Las empresas destinan un 5,6% de su presupuesto de TI a la seguridad
- Seguridad
Sin embargo, según Gartner, esta cifra no se corresponde con su gasto "real", ya que muchas soluciones de hardware, software o servicios que no están pensadas específicamente para la seguridad incorporan esta característica, sin que las compañías lo tengan en cuenta.
Las organizaciones gastan de media un 5,6% de su presupuesto general de TI en seguridad y gestión de riesgos, de acuerdo con los datos que maneja la consultora Gartner. Sin embargo, el gasto en seguridad de TI oscila entre aproximadamente un 1 y un 13% del presupuesto de TI, y es potencialmente un indicador engañoso del éxito del programa. “Los clientes quieren saber si lo que están gastando en seguridad de la información es equivalente a lo que destinan otras empresas de su sector, país o tamaño, con el fin de evaluar si están practicando la debida diligencia en programas de seguridad y relacionados”, opina Rob McMillan, director de investigación de Gartner. Ahora bien, según este directivo, las comparaciones generales con los promedios de la industria genérica no dicen mucho sobre el estado de seguridad de una empresa, pues “podría estar gastando a la misma altura que sus iguales, pero también podría estar gastando en cosas equivocadas y ser extremadamente vulnerable”, añade.
|
Whitepaper. Caracterización del subsector y el mercado de la ciberseguridad en España Whitepaper.Cómo acabar con el malware de APTs Content marketing. Seguridad TI, retos y oportunidades |
En este sentido, según Gartner, la mayoría de las organizaciones seguirán usando mal las cifras medias de gasto en seguridad de TI como un indicador para evaluar su postura de seguridad hasta 2020. Y es que, sin el contexto de los requisitos de negocio, la tolerancia al riesgo y los niveles de satisfacción, la métrica del gasto en seguridad de TI como un porcentaje del presupuesto de TI no proporciona por sí misma información comparativa válida que deba utilizarse para asignar recursos de TI o de negocios.
El gasto explícito en seguridad es generalmente dividido entre hardware, software, servicios (outsourcing y consultoría) y personal. Sin embargo, cualquier estadística sobre el gasto explícito en seguridad subestima la verdadera magnitud de las inversiones empresariales en seguridad de TI, ya que las características de seguridad se están incorporando en hardware, software, actividades o iniciativas no específicamente dedicadas a la seguridad. Por eso, según Gartner, muchas organizaciones simplemente no conocen su presupuesto de seguridad. Esto se debe en parte al hecho de que pocos sistemas de contabilidad de costes desglosan la seguridad como una línea de pedido separada y muchos procesos relacionados con la seguridad son llevados a cabo por personal que no está dedicado a tiempo completo a ella.
Por ello, y para identificar el presupuesto de seguridad real, Gartner propone muchos lugares donde buscar, como los equipos de red que incorporan funciones de seguridad, la protección del escritorio que puede incluirse en el presupuesto de soporte al usuario final, las aplicaciones empresariales, los servicios de seguridad administrados o subcontratados, los programas de privacidad y capacitación en seguridad que pueden ser financiados por los recursos humanos…
Por eso, la visión de Gartner es que las empresas deben gastar entre un 4 y 7% de sus presupuestos de TI en seguridad de TI: menos si tienen sistemas maduros, y más si están abiertos y en riesgo. Esto representa el presupuesto bajo el control y responsabilidad del CISO, pero no el presupuesto “real” o total. Para demostrar la debida atención en seguridad de la información, las organizaciones deben primero evaluar sus riesgos y entender tanto el presupuesto de seguridad del CISO como el de seguridad “real”.
Recomendaciones que te puedan interesar…
