Un reciente estudio realizado por IANS Research y Artico Search revela que el crecimiento de los presupuestos de ciberseguridad ha alcanzado su tasa más baja en cinco años. Solo un 47% de los CISO (Chief Information Security Officers) reportaron aumentos en sus presupuestos durante este año, en comparación con el 62% registrado en 2024. El incremento anual promedio en los presupuestos de seguridad fue del 4%, cuando en 2024 fue del 8%.
Sin embargo, mientras los presupuestos disminuyen, la frecuencia y el riesgo de los ciberataques continúan en aumento, impulsados por factores como los ataques automatizados mediante inteligencia artificial y crecientes tensiones geopolíticas. Esto convierte a la ciberseguridad en un reto cada vez mayor para los responsables de la materia.
Devin Ertel, CISO de Menlo Security, destaca que los ataques “son más arriesgados y frecuentes cada día, poniendo a los CISO bajo enorme presión para mantener seguras a sus organizaciones”. Además, señala que su rol va más allá de la tecnología, abarcando la gestión de riesgos, la estrategia de negocio, el manejo de presupuestos y la comunicación con la alta dirección. Esta creciente responsabilidad, sumada a la escasez de talento en ciberseguridad, ha multiplicado el valor de los CISO experimentados.
La reducción de presupuestos impacta directamente en la capacidad de contratación. Sólo el 11% de los CISO se consideran suficientemente dotados de personal; el 89% reconoce estar al límite o sin suficiente equipo, lo que incrementa la vulnerabilidad ante amenazas.
Bruce Jenkins, CISO de Black Duck, sostiene que la eficacia de un programa de ciberseguridad no depende estrictamente del tamaño del presupuesto, aunque un mayor monto permite adquirir más herramientas y personal. Jenkins recomienda enfocar los programas en las siguientes áreas clave, sin importar los recursos disponibles:
- Detección y respuesta de amenazas: Medir la rapidez y efectividad al identificar y contener incidentes.
- Gestión de parches: Asegurar que sistemas y aplicaciones estén actualizados.
- Formación y conciencia en seguridad: Evaluar métricas como clicks en phishing y tasas de reporte de incidentes.
- Gestión de identidades y accesos: Monitorizar autenticaciones fuertes y revisiones de accesos.
- Respaldo y recuperación de datos: Verificar la integridad y la capacidad efectiva de recuperación.
- Cumplimiento de configuraciones seguras en los activos.
- Salud de auditorías bajo marcos reconocidos como NIST CSF, ISO 27001 o CIS 18.
Al final, “un programa de ciberseguridad efectivo debe traducirse en beneficios de negocio, como la mejora en la confianza y retención de los clientes”, añade Jenkins. Justificar inversiones ante la dirección implica demostrar ese valor, ya sea vinculando la seguridad con el crecimiento del negocio o mostrando el coste evitado por ataques frustrados.
Estos desafíos subrayan la importancia de medir el impacto y comunicar el valor de la ciberseguridad, aún en contextos de austeridad presupuestaria, para proteger a las organizaciones en un entorno de amenazas crecientes.