Tomar decisiones inteligentes de gasto en ciberseguridad en 2025

Diciembre es un mes de números, desde las cuentas atrás para las vacaciones hasta las confirmaciones de asistencia a las fiestas. Pero para los líderes empresariales, las cifras más importantes de este mes son las del presupuesto para 2025. Dado que la ciberseguridad es un enfoque principal para muchas empresas en 2025, es probable que sea un elemento de primera línea en muchos presupuestos de cara al Año Nuevo.

Gartner espera que el gasto en ciberseguridad aumente un 15 % en 2025, pasando de 183 900 millones de dólares a 212 000 millones de dólares. Los servicios de seguridad lideran el segmento que espera el mayor crecimiento del gasto, con el software de seguridad en segundo lugar y la seguridad de red como tercera área de crecimiento.

“El entorno continuo de amenazas elevadas, el movimiento en la nube y la escasez de talento están llevando la seguridad a la cima de la lista de prioridades y presionando a los directores de seguridad de la información (CISO) para que aumenten el gasto en seguridad de su organización”, dijo Shailendra Upadhyay, principal sénior de investigación de Gartner en un comunicado de prensa reciente. “Además, las organizaciones actualmente están evaluando sus necesidades de plataforma de protección de puntos finales (EPP) y detección y respuesta de endpoints (EDR) y haciendo ajustes para aumentar su resiliencia operativa y respuesta a incidentes después de la interrupción de CrowdStrike”.

Si bien es probable que las decisiones de gasto y los aumentos se deban a muchas razones diferentes, Gartner señala dos razones principales para el aumento previsto.

• IA generativa: Garter afirmó que, debido al uso de la IA generativa por parte de las organizaciones, estas deberán tomar medidas adicionales para proteger su entorno. El marco de IBM para asegurar la IA generativa establece cinco pasos: Asegurar los datos, asegurar el modelo, asegurar el uso, asegurar la infraestructura del modelo de IA y establecer una gobernanza de la IA sólida. Muchas organizaciones tendrán que adquirir software adicional, como la seguridad de aplicaciones, la seguridad de los datos y la protección de la privacidad e infraestructuras, debido al aumento del uso de IA generativa.
  
  
• La escasez global de habilidades: muchas organizaciones se enfrentan a una escasez de habilidades en las que no cuentan con el talento interno para gestionar sus necesidades de ciberseguridad. Como solución, muchos están contratando ayuda para reducir sus riesgos, como servicios de consultoría de seguridad, servicios profesionales de seguridad y servicios de seguridad gestionados. Gartner señala que los costos de estos servicios son un factor impulsor del alto gasto previsto, lo que convierte a los servicios en un área de ciberseguridad de alto crecimiento.

En lugar de simplemente hacer una sola línea en el presupuesto de su organización que abarque la ciberseguridad, la elaboración precisa del presupuesto comienza con el desglose de todos los componentes de un programa eficaz de ciberseguridad.

Considere lo siguiente en su presupuesto:

• Costos laborales: además de los salarios de todos los empleados de tiempo completo, considere cualquier servicio adicional que necesite comprar. Por ejemplo, la subcontratación de pruebas de penetración entra dentro de esta partida. Además, considere si necesita contratar servicios gestionados para cualquier parte de su ciberseguridad.
  
  
• Tecnología: piense en todos los tipos de software necesarios, que incluyen antivirus, herramientas de cifrado y cortafuegos. Considere si utilizará IA generativa para la ciberseguridad, así como las herramientas adicionales necesarias para proteger a la organización de ataques a las herramientas de IA generativa utilizadas para las tareas comerciales diarias. Asegúrese de incluir también los costos de hardware, como las actualizaciones de infraestructura necesarias para ejecutar nuevas herramientas tecnológicas, especialmente la IA generativa.
  
  
• Capacitación: muchas organizaciones solo consideran el presupuesto para la capacitación y las certificaciones de su personal de ciberseguridad. Sin embargo, asegúrese de asignar fondos para la capacitación en ciberseguridad para toda la organización. Al pensar fuera de la caja y reservar fondos suficientes, puede tener un gran impacto en la reducción de los ciberataques causados por errores de los empleados.
  
  
• Respuesta a incidentes: después de que ocurre una filtración o ataque, las organizaciones necesitan fondos para contener la filtración y gestionar la respuesta. Los costos que suelen surgir incluyen honorarios legales, agencias de relaciones públicas, horas extra, notificación de filtración de datos, protección contra robo de identidad y pérdida de ingresos.

Si bien muchas organizaciones consideran la interrupción del negocio y el riesgo potencial al crear su presupuesto de ciberseguridad, muchas pasan por alto cómo el presupuesto afecta al equipo de ciberseguridad.

El informe ISACA State of Cybersecurity 2024 and Beyond encontró que el 66 % de los profesionales de ciberseguridad afirmaron que su rol es más estresante. No es sorprendente que la razón principal (81 %) sea que el escenario de amenazas es cada vez más complejo. Sin embargo, el presupuesto era demasiado bajo (45 %) empatado en segundo lugar con mayores desafíos de retención de contrataciones y personal que no estaba calificado/capacitado.

El informe encontró que más de la mitad (51 %) sentía que sus presupuestos no tenían fondos suficientes, un aumento del 47 % que compartía ese sentimiento en 2023. Además, solo el 37 % espera que sus presupuestos aumenten en 2025. Además del estrés, solo el 40 % tenía mucha confianza en que su equipo estaba preparado para manejar un ciberataque. Al mismo tiempo, el 47 % espera un ciberataque en sus organizaciones.

A medida que los líderes empresariales trabajan en los presupuestos, aquí hay algunas formas de reducir el estrés de los empleados relacionado con el presupuesto 2025.

• Incluya a los miembros prácticos de su equipo de ciberseguridad en las discusiones presupuestarias. Cuando los empleados sienten que se escuchan sus perspectivas e ideas, es menos probable que se resientan. Además, pueden ver de primera mano las compensaciones que implica la elaboración de presupuestos, así como el impacto de cada decisión en otras partidas.
  
  
• Pida a los empleados que compartan sus desafíos actuales. Al comenzar por comprender sus problemas, puede utilizar estos problemas para impulsar las decisiones presupuestarias. Si los miembros del equipo saltan a las soluciones de Tecnología, diríjalos de nuevo a discutir primero los problemas.
  
  
• Haga que su equipo de ciberseguridad realice una investigación y obtenga estimaciones. Una vez que se mueva a la parte de la solución del presupuesto, solicite a los miembros del equipo de ciberseguridad que realicen una investigación de herramientas y obtengan estimaciones. Dado que serán ellos quienes utilicen las herramientas a diario, obtener su aceptación de soluciones específicas puede ayudar a aumentar la satisfacción, así como a mejorar la precisión del presupuesto.
  
  
• Muestre a los miembros del equipo el borrador del presupuesto. Presupuestar a menudo significa tomar decisiones difíciles. Al mostrar al equipo el borrador del presupuesto y pedir su entrada, se sienten escuchados y también pueden ver las compensaciones que son necesarias como parte del proceso presupuestario.

Si bien el aumento del gasto en ciberseguridad es una tendencia positiva en general, lo más importante es cómo las empresas utilizan sus mayores inversiones. Al tomar las decisiones correctas para su organización específica, puede reducir el riesgo y, al mismo tiempo, mejorar la satisfacción de los empleados.