Los costos de ciberseguridad son cada vez más importantes en las empresas conforme crece el riesgo en torno a su seguridad informática. Según distintos reportes independientes, se producen cerca de 2.000 intentos de ciberataques por segundo en América Latina. Además, el 91% de las empresas que operan en estos países registraron un incidente de ciberseguridad el año pasado y el 62% sufrió una vulneración de datos. Esto afecta tanto a la reputación de la compañía de cara a sus usuarios o clientes como a sus actividades comerciales.
De hecho, el costo de las brechas significativas de ciberseguridad continúa aumentando y el porcentaje de aquellos que reportan pérdidas de US$ 1 millón o más para su peor brecha en los últimos tres años aumentó a 36% desde el 27% del año anterior.
Índice de temas
Costos de ciberseguridad: el remedio es mejor que la enfermedad
Cuando me junto con los responsables de estas áreas, lo primero que les pregunto es cuánto va a costarle a la empresa estar inoperativa por un ataque. Si va a costar determinada cantidad de millones de dólares y a provocar un freno en las operaciones de una semana, tiempo que suele tardarse en reactivar todos los sistemas nuevamente, destinar unos cuantos miles a los costos de ciberseguridad no termina siendo un gasto sino una inversión. Sin embargo, es crucial que vean los números para que lo comprendan
Cómo se determinan los costos de ciberseguridad
Recomendar un porcentaje específico para los costos de ciberseguridad de una empresa puede variar según el tamaño, riesgo y el sector de la compañía. Generalmente, las organizaciones deberían invertir entre el 7% y el 15% de su presupuesto de TI en ciberseguridad. Nosotros hablamos de forma ejemplificada de invertir aproximadamente el 0,4% de los ingresos totales en ciberseguridad para proteger las operaciones. Esta cifra se obtiene destinando alrededor del 4% de los ingresos al presupuesto de TI y, de este presupuesto, dedicando el 10% específicamente a ciberseguridad.
Con el objetivo de dar ejemplos concretos, desde Logicalis desarrollamos casos promedio generales para dimensionar los costos de ciberseguridad en pesos argentinos:
Con este presupuesto se puede armar una estrategia de defensa inicial. Hay herramientas base, como los firewalls, antivirus y sistemas de prevención de intrusos. Además, hoy en día todo lo que sea administración de la identidad es crucial porque la mayor cantidad de brechas se da por el robo de credenciales. Así que es recomendable agregar multifactor de autenticación y autorización de los sistemas, al igual que el cifrado de los datos. Finalmente, en todos los costos de ciberseguridad deben estar contemplados los sistemas de monitoreo para detectar intrusiones y repelerlas también deben estar. Con esto cubierto, se puede ir por cosas más avanzadas.
Las recomendaciones sobre los costos de ciberseguridad en relación con los ingresos y el presupuesto de TI provienen de análisis y estudios realizados por consultoras y organizaciones de investigación en tecnología y ciberseguridad. Ejemplo de esto es un informe de Deloitte donde se remarca que el 54% de las compañías con revenue de US$ 5 billones o más están invirtiendo alrededor de US$ 250 millones al año en ciberseguridad y el 71% de las compañías entre US$ 500 millones a US$ 5 billones en revenue gastan menos de US$ 250 millones en ciberseguridad.
Principales desafíos en Argentina
En la Argentina y los principales países de Latinoamérica, los principales desafíos sobre ciberseguridad son similares. Falta de conciencia, ya que muchas empresas aún no comprenden completamente los riesgos, presupuesto limitado, especialmente en pymes donde los recursos son limitados, y escasez de talento, por la alta demanda de profesionales en ciberseguridad y una oferta insuficiente, son algunos de ellos.
Asignar un presupuesto para construir una estrategia de defensa es un buen comienzo. Pero no finaliza allí. Hay que ir actualizando esa cifra. Si mañana surgen nuevas ciberamenazas, habrá que rearmar el presupuesto. Esto es tan veloz hoy en día que no recomendamos hacer presupuestos anuales sino semestral o trimestralmente.
Al implementar una herramienta, la adopción es fundamental. Hay que saber cómo usarla y para eso hay que capacitar a los técnicos y administrativos y también a los usuarios. Si al implementar una herramienta para prevención no le das una buena adopción al usuario, entra en una frustración y negación que terminan siendo contraproducentes”.
Prohibida su reproducción total o parcial.