¿Por qué las áreas financieras regatean presupuesto para ciberseguridad?

¿Por qué las áreas financieras regatean presupuesto para ciberseguridad?

 

Los Directores Generales de las empresas en México están informados de los riesgos tecnológicos que potencialmente pueden afectar sus activos digitales.

La encuesta Digital Trust Insights 2024 de PwC entrevistó a 3,876 ejecutivos de negocios y tecnología en las empresas más grandes del mundo —30% de los encuestados que tiene ingresos de 10,000 millones de dólares o más muestra un margen considerable para mejorar la ciberseguridad. En el caso de México, se encuestó a 133 ejecutivos.

Entre los principales hallazgos que se mencionan en el informe están

  • Los costos de las brechas de seguridad y el número de brechas de alto valor siguen en aumento 

  • Aunque los ataques a la nube son la principal preocupación cibernética, alrededor de un tercio de las organizaciones a nivel global no tiene un plan de gestión de riesgos para abordar los desafíos de los proveedores de servicios en la nube 

  • Solo la mitad está "muy satisfecha” con sus capacidades tecnológicas en áreas clave de ciberseguridad 

  • Más del 30% de las empresas no sigue sistemáticamente lo que deberían ser prácticas estándar de ciberdefensa

Sin embargo, cuando se leen noticias de ataques, éstos se perciben lejanos, ajenos. Lo cierto, es que se reportan menos de los que realmente ocurren y cuando ya están en los medios es que ya no queda otra que manejar una crisis de ese tipo.

¿Por qué las áreas de finanzas regatean presupuesto para ciberseguridad?

Existen varias razones interrelacionadas que explican esta tendencia común:

  • Percepción de costos a corto plazo vs. beneficios a largo plazo:  Las áreas financieras tienen prioridades enfocadas en el corto plazo y la ciberseguridad no la consideran en la lista de prioridades y la consideran como un gasto en lugar de una inversión. También desconocen los costos de una brecha de seguridad y sus fatales consecuencias.

  • Dificultad para cuantificar el retorno de la inversión (ROI): A diferencia de otras áreas donde es más fácil medir el ROI, como marketing o ventas, cuantificar el valor exacto de las medidas de ciberseguridad puede ser complejo. Esto dificulta justificar inversiones significativas.

  • Priorización de otras áreas: La ciberseguridad se considera un gasto "nice to have" en lugar de un "must have".

  • Falta de comprensión técnica: Los profesionales de finanzas pueden no tener una comprensión profunda de los riesgos cibernéticos y las soluciones disponibles. Esto dificulta que puedan evaluar adecuadamente la necesidad de invertir en ciberseguridad.

  • Presión para reducir costos: En algunos entornos económicos las áreas de finanzas, se encuentran bajo presión para reducir costos. La ciberseguridad, al ser percibida como un gasto adicional, puede ser una de las primeras áreas en sufrir recortes.

"Es de suma importancia que los responsables de áreas de Tecnologías de Información y Comunicaciones cuenten con la asesoría de especialistas en ciberseguridad, pero con un enfoque de Gestión de Proyectos que pueda identificar y cuantificar las vulnerabilidades de los activos informáticos de la organización y logren comunicar adecuadamente los alcances a las áreas de finanzas y alta dirección”. Comentó  Rodolfo Galué Absalón, Director General en Lumtux, Empresa especializada en Capacitación y Consultoría en alineación a marcos de referencia internacionales para organizaciones.

"Uno de los retos más grandes de las áreas de TI es la gestión adecuada de proyectos, cuando la empresa ya cuenta con una base tecnológica instalada y los procesos estratégicos del negocio se soportan sobre ella, las áreas de TI requieren también fluir sobre estándares internacionales que les permitan crecer”. Abundó el especialista.

Sin duda, con el advenimiento de la IA, hay un escenario de mayores riesgos para los activos digitales de las empresas y como siempre la prevención y las mejores prácticas en seguridad de la información permitirán una mejor gestión del riesgo y continuidad de las operaciones de la organización.



COMENTARIOS

Anónimo
En parte es la falta de capacidad de los proveedores de seguridad de presentar de manera correcta su propuesta y el manejo de los riesgos. Por cada peso, bien invertido, en seguridad de la información, se evita una afectación diez veces mayor.

Escribe un comentario.