En 2021 los costos por ataques de seguridad aumentaron de 3.86 a 4.24 millones de dólares, el costo total promedio más alto en los 17 años de historia del informe CyberSecurity Trend & Data. Estos datos en México y en el mundo nos dejan ver que la información y datos de cualquier persona, corporación o gobierno son susceptibles de ser atacados por delincuentes o, simplemente, por una persona a la que le parece divertido.

Por otra parte, hemos visto que la prevención de estos ataques es una de las estrategias más contundentes para evitar pérdidas de dinero, imagen corporativa y clientes. La inversión en sistemas y prácticas preventivas la podemos comparar con un seguro de un automóvil: ¡debemos tenerlo, pero esperamos no utilizarlo nunca!

Definir el porcentaje del capital o la cantidad específica se debe invertir en sistemas e infraestructura de seguridad informática depende únicamente de cada empresa; si bien, hay parámetros que deben considerarse, no hay reglas o ecuaciones estrictas, sino que depende de un análisis particular de cada organización.

Algunos elementos que se deben considerar para administrar y calcular la inversión en seguridad de la información son los siguientes.

• Costo Total de Propiedad. La tendencia es que la ciberseguridad sea considerada dentro de la estrategia general de TI como un componente integral y no como algo adicional, esto se llama costo total de propiedad, es decir los costos directos e indirectos en tecnología, que se usan para la adquisición de equipos o programas informáticos con el fin de contar con soluciones sostenibles y maximizar su eficiencia.
  
• Sistemas de seguridad. Desde que se ha considerado migrar los servicios de TI a la nube, la seguridad de la información puede ser más vulnerable. Sin embargo, mantener el control y la integridad de los datos es más fácil cuando se cuenta con servicios de seguridad y prevención confiables y flexibles, que se adapten a las necesidades y el tamaño de cada empresa, como Data Protect y Cloud Firewall de MCM Telecom.
  
• Políticas y procedimientos. Contar con lineamientos claros sobre el uso de sistemas, aplicaciones y redes para todos los usuarios que tienen acceso a la información es algo fundamental, así como mecanismos de control para que cada persona utilice solamente las herramientas que corresponden a su función y perfil. Para esto es importante invertir tiempo suficiente, así como en la contratación de expertos calificados que los desarrollen y sean responsables de su ejecución.
  
• Capacitación y formación de especialistas. En el mundo se investiga constantemente acerca de la ciberseguridad ya que es algo que está cambiando permanentemente. A la par, se han creado programas, cursos y certificaciones para formar especialistas que tengan las competencias necesarias para estar en la misma frecuencia que los delincuentes y poder anticiparse a los ataques. Es fundamental invertir permanentemente en estos cursos y certificaciones, así como en publicaciones, foros y toda la información actualizada que exista.
  
• Retorno de inversión. Otro aspecto que le importa a las empresas es el retorno de la inversión en tecnología y ciberseguridad; sin embargo, es difícil tener un indicador concreto al respecto, ya que hay una gran cantidad de elementos que entran en juego, sobre muchos de los cuales no se tiene control, por lo que la mejor estrategia es tener claridad del costo total de propiedad.
  
  Un cálculo que puede ayudar a tener mayor control del ROI es el tiempo, es decir, identificar cuánto tiempo/hombre se utilizan para instalar sistemas preventivos, contra el tiempo que podría tomar que uno o más especialistas resuelvan un problema de seguridad, así como el tiempo de reacción cuando se tiene una situación de este tipo.
  
• Evaluación de riesgos. Hacer revisiones y análisis constantes de los que pudieran ser “frentes abiertos” en nuestros sistemas y redes es vital para mantener a salvo nuestra información. De esta manera se pueden identificar oportunamente posibles peligros y priorizar los mecanismos de control que se deberán implementar.