Faltan diez minutos para las once de la mañana, y nos encontramos en la antesala de la exposición de necesidades de presupuesto para el siguiente periodo ante el Consejo Directivo. Siendo ya cerca de la una de la tarde, aún sin almorzar, me reúno con el equipo para tratar de entender ¿Qué falló esta vez? Solo aprobaron el 30% del presupuesto que pedimos: “Y así, ¡es imposible implementar ciberseguridad!”.
En una economía como la ecuatoriana que experimenta contracción comercial debido a múltiples factores exógenos al negocio, tales como: la volatilidad política, desastres naturales, ajustes tributarios e inseguridad; las empresas requieren enfocar el destino de sus inversiones privilegiando dos puntos relevantes: la eficiencia operativa y la rentabilidad de sus productos y servicios. Uno de los momentos más retadores que enfrentan los directivos relacionados con la gestión de ciberseguridad a nivel corporativo, llega precisamente en el último trimestre del año, al informar al Consejo Directivo acerca de los hitos que se estima cumplir durante el siguiente ejercicio y pedir la aprobación del presupuesto necesario para el cumplimiento de dichos objetivos.
Ahora, ¿Por qué es importante la ciberseguridad? es importante porque representa un elemento clave en la operación de una compañía en cualquier industria, que se encarga de velar por resguardar la confidencialidad, integridad y disponibilidad de la información durante su procesamiento, cuando es transmitida o se almacena. Si no se vigila la implementación de técnicas de ciberseguridad, los riesgos asociados pueden convertirse en situaciones que impactarán negativamente la economía de la empresa o incluso la reputación de la marca frente a los clientes cuyo impacto es incuantificable.
Generalmente, esta solicitud de presupuesto para ciberseguridad, se disputa un lugar entre prioridades de la Dirección, que pueden ser: la diversificación de líneas de producción, estrategias de comercialización, logística, entre otras actividades; que en término general podemos inferir que se encuentran más alineadas con el giro del negocio, mientras que la ciberseguridad probablemente no encaje en dicha clasificación, aun cuando en el contexto global se trata de una necesidad que toda compañía debe tener en consideración para garantizar, por ejemplo: la continuidad de sus operaciones informáticas o digitales, dar resguardo a las transacciones financieras que realiza con sus clientes y aliados estratégicos, cumplimiento normativo y legal frente a entes reguladores locales e internacionales, entre otros.
Sumado a esto, otra realidad por afrontar es la posición de la inversión en ciberseguridad en el estado de resultados. El gasto operativo es un rubro que todas las empresas buscan reducir al máximo, para que impacte lo menos posible en el margen operativo (EBITDA por sus siglas en inglés) mientras los ingresos por ventas generen una mayor contribución a la utilidad del ejercicio. En consecuencia, resulta una tarea casi titánica posicionar adecuadamente la importancia de la ciberseguridad, así como también garantizar la provisión de recursos económicos para la ejecución de proyectos y programas relacionados con ella.
Considerando, además, que la “regla comúnmente aceptada” determina que el presupuesto factible de asignar a ciberseguridad está entre el 0.5% y el 1% de los ingresos anuales por ventas de la compañía (“...alrededor del 0.54% en promedio para industrias como banca, seguros y administradoras de capital”. Deloitte Global-2023), lograr una mayor participación representa un escenario bastante complejo. El mismo estudio nos indica también, que en un 43% las inversiones en ciberseguridad se originan por gastos operativos (operaciones, ventas, etc.) en lugar de gastos de capital (adquisiciones, compra de activos y otros). Mientras que, las tres prioridades de transformación digital en las empresas son: computación en la nube, analítica de datos e inteligencia artificial.
En conclusión, resulta indispensable tener claridad de lo que significa la ciberseguridad en el contexto de la línea de negocio de la compañía, entender su impacto financiero y ser diligente en la distribución del presupuesto de ciberseguridad, dando a las iniciativas estratégicas del negocio el protagonismo que merecen, pero al mismo tiempo, asegurando las operaciones e información de la compañía.
En una siguiente entrega de esta serie, tendremos la oportunidad de explorar estrategias sencillas y efectivas, para lograr que los proyectos de ciberseguridad tengan el respaldo necesario para su ejecución. (O)