La necesidad de ciberseguridad es evidente para la mayoría de los líderes de TI. Sin embargo, para muchas pequeñas empresas, justificar un presupuesto sólido puede ser una ardua batalla. Al fin y al cabo, si tu negocio aún no ha sufrido ningún ataque, ¿no implica eso que no hay necesidad de añadir nuevas herramientas o servicios?
En realidad, nada más lejos de la realidad. A medida que los ciberdelincuentes y hackers mejoran sus habilidades y técnicas, las herramientas que los detuvieron ayer pueden no ser tan efectivas hoy. Y, por desgracia, cualquier organización (por pequeña o desconocida que sea) puede ser objetivo de un ciberataque. A decir verdad, muchas organizaciones pequeñas enfrentan en realidad un riesgo desproporcionado, ya que algunos ciberdelincuentes saben que pueden atacar fácilmente a las empresas con ciberdefensas débiles.
Teniendo esto en cuenta, es importante que las organizaciones comprendan que su estrategia y conjunto de herramientas de ciberseguridad (y, por extensión, su presupuesto) deben evolucionar con el tiempo para seguir protegiendo el negocio.
¿Cuánto dinero deberías destinar a tu presupuesto de ciberseguridad?
No hay una respuesta clara sobre cuánto dinero deberían destinar las organizaciones a su presupuesto de ciberseguridad. Esta cifra varía mucho porque las organizaciones afrontan un nivel de riesgo diferente según el tamaño de su empresa, el sector, las necesidades de cumplimiento y requisitos legales, los datos que se recopilan y almacenan, y los requisitos de clientes y socios.
Por ejemplo, una pequeña consulta médica que gestiona datos de salud de pacientes y debe cumplir con normativas gubernamentales como la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) puede considerar prudente invertir en herramientas y tecnologías sólidas. Por otro lado, un pequeño taller de reparación de automóviles que hace relativamente pocas transacciones online puede no necesitar más que un conjunto básico de herramientas para proteger su sistema de correo electrónico y la base de datos de clientes.
Algunos expertos sugieren que una regla general es invertir entre el 5 y el 20 % del presupuesto total de TI en ciberseguridad. Este dinero podría emplearse en respaldar una amplia gama de actividades relacionadas con la ciberseguridad, desde compras de software o servicios de monitorización hasta la mejora de capacidades del personal de TI y la formación en concienciación de ciberseguridad de los empleados.
Si esto supondría un gasto nuevo o un aumento del presupuesto para tu empresa, puedes seguir estos cuatro pasos para preparar tus conversaciones con los directivos.
Más información
¿Buscas consejos e ideas para conseguir fondos adicionales para incorporar personal, añadir nuevas herramientas, desarrollar programas de formación para empleados o incluso reservar fondos en caso de una brecha? Aportamos ideas útiles, consideraciones y consejos para que los líderes de TI puedan defender la necesidad de aumentar su presupuesto de ciberseguridad.
Leer: Cómo aumentar el presupuesto de ciberseguridad de las pymes
Cómo crear un presupuesto de ciberseguridad
Paso 1: Revisa tu presupuesto actual de ciberseguridad
El primer paso para justificar un aumento en tu presupuesto actual de ciberseguridad sería revisarlo en el contexto de las necesidades y riesgos de tu organización. Como parte de este proceso, los líderes de TI pueden:
- Hacer un inventario de los productos y servicios de seguridad existentes y sus costes asociados.
- Recopilar cualquier dato de estas herramientas que muestre evidencia de su funcionamiento, como el número de ataques bloqueados o amenazas detectadas.
- Identificar lagunas dentro del conjunto de herramientas existentes cuya seguridad podría mejorarse. Esto puede incluir herramientas que automaticen actividades importantes pero rutinarias, como la actualización o aplicación de parches en ordenadores, oportunidades de formación para personal o empleados de TI, o nuevas normativas que la organización debe cumplir.
Idealmente, la organización debería realizar esta auditoría de forma periódica, en un momento que no coincida con la renovación de ninguna herramienta o software existente. Esto ayudará a garantizar que el equipo de TI y los líderes de la empresa tomen la mejor decisión para el negocio, en lugar de verse influenciados por una fecha límite inminente.
Paso 2: Optimiza el conjunto de herramientas existente
Cuando tu equipo haya completado la auditoría, revisa el conjunto de herramientas que tenéis y determina si se pueden hacer ajustes para reforzar la cobertura actual o cubrir las carencias de las tecnologías actuales. Esto no solo podría ayudar a tu equipo a reducir la necesidad de invertir en nuevas herramientas, sino también a reducir la complejidad del conjunto de herramientas de seguridad, ya que las nuevas herramientas deberán integrarse dentro de la arquitectura existente y ser gestionadas también por el personal.
Muchos proveedores de seguridad de confianza y reconocidos se reúnen con los clientes para revisar periódicamente las capacidades y funciones de sus herramientas y asegurarse de que están aprovechando al máximo las funciones del producto, así como para configurarlas y ponerlas en marcha correctamente.
Paso 3: Define los nuevos requisitos obligatorios, incluido el cumplimiento normativo
Tras completar los pasos 1 y 2, si aún existen lagunas en la estrategia de seguridad que deban abordarse, el líder de TI debe detallar cuáles son esos requisitos y las herramientas o procesos que implementar para abordarlos.
Algunas carencias, como cumplir con la normativa gubernamental sobre datos confidenciales de clientes, la información médica personal o los datos bancarios, deben cumplirse para que la empresa no se enfrente a importantes consecuencias legales y financieras.
Para otras cuestiones, como mejorar la concienciación sobre ciberseguridad entre los empleados mediante nuevos cursos de formación, la necesidad puede ser menos definitiva o urgente. En estos casos, el líder de TI debe documentar incidencias o actividades pasadas que demuestren la necesidad de impartir dicho programa y justifiquen su coste. Recuerda que, en muchos casos, el coste de un programa de seguridad será mucho más económico que sufrir una brecha, sin mencionar que es menos disruptivo para el negocio.
Paso 4: Haz una evaluación de riesgos (puede basarse en el tamaño, el sector o el producto)
Para algunas organizaciones, puede tener sentido evaluar los riesgos. Una evaluación de riesgos es una auditoría completa del negocio que identifica cualquier cosa que pueda ser objeto de un ciberataque, como ordenadores, teléfonos móviles, datos de clientes, IP u otros recursos. Para los equipos de TI con conocimientos limitados en ciberseguridad, puede ser útil asociarse con un proveedor de ciberseguridad para realizar esta evaluación y señalar las áreas con más riesgos.
Aunque las evaluaciones de riesgos pueden no ser necesarias para todas las pequeñas empresas, a medida que las brechas y ciberataques se vuelven más frecuentes, algunas empresas pueden descubrir que los clientes o socios más grandes requerirán dicha auditoría como parte del proceso de contratación. Esto se debe a que los riesgos que afectan a un proveedor o socio también pueden crear riesgos para el cliente. Por esa razón, las empresas deberían considerar asignar fondos dentro del presupuesto por si surge esa necesidad durante el año.
También hay otras consideraciones:
Contratación
Cuando las organizaciones reconsideran su estrategia de ciberseguridad, puede quedar claro que necesitan a alguien que les ayude a supervisar estos nuevos requisitos. En tal caso, puede ser útil contar con un socio de ciberseguridad que ayude a definir las responsabilidades de ese puesto, así como la experiencia y habilidades que se requieren.
Es importante tener en cuenta que el talento en ciberseguridad escasea en todo el mundo. Por esa razón, puede ser más rentable y práctico para algunas empresas considerar un modelo de externalización, en lugar de desarrollar una competencia interna.
Formación
Dado que los ciberdelincuentes suelen utilizar a las personas como punto de entrada inicial durante un ciberataque, especialmente si se trata de phishing, es importante asegurarse de que las personas comprendan el papel que desempeñan en el mantenimiento de la ciberseguridad de la organización.
Si la empresa no dispone ya de un curso de formación de concienciación sobre ciberseguridad, el equipo de TI puede considerar desarrollarlo para que lo hagan todos los empleados, independientemente de su nivel, ubicación o ámbito laboral. En el caso de las organizaciones grandes o de aquellas con un mayor nivel de riesgo, también puede ser recomendable adaptar los programas de formación al tipo de trabajo, nivel de experiencia y ubicación.
Prioridades empresariales
En última instancia, la ciberseguridad es un facilitador del crecimiento empresarial. Al fin y al cabo, un negocio seguro es un negocio sólido.
Para ello, la estrategia de ciberseguridad debe tener en cuenta nuevas iniciativas empresariales y prioridades que puedan cambiar fundamentalmente las necesidades de seguridad. Por ejemplo, una empresa que se está adaptando a la nube tendrá que implementar nuevas herramientas de seguridad específicas para la nube, ya que las herramientas tradicionales locales no protegen los recursos basados en la nube. Si la empresa permite que los empleados teletrabajen como forma de reducir los costes operativos o de ofrecer una mejor experiencia laboral, el equipo de TI debe tomar medidas para garantizar que los ordenadores y datos de la empresa permanezcan protegidos en las redes domésticas.
Ciberseguros
El ciberseguro, a veces denominado "seguro de responsabilidad cibernética" o "seguro de riesgo cibernético", es un tipo de seguro que protege a las empresas en caso de un ciberataque. Aunque no todas las pequeñas empresas necesitarán contratar actualmente una póliza de ciberseguros, se está convirtiendo en un requisito común para hacer negocios con algunos clientes. Al igual que la evaluación de riesgos, puede ser prudente reservar fondos para esta actividad en caso de que un cliente lo convierta en un requisito contractual.
Lleva tu seguridad al siguiente nivel con CrowdStrike
Es posible que las pequeñas empresas disfruten de una cobertura integral de primer nivel. CrowdStrike Falcon® Go es una solución fácil de gestionar y asequible, diseñada a medida para pequeñas empresas, que previene el ransomware, el malware y las últimas ciberamenazas.
- Protege tu negocio con la solución antivirus de próxima generación líder del sector, con eficacia demostrada a la hora de detener ataques avanzados.
- Aprovecha el control de dispositivos como ayuda para monitorizar y controlar los dispositivos USB que puedan poner en riesgo tu red.
- Implementa un sensor ligero y empieza a proteger tu negocio al instante, sin importar dónde estén tus dispositivos.
¿Todo listo para probar CrowdStrike?
Inicia una prueba gratuita de 15 días de Falcon Pro y protege tu empresa de ransomware, malware y ciberataques sofisticados.
Recursos adicionales:
Dana Larson ocupa el puesto de Senior Product Marketing Manager y su objetivo es ayudar a las empresas pequeñas a mantenerse seguras y protegidas. En su trabajo combina la creatividad con la estrategia, lo que hace que la ciberseguridad no solo sea esencial, sino también valiosa para las pequeñas empresas. De trazar planes de marketing inteligentes a hablar con los clientes, Dana se asegura de que cada persona con la que entra en contacto se sienta empoderada y protegida.
