La ciberseguridad es un problema cada vez más grande para las empresas de la región. Según distintos reportes independientes, se producen cerca de 2.000 intentos de ciberataques por segundo en América Latina. Además, el 91% de las empresas que operan en estos países registraron un incidente de ciberseguridad el año pasado y el 62% sufrió una vulneración de datos.
Esto afecta tanto a la reputación de la compañía de cara a sus usuarios o clientes como a sus actividades comerciales. De hecho, el costo de las brechas significativas de ciberseguridad continúa aumentando y el porcentaje de aquellos que reportan pérdidas de US$1 millón o más para su peor brecha en los últimos tres años aumentó a 36% desde el 27% del año anterior.
Sin embargo, esto abre una pregunta importante dentro de las compañías: ¿cuánto hay que invertir en un presupuesto de ciberseguridad?. “Cuando me junto con los responsables de estas áreas, lo primero que les pregunto es cuánto va a costarle a la empresa estar inoperativa por un ataque. Si va a costar determinada cantidad de millones de dólares y a provocar un freno en las operaciones de una semana, tiempo que suele tardarse en reactivar todos los sistemas nuevamente, destinar unos cuantos miles a un presupuesto de defensa no termina siendo un gasto sino una inversión”, reflexiona Víctor Fonseca, Digital Workplace Associate Architect en Logicalis. Y agrega: “Pero es crucial que vean los números para que lo comprendan”.
Cómo armar un presupuesto de ciberseguridad según la facturación de una empresa
Recomendar un porcentaje específico para el presupuesto de ciberseguridad de una empresa puede variar según el tamaño, riesgo y el sector de la compañía. “Generalmente, las organizaciones deberían invertir entre el 7% y el 15% de su presupuesto de TI en ciberseguridad”, afirma Fonseca. Y suma: “Nosotros hablamos de forma ejemplificada de invertir aproximadamente el 0.4% de los ingresos totales en ciberseguridad para proteger las operaciones. Esta cifra se obtiene destinando alrededor del 4% de los ingresos al presupuesto de TI y, de este presupuesto, dedicando el 10% específicamente a ciberseguridad”.
Con el objetivo de dar ejemplos concretos, desde Logicalis desarrollaron casos promedio generales para dimensionar los costos:
“Con este presupuesto se puede armar una estrategia de defensa inicial. Hay herramientas base, como los firewalls, antivirus y sistemas de prevención de intrusos. Además, hoy en día todo lo que sea administración de la identidad es crucial porque la mayor cantidad de brechas se da por el robo de credenciales. Así que es recomendable agregar multifactor de autenticación y autorización de los sistemas, al igual que el cifrado de los datos. Finalmente, sistemas de monitoreo para detectar intrusiones y repelerlas también deben estar. Con esto cubierto, se puede ir por cosas más avanzadas”, explica Fonseca.
El experto de Logicalis aclara que las recomendaciones sobre el gasto en ciberseguridad en relación con los ingresos y el presupuesto de TI provienen de análisis y estudios realizados por consultoras y organizaciones de investigación en tecnología y ciberseguridad. Ejemplo de esto es un informe de Deloitte donde se remarca que el 54% de las compañías con revenue de US$5 billones o más están invirtiendo alrededor de US$250 millones al año en ciberseguridad y el 71% de las compañías entre US$500 millones a US$5 billones en revenue gastan menos de US$250 millones en ciberseguridad.
Qué más tener en cuenta
En los principales países de Latinoamérica, los desafíos sobre ciberseguridad son similares. Falta de conciencia, ya que muchas empresas aún no comprenden completamente los riesgos, presupuesto limitado, especialmente en pymes donde los recursos son limitados, y escasez de talento, por la alta demanda de profesionales en ciberseguridad y una oferta insuficiente, son algunos de ellos.
“Asignar un presupuesto para construir una estrategia de defensa es un buen comienzo. Pero no finaliza allí. Hay que ir actualizando esa cifra. Si mañana surgen nuevas ciberamenazas, habrá que rearmar el presupuesto. Esto es tan veloz hoy en día que no recomendamos hacer presupuestos anuales sino semestral o trimestralmente”, advierte Fonseca. Y concluye con un consejo: “Al implementar una herramienta, la adopción es fundamental. Hay que saber cómo usarla y para eso hay que capacitar a los técnicos y administrativos y también a los usuarios. Si al implementar una herramienta para prevención no le das una buena adopción al usuario, entra en una frustración y negación que terminan siendo contraproducentes”.
连接