Saltar al contenido

Cómo presupuestar el gasto en ciberseguridad en su empresa

Las empresas entienden hoy en día que los protocolos de seguridad cibernética deficientes no son sólo un riesgo para la seguridad, sino un riesgo financiero y para la reputación que puede costar mucho a las empresas, ya sea por una violación de datos o por un rescate. Como resultado, el gasto mundial en seguridad cibernética alcanzará nuevos máximos en 2017, y el gasto mundial en seguridad de la información llegará a 90.000 millones de dólares en 2017 y a 113.000 millones de dólares en 2020.

Pero aunque la seguridad cibernética es importante, no todas las empresas y organizaciones sin fines de lucro pueden permitirse el lujo de arrojar grandes cantidades de dinero a la seguridad cibernética, dadas sus otras prioridades. Si bien los contables y los profesionales financieros deberían hacer hincapié en la importancia del gasto en ciberseguridad, es mejor gastar de forma inteligente en lugar de gastar mucho. Una organización puede adoptar enfoques rentables e inteligentes, garantizar una seguridad razonable y evitar que sus libros se vean paralizados por el gasto en TI.

Cómo presupuestar el gasto en ciberseguridad en su empresa
Cómo presupuestar el gasto en ciberseguridad en su empresa

Aquí hay ciertas cosas a considerar y formas en que las empresas pueden gastar efectivamente en la ciberseguridad.

Asuntos de entrenamiento

La gente puede ver la ciberseguridad como un complicado pantano de tecnología, pero todas las medidas de seguridad comienzan y terminan con las personas. Si los empleados de una empresa están ayudando a los príncipes nigerianos y haciendo que su contraseña sea “contraseña”, los ciberdelincuentes irrumpirán en ella sin importar lo que decida la dirección.

La capacitación en materia de ciberseguridad debería convertirse así en una prioridad importante, especialmente porque las clases de educación son mucho más baratas en comparación con la actualización de la infraestructura de la tecnología de la información. La capacitación debería consistir en informar a los empleados de las posibles amenazas a la ciberseguridad, como el phishing, dejar claro lo que se espera que hagan los empleados en caso de ataque y realizar ejercicios para ayudarles a prepararse.

Recuerde que como las amenazas a la seguridad cibernética evolucionan constantemente, la capacitación debe actualizarse para reflejar esas amenazas. Desarrolle su propio mensaje que enfatice la importancia de estar preparado, y su empresa hará grandes progresos para estar segura a un bajo costo.

  Concienciación de Riesgo Constante

Aunque todas las empresas saben que la formación es importante, también saben que demasiados empleados se sientan en una clase de formación y prestan poca atención a las palabras del instructor. Eso sucede porque las empresas no se esfuerzan en dejar que los empleados utilicen los conocimientos adquiridos por la formación fuera del aula, dejando que se descompongan. Esto es especialmente cierto con la ciberseguridad.

Las empresas deben mostrar su compromiso con la creación de una atmósfera en la que todos comprendan la importancia de la ciberseguridad mediante la aplicación de medidas sencillas, baratas pero eficaces. Ordenar el uso de contraseñas fuertes y la autenticación de dos factores. Proporcionar a los trabajadores sólo el nivel mínimo de privilegio informativo que necesitan. Someter a todos, incluso a los ejecutivos, a nuevas reglas de seguridad para que todos estén en el mismo barco. De hecho, los ejecutivos deberían estar sujetos a reglas más estrictas ya que son objetivos más jugosos.

Algunos trabajadores se irritarán con estas nuevas reglas y continuarán usando métodos inseguros porque es más fácil. Pero a través de un sistema de vigilancia constante, las empresas pueden promover una atmósfera donde todos entiendan la importancia de la seguridad. Esa atmósfera es tan necesaria para crear una empresa segura como cualquier actualización tecnológica.

¿Qué hay que proteger?

Las empresas y los contables no deberían preguntarse cuánto están gastando en ciberseguridad. Deberían preguntarse qué necesitan proteger y cuán protegido está. La ciberseguridad tiene que ver fundamentalmente con la gestión de riesgos, lo que significa identificar qué secciones de una empresa causarían el mayor daño si se vieran comprometidas.

Una vez identificadas esas partes, una empresa puede elaborar una nueva política de seguridad que haga hincapié en la protección de determinadas secciones utilizando proveedores de VPN y establezca lo que los empleados no están autorizados a hacer. Esta política puede ahorrar dinero identificando los programas basura heredados que deben ser desechados y asegurando que su empresa sólo compre las actualizaciones de seguridad cibernética que necesita en el futuro. Sin una política de evaluación de riesgos, las empresas suelen perseguir cualquier actualización de seguridad cibernética que esté de moda sin pensar exactamente en cómo proteger sus activos.

Pruebe sus sistemas

Con una política de seguridad, puede saber qué áreas de su negocio tienen la mayor prioridad de protección. Pero eso no es lo mismo que saber qué áreas de su negocio son realmente las más vulnerables, y los hackers a veces pueden usar esas áreas más vulnerables como puerta trasera hacia el resto de su empresa. Para evaluar los puntos débiles de su organización, es necesario realizar pruebas de seguridad.

Lo ideal es que su organización cuente con alguien con la experiencia técnica necesaria para llevar a cabo una prueba de penetración adecuada sin causar accidentalmente un choque real u otros resultados inapropiados. Pero la mayoría de las empresas no lo hacen y por lo tanto recurren a software de pruebas de penetración automatizadas de terceros como Metasploit que puede costar miles de dólares al año. Tales costos pueden hacer que las empresas se alejen de la idea de las pruebas de seguridad, dejándose vulnerables.

La buena noticia es que hay herramientas gratuitas de prueba de seguridad de código abierto como Zed Attack Proxy o Vega. Realizando una prueba preliminar gratuita, las empresas pueden descubrir exploits iniciales que pueden ser arreglados sin gastar miles en pruebas de penetración. No obstante, las empresas deberían considerar la posibilidad de comprar el software más caro en algún momento.