[25/07/2022] Mientras los CISOs buscan preparar sus presupuestos de seguridad para el 2023, algunos podrían estar preguntándose por dónde empezar. Las facetas de la defensa de las organizaciones contra las amenazas cibernéticas pueden ser tan variadas y cambiantes que la tarea de determinar qué riesgos necesitan más atención puede parecer abrumadora.
No obstante, los líderes de seguridad deben comenzar a pensar en la cantidad de fondos que necesitarán y cómo asignarán sus presupuestos. "A nivel macro, al definir objetivos estratégicos y elaborar presupuestos para la seguridad, los CISOs deben saber que el statu quo probablemente dejará a los líderes de seguridad con una misión imposible por delante: limitados a mantener operaciones y nuevas iniciativas”, señala David Chaddock, director de seguridad cibernética de la consultoría West Monroe.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Si bien algunas organizaciones con una elevada madurez, o aquellas que han sufrido un ataque cibernético, han aprendido el valor del cambio y pueden estar preparadas, el hecho desafortunado es que la mayoría sigue luchando por satisfacer la demanda con los presupuestos tradicionales, y la necesidad de seguridad no hace más que aumentar”, explica Chaddock.
Los factores clave que podrían determinar la financiación para el próximo año probablemente estarán dentro de estas cinco categorías:
- El cambiante panorama de amenazas
- Tendencias económicas y su efecto en el comportamiento de los actores de amenazas
- Acontecimientos geopolíticos como la guerra entre Rusia y Ucrania
- Cambios en las regulaciones y directrices gubernamentales y de otro tipo
- Cambios en los requisitos del seguro cibernético
Los CISOs deben tener esto en cuenta mientras buscan las mejores formas de mantener seguras a sus organizaciones.
1. El cambiante panorama de amenazas
El panorama de amenazas a la seguridad cibernética cambia constantemente, y el ritmo de cambio parece haberse acelerado con la aparición de nuevos tipos de amenazas de ransomware, el movimiento continuo hacia la nube y los modelos cambiantes de la fuerza laboral. Luego está el objetivo de muchas empresas de convertirse en negocios digitales.
"Las iniciativas de transformación digital están impulsando la expansión de la superficie de ataque a la que se dirigen los actores maliciosos”, señala Ruggero Contu, director senior de investigación de Gartner. "Los presupuestos de los CISOs tendrán que atender a los nuevos requisitos provenientes de la exposición externa en vez del enfoque tradicional de concentrarse en las infraestructuras internas”.
Las vulnerabilidades expuestas, como los servidores sin parches y los puertos abiertos en dispositivos conectados a Internet, las configuraciones incorrectas de sistemas en la nube, la filtración de información crítica como credenciales, y los activos comprometidos como dominios falsificados y aplicaciones móviles corporativas, son ejemplos de áreas que recibirán cada vez más atención en los próximos años, asegura Contu.
El rápido aumento de los dispositivos de punto final, incluyendo el crecimiento de Internet de las cosas (IoT), y los riesgos de seguridad inherentes también afectarán el gasto.
"Los presupuestos de seguridad dentro de la fabricación, la energía, el transporte y la atención médica deberán centrarse en proteger los entornos y sistemas industriales afectados por las vulnerabilidades introducidas por IoT”, así como la convergencia de TI y la tecnología operativa (OT), señala Contu.
2. Escasos recursos de ciberseguridad debido a las tendencias económicas
Las tendencias económicas, entre las que destaca la inflación, podrían tener un gran impacto en el gasto de ciberseguridad y en el comportamiento de los actores de amenazas. La escasez de recursos cibernéticos, combinada con la inflación, será el factor más influyente en el aumento de los presupuestos y el gasto de ciberseguridad en los próximos 12 a 18 meses, sostiene Raj Patel, socio y líder de prácticas de ciberseguridad en la consultora Plante Moran. "Básicamente, lo que todos escuchan es que los presupuestos cibernéticos están aumentando”, añade. "La pregunta es ¿en qué categorías está pasando?” y la respuesta es en la dotación de personal del equipo de seguridad y las herramientas de seguridad.
"El talento cibernético es difícil de conseguir y las empresas están dispuestas a pagar por él”, asegura Patel. "Esto ha aumentado el costo de los salarios en al menos un 10% a 15%. Los empleados con entre ocho y 12 años están experimentando un mayor aumento debido a la escasez de recursos”. En cuanto a los productos y servicios de seguridad, "en los últimos cuatro años, las herramientas y la tecnología para gestionar mejor el riesgo cibernético han aumentado significativamente”, afirma.
Además, la brecha entre ricos y pobres, y la incertidumbre económica que introduce, "resultará inevitablemente en un aumento del hacktivismo y otros incidentes de ciberseguridad potencialmente desestabilizadores”, explica Chaddock. "Esto se ve agravado por la afluencia de iniciativas a medida que las empresas se vuelven más digitales y son cada vez más vulnerables a las violaciones de seguridad”.
3. Acontecimientos geopolíticos que aumentan los riesgos de seguridad
Es probable que los eventos en todo el mundo -quizás el más notable sea la guerra entre Rusia y Ucrania- continúen teniendo un impacto significativo en la ciberseguridad y el riesgo. Esto es especialmente cierto para algunas industrias, como el gobierno y otras que se considera que respaldan las infraestructuras críticas nacionales, señala Contu.
"Los actuales acontecimientos geopolíticos cambian el perfil de los atacantes, que pasan a ser hackers patrocinados por el estado que cuentan con profundos conocimientos técnicos y los recursos necesarios para atacar infraestructuras críticas y empresas en Estados Unidos y Europa”, indica Patel.
La encuesta ejecutiva trimestral más reciente de West Monroe, que recopila resultados cada trimestre de 250 ejecutivos de nivel C en empresas con más de 500 millones de dólares en ingresos, preguntó qué medidas estaban considerando tomar las empresas de los ejecutivos este año debido a la inestabilidad geopolítica y de la cadena de suministro. La mayoría de los ejecutivos (60%) dijeron que están considerando aumentar el gasto o centrarse en la ciberseguridad, ya que la guerra cibernética se convierte en una herramienta cada vez más utilizada para obtener una ventaja competitiva.
Las herramientas de ataque patrocinadas por los estados nación utilizadas contra Ucrania ahora están disponibles para una audiencia más amplia, señala Chaddock. "La mayoría de las organizaciones no están adecuadamente protegidas contra un exploit patrocinado por un estado nación”, afirma. "Esto significa que la mayoría de los programas de seguridad ya están atrasados y necesitan una inversión significativa más allá de la financiación operativa para mantenerse a flote”.
4. Cambios en los requisitos reglamentarios
En los últimos años, el cambio ha sido una constante con los requisitos reglamentarios, en los que se incluyen las leyes que se ocupan de la privacidad de los datos. El costo de cumplir con las diversas regulaciones de privacidad y obligaciones de seguridad de los contratos está aumentando, señala Patel. "Algunos contratos pueden requerir pruebas independientes por parte de auditores externos. Los auditores y consultores también están cobrando más debido a la inflación y al aumento de los salarios”, indica.
Las organizaciones deberían centrarse en crear una seguridad sólida, no solo en el cumplimiento normativo, señala Chaddock. "Cuando una organización es realmente segura, el costo de conseguir y mantener el cumplimiento de la normativa debería reducirse”, afirma.
Los requisitos de cumplimiento normativo en evolución, especialmente para aquellas organizaciones que respaldan la infraestructura crítica, requieren un apoyo significativo, anota Chaddock. "Incluso el esfuerzo para determinar lo que debe suceder puede ser costoso y restarles valor a las operaciones diarias, por lo tanto, planifique un mayor esfuerzo para respaldar las obligaciones reglamentarias, si corresponde”, explica.
5. Cambios en los requisitos de los ciberseguros y aumento de los costos
Más organizaciones han estado comprando, o al menos considerando, planes de ciberseguros a raíz de ataques muy publicitados como el ransomware. Si el pago de tales pólizas sale del presupuesto de seguridad, los CISOs deberán tener en cuenta el aumento de los costos de la cobertura y otros factores.
"Los costos reales de los ciberseguros están aumentando entre un 20% y un 25%”, señala Patel. "Las empresas pueden disminuir el costo reduciendo los niveles de cobertura o aumentando los montos de los deducibles. Eso significaría correr más riesgos. Algunas compañías de seguros evaluarán sus controles cibernéticos para determinar las primas. Mejores controles podrían significar menores primas”.
Las empresas deben asegurarse de incluir el costo del ciberseguro a lo largo del tiempo y, aún más importante, los costos asociados con el mantenimiento de capacidades de respaldo/restauración efectivas y seguras, afirma Chaddock.
"El cambio hacia la combinación de ransomware con extorsión para no divulgar públicamente información confidencial ha puesto a muchas organizaciones en un aprieto financiero”, señala Chaddock. "Es mucho menos probable que las organizaciones con capacidades de respaldo y restauración seguras y resistentes se vean materialmente afectadas por un evento cibernético y, por lo tanto, estas pueden promover nuevas iniciativas y mantenerse por delante de sus competidores, independientemente de si la cobertura de su ciberseguro es un factor limitante”.
Basado en el artículo de Bob Violino (CSO) y editado por CIO Perú