El tema de las inversiones en seguridad ya lo he mencionado varias veces en el blog, ya que cada vez son mas las empresas preocupadas sobre cómo asignar eficientemente el dinero abocado a la seguridad de la información. Mientras algunas inversiones son consideradas un desperdicio, otras empresas siquiera poseen el presupuesto para considerarlas así. ¿Cuál es el estado de las inversiones en controles de seguridad?
Según reporta PC World, la prestigiosa empresa Gartner ha realizado un estudio sobre las inversiones en seguridad, consultando a 1500 compañías en todo el mundo. Según el análisis de los resultados, en promedio las empresas asignan 5% del presupuesto de IT a la seguridad. Este dato es consistente con el presentado anteriormente en este mismo blog, donde comentaba que según el ESET Security Report Latinoamérica, “más de la mitad de los encuestados (57,86%) afirmaban que menos del 5% del presupuesto de IT es utilizado para seguridad“.
Otros datos interesantes arrojados por el informe indican que:
- La inversión por empleado ha aumentado de 525 dólares en 2009 a 636 en 2010. En Latinoamérica, los estudios también indican que aumentan las inversiones en seguridad.
- El total del presupuesto en seguridad se distribuye así: 37% es abocado a personal, 25% al software, 20% al hardware, 10% a tercerización (outsourcing) y un 9% a consultoría.
La distribución arroja un dato muy interesante: la seguridad de la información es un campo complejo y heterogéneo, y a esto se debe los resultados a priori parejos en la repartija del dinero asignado a la seguridad. Todos los componentes mencionados son importantes y conforman un Sistema de Gestión de la Seguridad de la Información. El software de seguridad es complementado por el personal que aplica en él una correcta configuración, que a la vez puede ser auditada por una consultora. Todas las partes se complementan, y es necesario trabajar los presupuestos de seguridad en este contexto.
Como se puede observar, el tema de las inversiones en seguridad es hoy una de las prioridades a resolver por las organizaciones en este campo. Recuerden que mediciones como TCO (Total Cost of Ownership) el retorno de inversión pueden colaborar para hacer evaluaciones más precisas y eficientes en el proceso de asignar dinero a la protección de la información.
Sebastián Bortnik
Coordinador de Awareness & Research