El riesgo como deuda

El riesgo de ciberseguridad ha sido tradicionalmente tratado como un fenómeno probabilístico basado en la ocurrencia e impacto de eventos adversos. Sin embargo, la naturaleza sistémica, acumulativa y de alta interdependencia de los entornos tecnológicos modernos ha demostrado que gran parte de la exposición cibernética no se materializa de forma súbita, sino que se acumula gradualmente como una deuda operativa, resultado de decisiones conscientes o negligentes.

Los modelos tradicionales de gestión de riesgo han sido construidos bajo lógicas de control estático (identificar, evaluar, tratar y monitorizar) en entornos estables, la cual se muestra insuficiente en ecosistemas digitales complejos, donde las superficies de ataque y las amenazas cambian a un ritmo mayor que los ciclos de evaluación.

En este contexto, el riesgo no se comporta como un evento discreto, sino como una acumulación progresiva de decisiones técnicas y organizativas que, si no se gestionan, generan fragilidad estructural de forma que cada excepción de control, cada actualización postergada o cada dependencia no documentada añade una capa de exposición, análoga a un préstamo, que otorga un beneficio inmediato (velocidad, agilidad, reducción de costes) a cambio de un coste futuro.

Bajo este paraguas, la ISO 31000 define el riesgo como el efecto de la incertidumbre sobre los objetivos, una definición adecuada para fenómenos discretos, pero en ciberseguridad, la incertidumbre no solo está en la probabilidad de un evento, sino en la velocidad con la que se acumula exposición antes de que ocurra el evento, por l que el problema no es tanto “que algo suceda”, sino cuánto puede deteriorarse el entorno antes de que suceda.

Por otro lado, vamos a coger el término technical debt acuñado por Ward Cunningham en 1992 para describir los atajos de desarrollo que permiten entregar software más rápido a costa del trabajo futuro en corregir todo lo que nos hemos dejado por medio para aplicárnoslo al mundo de la ciberseguridad, teniendo en cuenta que aquí el concepto debemos expandirlo a cualquier compromiso que intercambie seguridad futura por eficiencia presente. ¿Por qué? porque los fallos catastróficos surgen de la acumulación normalizada de pequeñas desviaciones. Es decir, los grandes incidentes (ransomware, exfiltración de datos, interrupción de servicios) rara vez se deben a un único fallo, sino a una red de deudas acumuladas. Por tanto, gestionar el riesgo ciber equivale a gestionar un balance de deuda.

En base a esto, el riesgo como deuda es la acumulación de exposición asumida —intencional o incidentalmente— para facilitar velocidad, eficiencia o flexibilidad operativa, que genera un coste creciente (“intereses”) en forma de vulnerabilidad, fragilidad o gasto de mitigación futura, y que debe ser gestionada, amortizada o refinanciada dentro del apetito de riesgo de la organización.

¿Cómo vamos a calcularlo?

El modelo de “riesgo como deuda” cobra sentido cuando se traduce en herramientas operativas que permitan medir, priorizar y comunicar la exposición acumulada.

  1. La tasa de interés del riesgo en ciberseguridad (TIRc), que mide la velocidad de crecimiento del coste de exposición.
  2. El índice de endeudamiento de ciberseguridad (IEC), que permite evaluar si la organización tiene capacidad real de absorber esa exposición.
  3. El ciclo de vida de la deuda, que define cómo nacen, maduran y se liquidan los riesgos dentro del ecosistema digital.

TIRc

Se utiliza para cuantificar cuánto se “encarece” un riesgo con el paso del tiempo cuando no se aborda. Es decir, si resolver una vulnerabilidad o debilidad operativa hoy cuesta una cantidad determinada de esfuerzo, recursos o dinero, y dentro de un periodo de tiempo ese coste aumenta, la diferencia refleja el “interés” que genera la deuda de riesgo.

Cuanto más rápido crece su coste o su complejidad de mitigación, más alto es el interés y, por tanto, más urgente es “pagarla”.

Pero veamos esto con el ejemplo: Un equipo detecta una vulnerabilidad en una aplicación interna. Dos opciones:

  • Si se corrige de inmediato, el trabajo requiere aproximadamente 10 horas de esfuerzo técnico.
  • Si la organización decide esperar seis meses —porque el equipo está centrado en otros proyectos—, el coste estimado de reparación sube a 25 horas, debido a que el software habrá evolucionado, otras dependencias se habrán actualizado y la ventana de mantenimiento será más compleja.

El interés acumulado en ese medio año es, por tanto, muy elevado, puesto que el esfuerzo se ha multiplicado por 2,5 y, si proyectamos esto a un horizonte anual, el interés implícito es del 200% anual, es decir, el coste de corregir ese riesgo se duplica cada seis meses.

IEc

Este índice determina si la organización, como conjunto, está acumulando más deuda de riesgo de la que puede absorber, relacionándose dos magnitudes:

  • La capacidad de respuesta de la organización, que son los recursos humanos, técnicos y financieros disponibles para mitigarlas en un plazo razonable.
  • El volumen total de deuda acumuladas que es la suma ponderada de todas las exposiciones activas, cada una con su propio interés.

¿Cómo se interpreta?

  • Si la deuda acumulada es menor o proporcional a la capacidad de respuesta, la organización es solvente porque puede asumir la exposición dentro de su apetito de riesgo.
  • Si la deuda crece más rápido que la capacidad de respuesta, se entra en apalancamiento excesivo, por lo que el sistema se vuelve frágil, porque aunque no haya incidentes visibles, el pasivo latente supera la capacidad de corrección.
  • Si la situación se mantiene, el “default operativo” es inevitable, con lo que basta una perturbación menor para detonar el colapso.

Siguiendo el ejemplo de las vulnerabilidades, si tenemos 120 críticas activas y la capacidad de remediación del equipo de seguridad es de 20 vulnerabilidades por mes, pero la entrada de nuevas es de 30, la “deuda neta” crece en 10 vulnerabilidades mensuales, por lo que aunque los informes puedan indicar que se están corrigiendo vulnerabilidades constantemente, el balance real muestra que la organización se está endeudando progresivamente.

Ciclo de vida del riesgo

El riesgo, entendido como deuda, pasa por fases reconocibles a lo largo del tiempo y dentro de cada fase se requieren distintos mecanismos de control y comunicación.

  1. Adquisición: La deuda se origina cuando se toma una decisión que compromete la seguridad futura a cambio de eficiencia presente.
  2. Acumulación: La exposición crece con el tiempo, incluso si el riesgo no se materializa.
  3. Maduración: La deuda llega a un punto en que su coste de mitigación se multiplica.
  4. Amortización: La organización decide “pagar” la deuda, invirtiendo recursos para eliminar o reducir la exposición.
  5. Refinanciación: A veces no es posible eliminar la deuda, pero se puede sustituir por una forma más manejable.
  6. Default (incidente): Si la deuda se ignora, acaba “cobrando intereses” en forma de incidente, sanción o pérdida de confianza.

En definitiva, toda organización moderna vive endeudada con su propia transformación digital puesto que cada avance tecnológico, cada automatización y cada nueva conexión crea tanto valor como vulnerabilidad, por lo que gestionar el riesgo como deuda implica entender que la seguridad no es un estado, sino una economía viva:
un equilibrio entre lo que la organización quiere conquistar y lo que está dispuesta a pagar por seguir existiendo de forma segura.