Por: Corey Nachreiner
CTO de WatchGuard
La planificación y el presupuesto anuales siempre han sido un aspecto crítico, aunque potencialmente engorroso, para establecer una postura de seguridad exitosa. La seguridad de la información no contribuye directamente al resultado final de la mayoría de las empresas y la administración a menudo lo ve como un costo. Por eso es esencial que los directores de seguridad y CISO asignen el presupuesto que obtienen de la manera más eficaz posible cada año. Entonces, ¿cuáles son las mejores prácticas clave para la planificación de la seguridad para 2021?
Dónde empezar
Desafortunadamente, no existe un «botón fácil» para saber exactamente cuánto debe gastar en seguridad. Cada organización es única y la cantidad que debe gastar depende de su perfil de riesgo de TI específico. Medir su riesgo requiere una auditoría completa de su infraestructura y datos. Hasta que sepa qué datos importantes está almacenando, dónde se encuentran y cuál sería el impacto de perder o filtrar esos datos, no sabrá los costos asociados con el manejo de un incidente de seguridad. Conocer esos costos lo ayudará a identificar una cantidad razonable para gastar para prevenirlos. No olvide que la «disponibilidad» de sus datos también es importante. Necesita protegerse contra el tiempo de inactividad tanto como la pérdida de datos.
También debe prestar atención a cualquier normativa que deba cumplir su empresa. Si su organización opera en el espacio de la atención médica, debe seguir cumpliendo con la HIPAA. Si acepta tarjetas de crédito, debe cumplir con los requisitos de PCI. Estas regulaciones tienen multas y sanciones muy específicas. Esas tarifas específicas pueden ayudarlo a guiarlo hacia el costo final de una infracción.
Dicho esto, la forma más fácil de ver si está en el estadio correcto es comparar con empresas similares. Varias firmas de analistas realizan encuestas periódicamente a las empresas para preguntar qué porcentaje del presupuesto de TI gastan en seguridad. Las respuestas varían ampliamente, pero una encuesta de Deloitte de 2019 muestra entre el 6% y el 14% de los presupuestos de TI, para un promedio del 10%. Compare la asignación de su presupuesto de seguridad con estos números, pero sepa que su ubicación dentro de esos rangos depende del grado en que su empresa confíe en su infraestructura de TI y el volumen de datos confidenciales que alberga. Si dirige una empresa de tipo más heredado con menos recursos de TI, probablemente esté bien en el rango inferior, mientras que una empresa más moderna y avanzada en TI con información crítica de propiedad intelectual, financiera y de clientes probablemente se encuentre en un rango superior.
El informe anual del costo de una violación de datos de Ponemon en realidad desglosa el costo de una violación de datos por región, vertical de la empresa y tipo de ataque cada año. De hecho, una de las estadísticas más interesantes del informe es su «costo promedio de una infracción por registro de cliente» ($150 por registro comprometido en 2020). No importa qué tan grande o pequeña sea su organización, estos datos le brindan una manera conveniente de estimar el costo promedio de una infracción en función de la cantidad de registros de clientes que podría perder. Nunca debe gastar más en seguridad que el costo máximo de una infracción multiplicado por su porcentaje de probabilidad.
El impacto del COVID-19
A medida que los efectos de la pandemia global continúan ocurriendo en todo el mundo, el cambio acelerado al trabajo remoto ha sido y seguirá siendo una consideración importante para los CISO. Tomará algún tiempo comprender completamente cómo el COVID-19 afectará las prioridades de seguridad y los gastos, pero es probable que dos cosas sean ciertas independientemente.
Primero, es probable que aumente el gasto en seguridad por empleado. En su informe IT Key Metrics Data 2019, Gartner informó que el gasto promedio en seguridad por empleado durante 2018 fue de $1,178, lo que representó un aumento significativo del 67% en comparación con 2012. El informe no especifica la causa de este aumento, pero es probable que esté relacionado con el crecimiento del trabajo a distancia durante ese período. En su oficina, puede consolidar muchas defensas en un perímetro de red: la puerta de enlace a la red de la oficina. No tiene que gastar tanto en defensas individuales cuando tiene seguridad perimetral compartida. Sin embargo, la fuerza de trabajo remota significa que cada empleado necesita sus propias protecciones discretas, lo que podría explicar parte del aumento del gasto. El COVID-19 forzó un movimiento de la noche a la mañana en todo el mundo al trabajo remoto, lo que podría aumentar ligeramente el gasto en seguridad por empleado en el futuro.
En segundo lugar, y con suerte, esta será una mejor noticia, el COVID-19 provocará principalmente que las organizaciones re-equilibren los presupuestos existentes. Si bien los presupuestos de seguridad pueden aumentar debido a los empleados remotos, tiene la opción de financiar parte de ese crecimiento simplemente reasignando estratégicamente el gasto en seguridad. El perímetro de su oficina, la nube y los usuarios remotos necesitan controles de seguridad, pero en lo que gasta más debe depender de dónde se encuentran sus datos más importantes y cuántos activos tiene en cada lugar. Si tiene más empleados trabajando desde casa y más servicios en la nube, tal vez equilibre su presupuesto existente para priorizar eso, y viceversa. Sin embargo, al final, la pandemia seguramente se centrará o aumentará los presupuestos de la mayoría de las organizaciones en torno a las defensas basadas en el usuario y en los terminales.
La evolución de las amenazas puede ser su guía
Siempre debe prestar atención al panorama actual de amenazas y ajustar sus gastos y prioridades de seguridad en consecuencia. Cuando el ransomware explotó por primera vez en 2016, debería haber concentrado su presupuesto en los controles de seguridad relacionados con la copia de seguridad y la recuperación ante desastres o la detección avanzada de malware para detectar ransomware evasivo. A lo largo de 2019 y 2020, el spear phishing y el robo de credenciales se han disparado, lo que demuestra el mantra de que «los piratas informáticos no ingresan, inician sesión». Este año, puede centrar su gasto en proteger la identidad digital de los usuarios con soluciones como MFA avanzada (especialmente cuando todos trabajan desde casa). Independientemente de cuáles puedan ser las últimas tendencias de ataque, manténgase siempre al tanto del panorama de amenazas en evolución, ya que los cambios en la forma en que operan los piratas informáticos pueden afectar la cantidad que necesita presupuestar y cómo lo gasta.
Poniéndolo todo junto
El aspecto más importante de cualquier ciclo de planificación y presupuesto de seguridad exitoso es comenzar con mediciones de riesgo cuantificables y evaluaciones de impacto. Identifique todas y cada una de las regulaciones que su empresa debe cumplir, así como las sanciones asociadas por incidentes y lapsos de cumplimiento. Realice una auditoría de riesgo formal para hacer un inventario de sus datos confidenciales y medir el impacto financiero de cualquier pérdida temporal o permanente. Consulte los puntos de referencia de presupuestos de seguridad para su sector vertical, el número de empleados y los costos promedio de violación de datos.
Si hace ese trabajo, debe conformarse con un presupuesto decente para su organización. Sin embargo, no olvide dejar espacio para su crecimiento y transformación digital. Si bien es posible que la seguridad no se sienta como un facilitador comercial, la prevención de incidentes es un imperativo comercial moderno. Dicho esto, si implementa la seguridad de manera deficiente, también puede convertirse en un impedimento para los negocios. Considere crear un colchón adicional en su presupuesto de seguridad para asegurarse de que puede implementar soluciones sofisticadas que pueden simplificar la seguridad, reducir la fricción e incluso ayudar a facilitar su transformación digital.
Acerca de WatchGuard Technologies:
WatchGuard Technologies, Inc. es un líder mundial en seguridad de redes, Wi-Fi seguro, autenticación multifactor, protección avanzada de terminales e inteligencia de redes. Casi 18.000 revendedores de seguridad y proveedores de servicios confían en los productos y servicios galardonados de la empresa en todo el mundo para proteger a más de 250.000 clientes.
La misión de WatchGuard es hacer que la seguridad de nivel empresarial sea accesible para empresas de todos los tipos y tamaños a través de la simplicidad, lo que convierte a WatchGuard en una solución ideal para medianas empresas y empresas distribuidas.
Cuenta con sede en Seattle – Washington (USA) y oficinas en América del Norte, Europa, Asia Pacífico y América Latina.
Para obtener más información, visite WatchGuard.com
180793 471378You completed various great points there. I did a search on the theme and identified the majority of folks will consent with your weblog. 683789
451789 897095Aw, this was a truly nice post. In concept I wish to put in writing like this furthermore ?taking time and actual effort to make an superb write-up?nevertheless what can I say?I procrastinate alot and by no means appear to get something done. 56584
150861 955299I believe 1 of your advertisings triggered my internet browser to resize, you could properly want to put that on your blacklist. 789890
676710 540027 Spot on with this write-up, I truly feel this internet site needs a lot much more consideration. Ill probably be once again to read significantly far more, thanks for that information. 155329
901534 159289I like this web internet site quite much, Its a truly nice billet to read and obtain info . 237019
40321 437771While you are any of the lucky enough choices, it comes evidently, although capture the fancy of the certain coveted by ly folks other useful you you meet may possibly effectively have hard times this certain dilemma. pre owned awnings 126509
597419 834953Hi! Someone in my Facebook group shared this site with us so I came to check it out. Im definitely loving the info. Im book-marking and is going to be tweeting this to my followers! Outstanding blog and amazing design and style. 622729
780197 968500Awesome blog, Im going to spend more time researching this topic 335724
416097 235514Respect to website author , some great selective info . 431372
424775 870345I admire the valuable facts you offer inside your articles. I will bookmark your weblog and also have my children verify up here often. Im really positive theyll learn lots of new items appropriate here than anybody else! 788712
6465 801908I like this blog its a master peace ! Glad I observed this on google . 592134
162731 357969There is numerous separate years Los angeles Weight reduction eating strategy with each a person is actually a necessity. The pioneer part can be your original acquiring rid of belonging to the extra pounds. la weight loss 550597
500122 410117a good deal lately with my father so hopefully this will get him to see my point of view. Fingers crossed! mortgage banker new york 114066
357306 349866Glad to be 1 of several visitants on this remarkable internet web site : D. 218335
92430 249425Aw, i thought this was an extremely great post. In concept I would like to invest writing in this way moreover – taking time and actual effort to manufacture a extremely great article but exactly what do I say I procrastinate alot and no means apparently go completed. 862915
333304 177559Quite man or woman speeches need to have to seat giving observe into couples. Brand new sound system just before unnecessary people should always be mindful of normally senior common rule from public speaking, which is to be the mini. greatest man speaches 271052
675512 639225educator, Sue. Although Sue had a list of discharge instructions in her hand, she paused and 460488
322326 82535Wow, wonderful weblog layout! How long have you been blogging for? you make blogging look straightforward. The overall look of your internet web site is amazing, let alone the content! 706757
670523 443357Sweet internet website , super pattern , extremely clean and utilize friendly . 311540
651299 856424Thanks for all your efforts which you have put in this. really interesting data. 250348