Checklist: Planificar correctamente el presupuesto de seguridad para 2025

Ha comenzado la temporada de elaboración de presupuestos. Esta checklist ayuda a los CISO y a los responsables de TI a planificar de forma estructurada su presupuesto de seguridad para 2025: desde el análisis del estado actual, pasando por los requisitos de cumplimiento normativo, hasta la priorización de las inversiones.

En resumen

Ha comenzado la temporada de elaboración de presupuestos. Esta checklist ayuda a los CISO y a los responsables de TI a planificar de forma estructurada su presupuesto de seguridad para 2025: desde el análisis del estado actual, pasando por los requisitos de cumplimiento normativo, hasta la priorización de las inversiones. Incluye orientaciones sobre los costes típicos de los distintos conceptos.

Fase 1: Análisis del estado actual (semanas 1-2)

Registrar los gastos actuales:

• Licencias vigentes y contratos de mantenimiento, con sus fechas de caducidad
• Costes de personal y formación
• Proveedores externos (MSSP, pruebas de penetración, acuerdos de retención para respuesta a incidentes)
• Gastos en seguridad en la nube (a menudo ocultos dentro de los presupuestos generales de nube)

Evaluar el uso efectivo:

• ¿Qué herramientas se utilizan activamente y cuáles están infrautilizadas?
• ¿Dónde existen solapamientos entre productos?
• ¿Qué contratos expiran en 2025 y ofrecen oportunidades de consolidación?

Fase 2: Definición de los requisitos (semanas 3-4)

Obligaciones regulatorias para 2025:

• Implementación de la Directiva NIS2: obligaciones de notificación, gestión de riesgos y seguridad de la cadena de suministro
• Reglamento DORA (sector financiero): pruebas de resiliencia y gestión de riesgos TIC
• Reglamento de Inteligencia Artificial de la UE: cumplimiento para sistemas de IA de alto riesgo
• Ley marco para infraestructuras críticas (KRITIS-Dachgesetz): seguridad física y cibernética para infraestructuras críticas

Brechas técnicas identificadas:

• Resultados de pruebas de penetración y auditorías
• Riesgos conocidos registrados en el registro de riesgos
• Hallazgos derivados de los incidentes ocurridos en los últimos 12 meses

Fase 3: Priorización (semanas 5-6)

Clasifique cada inversión prevista en una de estas tres categorías:

1. Imprescindible (Must-Have): obligaciones de cumplimiento normativo, brechas críticas y contratos próximos a su vencimiento
2. Recomendable (Should-Have): ganancias de eficiencia, automatización y consolidación
3. Deseable (Nice-to-Have): tecnologías emergentes y proyectos innovadores

Orientaciones de coste para 2025

• Presupuesto medio sectorial para seguridad TI: 6-14 % del presupuesto total de TI (Gartner)
• Plataforma EDR/XDR: 15-40 EUR por endpoint/año
• SIEM/SOC gestionado: 5.000-25.000 EUR/mes (según volumen de datos)
• Prueba de penetración: 8.000-25.000 EUR por actuación
• Formación en concienciación sobre seguridad: 20-50 EUR por empleado/año
• Acuerdo de retención para respuesta a incidentes (IR-Retainer): 3.000-10.000 EUR/mes

Datos clave

El 6-14 % del presupuesto de TI es el promedio sectorial destinado a seguridad (Gartner, 2024)

NIS2, DORA y el Reglamento de IA generan nuevos gastos obligatorios en 2025

La consolidación de herramientas permite ahorrar, de media, un 15-25 % manteniendo el mismo nivel de cobertura

La detección y respuesta gestionadas (MDR) crecen como alternativa al SOC interno

Un presupuesto de seguridad sin un caso de negocio sólido pierde apoyo en la dirección general

Dato: Según IBM, el 95 % de todos los incidentes de ciberseguridad se deben a errores humanos.

Dato: Según IBM, los costes medios de una pérdida de datos ascendieron en 2025 a 4,88 millones de dólares.

Preguntas frecuentes

¿Cómo argumento ante la dirección general?

Con tres argumentos: obligaciones de cumplimiento normativo (con NIS2 existe el riesgo de responsabilidad personal), prevención de daños (los costes medios de un ataque de ransomware en los países DACH ascienden a 1,2 millones de EUR, según Sophos) y asegurabilidad (las compañías de seguros cibernéticos exigen cada vez más estándares mínimos).

¿Debería invertir en un SOC propio o en MDR?

Para empresas con menos de 1.000 empleados, MDR es casi siempre más rentable. Un SOC propio requiere al menos 5-7 analistas para operar las 24 horas del día, los 7 días de la semana – lo que supone costes salariales anuales superiores a 500.000 EUR.

Artículos relacionados

NIS2: Qué deben saber las empresas

Seguro cibernético 2026

Zero Trust: Los 7 errores más frecuentes

¿Necesita toda empresa un CISO?

No toda empresa necesita un CISO a tiempo completo, pero sí que toda empresa debe tener una responsabilidad clara y definida en materia de seguridad TI a nivel de dirección general. Las PYME pueden recurrir a un CISO externo (Virtual CISO). Con NIS2, dicha responsabilidad directiva queda establecida legalmente.

Artículos relacionados

• secIT by Heise 2026: La roadshow de seguridad para administradores y responsables de TI
• Seguridad OT 2026: Por qué la industria debe actuar ya
• Zero Trust para las PYME: Entrada en 5 pasos

Más contenido de la red MBF Media

• Business Future: Tendencias para tomadores de decisiones
• Perspectivas de nivel C sobre la seguridad TI

Fuente de imagen: Pexels / www.kaboompics.com

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow