Cómo crear un presupuesto para seguridad

Estimar los costos de la seguridad puede resultar difícil. No importa de cuánto prescinda, a menudo no es suficiente. A continuación, le explicamos cómo realizar una planeación más precisa.

En resumen:

PricewaterhouseCoopers (PwC) y la revista CSO han encuestado a empresas globales acerca de sus presupuestos de seguridad desde 2002 y, en el informe del quinto año, pusieron de relieve algunas tendencias generales que habían notado, incluida la siguiente: "El tamaño de la empresa no afecta a los gastos. Cuando el presupuesto para la seguridad de la información se mide como un porcentaje del presupuesto de TI, es constante, independientemente de cuántos empleados tenga una empresa o cuáles sean sus ingresos. El tamaño de la empresa es menos determinante en cuanto a los gastos en seguridad que en cuanto al sector."

Si dispone de unos buenos procedimientos de seguridad, pero no responden a las iniciativas empresariales, tiene un problema. Mark Lobel Socio de PricewaterhouseCoopers

Ésta es una estrategia equivocada de acuerdo con Lobel y otros expertos. Aunque, según las teorías convencionales, los costos de seguridad ascienden a un 3-5% del presupuesto de TI total, esta estimación está cambiando por diversas razones. Por un lado, la seguridad es cada vez más importante para las empresas y, por otro, hoy en día se necesitan más recursos para administrar las amenazas que hace unos años. El costo asociado a la seguridad está creciendo a un ritmo mayor que el presupuesto de TI medio y el costo asociado al personal de seguridad está creciendo incluso más rápido. Si esta tendencia se mantiene de forma indefinida, la seguridad podría consumir todo el presupuesto de TI.

Cualquier empresa mediana que desee crecer, ya sea incrementando los ingresos o a través de una adquisición, debe plantearse la seguridad desde un punto de vista estratégico y dinámico. Una estrategia universal para los presupuestos no sirve de nada. En su lugar, debe pensar cuidadosamente qué herramientas de seguridad va a adquirir, por qué las va a adquirir y si ese gasto se ajusta a los objetivos empresariales básicos.

El problema de los presupuestos

Lobel, sin embargo, se lamenta de que el problema principal de los presupuestos de seguridad es que no existe una tabla actuarial para calcular los riesgos. Jim Tiller, director de seguridad de BT INS en Santa Clara, California, y Microsoft Gold Certified Partner, también es de la misma opinión. "Si construye un edificio, existe información relacionada acerca de prevención de incendios, bloqueos y otros tipos de protección. Se trata de información precisa con la que puede tomar decisiones sólidas", explica Tiller. Sin embargo, puesto que las empresas no han tratado el tema de la seguridad de TI durante mucho tiempo, no existen datos estadísticos significativos que se puedan usar para evaluar el costo de las infracciones y los problemas. Además, el presupuesto de seguridad debe englobar soluciones tecnológicas tanto para las amenazas externas (ya sean accidentales o intencionadas) como las externas. Y, para colmo, el hecho de que doble su inversión en seguridad no significa que esté el doble de seguro.

La clave radica en un concepto bien conocido para la tecnología de la información que quizá no se lleve a la práctica correctamente: la alineación con los objetivos empresariales. "Si está empezando a adoptar dispositivos de mano inalámbricos para que los agentes mejoren su eficacia, ¿está el departamento de TI respaldando esa iniciativa desde el punto de vista de la seguridad?", plantea Lobel. "Si dispone de unos buenos procedimientos de seguridad, pero no responden a las iniciativas empresariales, tiene un problema."

Para empezar, no considere la seguridad una variable estática. En su lugar, responda a las necesidades de seguridad como lo haría en otras áreas del presupuesto de TI: dedique un determinado porcentaje al mantenimiento general de los sistemas y, después, realice presupuestos para cada proyecto. En otras palabras, alinee el presupuesto de seguridad como corresponda con el nivel de seguridad que cada aplicación necesita. En lugar de asignar un porcentaje del presupuesto general, use un porcentaje del presupuesto de cada aplicación o proyecto para determinar los costos de seguridad.

Consideraciones relacionadas con el presupuesto durante etapas de crecimiento y adquisiciones

Cuando empiece a planear las inversiones en seguridad, adopte un punto de vista a largo plazo y sea exhaustivo en lugar de adquirir soluciones puntuales. Por ejemplo, en lugar de optar por una herramienta de cifrado que sólo sirva para el correo electrónico o los dispositivos móviles, busque una que lleve a cabo ambas tareas. De esta manera, si se marca el objetivo de ampliar su empresa mediante el ejemplo anterior de proporcionar dispositivos de mano a los vendedores de seguros, ya dispondrá de una solución que se adapte a esta nueva estrategia empresarial.

Lo mismo ocurre si adquiere una empresa. Un sistema de administración de acceso integrado que administre identidades digitales y especifique el modo en que los empleados pueden obtener acceso a los recursos de datos debe abarcar no sólo sus aplicaciones, sino también cualquier aplicación que se pueda incluir en la adquisición.

Aun así, Tiller mantiene que hay cálculos presupuestarios específicos que puede realizar en el mismo momento de la fusión. "Las fusiones suponen complejidad y discontinuidad, lo que siempre se traduce en nuevos problemas de seguridad", afirma. Además, aconseja que las empresas tripliquen el porcentaje actual de sus inversiones generales en seguridad durante al menos seis meses después de una fusión. "Es casi como combatir un verdadero evento de seguridad", declara Tiller. "Tiene que enfrentarse a un gasto mayor a corto plazo, pero los costos se normalizan seguidamente en un período de 12 a 18 meses."

Howard Baldwin, escritor por cuenta propia de Silicon Valley, escribe de forma regular para Microsoft. Su trabajo también se ha publicado en AllBusiness.com y en CIO.

Principio de la página