El dimensionamiento de los equipos de ciberseguridad ha sido históricamente un punto de debate entre CISOs y directivos, ya que tradicionalmente se ha basado en modelos que asignan recursos humanos según el tamaño de la infraestructura tecnológica —como el número de usuarios, servidores o endpoints— y, aunque práctico, resulta limitado al ignorar factores esenciales como el contexto de riesgo, la criticidad de los activos y la exposición real de la organización frente a amenazas, pues se prioriza lo cuantificable sobre lo verdaderamente relevante, conduciendo a decisiones que no necesariamente reflejan las necesidades estratégicas de protección de la empresa.
Además, debemos tener en cuenta que el reto actual de los CISOs no radica únicamente en desplegar controles técnicos, sino en asegurar que el talento y los recursos disponibles estén alineados con los riesgos más significativos y con la tolerancia al riesgo definida por la alta dirección y mantener estructuras sobredimensionadas en áreas de bajo impacto, mientras se presentan carencias críticas en zonas de mayor exposición, es una consecuencia directa de metodologías basadas en volumetrías, por lo que se propone un cambio de paradigma: sustituir la lógica de la cantidad por la lógica del riesgo como factor de ajuste.
1. El análisis de riesgos como punto de partida
Toda aplicación del modelo debe comenzar con la evaluación formal de riesgos corporativos que permita:
- Identificar los activos de información y procesos de negocio críticos, su valor y su rol en la generación de ingresos.
- Determinar las amenazas y vulnerabilidades relevantes según la empresa, el entorno y la industria.
- Cuantificar la probabilidad y el impacto de cada escenario de riesgo (financiero, reputacional, operativo, legal).
- Establecer el nivel de riesgo residual aceptable o apetito de riesgo aprobado por el Comité de Dirección.
2. Mapeo entre riesgos y capacidades
Una vez se tiene el registro de riesgos corporativos, se asocia a cada riesgo las funciones de ciberseguridad necesarias para mitigarlo. Por ejemplo:
| Riesgo identificado | Función de mitigación | Tipo de perfil requerido |
|---|---|---|
| Pérdida de datos personales (RGPD) | GRC / Compliance, IAM, Data Protection | Especialista GRC, Ingeniero IAM |
| Interrupción del servicio crítico (ransomware) | SOC, Gestión de vulnerabilidades, Backup & DR | Analista SOC, Vulnerability Manager |
| Fuga de propiedad intelectual | Threat Intel, DLP, DevSecOps | Analista de inteligencia, Ingeniero AppSec |
| Ataque a sistemas OT | OT Security, Monitorización ICS | Ingeniero OT Security |
3. Priorización basada en nivel de riesgo
Tras lo anterior, llega la hora de traducir la criticidad de dichos riesgos en criterios de asignación de recursos humanos, para lo cual podemos utilizar mecanismo de ponderación donde cada riesgo priorizado en la matriz corporativa se convierte en un factor que ajusta la necesidad de personal operativo o estratégico (es decir, no se trata solo de clasificar riesgos como “altos” o “bajos”, sino de entender qué características de esos riesgos demandan mayor capacidad técnica, monitorización continua o gestión especializada).
Siguiendo el ejemplo anterior, definimos una matriz ampliada con seis dimensiones clave que ponderaremos en función de los objetivos de la empresa, dando como resultado una sola variable a la que denominaremos como «prioridad de riesgo»:
| Dimensión | Descripción | Tipo de indicador | Influencia en FTE |
|---|---|---|---|
| Impacto financiero y operativo | Pérdidas potenciales, interrupción de procesos, sanciones regulatorias | Cuantitativo (en € o tiempo de parada) | Aumenta necesidad de GRC y continuidad |
| Probabilidad de ocurrencia | Basada en histórico, inteligencia de amenazas, contexto sectorial | Cuantitativo / cualitativo | Incrementa recursos en detección y respuesta |
| Tiempo de detección esperado (MTTD) | Rapidez con la que puede identificarse el evento | Cuantitativo | A mayor MTTD, mayor necesidad de personal SOC |
| Complejidad técnica del control | Grado de especialización requerido para prevenir o mitigar | Cualitativo (bajo, medio, alto) | Eleva necesidad de especialistas y formación |
| Exposición regulatoria y contractual | Nivel de cumplimiento exigido por ley o clientes | Cualitativo | Aumenta roles GRC, compliance y auditoría |
| Madurez y automatización actual | Capacidad tecnológica instalada y procesos definidos | Cuantitativo / cualitativo | Reduce o aumenta carga por FTE |
El resultado es un valor normalizado cuya horquilla se encuentra entre 0.7 (riesgo bajo) y 1.5 (riesgo crítico), que luego se multiplica por el FTE extraído por función en base a las volumétricas.
| Nivel de riesgo | Criterios de evaluación | Descripción | Peso relativo |
|---|---|---|---|
| Crítico (1.5) | Impacto financiero >5 M€, pérdida de datos masiva o paralización >48h. Cumplimiento altamente exigente (ej. DORA, NIS2). Amenaza persistente avanzada. | Requiere cobertura 24×7, personal sénior, redundancia de funciones. | 1.5 |
| Alto (1.3) | Impacto financiero 1–5 M€, datos sensibles afectados, exposición a ataques frecuentes. Cumplimiento medio-alto. | Necesidad de personal especializado y monitorización diaria. | 1.3 |
| Medio (1.0) | Impacto limitado, mitigaciones parciales disponibles, controles semiautomáticos. | Capacidad interna suficiente, revisión periódica. | 1.0 |
| Bajo (0.7) | Impacto menor, probabilidad baja, controles automatizados o externalizados. | Atención bajo demanda, recursos compartidos. | 0.7 |
Lo que traducido al ejemplo, resulta en una redistribución donde el 40 % del equipo se destina a la securización del entorno OT, el 35 % a la protección de datos personales y el resto a operaciones web y soporte.
| Riesgo | Impacto (€) | Probabilidad | Exposición regulatoria | Madurez | Factor resultante |
|---|---|---|---|---|---|
| Ciberataque a red OT | 4 M€ | Alta | Media | Media | 1.4 |
| Fuga de datos de empleados | 800 k€ | Media | Alta (GDPR) | Alta | 1.2 |
| Caída de portal web corporativo | 200 k€ | Alta | Baja | Alta | 0.9 |
4. Incorporación al modelo operativo
Ahora bien, como comentábamos al inciso del artículo, este factor no actúa de forma aislada porque se integra en la fase de cálculo de carga de trabajo (es decir, tras estimar la carga de trabajo y la productividad), multiplicando el resultado del FTE funcional por su ponderación de prioridad.
En el ejemplo del SOC, los resultados que obtendríamos serían:
FTE base de SOC = 3,2 personas (según carga y productividad. Esto es lo que se calcula con volumétricas).
Factor de ajuste basado en riesgo de SOC = 1,3 (riesgo “alto”).
FTE final de SOC = 3,2 × 1,3 = 4,16 → 4,5 (se redondea a 4,5 con refuerzo parcial externo para picos o turnos).
De este modo, el personal se concentra en los riesgos de mayor impacto, pero sin descuidar las áreas menos críticas, .
En definitiva, el resultado final es un equipo de ciberseguridad alineado con el mapa de riesgos reales de la compañía, en el que cada función, cada profesional y cada hora de trabajo pueden vincularse de forma trazable a una necesidad de mitigación concreta, pues no se trata de “tener más personas”, sino de tener a las personas adecuadas, en la función correcta y con la dedicación proporcional al riesgo que enfrentan, sobre todo cuando la gestión actual de la ciberseguridad exige equilibrio entre control y eficiencia y el modelo, si bien no pretende sustituir la experiencia del CISO ni las particularidades de cada organización, ofrece un marco estructurado, verificable y adaptable que vincule el riesgo con el recurso humano, procurando dar respuesta a “¿Qué riesgos estoy dispuesto a aceptar, y qué capacidad humana necesito para mantenerlos bajo control?”.