El mundo de la seguridad es cada vez más difuso -o confuso- pues afecta a diversos aspectos que las compañías tienen que abordar de forma proactiva. Como si de generales estrategas se tratase, los responsables de seguridad TI tienen que atender diversos fuegos sabiendo que no pueden descuidar ningún frente; y es que los enemigos proliferan por doquier: spam, ataques de Internet, virus, agujeros de seguridad, continuidad de negocio, phishing, movilidad, redes sociales, infraestructuras críticas, ciberterrorismo, bots, fraude, robo de información, piratería, ciberterrorismo… todo ello requiere estar preparado con los suficientes recursos para poder ganar la batalla al malware. Lo más habitual es compararse con la competencia, con rivales de similar tamaño y cercanos geográficamente, como punto de referencia para saber si se está aplicando la debida diligencia en el capítulo de la seguridad.
En este sentido, una encuesta reciente de Gartner señala que las compañías promediaron un 5,6% en seguridad TI y gestión de riesgos, lo que no supone una uniformidad en los resultados cosechados. Normalmente, los gastos en seguridad se dividen en hardware, software, servicios (outsourcing y consultoría) y personal, sin embargo en la encuesta de Gartner un tercio de las empresas desconocía su auténtico presupuesto en seguridad. Esto sucede porque los sistemas de contabilidad contemplan la seguridad como un campo separado, mientras que muchos procesos de seguridad son llevados a cabo por personal que no dedica su tiempo completo a la seguridad, lo que hace imposible cuantificar ese gasto (que representa el 40% del total).
En términos generales, los CISO no pueden determinar el gasto completo que su empresa dedica al capítulo de la seguridad. Aunque las cifras publicadas representan lo que Gartner llama ‘stalking horse’ (es decir, una posición derivada del análisis de los datos que representan las tendencias y los resultados), cada organización debe evaluar su propia situación con cuidado, y no debe cambiar arbitrariamente para ajustarse a los resultados publicados que no necesariamente representan las mejores prácticas.
Y es que las estadísticas sobre el gasto en seguridad no representan la verdadera magnitud de las inversiones empresariales en tecnologías de seguridad ya que las características de seguridad se están incorporando en hardware, software o iniciativas que no están específicamente dedicados a la seguridad. Por tanto la consultora aconseja que aunque el gasto esté fuera del presupuesto del CISO, el departamento de seguridad debe ser un factor de influencia o de asesor en el gasto en otros ámbitos, y por lo tanto a menudo deben tener visibilidad en dicho gasto.
Existe una amplia serie de ejemplos donde se produce esta circunstancia como son el caso de los equipos de red que han incorporado funciones de seguridad, tales como las redes privadas virtuales de apoyo o el cifrado de datos en movimiento, lo cual puede ser cargado al presupuesto de telecomunicaciones o comunicaciones de datos. O el de la protección del escritorio que son achacables al usuario final. Prácticamente todas las aplicaciones de la empresa tienen algunas funciones de seguridad, como ERP o SCM (Gestión de la Cadena de Suministro). De la misma manera, proyectos tales como gestión de identidades y acceso (IAM) no deben ser gestionados por el equipo de seguridad, sino por el de gestión de clientes proporcionando autoservicio o apoyo a otras aplicaciones.
Seguridad estratégica
Las organizaciones tienen que proteger su infraestructura informática, respondiendo a las amenazas y mantener la vigilancia, pero el gasto en seguridad también está siendo vinculado a iniciativas estratégicas del negocio. Por ejemplo, un portal de colaboración segura para el cuadro directivo de comunicaciones incluye una cantidad significativa de la funcionalidad de seguridad, pero que rara vez se trata como parte del presupuesto de seguridad. Las organizaciones deben cumplir con la normativa y requisitos legales. Los directores CISO han de justificar los gastos mediante la inclusión de las parámetros medibles de mejora de la seguridad o de mitigación de riesgos en todas las solicitudes de compra. El CISO tiene que ejercer presión para asegurarse de que las unidades de negocio incluyen el dinero para los gastos de seguridad que sea relevante para todos los proyectos de TI. Las organizaciones más seguras probablemente gastan menos del promedio general del presupuesto TI. Sin embargo, el 20% de las organizaciones que invierten menos en seguridad está compuesto tanto por compañías inseguras como por aquellas seguras que han implementado las mejores prácticas en sus operaciones de TI y de seguridad (tales como mejores prácticas de gestión de configuración) que reducen el total de complejidad de la infraestructura de TI y rebajan el número de vulnerabilidades de seguridad.
El gasto en seguridad se utiliza a menudo para compensar las deficiencias en las operaciones de negocio y de TI. Al reducir estas deficiencias el gasto TI aumenta, al tiempo que el gasto en seguridad de la información se reduce en un porcentaje. En entornos corporativos más maduros y seguros, los gastos y actividades explícitas de seguridad disminuyen a medida que se integran dentro de las operaciones globales, desarrollo de sistemas, implementación gestión de procesos, y así las funciones de seguridad se consolidan y se gestionan de manera más eficiente. Las compañías no seguras, por el contrario, tienen que comprar más ‘soluciones por pánico’, debido a una ineficiente gestión de los recursos y una infraestructura descontrolada, en la que se produce más tiempo de inactividad. Los gastos explícitos en seguridad también se verán reducidos al tiempo que las capacidades de seguridad cada vez se encuentran más integradas a la red, al mundo del desktop y a las funcionalidades basadas en la nube, como consecuencia directa de la progresión propia de las Tecnologías de la Información.
Estas capacidades son contempladas en la próxima generación de firewalls, protocolos de seguridad web, que ahora incorporan funciones antispyware, antivirus, VPN y conductas proactivas de bloqueo de conductas. La competencia entre los productos multifuncionales y los servicios también favorecen la reducción de los precios. Finalmente, las organzaciones pueden externalizar muchas funciones de seguridad. Las medianas empresas incrementarán el uso de appliances UTM unificados de bajo coste, externalizarán la monitorización de la red de seguridad (como prevención de intrusos) así como servicios de gestión de fraude, vulnerabilidad de activos y gestión de vulnerabiidades. En suma, las compañías gastarán de acuerdo al lugar donde se sienten que están en su ciclo de actualización de la tecnología, y sobre la base de su vulnerabilidad percibida o real. Cuando las amenazas son estáticas, los costes de seguridad se pueden incluir dentro de las operaciones en general, dejando vías presupuestarias para la protección contra nuevas amenazas. La regla general de Gartner es que las empresas deben tener entre el 3% y el 6% de sus presupuestos, destinados a seguridad de TI, menor en el rango si tienen sistemas maduros, mayor si están abiertos y en situación de riesgo.
