Construir una organización eficaz y resistente con un presupuesto limitado es una gran hazaña. Cuando se trata de presupuestos de ciberseguridad, hay muchos aspectos que deben considerarse. Afortunadamente, la alineación con las mejores prácticas de la industria y los marcos de seguridad agregan un poco de claridad a este desafío.
Al presentar el webcast “¡Todo se trata del precio, child!” Durante la cumbre de Economía de la Seguridad Cibernética de 2018 de BrightTalk, Zoë Rose desglosó un incidente a través de cosas como la generación de relaciones públicas, la contratación de un centro de atención telefónica, la contratación de asesoría authorized, la contratación de terceros para ayudar con las investigaciones, y demás. Algunos de estos costos no son esperados ni planeados por la organización. Debido a la falta de resiliencia empresarial, un incidente puede afectar no solo el aspecto financiero del negocio sino también la reputación. El tribunal de opinión pública, por ejemplo, puede ser la peor pesadilla de una organización, especialmente después de un incidente si el público siente que la empresa afectada carece de transparencia o protegiendo de manera ineficaz su información private.
Las organizaciones pueden minimizar, planificar e incluso hacerse cargo de muchos de estos costos inesperados mediante la implementación de medidas preventivas. Eso incluye la creación de un presupuesto responsable de seguridad cibernética utilizando las siguientes consideraciones:

Pregúntele a su equipo de operaciones qué sienten que falta día a día.
¿El equipo de operaciones siente que necesita capacitación adicional, más herramientas, mayor acceso y / o más recursos?
¿Cuándo fue la última vez que su organización hizo una evaluación de riesgos?
¿Cuándo fue la última vez que realizó un simulacro con su equipo de respuesta a incidentes? ¿En alguna ocasión los encargados de dar respuesta a incidentes no técnicos han participado?
¿Cuándo se ejecutó la última simulación de recuperación ante desastres?
¿Alguna vez la organización organizó una evaluación de madurez de ciberseguridad?

Si no puede responder las preguntas anteriores, es una señal para preocuparse. La comunicación abierta y honesta a través del equipo de operaciones es very important para su organización sobre todo para reconocer sus necesidades. Si las operaciones están sobrecargadas de trabajo, ¿cómo van a poder responder a los eventos fuera de los requisitos del día a día?
Las evaluaciones de riesgos y madurez de ciberseguridad son formas brillantes de reconocer las brechas dentro de los programas de ciberseguridad. El primero ayuda a priorizar controles, entrenamiento, remediación defensiva y áreas que necesitan pruebas ofensivas. El último revela los detalles granulares de dónde deben tomarse las acciones, así como identifica los lugares donde la organización ya se destaca y podría no necesitar tanta atención.
Los presupuestos requieren evidencia
Cuando se habla con las organizaciones sobre los programas de ciberseguridad, se mira sus controles técnicos, se proporciona capacitación en habilidades técnicas, comprensión interna de los roles y responsabilidades de la seguridad, campañas de concientización y percepción desde fuera del equipo de operaciones. Se hace esto para saber cómo se apoya el equipo de operaciones de toda la organización, no solo dentro de su equipo. A menudo, hay una brecha en la comprensión del equipo externo de las tareas del equipo de operaciones de seguridad cibernética; Esto generalmente se debe a una falta de comunicación, pero también a una falta de conciencia sobre las necesidades de ciberseguridad.
Cuando solicite presupuesto, considere lo siguiente:

¿Cuál es la frecuencia en la que su equipo de liderazgo recibe informes sobre los éxitos del equipo de operaciones, este informe tiene métricas que permitan medir las mejoras?
¿Cómo se mide y afecta la conciencia de la organización?
¿Existe una guía detallada que desglose dónde se ha aplicado el gasto en el pasado, los cambios que se han realizado para el nuevo año y otras expectativas y suposiciones?
¿Existe una guía resumida sobre el plan presupuestario normal? Nota: Es posible que los líderes no tengan el tiempo disponible para leer su guía detallada, pero aún pueden desear saber que usted dedica el tiempo para investigar. Por lo tanto, un resumen de estos detalles los ayudará a tomar decisiones informadas.
¿Es la cultura o la percepción de la organización negativa respecto a las operaciones de ciberseguridad? Nota: Esto definitivamente es causa de problemas al solicitar un presupuesto. Considere resaltar dónde estos cambios mejoran las funciones de otros departamentos.
¿La organización necesita alinearse con alguna normativa? ¿Puede tomar estadísticas, investigaciones y / o tendencias existentes de fuentes confiables para citar sus hallazgos?

Cuando se put together para presentar sus hallazgos al equipo de liderazgo, considere su relación. La confianza, la comprensión y el respeto recorren un largo camino. Con eso en mente, puede que valga la pena tomarse el tiempo para desarrollar esta relación y crear comprensión a través de informes, educación y capacitación consistentes.
Si realmente está luchando con “vender” sus necesidades de ciberseguridad, vuelva a considerar cómo las presenta. ¿Es consciente el equipo de liderazgo de las verdaderas necesidades en cuestión de seguridad organizacional? Si no, es su trabajo educarlos. Puede hacerlo consultando el Package de herramientas de la Junta del Centro Nacional de Seguridad Cibernética del Reino Unido, que brinda capacitación y orientación para mejorar el conocimiento a fin de ayudar a la toma de decisiones informadas. Revise el registro de riesgo organizacional existente y asegúrese de que incluya información confiable sobre seguridad cibernética. Asegúrese de que su presupuesto refleje sus enfoques. Trabaje con ellos como un esfuerzo de equipo para desmitificar y aclarar los requisitos de ciberseguridad que no se entiendan.
Como resultado de la implementación de una buena solicitud de presupuesto de ciberseguridad, los altos directivos pueden reconocer la experiencia y las necesidades de la gestión de operaciones de seguridad, y pueden tomar decisiones informadas basadas en los hechos presentados y la información histórica. La solicitud de presupuesto para ciberseguridad debe contener los planes, expectativas y riesgos generales de la organización. Esta pieza ultimate debe incluir la proyección del crecimiento futuro de la organización, incluidos los departamentos alternos.
¿Exactamente cuánto debería gastar una organización en ciberseguridad? Desde mi experiencia, no hay una respuesta “unánime”. Se basa en el enfoque holístico de la organización, su estado precise y el riesgo inherente.

Se ha clasificado un promedio de 5.6% del Presupuesto normal de TI, según el informe de diciembre de 2016 de Gartner, el rango se encuentra entre 1% y 13%.
Más recientemente, Deloitte y FS-ISAC revisaron el gasto de las instituciones financieras en el otoño de 2018 y descubrieron que pagaron aproximadamente $ 2,300 USD por empleado de tiempo completo. El porcentaje de gasto osciló entre el 6% y el 14%, que promedió al 10%, o del 0.2% al 0.9% de los ingresos de una organización.

Considere costos para inversiones a corto y largo plazo dentro de un presupuesto. En OWASP Londres en 2018, se presentó el mantenimiento de un programa de seguridad efectivo. Dentro de esta discusión, se habló de tener a las personas adecuadas en el lugar adecuado, hablar el mismo idioma en toda la organización y buscar la mejora continua.
No todos los presupuestos tendrán las mismas expectativas. Algunos requerirán gastos contemplados, mientras que otros requerirán mayores inversiones por parte de la organización. Las inversiones a corto plazo pueden incluir la capacitación de los miembros del equipo de operaciones existente, mientras que el financiamiento a largo plazo podría incluir la implementación de nuevos controles de seguridad, posiblemente mientras se elimina una solución antigua.
Inicialmente, las nuevas tecnologías mantienen tarifas elevadas al comprarse. Esto puede incluir horas de servicio profesional, tarifas de implementación y capacitación para los miembros del equipo de operaciones. Sin embargo, con el tiempo, el costo a menudo se cut back. Los equipos que reciben un buen trato y son retenidos pueden continuar adaptando y mejorando las soluciones a las necesidades de su organización, incluida la eliminación de soluciones que ya no son necesarias.
Es recomendable una extensa capacitación para los miembros del equipo interno de operaciones, incluso si el mantenimiento se realiza con un tercero. Si nadie en la empresa sabe cómo funciona la solución, ¿cómo se puede concientizar de manera efectiva? ¿cómo se puede gestionar eficazmente a un tercero y cómo pueden responder los equipos de respuesta a incidentes? Si la documentación no está actualizada, este es un problema de seguridad. Hacer que las personas internas mantengan esto puede generar comprensión y fomentar la colaboración entre las operaciones internas y de terceros.
Sin embargo, ¿podemos confiar en alinear nuestro % del gasto presupuestario para medir la inversión efectiva? Según varias organizaciones, un solo número no marca la diferencia. Cuando se construye un programa de seguridad, se debe mirar este riesgo inherente.
Dentro de los resultados de la encuesta de Deloitte y FS-ISAC sobre organizaciones financieras, la pieza que llama más la atención es la figura 4: tres características que distinguen a las empresas adaptativas:

Asegurar la participación del equipo de liderazgo.
Elevar el perfil de ciberseguridad dentro de la organización más allá de TI.
Alinearse más estrechamente con la estrategia empresarial.

En pocas palabras, asegúrese de que su programa de ciberseguridad tenga un soporte y una comprensión de arriba a abajo y que se haya diseñado de una manera que se parezca mucho al enfoque y las necesidades de la organización. Por último, y lo más importante, cada persona dentro de la organización necesita saber su papel cuando se trata del equipo de defensa informática. Si marca estas tres casillas como parte de una evaluación de madurez de ciberseguridad, su presupuesto de ciberseguridad se estará gastando y utilizando de manera efectiva. Si ocurre un incidente pero su organización está preparada y sabe cómo responder, no es el presupuesto lo que le salva. Es la madurez de su programa de ciberseguridad.
Nota del editor: las opiniones expresadas en este artículo de autor invitado son únicamente las del contribuyente y no reflejan necesariamente las de Tripwire, Inc.
Este weblog se publicó originalmente en inglés aquí: Constructing Efficient Cybersecurity Budgets