Una de las expresiones más repetidas y peor entendidas es la de “apetito de riesgo” puesto que, aunque muchas organizaciones afirman tener un apetito bajo, muy bajo o incluso nulo frente al riesgo ciber, la realidad es que no siempre saben traducir esa idea a una metodología práctica, y es que el problema no es solo terminológico, pues si este no se convierte en un modelo operativo de cálculo, indicadores y límites, se queda en una declaración de intenciones.
Lo primero que conviene aclarar es que, en ciber, el apetito de riesgo no se “calcula” como una cifra única y mágica, pues lo que realmente se calcula es la exposición al riesgo de escenarios concretos, y esa exposición se compara con unos niveles aceptables previamente definidos y, aquí, aparece una distinción fundamental, pues el apetito de riesgo es la postura estratégica general; es decir, qué cantidad y qué tipo de riesgo ciber está dispuesta a asumir la organización en función de sus objetivos y de su contexto, la tolerancia al riesgo es el margen operativo admisible dentro de ese apetito; una suerte de variación respecto a ese apetito que todavía se está dispuesto a soportar. Es decir, el apetito marca la dirección, la tolerancia concreta el margen y los límites o umbrales convierten ese margen en puntos de decisión medibles.
El segundo error cuando se aborda el apetito de riesgo ciber es pensar que basta con sentar a la dirección y preguntarle si su apetito es bajo, medio o alto. Eso casi nunca funciona pues la respuesta suele ser superficial, excesivamente prudente o contradictoria, porque la dirección no suele pensar en “apetito de riesgo” como categoría abstracta, sino en negocio, en continuidad, en clientes, en regulación, en crecimiento, en reputación y en capacidad de absorber problemas.
Definir el apetito de riesgo ciber no consiste en pedir una opinión técnica, sino en provocar una decisión directiva estructurada sobre qué consecuencias relacionadas con la ciberseguridad está dispuesta a asumir la organización, cuáles solo aceptaría de forma excepcional y cuáles considera incompatibles con su actividad o con su estrategia y, para llegar a eso, no basta con hablar de impactos genéricos; hay que meter contexto, sector, modelo de negocio, futuro, dependencia tecnológica y capacidad real de absorción.
Es decir, el apetito correcto no puede definirse “en el vacío”, por lo que como paso previo, debe elaborarse una síntesis de contexto que sirva como marco de decisión que esté enfocado, al menos, en:
- Qué tipo de empresa es y cómo genera valor;
- Cuáles son sus procesos y servicios críticos;
- Qué dependencia tiene de la tecnología y de los datos;
- Qué regulación o exigencias contractuales le afectan;
- Qué terceros son determinantes para su operación;
- Qué cambios estratégicos vienen a corto y medio plazo;
- Qué tensiones o incidentes relevantes ya ha vivido.
Este paso es decisivo porque cambia por completo la calidad del debate, pues no es lo mismo definir el apetito de una entidad financiera, donde pesan especialmente la integridad, el fraude y la regulación, que el de una empresa industrial, donde la disponibilidad y la continuidad operativa pueden estar por encima de todo, o el de una compañía digital, donde una caída del canal online o una fuga de datos de cliente puede tener un impacto directo e inmediato en ingresos y confianza.
Una vez puesto el contexto, la verdadera pregunta es qué cosas necesita proteger para que la organización funcione hoy y siga siendo viable mañana, y aquí es donde se empieza a revelar el apetito real desde las prioridades.
Una vez asentado el contexto, el ejercicio debe organizarse por dominios comprensibles, pues no conviene ir directamente a escenarios técnicos.
Por ejemplo, hablar de disponibilidad no debería significar “caída de sistemas” en genérico, sino “interrupción de los servicios o procesos sin los cuales la empresa deja de operar normalmente”, o hablar de terceros no debería significar “riesgo de proveedores”, sino “riesgo de depender de terceros en capacidades críticas que la empresa no puede sustituir con rapidez”.
Para abordar esto, conviene apoyarse en tablas de impactos, teniendo en cuenta todo el contexto anterior, por lo que siguiendo el ejemplo, obtendríamos algo así:
| Ámbito de negocio | Contexto específico de la entidad | Variable de decisión | Tramo 1 | Tramo 2 | Tramo 3 | Tramo 4 |
|---|---|---|---|---|---|---|
| Disponibilidad del servicio al cliente | El 70% de la operativa de clientes se realiza por canal digital y los picos se concentran en nóminas y cierres | Tiempo sin operar con normalidad | < 15 min | 15 min–1 h | 1–4 h | > 4 h |
| Procesamiento de operaciones | Alta sensibilidad en pagos, transferencias y operativa diaria | Tiempo sin cursar operaciones críticas | < 10 min | 10–30 min | 30 min–2 h | > 2 h |
| Información de clientes | Alta exposición regulatoria y fuerte impacto reputacional en pérdida de confianza | Materialidad de datos comprometidos | Menor y acotado | Relevante y acotado | Amplio | Material |
| Información financiera / reporting | Elevada exigencia de fiabilidad en cierre y reporting regulatorio | Nivel de afectación al cierre o reporte | Sin impacto | Retraso menor | Retraso relevante | Imposibilidad de asegurar información fiable |
| Dependencia de terceros críticos | Parte relevante de servicios esenciales depende de proveedores TIC externos | Impacto de fallo del tercero | Absorbible | Recuperable | Severo | Paralizante |
| Transformación estratégica | La entidad está acelerando digitalización y externalización selectiva | Grado de exposición aceptable en iniciativas de cambio | Acotado | Moderado | Elevado | Estructural |
Una vez termina el ejercicio, la frase “tenemos bajo apetito de riesgo ciber” no sirve por sí sola, pues para que tenga valor, debe traducirse en algo operativo, por lo que si la organización dice, por ejemplo, que tiene apetito casi nulo frente a la exfiltración de datos regulados, esa postura debe bajar a tolerancias y umbrales, que vendría a ser:
- Cero incidentes materiales confirmados.
- Cero repositorios críticos expuestos sin controles adecuados.
- 100% de accesos privilegiados reforzados.
- X% máximo de activos sensibles con configuraciones inseguras.
Sin esa bajada a tierra, el apetito no gobierna nada, por lo que una forma práctica de calcularlo consiste en incorporar el elemento que convierte las dimensiones de impacto (no sólo riesgos en las típicas dimensiones, sino también en las otras como reputaciones, económico, operativo…) en una herramienta de gestión real como son los indicadores, que hacen tangible lo primero.
En este punto conviene aclarar algo esencial, que es que el apetito de riesgo no se calcula mediante una ecuación compuesta por métricas, si no de un sistema que permita comprobar si la exposición real se mantiene dentro de esa posición o si se está aproximando a un punto que la dirección ya no considera aceptable.
Esto también permite separar dos tipos de métricas ya que por un lado están los indicadores de exposición o riesgo, que muestran si la organización se está acercando al límite y, por otro lado, los indicadores de capacidad o control, que explican por qué la exposición sube o baja. Por ejemplo, el porcentaje de activos críticos con vulnerabilidades explotables fuera de SLA es un indicador directamente ligado al riesgo, mientras que el porcentaje de parcheo completado en plazo es más bien un indicador operativo de control. Los dos sirven, pero no cumplen la misma función, pues los primeros hablan el lenguaje del apetito y los segundos ayudan a gestionar la ejecución.
Es decir, los indicadores de exposición o de riesgo responden a una pregunta muy concreta, por ejemplo, si hoy la organización estuviera sometida a un incidente o a una perturbación relevante, ¿cuánto de preparada o de expuesta está respecto al límite que la dirección ha dicho que acepta? En este grupo entrarían métricas que reflejan la materialidad potencial de un problema, la cercanía a un umbral o la acumulación de condiciones que incrementan la posibilidad de que un impacto deje de ser absorbible.
Por otro lado están los indicadores de capacidad o de control, que no no es decir si la organización está ya dentro o fuera de apetito, sino ayudar a entender por qué esa exposición podría aumentar o disminuir, como la calidad de la respuesta organizativa, la disciplina operativa, la eficacia de las medidas implantadas o la robustez de las capacidades de recuperación y contención.
Ahora bien, la relación entre ambos tipos de indicadores no es matemática en el sentido estricto, pero sí es funcional, puesto que cuando los indicadores de capacidad empeoran, lo normal es que la organización quede más expuesta y, por tanto, los indicadores de exposición tiendan a acercarse más al límite definido por el apetito. Por ejemplo, supongamos que la dirección ha definido que no quiere asumir interrupciones prolongadas en un servicio crítico al cliente (posición de apetito).
A partir de ahí, la organización necesita indicadores que le permitan saber si está razonablemente lejos de ese punto o si empieza a acercarse a él y un indicador de exposición podría ser el porcentaje de servicios críticos cuya recuperación no ha sido probada recientemente o el tiempo estimado necesario para restablecer una capacidad esencial, que alertan sobre la proximidad a un escenario que podría hacer inasumible una interrupción.
Sin embargo, para entender por qué ese riesgo aumenta o disminuye, harían falta además indicadores de capacidad: porcentaje de pruebas de recuperación ejecutadas en plazo, grado de cumplimiento de planes de remediación, tiempo medio de restauración conseguido en ejercicios o nivel de ejecución de acciones correctoras.
Esto de forma práctica debe basarse en correlaciones desde el de capacidad hacia el de riesgo, como por ejemplo:
- “Si menos del 95% de los servicios críticos tienen prueba de recuperación vigente, el nivel de exposición pasa de bajo a medio”
- “Si baja del 85%, pasa de medio a alto”
- “Si baja del 70%, la exposición se considera crítica”
Si queremos una fórmula más compleja, pero más precisa, podemos utilizar ponderaciones mediante semicuantificación, como por ejemplo:
Exposición=0,4(RTO estimado)+0,3(%servicios sin prueba)+0,2(%acciones correctoras vencidas)+0,1(%dependencia crítica no mitigada) en el que cada indicador de capacidad influye con un peso de forma que:
- Si sube el porcentaje de servicios sin prueba, sube la exposición;
- Si además empeora el tiempo estimado de recuperación, la exposición sube más;
- Si se corrigen las acciones vencidas, la exposición baja.
Una vez los tenemos, es un tema de monitorizar y establecer salidas a cada límite o umbral y los responsables o interlocutores.
En definitiva, calcular el apetito de riesgo en ciberseguridad no consiste en inventar un número único, sino en construir una lógica coherente en la que el apetito fija la postura general, la tolerancia concreta el margen aceptable, los límites traducen ese margen a umbrales medibles y el cálculo de exposición permite decidir si un riesgo residual cae dentro o fuera de lo admisible.