Con un presupuesto limitado, ¿cómo debería decidir un CISO qué financiar?
Respuesta breve
El gasto en seguridad debe seguir al riesgo, no a la moda: usar una evaluación de riesgos para dirigir el dinero donde el impacto al negocio y la probabilidad son más altos y la cobertura de controles actual es más débil, y luego medir la reducción lograda. Comprar lo que vende el proveedor popular ignora tu perfil de amenaza real y a menudo financia herramientas sin usar. Repartir el presupuesto por igual infrafinancia las pocas áreas que más importan. Copiar a los competidores asume que su perfil de riesgo es igual al tuyo, lo cual rara vez ocurre.
Todo CISO opera bajo restricciones presupuestarias. El escenario evalúa si las decisiones de gasto se anclan en el riesgo real de la organización o en el ruido — el marketing de proveedores, el comportamiento de manada o un sentido equivocado de equidad entre categorías de herramientas.
Por qué priorizar por riesgo es lo correcto
Un presupuesto defendible es el resultado de una evaluación de riesgos. Se estima la probabilidad y el impacto al negocio de cada riesgo, se superpone la cobertura de controles actual y se encuentra dónde es mayor la brecha — alta probabilidad × alto impacto, débilmente defendido. Ahí es donde el siguiente euro compra la mayor reducción de riesgo. Y crucialmente, después se mide el resultado: ¿bajó el tiempo de detección, se redujo la exposición, se acercó el riesgo residual al apetito? Así el presupuesto se convierte en un ciclo de retroalimentación que el consejo puede gobernar, y cada partida se defiende con «esto reduce este riesgo en tanto».
Por qué fallan las otras opciones
- Comprar lo que vende el proveedor popular. La popularidad del mercado no es tu perfil de riesgo. Esto financia capacidades que quizá no necesitas mientras deja abiertas tus brechas reales, y así surgen las costosas herramientas sin usar.
- Gastar por igual en cada categoría. Repartir por igual parece justo pero es irracional: infrafinancia las pocas áreas de alto riesgo para subvencionar las de bajo riesgo. El riesgo nunca se distribuye de forma uniforme, así que tampoco debería el gasto.
- Financiar solo lo que compraron los competidores. Los competidores tienen otros activos, amenazas y arquitecturas. Copiar su arsenal asume que su riesgo es igual al tuyo — y heredas sus puntos ciegos.
Qué busca el entrevistador
Quiere oír una priorización guiada por el riesgo y medible — no una lista de deseos de herramientas, ni una comparación con pares en sustitución del análisis. La respuesta sólida vincula los euros a la probabilidad, el impacto y las brechas de control, y cierra el ciclo midiendo la reducción. El candidato débil recurre a lo popular o lo «equilibrado», que parece prudente pero asigna sistemáticamente mal unos fondos escasos.
Posibles preguntas de seguimiento
- ¿Cómo demostraría la reducción de riesgo que una inversión concreta realmente aportó?
- ¿Cómo maneja un riesgo de alto impacto pero baja probabilidad frente a uno de bajo impacto y alta probabilidad, con un presupuesto ajustado?
- ¿Cuándo es racional aceptar un riesgo en lugar de gastar para reducirlo?