La ciberseguridad gana importancia estratégica significativa debido al incremento de ataques, su peligrosidad y sofisticación. En el Foro Económico Mundial, los ciberataques fueron considerados una amenaza global. Comparada con el PIB, la “industria” del cibercrimen llegaría a ser la décima tercera economía más grande del planeta. Con este panorama y la digitalización de las organizaciones, la seguridad de la información y ciberseguridad deben estar en la agenda de la alta dirección y en la planificación estratégica.
La asignación de presupuesto para gestionar la seguridad de la información es una prioridad. Para Juan Carlos Beltrán, CISO de Banco Pichincha, todas las empresas deben asignar una parte de su presupuesto global para ello. Las mejores prácticas a nivel mundial, recomiendan que los presupuestos para empresas medianas estén alrededor del 13% del presupuesto global de TI, y hasta el 20% para las empresas grandes.
En Latinoamérica, el sector financiero es uno de los sectores que más invierte en seguridad de la información, con un promedio del 12% de su presupuesto anual de IT, mientras que, en otros sectores como la industria, la inversión baja sustancialmente hasta el 3%, lo que significa, que no todas las organizaciones consideran a la ciberseguridad como un tema estratégico, sostiene Beltrán.
Para lograr la inversión necesaria es importante visibilizar y “monetizar” los riesgos a través de una metodología robusta y clara, sobre cuánto dinero está “en juego” frente a las principales amenazas a las que se enfrenta la organización.
Beltrán menciona modelos de simulación que ayudan a la formulación de escenarios y cuantifican desde una óptica económica los riesgos potenciales y su materialización, en función de la probabilidad, los controles existentes, los tipos de afectación sobre la disponibilidad, la consistencia o la confidencialidad de la información y las pérdidas ocasionadas por cualquier afectación. Estos modelos denominados Fair, o Factor Analysis of Information Risks, resultan herramientas importantes para abordar la estrategia de seguridad de cara a los ejecutivos C-suite de las organizaciones.
Desde su experiencia, Beltrán, señala que si bien es importante lograr una asignación presupuestaria suficiente para cubrir a las organizaciones frente a las ciber-amenazas; también es un reto mayor priorizar la inversión. “No solo basta saber cuánto invertir, sino en qué invertir. Las organizaciones debemos adoptar modelos de gestión de seguridad basados en riesgo; identificando los activos más sensibles y asegurar su protección de acuerdo al valor que tienen dentro de la organización”.
“La ciberseguridad debe estar incluida en todos los procesos de negocio y las directrices relacionadas con la gestión de la seguridad de la información deben provenir desde el nivel más alto hacia toda la empresa”.