Se espera que el gasto empresarial en ciberseguridad se mantenga estable en 2022; los CISO obtendrán aumentos o financiaciones estables y solo un pequeño porcentaje verá caer sus presupuestos. Así, el Estudio de prioridades de seguridad de 2021, elaborado por CSO Online, pone de relieve que el 44% de los líderes de seguridad esperan que su gasto aumente en los próximos 12 meses, lo que supone un ligero aumento del 3% con respecto al curso anterior. Y, el 54% dice que espera que sus presupuestos permanezcan iguales. Solo el 2% espera una disminución, en comparación con el 6% de 2020.

Mientras, la consultora Gartner estima que la inversión en seguridad de la información y gestión de riesgos ascenderá a los 172.000 millones de dólares en 2022, frente a los 155.000 millones de 2021 y los 137.000 millones de 2020. Sin embargo, la percepción general es que los CISO deberán seguir demostrando el valor corporativo del dinero gastado, madurando sus operaciones y, en última instancia, mejorando la posición de su organización. “Las empresas saben que los riesgos aumentan todos los días y, como tal, las inversiones continúan vertiéndose en ciberseguridad”, dice Joe Nocera, experto en PwC.

“Estamos escuchando que los directivos estarían dispuestos a invertir cualquier cifra con tal de no terminar en la portada de un medio de comunicación por un ataque, y quieren asegurarse de que están gastando sus emolumentos en los campos correctos. Esto requiere que el CEO y el CISO trabajen juntos. Por ello, los presupuestos ‘ciber’ se centran cada vez menos en tener los productos más recientes de los proveedores y más en comprender primero las áreas vulnerables de las empresas para priorizar el gasto según la probabilidad de que ocurra un incidente”.

Tendencias que impulsan el presupuesto

Sam Rehman, CISO de EPAM Systems, dice que el gasto para 2022 refleja un interés cada vez mayor por los programas de ciberseguridad corporativos. Más del 50% de las compañías espera un aumento de las amenazas para el próximo ejercicio. Y esto, según Rehman, es solo uno de los factores que hace que aumente la inversión. “Los ejecutivos ven el impacto que tienen las infracciones y cómo la facilidad de monetizar los ataques en la era de las criptodivisas anónimas mantiene a los atacantes motivados”.

Como respuesta, los directivos quieren saber que están defendiéndose adecuadamente y que tienen la capacidad de responder a un ataque; quieren protección y resistencia. Están empezando a comprender que no existe una defensa al 100%, pero que una estrategia sólida permite ganar tiempo para detectar, responder y recuperarse antes de que se produzca un daño significativo.

Al mismo tiempo, los CISO dicen que sienten la presión de entidades externas, además de las internas, para obtener resultados. Están escuchando a clientes, socios, comerciales y reguladores decir que la seguridad también es una prioridad para ellos. Asimismo, las acciones gubernamentales y normativas también influyen en este ecosistema. Según el propio estudio de CSO, el 49% de los preguntados citó alcanzar las mejores prácticas como principal determinante en su gasto en seguridad; y otro 49% ve las regulaciones como un imperativo.

A estos le sigue la necesidad de abordar los riesgos en un escenario cambiante en la fuerza laboral o la dinámica empresarial, como el trabajo híbrido o remoto; el cambio a la nube; y responder a un incidente de seguridad en su organización y en otras aledañas.

Prioridades de gasto

La encuesta muestra que el gasto se distribuye en varias áreas, con un 20% asignado a infraestructura y hardware locales, un 19% a personal cualificado, y un 16% a herramientas de software. A estas prioridades le siguen las soluciones de seguridad basadas en la nube, servicios de consultoría, servicios de monitorización basados en la nube, capacitación y concienciación, servicios de evaluación contratados y servicios de respuesta a incidentes externos.

De este modo, y según Gartner, casi 77.000 millones de dólares se destinarán a servicios de seguridad en 2022, lo que lo convierte en la mayor de las categoría de gasto; 30.000 millones irán a protección de la infraestructura; 19.000 millones a equipos de seguridad y redes y 17.000 millones a la gestión de identidades y accesos. Otras áreas que obtienen grandes presupuestos incluyen seguridad de aplicaciones, gestión de riesgos integrada, seguridad de datos, software y seguridad en la nube.