¿Acepta su empresa demasiados riesgos?

El ransomware sigue siendo una de las amenazas más perturbadoras a las que se enfrentan las empresas hoy en día, pero muchas organizaciones siguen subestimando el riesgo que realmente están aceptando. 

Aunque las inversiones en herramientas y controles de seguridad son habituales, el verdadero reto es que las prácticas operativas y el comportamiento humano a menudo van mucho más allá de lo que las juntas tienden a aceptar.

Este artículo examina cómo el apetito de riesgo da forma a la postura de seguridad, los indicadores que sugieren que una organización está asumiendo más riesgo de ransomware del previsto y por qué el comportamiento humano representa ahora la variable más crítica en la resistencia de la empresa.

¿Qué es el apetito de riesgo empresarial?

El apetito de riesgo empresarial es el nivel de incertidumbre que una organización está dispuesta a aceptar en la consecución de sus objetivos. Determina las prioridades de seguridad, las decisiones de financiación y, en última instancia, la resistencia de la empresa a las amenazas modernas de ransomware.

Apetito frente a tolerancia

• El apetito de riesgo es estratégico. Es la postura global de si el liderazgo está dispuesto a aceptar una mayor incertidumbre a cambio de velocidad y crecimiento, o si la empresa opta por un enfoque conservador para minimizar la exposición.
• La tolerancia al riesgo es operativa. Traduce el apetito en umbrales mensurables: tiempo máximo de inactividad permitido, pérdida aceptable de registros de clientes o tasas objetivo de resistencia al phishing.

La distinción importa porque la tolerancia crea los puntos de referencia que los CISO y los consejos utilizan para evaluar si su postura de seguridad actual está alineada con el apetito declarado. Al mismo tiempo, no tener apetito por el riesgo puede ser tan perjudicial para una empresa como tenerlo en exceso. Una empresa demasiado segura para innovar o satisfacer las demandas de sus clientes no tendrá éxito.

Por qué debe incluirse el riesgo humano

Con demasiada frecuencia, estas definiciones se centran en la tecnología y los procesos, pero excluyen el elemento humano. Sin embargo, los empleados desempeñan un papel central en la configuración de la exposición al riesgo a través de acciones como:

• Hacer clic en un correo electrónico malicioso.
• Desconfiguración del almacenamiento en la nube.
• Manejo inadecuado de datos sensibles en las plataformas de colaboración.

Estas acciones tienen consecuencias directas para la confianza de los clientes, el cumplimiento de la normativa y la reputación de la marca. Ignorarlos sesga el verdadero perfil de riesgo de la empresa y subestima cuánta incertidumbre soporta realmente el negocio. Comprender intencionadamente el apetito por el riesgo humano permite a una empresa entender cuánta fricción de seguridad introducir en el flujo de trabajo de un empleado, lo que reduce las posibilidades de un comportamiento arriesgado pero puede ralentizar la productividad.

Por qué un riesgo cibernético excesivo pone en peligro a la empresa

El riesgo es inevitable, pero un riesgo cibernético excesivo erosiona la resistencia y multiplica los costes. El peligro no está sólo en un incidente aislado, sino en cómo las pequeñas debilidades se agravan con el tiempo. Se trata de un concepto conocido como deriva de seguridad. Aceptar repetidas excepciones de riesgo, le aleja de su nivel de apetito de riesgo previsto y aumenta su probabilidad de incumplimiento. Estos pequeños problemas, si no se gestionan, crean aperturas que los atacantes aprovechan:

• Una acumulación de sistemas sin parches crea múltiples puntos de entrada.
• Un clic de phishing proporciona credenciales que los atacantes pueden reutilizar en distintas plataformas.
• Una respuesta tardía al incidente amplía el radio de la explosión.

Individualmente, estas cuestiones pueden parecer manejables. Juntos, multiplican el riesgo y llevan a la organización a un estado de vulnerabilidad persistente y aumentan la probabilidad de que se produzca un incidente o una brecha más grave.

Las consecuencias de un riesgo no gestionado

​​Cuando estas debilidades se alinean, el impacto empresarial se extiende más allá de las operaciones de TI:

• Financieros: El suceso medio de exposición o robo de datos provocado por información privilegiada cuesta 13,9 millones de dólares, según los responsables de la seguridad, lo que contrasta fuertemente con la inversión comparativamente modesta necesaria en controles preventivos. Los gastos de recuperación incluyen el pago de rescates, la defensa legal, las multas reglamentarias y el coste del restablecimiento de las operaciones.
• Reputacional: Las infracciones públicas minan la confianza de los clientes y de los inversores. En muchos casos, el valor de marca a largo plazo sufre más daños que la pérdida financiera inmediata.
• Operativos: El tiempo de inactividad detiene la generación de ingresos, interrumpe las cadenas de suministro e impide que los equipos atiendan a los clientes. Incluso las interrupciones breves pueden afectar en cascada a las funciones críticas de la empresa.
• Legal: Las acciones colectivas, las demandas de los accionistas y las investigaciones reglamentarias añaden años de responsabilidad tras un incidente grave.

Estos impactos no son hipotéticos. Un estudio del Impacto Económico Total de Forrester™ (TEI) descubrió que el uso de una solución de seguridad del correo electrónico como Mimecast para mitigar los riesgos del correo electrónico ofrecía un retorno de la inversión de 255% y un valor actual neto de 1,53 millones de dólares en tres años para una organización compuesta.

Indicadores clave de que su organización está aceptando demasiados riesgos

El riesgo excesivo no siempre es obvio. Muchas empresas creen que su postura es equilibrada hasta que los indicadores medibles sugieren lo contrario.

Señales operativas

• Aumento de los tiempos de detección y respuesta (MTTD/MTTR): Los equipos de seguridad luchan por contener rápidamente los incidentes.
• Vulnerabilidades sin parchear: Una acumulación creciente de CVE sugiere lagunas de recursos o prioridades mal alineadas.
• Sobrecarga de alertas: Los analistas se ven desbordados, lo que hace que se pierdan o se retrasen las respuestas.
• Número de excepciones de riesgo concedidas: Un alto volumen de excepciones aprobadas -especialmente las que se renuevan repetidamente sin remedio- sugiere que los controles están siendo sistemáticamente eludidos en lugar de aplicados.

Señales culturales

• Saltarse la seguridad en aras de la rapidez: Las unidades de negocio anulan los controles para alcanzar objetivos a corto plazo.
• El riesgo se trata como un problema informático: los ejecutivos no asumen el riesgo cibernético como un problema empresarial.
• Silos de toma de decisiones: Los departamentos actúan de forma independiente, dejando puntos ciegos en la seguridad de toda la empresa.

Señales de prueba y preparación

• Ejercicios de mesa poco frecuentes: Los simulacros se realizan de forma irregular, si es que se realizan.
• Guías de actuación obsoletas: Las guías de respuesta a incidentes no reflejan las amenazas actuales.
• Falta de simulacros de violación: Los equipos no se ponen a prueba frente a escenarios de ataque realistas.

Juntos, estos signos indican que una organización está operando más allá de su tolerancia prevista, a menudo sin reconocimiento formal.

¿Cuánto riesgo es demasiado? Fijación de umbrales de tolerancia.

Cada organización tiene un apetito de riesgo, pero sin límites claros, es casi imposible saber cuándo la exposición normal ha cruzado a un territorio excesivo. Los umbrales de tolerancia sirven como límites mensurables que separan el riesgo gestionable del riesgo inaceptable.

Enfoques de medición

Hay varias formas de definir y medir estos umbrales:

• Modelos cuantitativos

  Marcos como FAIR (Análisis Factorial del Riesgo de la Información) estiman las pérdidas financieras derivadas de diferentes escenarios de amenazas, mientras que la puntuación del riesgo NIST CSF proporciona puntos de referencia estandarizados para evaluar la madurez. 

  Las simulaciones Monte Carlo añaden otra capa al modelar miles de posibles resultados de infracciones para revelar rangos de pérdidas probables. Estos métodos proporcionan a los líderes datos que pueden traducir directamente en términos financieros y de impacto empresarial.

• Métodos cualitativos

  Los mapas de calor y los índices de gravedad siguen siendo útiles para un debate de alto nivel, especialmente con las partes interesadas no técnicas. Sin embargo, a menudo carecen de la precisión necesaria para orientar la asignación presupuestaria o demostrar la responsabilidad a nivel de la junta directiva.

Por qué es importante la supervisión continua

La definición de umbrales no es un ejercicio que se realice una sola vez. La tolerancia al riesgo debe evolucionar junto con los factores internos y externos:

• Evolución de las amenazas: Las nuevas técnicas, como el phishing impulsado por la IA o los ataques con códigos QR, modifican el panorama de los riesgos.
• Crecimiento empresarial: La expansión a nuevos mercados, industrias o geografías introduce superficies de ataque adicionales.
• Cambio normativo: Las obligaciones de cumplimiento actualizadas requieren una reevaluación de lo que es una exposición aceptable.

Al vincular los umbrales directamente a los resultados empresariales, como la pérdida de ingresos, la pérdida de clientes y las sanciones por incumplimiento, los ejecutivos obtienen una imagen más clara de si la empresa está funcionando más de lo previsto.

Creación de un marco moderno de evaluación de riesgos

Las evaluaciones de riesgos tradicionales suelen hacer hincapié en la infraestructura técnica: servidores, puntos finales y defensas de red. Aunque éstas siguen siendo esenciales, la resistencia al ransomware requiere hoy una perspectiva más amplia, que abarque toda la empresa. Los marcos eficaces deben integrar personas, procesos y terceros para proporcionar una visión realista de la exposición global.

Componentes de una revisión holística

Un marco moderno pone a su alcance múltiples capas de la organización:

1. Identifique los activos críticos: Vaya más allá del hardware e incluya la propiedad intelectual, los datos de los clientes, los sistemas financieros y las aplicaciones SaaS. Estos son los activos con más probabilidades de convertirse en objetivo y más costosos de perder.
2. Defina los escenarios de amenaza: Trace un mapa de los posibles vectores de ataque, desde el phishing y el ransomware hasta el uso indebido de información privilegiada, el compromiso de la cadena de suministro y los errores de configuración habituales. Esto garantiza que las evaluaciones reflejen tanto las amenazas externas como las vulnerabilidades internas.
3. Evalúe la eficacia del control: Fíjese no sólo en las salvaguardas técnicas, sino también en los procesos organizativos y en los comportamientos de los empleados. Un entorno de control técnicamente sólido puede seguir fallando si los procesos están mal definidos o los empleados no están comprometidos con las prácticas de seguridad.
4. Incorpore el riesgo ampliado: Los proveedores, contratistas y socios suelen tener acceso privilegiado a sistemas y datos. Incluirlos en las evaluaciones ayuda a captar las interdependencias que con frecuencia sirven como puntos de entrada del ransomware.

Ver el riesgo a través de esta lente ayuda a los líderes a comprender mejor cómo interactúan los diferentes factores y crean exposición en toda la empresa.

Herramientas y datos necesarios

Los marcos modernos dependen de herramientas y datos que proporcionan una visión en tiempo real de las dimensiones técnicas y humanas del riesgo:

• Plataformas SIEM y SOAR para la correlación de registros y la respuesta automatizada.
• Gestión de la superficie de ataque para identificar los activos expuestos.
• Análisis de riesgos humanos para medir las vulnerabilidades de comportamiento junto a las técnicas.

La recopilación automatizada de pruebas refuerza aún más la preparación para las auditorías y demuestra el cumplimiento de marcos como GDPR, HIPAA y PCI DSS.

Acciones de liderazgo para reducir el riesgo excesivo

Para reducir el riesgo es necesario alinear la tecnología, la gobernanza y la cultura.

Reforzar los controles técnicos

• Adopte una arquitectura de confianza cero para limitar la confianza implícita entre sistemas y usuarios.
• Refuerce la gestión de identidades con una sólida autenticación multifactor y una aplicación de mínimos privilegios.
• Implemente una seguridad avanzada de correo electrónico y colaboración para interceptar el ransomware en sus puntos de entrada más comunes.
• Implemente la prevención de pérdida de datos y mantenga copias de seguridad fiables e inmutables.

Mejorar la gobernanza y la rendición de cuentas

• Asigne los presupuestos basándose en la priorización de riesgos, no en una distribución uniforme.
• Utilice paneles de indicadores clave de rendimiento (KPI) y de indicadores clave de rendimiento (KRI) para ofrecer a los consejos una visión clara de la postura cibernética.
• Integrar la responsabilidad por los riesgos en los cuadros de mando de los ejecutivos y en los planes de compensación.

Fomentar una cultura resistente

• Promover la propiedad compartida del riesgo cibernético en todas las unidades de negocio.
• Realice ejercicios de simulación periódicos y actualice los libros de jugadas para reflejar las amenazas emergentes.
• Reconozca que el comportamiento de los empleados no es una preocupación periférica sino un factor de riesgo central.

Incorporar la gestión de riesgos humanos

El error humano es ahora responsable de la mayoría de las infracciones, y el 80% de las organizaciones citan el comportamiento negligente o descuidado de los empleados como un punto crítico de exposición. Abordar esto requiere algo más que formación: exige visibilidad y una gestión mensurable.

El enfoque integrado de Mimecast

La plataforma de gestión de riesgos humanos de Mimecast ofrece:

• Puntuación conductual: Identifica a los empleados de alto riesgo basándose en acciones del mundo real, no sólo en los resultados de las pruebas.
• Formación adaptativa: Ofrece una formación adaptada al contexto y a los perfiles de riesgo individuales.
• Alertas integradas: Alimenta los datos sobre riesgos humanos a los sistemas SIEM y SOAR, acelerando los tiempos de respuesta.

Al combinar la inteligencia sobre amenazas con el análisis del comportamiento, las organizaciones pueden identificar sus puntos de exposición más arriesgados e intervenir antes de que el ransomware se arraigue.

El riesgo humano como factor definitorio de la ciberresiliencia

Cada empresa establece unos límites sobre el riesgo que puede tolerar, pero el ransomware ha demostrado que la exposición más importante suele proceder de las personas, no de las brechas tecnológicas. Medir y gestionar el comportamiento humano es ahora tan crítico como parchear los sistemas o desplegar cortafuegos.

Las organizaciones que tratan el riesgo humano como una métrica empresarial central -no como una idea tardía- obtienen una ventaja decisiva. Con la puntuación de comportamiento en tiempo real, la formación adaptativa y la inteligencia de amenazas integrada, Mimecast ayuda a los líderes de seguridad a cerrar la brecha entre el apetito de riesgo declarado y la exposición real.

Las empresas que triunfen serán las que vinculen directamente la gestión de los riesgos humanos a la estrategia, la gobernanza y la capacidad de recuperación. 

Solicite una demostración de la plataforma de gestión de Human Risk de Mimecast para ver cómo puede poner en práctica esa alineación.