Tomar decisiones inteligentes sobre el gasto en ciberseguridad en 2025

Diciembre es un mes de números, desde las cuentas atrás para las vacaciones hasta las confirmaciones de asistencia a las fiestas. Pero para los líderes empresariales, las cifras más importantes de este mes son las del presupuesto para 2025. Dado que la ciberseguridad es uno de los principales objetivos de muchas empresas en 2025, es probable que sea una de las principales partidas de muchos presupuestos de cara al Año Nuevo.

Gartner espera que el gasto en ciberseguridad aumente un 15 % en 2025, pasando de 183 900 millones de dólares a 212 000 millones de dólares. Los servicios de seguridad lideran el segmento que espera el mayor crecimiento del gasto, con el software de seguridad en segundo lugar y la seguridad de redes como tercera área de crecimiento.

"El continuo aumento del entorno de amenazas, el movimiento en la nube y la escasez de talento están situando la seguridad en lo más alto de la lista de prioridades y presionando a los directores de seguridad de la información (CISO) para que aumenten el gasto en seguridad de su organización", afirma Shailendra Upadhyay, directora sénior de investigación de Gartner en un comunicado de prensa reciente. "Además, las organizaciones están evaluando actualmente sus necesidades de plataforma de protección de endpoints (EPP) y detección y respuesta de endpoints (EDR), y realizando ajustes para reforzar su resiliencia operativa y respuesta a incidentes tras la caída de CrowdStrike".

Aunque es probable que las decisiones de gasto y los aumentos se deban a muchas razones diferentes, Gartner señala dos razones principales para el aumento previsto.

• IA generativa: Garter indicó que, debido al uso de IA generativa por parte de las organizaciones, será necesario tomar medidas adicionales para proteger su entorno. El IBM Framework for Securing Generative AI establece cinco pasos: proteger los datos, proteger el modelo, proteger el uso, proteger la infraestructura del modelo de IA y establecer un gobierno sólido de la IA. Muchas organizaciones tendrán que adquirir software adicional, como la seguridad de aplicaciones, la seguridad de datos y la protección de la privacidad e infraestructuras, debido al aumento del uso de IA generativa.
  
  
• La escasez mundial de competencias: muchas organizaciones se enfrentan a una escasez de competencias, ya que no disponen del talento interno necesario para gestionar sus necesidades de ciberseguridad. Como solución, muchos están contratando ayuda para reducir sus riesgos, como servicios de consultoría de seguridad, servicios profesionales de seguridad y servicios de seguridad gestionada. Gartner señala que los costes de estos servicios son un factor determinante del elevado gasto previsto, lo que convierte a los servicios en un área de ciberseguridad de alto crecimiento.

En lugar de limitarse a incluir una única partida en el presupuesto de su organización que abarque la ciberseguridad, una presupuestación precisa comienza por desglosar todos los componentes de un programa de ciberseguridad eficaz.

Considere lo siguiente en su presupuesto:

• Costes laborales: además de los salarios de todos los empleados a tiempo completo, considere cualquier servicio adicional que necesite adquirir. Por ejemplo, la subcontratación de las pruebas de penetración entra en esta partida. Además, considere si necesita contratar servicios gestionados para cualquier parte de su ciberseguridad.
  
  
• Tecnología: piense en todos los tipos de software necesarios, que incluyen antivirus, herramientas de cifrado y firewall. Considere si utilizará la IA generativa para la ciberseguridad, así como herramientas adicionales necesarias para proteger a la organización de ataques a las herramientas de IA generativa utilizadas para las tareas empresariales diarias. Asegúrese de incluir también los costes de hardware, como las actualizaciones de infraestructura necesarias para ejecutar nuevas herramientas tecnológicas, especialmente la IA generativa.
  
  
• Entrenamiento: muchas organizaciones solo tienen en cuenta el presupuesto para formación y certificaciones de su personal de ciberseguridad. Sin embargo, asegúrese de asignar fondos para la formación en ciberseguridad para toda la organización. Si piensa de forma innovadora y reserva fondos suficientes, puede lograr un gran impacto a la hora de reducir los ciberataques causados por los errores de los empleados.
  
  
• Respuesta a incidentes: después de que se produzca una vulneración o un ataque, las organizaciones necesitan fondos para contener la vulneración y gestionar la respuesta. Los costes que suelen producirse incluyen honorarios legales, empresas de relaciones públicas, horas extra, notificación de vulneración de datos, protección contra el robo de identidad y pérdida de ingresos.

Aunque muchas organizaciones tienen en cuenta la interrupción del negocio y el riesgo potencial a la hora de crear su presupuesto de ciberseguridad, muchas pasan por alto cómo afecta el presupuesto al equipo de ciberseguridad.

El informe ISACA State of Cybersecurity 2024 and Beyond reveló que el 66 % de los profesionales de la ciberseguridad afirmaron que su trabajo es más estresante. No es de extrañar que la principal razón (81 %) fuera que el panorama de las amenazas es cada vez más complejo. Sin embargo, el hecho de que el presupuesto sea demasiado bajo (45 %) empató en segundo lugar con el empeoramiento de los problemas de retención de personal contratado y la falta de cualificación/formación del personal.

El informe descubrió que más de la mitad (51 %) sentía que sus presupuestos estaban insuficientemente financiados, un aumento del 47 % que compartía ese sentimiento en 2023. Además, solo el 37 % espera que sus presupuestos aumenten en 2025. Además del estrés, solo el 40 % confiaba en que su equipo estuviera preparado para gestionar un ciberataque. Al mismo tiempo, el 47 % espera un ciberataque en sus organizaciones.

Mientras los líderes empresariales trabajan en los presupuestos, estas son algunas formas de reducir el estrés de los empleados en relación con el presupuesto de 2025.

• Incluya a los miembros de su equipo de ciberseguridad en las discusiones presupuestarias. Cuando los empleados sienten que se escuchan sus perspectivas e ideas, es menos probable que se resientan. Además, pueden ver de primera mano los compromisos que implica la elaboración de un presupuesto, así como el impacto de cada decisión en otras partidas.
  
  
• Pida a los empleados que compartan sus retos actuales. Al comenzar por comprender sus problemas, puede utilizar estos problemas para impulsar las decisiones presupuestarias. Si los miembros del equipo optan por las soluciones tecnológicas, haga que vuelvan a hablar primero de los problemas.
  
  
• Haga que su equipo de ciberseguridad realice una investigación y obtenga estimaciones. Una vez que se mueva a la parte de la solución del presupuesto, pida a los miembros del equipo de ciberseguridad que investiguen herramientas y obtengan estimaciones. Dado que serán ellos los que utilicen las herramientas a diario, conseguir su aceptación de soluciones específicas puede ayudar a aumentar la satisfacción y mejorar la precisión del presupuesto.
  
  
• Muestre a los miembros del equipo el borrador del presupuesto. Presupuestar a menudo significa tomar decisiones difíciles. Al mostrar al equipo el borrador del presupuesto y pedirles su opinión, se sienten escuchados y también pueden ver las concesiones que son necesarias como parte del proceso de elaboración del presupuesto.

Aunque el aumento del gasto en ciberseguridad es una tendencia positiva en general, lo más importante es cómo utilizan las empresas sus mayores inversiones. Al tomar las decisiones correctas para su organización específica, puede reducir riesgos y, al mismo tiempo, mejorar la satisfacción de los empleados.