Las empresas gastan una media del 5,6% del presupuesto TI total en seguridad y prevención del riesgo, de acuerdo a los últimos datos extraídos del Key Metrics Data de Gartner. Sin embargo, el gasto en seguridad oscila entre el 1 y el 13 por ciento del presupuesto y es un indicador engañoso del éxito del programa.
“Los clientes quieren saber si su gasto en seguridad es equivalente al de otras empresas de la industria, territorio geográfico y de tamaño similar con el fin de evaluar si están practicando una correcta diligencia en seguridad y otros programas relacionados” apunta Rob McMillan, director de investigación en Gartner.
“Pero las comparaciones generales con las medias de las empresas de la industria no te dice mucho sobre el estado de tu seguridad. Puedes estar gastando lo mismo que tu competencia, pero puedes estar gastándolo en cosas equivocadas y seguir siendo muy vulnerable ante ataques.” Añade. “De igual forma, puedes estar gastando adecuadamente pero tener un apetito de riesgo distinto al de tus compañeros”.
Según Gartner, la mayoría de las organizaciones seguirán usando mal las cifras promedio de gasto en seguridad de TI como un indicador para evaluar la postura de seguridad hasta 2020.
Si no tenemos en cuenta los requisitos de negocio, la tolerancia al riesgo y los niveles de satisfacción, medir el gasto en seguridad como porcentaje del presupuesto TI no proporciona en si mismo información válida para saber que recursos TI o de negocio deben usarse. Por otro lado, las estadísticas de gasto TI por sí solas no miden la eficacia del programa y no son un indicador de éxito de las organizaciones TI. Simplemente no proporcionan una visión indicativa de los costes medios, sin tener en cuenta la complejidad o la demanda.
Identificar el presupuesto de seguridad “real”
El gasto explícito en seguridad esta generalmente dividido entre hardware, software, servicios (outsourcing y consultoría) y personal. Sin embargo, cualquier estadística sobre el gasto explícito en seguridad es inherentemente “blanda” ya que subestima la verdadera magnitud de las inversiones en seguridad TI por parte de las empresas, ya que las características de seguridad se incorporan en hardware, software, u otras actividades iniciativas no específicamente dedicadas a la seguridad.
La experiencia de Gartner dice que muchas organizaciones simplemente no conocen su presupuesto de seguridad. Esto se debe en parte al hecho de que pocos sistemas de contabilidad de costos desglosan la seguridad como una línea de pedido separada y muchos procesos relacionados con la seguridad son llevados a cabo por personal que no está dedicado a tiempo completo a la seguridad. En la mayoría de los casos, el oficial jefe de seguridad de la información (CISO) no tiene información sobre el gasto en seguridad de toda la empresa.
Para identificar el presupuesto de seguridad real, hay muchos lugares donde buscar, como equipos de red que incorporan funciones de seguridad, protección de escritorio que pueden incluirse en el presupuesto de soporte del usuario final, aplicaciones empresariales, servicios de seguridad administrados o subcontratados, Programas de privacidad y capacitación en seguridad que pueden ser financiados por los recursos humanos.
Según Gartner, las organizaciones más seguras pueden a veces gastar menos que el promedio en seguridad como porcentaje del presupuesto de TI. El 20 por ciento más bajo de las organizaciones se compone de dos tipos distintos de organizaciones:
1. Organizaciones no seguras que subestiman;
2. Asegurar las organizaciones que han implementado las mejores prácticas para las operaciones de TI y la seguridad que reducen la complejidad general de la infraestructura de TI y trabajan para reducir el número de vulnerabilidades de seguridad.
La visión de Gartner es que las empresas deben gastar entre el 4 y el 7 por ciento de sus presupuestos de TI en seguridad: menos si tienen sistemas maduros, y más si están abiertos y en riesgo. Esto representa el presupuesto bajo el control y responsabilidad de la CISO, y no el presupuesto “real” o total.
Para demostrar la debida atención en la seguridad de la información, las organizaciones deben primero evaluar sus riesgos y entender tanto el presupuesto de seguridad de CISO como el presupuesto de seguridad “real” que se encuentra en la complicada gama de cuentas que pueden no capturar todos los gastos de seguridad.
“Un CISO que tiene conocimiento de todas las funciones de seguridad que tienen lugar dentro de la organización – así como las que son necesarias, pero que faltan – y la forma en que esas funciones se financian”, concluye McMillan.