Mari Luz Garín, IT Security Manager, Liberty Seguros España.

En la vida diaria, tanto a nivel individual como en el ámbito colectivo u organizacional, la gestión de riesgos se convierte en el eje central que determina nuestras acciones, ya sea de manera consciente o inconsciente. El riesgo, en este contexto, se erige como el factor determinante que puede obstaculizar el logro de nuestros objetivos. Cada decisión que tomamos, desde las más cotidianas hasta las más estratégicas en el ámbito empresarial, está influenciada por la motivación que nos impulsa a avanzar y por la disposición que tenemos para asumir riesgos.

Tomemos como ejemplo el simple acto de decidir si llevar o no un paraguas en un día amenazante de lluvia. La incertidumbre sobre la probabilidad de que llueva, junto con la evaluación del impacto (mojarse), conlleva a una decisión que, en ocasiones, se toma de manera automática o incluso inconsciente. En el contexto empresarial, las organizaciones enfrentan decisiones diarias basadas en la gestión del riesgo, evaluando la medida en que están dispuestas a asumir riesgos sin comprometer sus objetivos y su supervivencia.

Como es bien sabido, la gestión de riesgos implica la evaluación de la probabilidad y el impacto. La fórmula básica que resume esta evaluación es simple, pero fundamental: Riesgo = Probabilidad x Impacto. En el ámbito empresarial, se gestionan diversos tipos de riesgos, como los financieros, reputacionales, sectoriales, políticos, geopolíticos y operacionales. Los riesgos de ciberseguridad y tecnológicos se integran dentro de los riesgos operacionales, y su relevancia aumenta a medida que los expertos en tecnología y seguridad participan activamente en la gestión de riesgos corporativos.

El dominio de conceptos clave como riesgo, probabilidad, impacto, apetito al riesgo, tolerancia y capacidad en ciberseguridad indica el nivel de madurez en la gestión de ciberseguridad de una empresa. La integración natural de la ciberseguridad en el proceso de gestión de riesgos demuestra un nivel avanzado de madurez en este aspecto.

La gestión de riesgos corporativa requiere una revisión constante debido a la rápida evolución de normas y marcos regulatorios, así como a las condiciones macroeconómicas y geopolíticas cada vez más impredecibles y aceleradas.

Ante la diversidad de riesgos y las amenazas emergentes en ciberseguridad, surge la pregunta de cómo priorizar eficazmente estos riesgos. Algunas claves sugeridas incluyen:

• Nuevas regulaciones, normas y leyes: Estas no solo pueden añadir dificultades, sino también proporcionar un enfoque claro para priorizar riesgos.
• Tecnologías emergentes, como la Inteligencia Artificial: Evaluar el uso de estas herramientas y considerar los riesgos adicionales que podrían introducir.
• Dependencia en la cadena de suministro: La externalización y colaboración con empresas tecnológicas externas obliga a revisar y gestionar los riesgos asociados.
• Transformación digital y migración a la nube: La evolución tecnológica y la transformación digital llevan consigo riesgos inherentes que deben ser considerados en la toma de decisiones.

La gestión madura de riesgos proporciona ventajas significativas, como reducción del tiempo necesario para disminuir el riesgo, capacidad de anticipación para reducir frecuencia e impacto, mejor retorno de inversiones en ciberseguridad, cumplimiento normativo y generación de confianza.

Una gestión proactiva del riesgo, basada en un enfoque sistemático y planificado, permite evaluar y mitigar los riesgos antes de que se conviertan en problemas reales o causen daños irreparables.

La asignación clara de roles en la gestión de riesgos, dividida en tres niveles (1ª, 2ª y 3ª línea de defensa), abarca los aspectos críticos de análisis, evaluación, registro y comunicación de riesgos. Esta estructura facilita la toma de decisiones para mitigar, evitar, transferir o aceptar los riesgos identificados, siendo esta última una responsabilidad a nivel de dirección general. En última instancia, la gestión de riesgos se erige como un componente esencial para el éxito y la sostenibilidad en un mundo cada vez más complejo e interconectado.