en lugar de lidiar con la fragmentación de múltiples herramientas.
Menos tiempo dedicado a la gestión de soluciones dispersas significa más recursos disponibles para abordar amenazas reales y fortalecer la postura de seguridad de la organización.
Homologando visiones sobre la ciberseguridad
Hay una área de oportunidad importante para la alta dirección en tener una visión amplia de las acciones que realizan los equipos de ciberseguridad
Aunque la visión de ciberseguridad en la organización debería ser la misma para todos los equipos de negocio, la realidad es distinta. Por ejemplo, un tercio de la alta dirección encuestada percibe que sus equipos de ciberseguridad usualmente anticipan los futuros riesgos cibernéticos teniendo en cuenta el entorno macroeconómico y la estrategia de negocio, mientras que casi la mitad (47%) de los líderes de la seguridad de la información opinan lo mismo.
Además, 51% de los encuestados del equipo de seguridad de la información considera que el departamento de ciberseguridad usualmente responde de forma rápida a las amenazas para que la organización pueda salir fortalecida de una disrupción, mientras que 37% de la alta dirección considera lo mismo.
El CFO, junto con el CISO/CIO, puede ayudar a alinear la visión de ciberseguridad y mejorar la efectividad de las inversiones al subrayar la necesidad de métricas de desempeño que cuantifiquen la capacidad de anticipar riesgos y responder a amenazas.
Algunas de las acciones en las que la coordinación del CFO y el CISO o CIO son:
Análisis de riesgos financieros. La identificación y análisis de los riesgos financieros asociados con amenazas cibernéticas es crucial para tomar decisiones financieras informadas y asignar recursos de manera efectiva.
Priorización de inversiones. La colaboración en la priorización y asignación de fondos para tecnologías y capacitación en ciberseguridad asegura que los recursos se utilicen de la manera más efectiva para reducir riesgos.
Seguimiento y métricas. Definir métricas de rendimiento clave (KPI) relacionadas con la ciberseguridad y su seguimiento ayuda al CFO a evaluar el impacto financiero de las inversiones y la eficacia de las estrategias de mitigación de riesgos.
Planificación de contingencia. La colaboración en la planificación de una contingencia financiera para abordar ciberataques o brechas de seguridad asegura que la empresa esté preparada para afrontar los impactos financieros asociados a incidentes cibernéticos.
1 Alta dirección se refiere al segmento de encuestados que abarca el CEO / CFO / Director de Finanzas / Consejos de administración.
2 Equipo de seguridad de la información se refiere al segmento de encuestados que abarca el CISO / CIO / Digital Officer / CSO / CTO / Director de ciberseguridad / Director de la seguridad de la información / Director de TI / Director de privacidad.
Ponte en contacto
