Cómo sacar el máximo partido a su presupuesto de ciberseguridad


Más de una cuarta parte de los ejecutivos encuestados por PwC esperan un crecimiento de dos dígitos en los presupuestos de seguridad en 2022. El truco consiste en gastar ese dinero de manera inteligente y eficaz.

cyber-risk.jpg

Imagen: iStockphoto / anyaberkut

Con el aumento del ransomware y otros tipos de delitos cibernéticos, las organizaciones se dan cuenta de que deben estar mejor preparadas para combatir la creciente amenaza de los ciberataques. Como resultado, muchas empresas esperan que sus presupuestos de seguridad aumenten en 2022. Pero en lugar de simplemente invertir dinero en un presupuesto, los ejecutivos de TI y de negocios deben analizar su seguridad y determinar dónde deben ir esos dólares. Un nuevo informe de la crimson de servicios profesionales PwC ofrece consejos sobre cómo asignar sus gastos de seguridad.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Premium)

PwC’s «2022 World wide Digital Trust Insights«El informe se basa en una encuesta de 3.602 ejecutivos de negocios, tecnología y seguridad (CEO, directores corporativos, CFO, CISO, CIO y C-Suite) realizada en todo el mundo en julio y agosto de 2021.

Entre los encuestados, el 69% espera un aumento en el gasto en ciberseguridad el próximo año, frente al 55% del año pasado. Alrededor del 26% ve aumentos del gasto del 10% o más, tres veces el porcentaje del año pasado.

Sin embargo, los resultados de la encuesta indican que las inversiones pasadas en herramientas y servicios de seguridad hasta ahora no han dado sus frutos por completo. Cuando se le preguntó sobre iniciativas como seguridad en la nube, capacitación en concientización sobre seguridad, seguridad de endpoints, servicios de seguridad administrados, planificación de recuperación de desastres, administración de riesgos de terceros y confianza cero, solo un pequeño porcentaje (menos del 20% para cada iniciativa) dijo que sí beneficios observados de la implementación.

Parte del desafío es que los procesos necesarios para administrar y mantener todas las protecciones y relaciones de seguridad necesarias se han vuelto muy complicados. En su informe, PwC hace la pregunta: «¿El mundo empresarial ahora es demasiado complejo para asegurarlo?» En respuesta, el 75% de los encuestados reconoció que demasiada complejidad organizativa evitable e innecesaria genera preocupaciones sobre la gestión de los riesgos cibernéticos.

Como punto de partida, PwC sugiere hacer las siguientes preguntas:

  1. ¿Cómo puede el CEO marcar la diferencia en su organización?
  2. ¿Su organización es demasiado compleja para protegerla?
  3. ¿Cómo saber si está protegiendo a su organización contra los riesgos más importantes para su negocio?
  4. ¿Qué tan bien conoce sus riesgos de terceros y de la cadena de suministro?

Para asegurarse de que su presupuesto de seguridad se centre en las medidas correctas, PwC ofrece varias sugerencias en standard y para roles específicos en su organización.

En common

  • Trate la seguridad y la privacidad como imperativos. El CEO debe transmitir un principio explícito e inequívoco que establezca la seguridad y la privacidad como imperativos comerciales.
  • Contrata a las personas adecuadas. Contrate al líder adecuado y deje que su director de seguridad de la información y los equipos de seguridad se conecten con los equipos comerciales.
  • Priorice sus riesgos. Sus riesgos cambian continuamente. Utilice datos e inteligencia para medir sus riesgos de forma continua.
  • Analice las relaciones de su cadena de suministro. No puedes asegurar lo que no puedes ver. Busque puntos ciegos en sus relaciones y cadenas de suministro.

Para el CEO

  • Posicionar la ciberseguridad como importante para el crecimiento empresarial y la confianza de los clientes.
  • Demuestre su fe y apoyo a su director de seguridad de la información.
  • Comprenda y acepte los problemas y riesgos en sus modelos de negocio y cambie lo que necesite cambiar.

Para el CISO

  • Comprenda la estrategia comercial de su organización.
  • Establezca una relación más sólida con su CEO y mantenga el diálogo para ayudar a su CEO a despejar el camino para prácticas de seguridad efectivas.
  • Equípese con las habilidades necesarias para prosperar en el rol creciente de la ciberseguridad en los negocios.
  • Construya una base sólida de confianza en los datos con un enfoque empresarial para el gobierno, el descubrimiento y la protección de los datos.
  • No se detenga ante los riesgos cibernéticos. Relacione esos riesgos con los riesgos generales de la empresa y con los efectos en el negocio.
  • Cree una hoja de ruta para cuantificar sus riesgos cibernéticos y desarrolle informes de riesgos cibernéticos en tiempo authentic.

Para el director de operaciones y el ejecutivo de la cadena de suministro

  • Look at sus relaciones más críticas entre los proveedores de la cadena de suministro y utilice un rastreador de terceros para encontrar los eslabones más débiles de la cadena.
  • Analice sus proveedores de application para ver si cumplen con los estándares de rendimiento esperados. Las aplicaciones y productos que utiliza su organización deben pasar por el mismo tipo de prueba y escrutinio que su propia red y otros activos. Revisa el estándares mínimos para las pruebas de computer software publicado por el Instituto Nacional de Estándares y Tecnología en julio de 2021.
  • Después de revisar los riesgos de terceros y de la cadena de suministro, busque cualquier forma de simplificar sus relaciones comerciales y su cadena de suministro. ¿Deberías reducir o combinar?

Para el director de ingresos y el director de seguridad de la información

  • Mejore su capacidad para detectar, resistir y responder a ciberataques a través de su computer software. Integre sus aplicaciones de seguridad para que pueda administrarlas al unísono.
  • Configure un grupo de gestión de riesgos de terceros para coordinar las actividades de todas las áreas que manejan sus evaluaciones de riesgos de terceros.
  • Fortalecer los procesos de confianza y acceso a los datos. Dado que sus datos son el objetivo de la mayoría de los ataques en la cadena de suministro, la confianza en los datos y la gestión de riesgos de terceros van de la mano.
  • Eduque a su junta directiva sobre los riesgos comerciales y cibernéticos de sus terceros y la cadena de suministro.

Ver también



Enlace a la noticia initial