Cinco partidas que necesitan presupuesto antes del SIEM
El presupuesto rara vez se rechaza por el importe total. Se rechaza por una sola partida cuando el CISO no puede responder a la pregunta del CFO: ¿Por qué esta partida y por qué primero? Quien presenta el presupuesto de seguridad como financiación de riesgos tiene la respuesta lista antes de la reunión.
Lo más importante en resumen
- El riesgo dirige el presupuesto, no una lista de herramientas. El párrafo 30 del BSIG convierte la proporcionalidad en la medida y menciona expresamente los costes de implementación y la exposición al riesgo como criterios de ponderación.
- No existe una cifra obligatoria. Bitkom mide en 2025 de media un 18 por ciento de participación de seguridad informática en el presupuesto de TI; como valor de referencia, Bitkom y la presidenta del BSI mencionan el 20 por ciento. No existe un importe mínimo fijo por ley.
- El orden decide. El análisis de riesgos, la protección de identidades, las copias de seguridad y la higiene básica preceden a un SIEM completo.
- La frase que convence al CFO: ¿Qué reducción de riesgo compramos con cada euro?
Relacionado: Cinco indicadores que el consejo de supervisión realmente entiende · Qué controles no pueden eliminarse al reducir herramientas
¿Qué es la presupuestación de seguridad basada en riesgos?
¿Qué es la presupuestación de seguridad basada en riesgos? La presupuestación de seguridad basada en riesgos asigna cada gasto a un riesgo documentado y financia primero las medidas que reducen el mayor daño esperado por euro invertido. El estándar es la proporcionalidad según el párrafo 30 del BSIG. Una lista completa de herramientas no sustituye este estándar.
La diferencia se hace visible en la conversación con el CFO. Una lista de herramientas responde a la pregunta «¿Qué compramos?». Una financiación basada en riesgos responde a la pregunta «¿Qué riesgo reducimos con ello y en qué medida?». La segunda pregunta resiste una pregunta crítica de seguimiento; la primera, rara vez.
Proporción media de seguridad informática en el presupuesto de TI, encuesta Bitkom 2025 (n=1.002)
Valor de orientación de Bitkom y de la presidenta del BSI Plattner
exige medidas proporcionadas, no un importe mínimo fijo
La lógica detrás del orden
Tres magnitudes determinan qué partida recibe dinero primero. La primera es el daño esperado, aproximadamente el producto de la probabilidad de ocurrencia y la magnitud del daño. La segunda es el apetito de riesgo, es decir, el umbral por debajo del cual la dirección asume conscientemente un riesgo residual. Este determina las medidas por encima del equipamiento básico legal. Las diez medidas mínimas del párrafo 30 apartado 2 del BSIG siguen siendo obligatorias y se implementan de forma proporcionada. La tercera es la eficiencia económica, la reducción del daño por euro invertido.
De ello surge una regla de priorización sencilla: primero las medidas con alta probabilidad de ocurrencia, un impacto notable en el daño y costes bajos. Este orden coincide con el marco legal. El párrafo 30 apartado 1 del BSIG exige medidas «adecuadas, proporcionadas y eficaces» y menciona para la proporcionalidad, entre otros, la magnitud de la exposición al riesgo, el tamaño de la entidad, los costes de implementación así como la probabilidad de ocurrencia y la gravedad de los incidentes. El legislador no exige con ello una lista completa de herramientas. Exige una ponderación fundamentada que no quede por debajo del equipamiento básico legal.
Cinco partidas que necesitan presupuesto antes del SIEM
1. Análisis de riesgos documentado y necesidad de protección
Se financia el propio análisis de riesgos: un inventario de activos y procesos, un apetito de riesgo registrado y una hoja de ruta de medidas derivada de él. Sin esta base falta la información común sobre la que se decide todo debate presupuestario posterior. Esta partida cuesta principalmente tiempo de personal, pero dirige toda la asignación. El párrafo 30 apartado 1 frase 3 del BSIG exige además documentar el cumplimiento de las medidas. Sin una situación de riesgo documentada no se puede ni justificar ni demostrar la proporcionalidad.
2. Protección de identidades y accesos
Aquí se incluyen la autenticación multifactor, una gestión de identidades endurecida, la protección especial de cuentas privilegiadas y revisiones periódicas de accesos. El riesgo abordado es uno de los puntos de entrada más frecuentes: la toma de control de una cuenta mediante credenciales robadas y el posterior movimiento lateral en la red. Según Bitkom 2025, el ransomware, el phishing y los ataques a contraseñas se encuentran entre los tipos de ataque que causan más daños. La protección cuesta poco por usuario, pero actúa directamente sobre las cuentas más críticas. La autenticación multifactor se menciona expresamente como medida en el párrafo 30 apartado 2 número 10 del BSIG.
3. Copias de seguridad y recuperación probada
Se financian copias de seguridad múltiples según el principio 3-2-1, copias inmutables o mantenidas offline y una recuperación que se prueba periódicamente. Una copia de seguridad que nunca se ha restaurado es una suposición, no una prueba. El riesgo es la interrupción operativa, según el Allianz Risk Barometer 2025 el segundo mayor riesgo empresarial a nivel mundial, inmediatamente después de los incidentes cibernéticos. Una copia de seguridad sólida reduce la presión de extorsión en caso de ransomware y limita el daño por paradas cuando la prevención falla. La base se encuentra en el párrafo 30 apartado 2 número 3 del BSIG.
4. Gestión de vulnerabilidades y exposición
Esta partida financia la gestión de parches priorizada, el endurecimiento de sistemas con conexión a internet y una superficie de ataque deliberadamente reducida. El riesgo es la explotación de vulnerabilidades conocidas desde hace tiempo y servicios abiertos que nadie tenía controlados. El impacto por euro es alto porque se cierran vectores de ataque baratos antes de que alguien los utilice. El orden se elige conscientemente: primero reducir la superficie de ataque, luego invertir en supervisión. Una herramienta de detección sobre un entorno no endurecido genera principalmente muchas alertas.
5. Respuesta a incidentes y base de logging
Para completar el equipamiento básico se incluyen un playbook de emergencias, una cadena de notificación practicada junto con la preparación para la obligación de notificación en 24 horas según el párrafo 32 del BSIG, una recopilación central de los logs de sistemas críticos y una sensibilización específica de los grupos de alto riesgo. El riesgo es la larga permanencia de un atacante, elevados costes forenses y el incumplimiento de un plazo de notificación. Esta partida ocupa el último lugar del top cinco porque su desarrollo se construye sobre las anteriores. Sin embargo, la cadena de notificación y un logging mínimo de sistemas críticos deberían surgir pronto; el centro de operaciones externalizado y un SIEM completo pueden venir después.
Impacto por euro en comparación
La misma lógica se puede leer como un mapa sencillo. Muestra por qué la higiene precede a las plataformas costosas.
| Inversión | Perfil de costes | Impacto por euro | Momento |
|---|---|---|---|
| Análisis de riesgos documentado | bajo (tiempo de personal) | alto | antes que todo lo demás |
| Multifactor y cuentas privilegiadas | bajo a medio | alto | inmediato |
| Copias de seguridad probadas | medio (almacenamiento) | alto | inmediato |
| Parches y endurecimiento de sistemas expuestos | bajo a medio | alto | temprano |
| Logging básico y playbook de emergencias | medio | medio a alto | después del endurecimiento básico |
| SIEM completo | alto | bajo, si antes de la higiene | solo después de la higiene básica |
| Otras herramientas individuales sin base de activos | alto | bajo | secundario |
¿Qué aporta este orden al CFO?
Un presupuesto más alto por sí solo no compra más seguridad. Una encuesta global entre más de 300 responsables de seguridad (Wiz 2026) muestra que muchas empresas aumentan sus gastos y aun así consideran insuficiente su protección. La causa rara vez está en el importe, sino con frecuencia en la distribución. Aquí es exactamente donde interviene la configuración basada en riesgos.
Para el CFO la conversación se vuelve verificable. Cada posición lleva asociado un riesgo, una reducción de daños esperada y una cifra de coste. Lo que va más allá del equipamiento básico legal y se encuentra por debajo del apetito de riesgo se pospone y documenta conscientemente, en lugar de comprarlo de forma silenciosa. Esto transforma el debate presupuestario anual de una negociación sobre importes en una decisión sobre riesgos residuales. La pregunta guía sigue siendo la misma en cada ronda: ¿Qué reducción de riesgo compramos con cada euro?
Preguntas frecuentes
Cada pregunta está cerrada. Un toque desbloquea la respuesta.
¿Cuánto presupuesto necesita la seguridad en el Mittelstand?
No existe una cifra obligatoria por ley. La encuesta de Bitkom 2025 (n=1.002) mide en Alemania de media un 18 por ciento de participación de seguridad informática en el presupuesto de TI; BSI y Bitkom recomiendan el 20 por ciento como orientación. Sigue siendo determinante la exposición al riesgo documentada según el párrafo 30 apartado 1 del BSIG, no un promedio sectorial.
¿Qué medida de seguridad debe financiarse primero?
Tras el análisis de riesgos documentado, normalmente la protección de identidades y accesos con autenticación multifactor, así como una recuperación probada. Ambas abordan riesgos frecuentes de entrada y de interrupción a bajo coste por usuario. El párrafo 30 apartado 2 números 3 y 10 del BSIG respaldan esta prioridad.
¿Exige NIS2 un presupuesto determinado?
No. El párrafo 30 del BSIG exige medidas adecuadas, proporcionadas y eficaces. La proporcionalidad incluye los costes de implementación y la exposición al riesgo. No figura un presupuesto mínimo ni en el BSIG ni en la directiva NIS2.
¿Cómo justifico el presupuesto de seguridad ante el CFO?
Como financiación de riesgos: reducción de daños esperada por euro, referida a un apetito de riesgo documentado. Las pruebas son la lista de medidas priorizada del análisis de riesgos, las categorías de daños del estudio de Bitkom así como la proporcionalidad según el párrafo 30 del BSIG como marco de cumplimiento. La pregunta clave es: ¿Qué reducción de riesgo compramos con cada euro?
Selección de la redacción
RecomendadoQué derechos de decisión del CISO deben estar regulados por escritoRecomendadoEl riesgo de la cadena de suministro es un programa, no una lista de auditoría
Más de la red MBF Media
Digital ChiefsGeopol?tica y datacenters: lo que los CIO deben asegurarMyBusinessFutureReglamento de IA de la UE a partir de agosto de 2026: lo que las pymes deben etiquetar ahoracloudmagazinXFS4IoT se encuentra con la nube: El cajero automático se convierte en plataforma
Fuente de la imagen: generado por IA (julio 2026)




