¿Cree que está gastando lo suficiente en seguridad?


Si bien la cantidad variará de una organización a otra, aquí hay cuatro formas en las que todos pueden evaluar si están asignando la cantidad correcta de dinero y recursos.

Las cifras abarcan toda la gama de cuánto gastan las organizaciones en seguridad. Por ejemplo, a finales del año pasado (y antes de COVID-19), Gartner informó El gasto promedio en ciberseguridad fue del 5% al ​​8% del presupuesto complete de tecnología. Mientras tanto, un más encuesta reciente de CIO de 683 ejecutivos de TI en todo el mundo ubica esa estadística en un 15%, en promedio, aunque el 23% de los ejecutivos indicó que gastaban el 20% o más de sus presupuestos de TI en seguridad.

Entonces, ¿cuánto es suficiente? ¿Y cuál es la mejor manera de evaluar si está asignando la cantidad correcta de dinero y recursos hacia la seguridad y la mitigación de riesgos?

«¿Hay una cantidad mágica en dólares que todo equipo debería gastar? No, pero definitivamente hay un número que no es aceptable, y es cero», dice Aaron Zander, director de TI de HackerOne.

Hackearse seguro
Por supuesto, una forma eficaz de al menos identificar agujeros y encontrar lugares para mejorar e invertir es ponerse a prueba.

Oliver Tavakoli, director de tecnología de Vectra, sugiere desafiar a su organización con pruebas de penetración y evaluar los resultados como una forma de medir si el gasto en seguridad está donde debería estar.

«Sabes que no estás lo suficientemente seguro cuando al menos el 50% del tiempo no puedes originar incidentes de seguridad», explica. «Sabes que no estás lo suficientemente seguro cuando aproximadamente el mismo ataque tiene éxito varias veces».

Los datos buenos y cuantificables sobre el comportamiento de las amenazas, como los datos disponibles a través de marcos como MITRE ATT & CK, pueden servir como base para determinar qué tan preparada está una empresa contra las formas comunes en que operan los atacantes, dice Chris Kennedy, CISO de AttackIQ.

«El marco MITRE ATT & CK permite a las organizaciones ver la cadena de muerte de los atacantes y, con un poco de análisis, mostrar dónde se enfrentan las empresas a ataques específicos», dice. «El líder de seguridad puede analizar la forma en que operan los atacantes conocidos y emular a ese atacante para validar que las inversiones en seguridad están funcionando como se esperaba y, por lo tanto, realmente vale la pena la inversión».

Siga un marco
Hablando de marcos, MITRE ATT & CK es solo uno de los muchos marcos a los que los líderes de seguridad pueden recurrir en un intento de colocar algún tipo de fórmula para las decisiones presupuestarias. Un marco de seguridad puede servir como guía y ofrecer una foundation para la medición.

Mark Orlando, cofundador y director ejecutivo de la firma de seguridad Bionic, aconseja a los CISO diseñar un marco de madurez específico para sus organizaciones y luego medir el progreso de la seguridad dentro de él. Esto ayuda a mantener el objetivo de gasto y garantizar que las partidas presupuestarias se prioricen según el riesgo, la necesidad empresarial y los cambios normativos o de la industria. Además, la planificación presupuestaria de acuerdo con el marco no debe hacerse en el vacío, dice.

«Los CISO deben interactuar con sus pares en su industria o mercado vertical, revisar los informes públicos sobre las amenazas cambiantes y los paisajes regulatorios, y consultar los datos de evaluación comparativa pública para comparar sus gastos con organizaciones similares para ayudar a justificar los ajustes de gastos o el cambio de prioridades», dice Orlando.

(Página siguiente: Llevando los frameworks un paso más allá)

Joan Goodchild es una periodista, editora y escritora veterana que ha estado cubriendo la seguridad durante más de una década. Ha escrito para varias publicaciones y anteriormente se desempeñó como editora en jefe de CSO On the net. Ver biografía completa

Anterior

1 de 2

próximo

Lectura recomendada:

Más información





Enlace a la noticia initial