Prioridades presupuestarias en 2025 para CISOs: seguridad en aplicaciones, APIs y cadenas de suministro

Las prioridades de los CISOs a la hora de fijar sus presupuestos para el 2025 deberían estar centradas en poner a salvo los ingresos de la compañía y en reducir los riesgos de negocio, priorizando las áreas más críticas de protección: las aplicaciones, las APIs y las cadenas de suministro. Además, deben tener cuidado de que sus gastos e inversiones estén en línea con las prioridades del negocio. Así lo señala Forrester en su última guía «2025 Budget Planning Guide For Security And Risk Leaders«.

En ella se hace hincapié en que securizar los activos de TI críticos para el negocio debe ser la principal prioridad en 2025, y que los aumentos de presupuesto con los que cuenten los CISOs el próximo año deberían dar prioridad al tratamiento de las amenazas y los controles en seguridad de aplicaciones, personal e infraestructura crítica para el negocio.

Los CISOs, por tanto, deben redoblar sus esfuerzos en el control de las amenazas y en la puesta en marcha de controles para conseguir un buen nivel de seguridad en las aplicaciones, proteger la infraestructura y mejorar la gestión de riesgos humanos. Para la consultora, las tres prioridades el próximo año deberían ser la protección de la cadena de suministro, la seguridad de las APIs y la detección de amenazas producidas a través de dispositivos y sistemas de Internet de las Cosas.

El presupuesto con el que contarán los CISOs aumentará en 2025

Un 90% de los CISOs verán subir su presupuesto para 2025, aunque el dinero que las empresas destinan a ciberseguridad solo es, de media, el 5,7% del total invertido por las empresas en TI. No es mucho, si tenemos en cuenta lo amplio que es el papel del CISO en la protección de nuevos flujos de ingresos y en el refuerzo de la infraestructura.

Aun así, la situación va a mejorar, ya que un 10% de las empresas subirán más de un 10% su presupuesto para seguridad en los próximos 12 meses. Un tercio de ellas lo harán entre un 5% y un 10%, y casi un 50% lo mejorarán entre un 1% y un 4%. Solo un 7% de empresas no experimentarán ningún aumento en sus presupuestos para seguridad, y un 3% lo reducirán.

Los CISOs también tienen que tener cuidado con la expansión y ampliación de sus tecnologías, porque podrían desperdigar la inversión en elementos no necesarios o lo suficientemente aprovechados. Estos profesionales no solo tienen que invertir en protección para el software, lo que se lleva aproximadamente un tercio del total de lo que tienen, sino que también tienen que destinar cada vez más esfuerzo a la protección del hardware, sin olvidarse de los costes del personal de sus departamentos. Por eso es recomendable que tengan precaución al integrar nuevos proveedores y herramientas.

Otro de los puntos destacados para Forrester en 2025 que los CISOs tendrían que tener en cuenta es que la seguridad cloud, las tecnologías de seguridad nuevas y actualizadas para ejecutar en local y las iniciativas de formación y percepción de seguridad van a registrar un aumento de la cantidad que se destina a ellas igual o superior a un 10%. Un 81% de quienes toman las decisiones relacionadas con tecnología de seguridad predicen que su gasto en seguridad cloud subirá en 2025. Un 37% esperan que suba entre un 5% y un 10%, y un 30% espera un aumento superior al 10%.

Reforzar la cadena de suministro, las APIs y los dispositivos de IoT, imprescindible

En cuanto al refuerzo de la cadena de suministro de software y de las APIs, es ya imprescindible. Un 91% de las empresas de gran tamaño han sido víctimas de incidentes de la cadena de suministro solo en un año, lo que pone de manifiesto la necesidad de implementar mejores barreras en los flujos de integración y despliegue continuos. Otros de los vectores de amenazas a proteger para que las cadenas de suministro y las APIs no sean más vulnerables son las APIs heredadas, las herramientas de desarrollo de terceros y las librerías open source.

Los ciberdelincuentes buscan con frecuencia atacar a través de componentes open source de distribución amplia. Por eso, definir una estrategia de seguridad de APIs que se integre directamente en los flujos de trabajo de DevOps y aborde los procesos de entrega e integración continua como una única superficie de ataque es crucial para cualquier empresa que utilice DevOps. Otros puntos urgentes de los que deben ocuparse las empresas para securizar este vector. potencial de ataque son la detección y respuesta de APIs, la valoración de riesgos, y la detección, respuesta y monitorización del uso de las APIs.

Los dispositivos de Internet de las Cosas, siguen siendo un potente atractor de ataques. Son uno de los vectores de ataque más populares para acceder a los sistemas de control industrial. Las plantas de procesado, los centros de distribución y las fábricas los utilizan a diario, y diversos organismos advierten con regularidad de que hay grupos de atacantes respaldados por diversos países que tienen como objetivo ciertos activos de control industrial.

Los ataques sufridos a través de estos equipos no solo son muy perjudiciales, sino que además producen habitualmente daños económicos notables, superiores que los sufridos como consecuencia de otros tipos de incidentes. Por eso es necesario asegurarse de que cada dispositivo de IoT está protegido utilizando un enfoque Zero Trust. Esto reducirá la amenaza que suponen las brechas de seguridad.