Llegamos a ustedes gracias a:



Reportajes y análisis

7 costos de ciberseguridad pasados por alto

Que podrían arruinar su presupuesto

[30/10/2020] Casi siempre, es menos costoso evitar un ciberataque que reparar el daño después de que ocurre uno. Aun así, muchas empresas acumulan presupuestos de ciberseguridad con omisiones críticas que pueden dejar a la organización vulnerable a un daño financiero significativo.

Toda organización, independientemente de su tamaño o enfoque, debe crear un presupuesto de ciberseguridad racional y preciso. "Los presupuestos aportan un elemento de realidad y practicidad a casi todo, afirma Humayun Zafar, profesor de seguridad y garantía de la información en la Kennesaw State University de Georgia.

Zafar señala que, a pesar de los mejores esfuerzos de las empresas para proteger los sistemas y recursos, los incidentes de ciberseguridad continúan creciendo rápidamente. "Los presupuestos no pueden aumentar a un nivel comparable a la velocidad a la que ocurren estas amenazas, y mucho menos a su ritmo de evolución, advierte. Por tanto, es imperativo que las organizaciones inviertan inteligentemente en ciberseguridad. "No se puede asegurar todo, por lo que la priorización es clave, afirma Zafar.

Aquí figuran siete elementos clave del presupuesto de ciberseguridad que los planificadores a menudo pasan por alto o no abordan de manera realista.

1. Adquisición y retención de personal

Desafiando una tendencia a largo plazo, muchas organizaciones continúan subestimando el costo de contratar y retener profesionales capacitados en ciberseguridad. "Durante los últimos años, ha habido una brecha cada vez mayor entre los profesionales calificados y el crecimiento exponencial en el número de puestos de trabajo, afirma Carolyn Schreiber, directora de ciberseguridad de la firma de asesoría comercial, EY Consulting. "En pocas palabras, la competencia sigue siendo feroz y la guerra en busca de talento continúa. Como resultado, muchas organizaciones se encuentran agotando su presupuesto de contratación, mientras luchan por contratar y retener a expertos calificados en ciberseguridad.

Existe una escasez continua de talento en ciberseguridad, que precede por mucho a la pandemia de la COVID-19, observa Deborah Golden, líder de riesgo cibernético y estratégico de la consultora de negocios, Deloitte Risk and Financial Advisory, en Estados Unidos. "Si su organización puede reclutar talento cibernético calificado -incluso si tiene la intención de mantener ese talento a distancia por siempre- hágalo, reitera Golden.

2. Gasto en la nube

A menudo, el gasto en la nube relacionado con la ciberseguridad se subestima o no se administra bien, afirma Ted Wagner, CISO de SAP National Security Services (NS2). "Con frecuencia, el gasto en la nube no está centralizado y muchas unidades dentro de una organización inician las pruebas o el desarrollo en ambientes de nube sin los controles adecuados, señala. El gasto excesivo en servicios en la nube puede convertir lo que originalmente se concibió como un proyecto económico, tal vez incluso como ahorro de presupuesto, en un serio impedimento para los recursos financieros.

Los presupuestos de la nube deben reflejar los precios del mundo real y anticipar el costo adicional de las unidades de negocio individuales que prueban y prueban las herramientas de seguridad basadas en la nube. "En una organización grande, estos costos incrementales pueden acumularse rápidamente, advierte Wagner.

3. Asesoramiento y análisis de terceros

Con frecuencia, las empresas se olvidan de presupuestar las pruebas de vulnerabilidad de terceros, así como de los consultores para asesorar a los gerentes y al personal sobre posibles amenazas cibernéticas. "Es bueno tener un presupuesto más grande aquí para que pueda obtener ayuda de más de una empresa, además de asegurarse de recibir un asesoramiento de 360 grados, sugiere la abogada Sarah Bruno, socia de ciberseguridad de Reed Smith, una firma internacional de abogados.

Una organización puede resistirse a pagar más por múltiples conocimientos externos porque tiene total confianza en su ambiente de ciberseguridad actual o porque trabaja con el mismo consultor de seguridad, cada año, con un presupuesto establecido. Sin embargo, ese razonamiento suele ser miope. "Es bueno tener aportes de diferentes firmas de seguridad, especialmente para datos más confidenciales, con el fin de facilitar la detección de nuevas amenazas y también para garantizar que se cuenta con las defensas técnicas, administrativas y físicas adecuadas, afirma Bruno.

4. Respuesta a incidentes

La respuesta a incidentes (RI) suele ser una necesidad de ciberseguridad que se pasa por alto, pero sobre todo cuando se trata de presupuestos, afirma Joseph Kirkpatrick de Kirkpatrick Price, una firma de pruebas y auditoría de ciberseguridad. Él señala que, cuando una empresa es víctima de una irrupción en sus datos, una estrategia de RI cuidadosamente planificada puede salvar a la organización de pérdidas financieras potencialmente devastadoras. "Dedicar tiempo a contratar y capacitar a un grupo responsable de la respuesta a incidentes dará sus frutos, aconseja Kirkpatrick.

A pesar del riesgo inherente, las empresas continúan sin presupuestar de manera realista los gastos de RI, afirma Rudy Bakalov, vicepresidente de estrategia de ciberseguridad de la firma de administración, Booz Allen Hamilton. "Con todos los ejemplos de grandes organizaciones afectadas -presumiblemente con programas de seguridad maduros- que se muestran en la prensa, es difícil imaginar por qué las organizaciones no planifican mejor los costos indirectos como... retener/desarrollar capacidades de IR, señala Bakalov. "Quizás creen que su organización es demasiado grande, o demasiado pequeña, para ser un objetivo, o están jugando con las probabilidades de que no les suceda.

Las consecuencias de no abordar los costos indirectos de la ciberseguridad, como el RI, no son menos importantes que no contabilizar adecuadamente los costos directos, especialmente en el área de respuesta a incidentes, agrega Christopher Smith, director de la práctica comercial cibernética de Booz Allen Hamilton. "No tener un anticipo para los servicios de RI... podría provocar que un evento como el ransomware se prolongue innecesariamente, creando así una mayor disrupción del negocio, pérdida de clientes y daño a la reputación.

5. Costo de reemplazo

Al juzgar el costo de reemplazo de activos potencialmente vulnerables, muchas empresas adoptan una visión decididamente miope de qué sistemas podrían verse afectados por una infracción o malware, limitando los reemplazos solo a los sistemas más vulnerables. "Desde una perspectiva de dólares y centavos, esto da como resultado pérdidas que superan con creces cualquier proyección que pueda tener una organización, afirma Zafar. "El nivel de criticidad dependería del alcance de la brecha de seguridad cibernética.

El reciente cambio al trabajo a domicilio aumenta las apuestas en los costos de reemplazo, dejando en el polvo las estimaciones previas a la pandemia. Descuidar el reemplazo o la actualización de los sistemas domésticos vulnerables es un desastre. "Si los sistemas domésticos se ven afectados, esos sistemas pueden reintroducir inadvertidamente una vulnerabilidad en la red corporativa, incluso si una organización ha solucionado el problema, advierte Zafar.

6. Capacitación en ciberseguridad

Muchos de los principales riesgos de ciberseguridad se originan internamente. "Muchas empresas reconocen que el comportamiento de los empleados es una fuente importante de riesgo, afirma Jacob Koering, abogado que dirige la práctica de ciberseguridad y privacidad de datos en la firma de abogados, Miller Canfield. "Sin embargo, estas mismas empresas no financian drásticamente, o incluso ignoran, las necesidades de capacitación de los empleados y amenazas internas, agrega.

Koering afirma que un programa de ciberseguridad bien administrado garantiza que los empleados estén al tanto de sus obligaciones de ciberseguridad y refuerza esa conciencia con un monitoreo interno para garantizar que los actores maliciosos sean detectados y capturados rápidamente.

7. Ciberseguro

Muchas empresas aún no han reconocido la necesidad de un seguro cibernético, un descuido con consecuencias financieras potencialmente graves. "Es irónico que, a pesar de las crecientes amenazas cibernéticas, muchas empresas no presupuestan el ciberseguro, afirma Nir Kshetri, profesor del área de administración de la Universidad de Carolina del Norte en Greensboro, que escribe y habla con frecuencia sobre temas de seguridad y criptomonedas. "A partir del 2020, menos del 20% de las pequeñas empresas en Estados Unidos habían comprado un ciberseguro, señala.

Sin un seguro cibernético, es posible que las organizaciones no puedan protegerse contra pérdidas significativas relacionadas con los ciberataques, advierte Kshetri. Además de proteger a las empresas de un impacto financiero potencialmente devastador, simplemente solicitar un ciberseguro puede generar una infraestructura de ciberseguridad más sólida. "El ciberseguro expresa un ciberriesgo en términos de valor en dólares, afirma. "El proceso de suscripción del ciberseguro puede ayudar a las organizaciones a identificar las brechas de ciberseguridad y brindar oportunidades de mejora.