¿Qué es la gestión del riesgo operativo?

El riesgo operativo es el riesgo de pérdida resultante de procesos internos inadecuados o fallidos, personas, sistemas o eventos externos, y las amenazas a la ciberseguridad constituyen uno de los tipos de riesgo operativo más ampliamente reconocidos que afectan a las organizaciones contemporáneas. Con la creciente evolución de la sofisticación y el impacto del riesgo cibernético, las organizaciones tienen una necesidad crítica de diseñar marcos integrales de riesgo cibernético que abarquen la identificación, evaluación, mitigación y supervisión de los riesgos cibernéticos como parte del marco de gestión de riesgos empresariales (ERM).

La gestión del riesgo operativo es un pilar esencial de la resiliencia organizativa, que estructura un enfoque proactivo para identificar y mitigar los riesgos antes de que se conviertan en eventos costosos. Se trata de un marco centrado en la gestión de los riesgos operativos de la organización mediante la adopción de prácticas completas de gestión del riesgo operativo; la organización puede prevenir estas interrupciones del negocio y pérdidas financieras, al tiempo que mantiene el cumplimiento normativo y la confianza de las partes interesadas y optimiza la asignación de sus recursos.

¿Qué es la gestión de riesgos operativos?

La gestión del riesgo operativo (ORM) es un método corporativo para identificar, evaluar y controlar los riesgos que se originan en las operaciones de una organización, sus sistemas y su personal. Las metodologías de ORM se extienden a la ciberseguridad centrándose únicamente en los riesgos que podrían comprometer los sistemas de información, ya sea en términos de integridad, disponibilidad o confidencialidad. Establece de forma sistemática una forma de comprender las posibles vulnerabilidades, determinar cuál sería su impacto y diseñar los controles adecuados para reducir la exposición a niveles aceptables para la propensión al riesgo de la empresa.

A diferencia de los métodos de seguridad convencionales, que quizá solo hacen hincapié en las soluciones tecnológicas, un enfoque global de la gestión del riesgo operativo abarca aspectos clave de los modelos más amplios de gestión del riesgo empresarial para identificar y abordar no solo un tema de amenazas operativas. Al adoptar una visión integrada del riesgo, las organizaciones también pueden comprender que el riesgo cibernético no es un riesgo aislado. Todos los demás riesgos que asumen, los problemas de procesos, los errores humanos, los riesgos de terceros y las presiones normativas operan en el mismo ámbito que el riesgo cibernético.

Por qué es importante la gestión del riesgo operativo

Cuando las organizaciones son capaces de identificar las vulnerabilidades potenciales y remediarlas antes de que puedan ser explotadas, pueden seguir funcionando con normalidad y mantener sus márgenes de beneficio.

Una ORM eficaz también garantiza el cumplimiento de los requisitos normativos en el cada vez más complejo mundo de las normativas de protección de datos y privacidad. Las organizaciones con sólidos marcos de gestión de riesgos están mejor preparadas para responder a los cambiantes requisitos de cumplimiento que aquellas que no han realizado una inversión similar, y también pueden demostrar la debida diligencia ante los reguladores.

Tipos de riesgos operativos en las organizaciones modernas

Los riesgos a los que se enfrentan las organizaciones hoy en día son un panorama en constante cambio de amenazas que pueden perturbar las operaciones comerciales, dañar la imagen de marca y provocar pérdidas financieras sustanciales. Estos riesgos se han vuelto más complejos con la transformación digital, la adopción de la nube y el crecimiento de los ecosistemas de terceros.

Ciberseguridad y violaciones de datos

Esto incluye amenazas derivadas de violaciones de datos y ataques de ransomware, interrupciones del sistema y fallos tecnológicos. A medida que las organizaciones amplían su huella digital, también lo hace su superficie de ataque, lo que da lugar a vulnerabilidades que pueden aprovechar los actores de amenazas avanzadas. Estas amenazas se ven agravadas por controles de seguridad débiles, una gestión ineficaz de los parches y una supervisión insuficiente.

Fallos en los procesos y controles

Estos riesgos provienen de procesos internos mal diseñados o mal implementados. Entre ellos se pueden incluir controles de acceso inadecuados, procesos de gestión de cambios deficientes o la falta de flujos de trabajo operativos. Estos riesgos de proceso se reflejan a menudo en errores, retrasos, incumplimientos de la normativa y una prestación de servicios inconsistente que pueden afectar gravemente a los resultados.

Terceros y cadenas de suministro

Las organizaciones dependen cada vez más de complejas redes de proveedores y prestadores de servicios para llevar a cabo funciones empresariales clave. Esta dependencia supone una exposición al riesgo significativamente alta cuando las plataformas de terceros se enfrentan a un incidente de violación de la seguridad, interrupción del servicio o incumplimiento normativo. Estos riesgos se ven agravados por una diligencia debida inadecuada de los proveedores, una gestión deficiente de los contratos y una visibilidad limitada de las prácticas de seguridad de los proveedores.

Componentes clave de la gestión del riesgo operativo

Un sistema eficaz de gestión del riesgo operativo consta de varios elementos interdependientes que funcionan conjuntamente y se organizan dentro de un marco coherente. Veámoslos en detalle.

Identificación y evaluación de riesgos

Este elemento fundamental consiste en identificar y documentar de forma sistemática los posibles riesgos operativos en toda la organización. Este proceso suele incluir la elaboración de modelos de amenazas, evaluaciones de vulnerabilidades y análisis de escenarios para ver cómo podrían salir mal las cosas. Las organizaciones deben utilizar enfoques cualitativos y cuantitativos para evaluar la probabilidad de que se produzca un riesgo, así como su impacto, utilizando a menudo matrices de riesgo o sistemas de puntuación para clasificar los riesgos por orden de gravedad.

Estrategias de mitigación de riesgos

Después de identificar y evaluar los riesgos, las organizaciones deben aplicar las medidas adecuadas para mitigarlos. Las prácticas suelen encuadrarse en una de estas cuatro estrategias: aceptación del riesgo (para riesgos de bajo impacto dentro de los umbrales de tolerancia al riesgo), evitación del riesgo (eliminar la actividad que genera un riesgo inaceptable), transferencia del riesgo (asignar el riesgo a terceros mediante seguros o contratos) y reducción del riesgo (crear controles para limitar la probabilidad o el impacto).

Gestión de la continuidad del negocio

Este aspecto se ocupa de las funciones críticas del negocio que continúan durante y después de la interrupción de las operaciones. Implica la creación de planes integrales de continuidad del negocio que describan los pasos de recuperación, las estrategias de comunicación y las necesidades de recursos para diferentes escenarios de interrupción. Las pruebas rutinarias mediante ejercicios de simulación, simulacros y simulacros a gran escala ayudan a validar los planes y a destacar las áreas que deben mejorarse.

Ventajas de una gestión eficaz del riesgo operativo

Un programa de gestión del riesgo operativo bien diseñado ofrece múltiples ventajas y refuerza la postura de seguridad de la organización, al tiempo que respalda los objetivos generales de la empresa. Sin embargo, estas ventajas van mucho más allá de la simple reducción de riesgos para crear valor tangible y ventajas competitivas.

Menos incidentes de seguridad y costes relacionados

Al identificar y mitigar las vulnerabilidades antes de que puedan ser explotadas, una gestión eficaz del riesgo operativo reduce sustancialmente la frecuencia y la gravedad de los incidentes de seguridad. Al adoptar una postura proactiva, se evitan los costes directos asociados a la respuesta a incidentes y las investigaciones forenses, así como a la recuperación del sistema, y los costes indirectos, como la interrupción del negocio, las multas reglamentarias y el daño a la reputación.

Mejora de la postura de cumplimiento normativo

El aumento de la eficiencia operativa se traduce en una mayor sostenibilidad y una menor fragmentación de la respuesta en los entornos normativos. De este modo, un programa sólido de gestión de riesgos genera documentación y pruebas de la debida diligencia, lo que agiliza los procesos de auditoría y valida el cumplimiento ante los reguladores.

Mayor resiliencia operativa

Las organizaciones con prácticas maduras de gestión de riesgos tienden a ser más resilientes ante las interrupciones o los incidentes de seguridad. Este conocimiento permite a estas organizaciones crear redundancias adecuadas, documentar y probar los procesos de recuperación, y lograr la continuidad del negocio durante obstáculos operativos significativos. Esta resiliencia no se limita a la tecnología, sino que se extiende a las personas, los procesos y las relaciones con terceros, lo que proporciona múltiples capas de protección contra las interrupciones operativas.

Uso más eficiente de los recursos de seguridad

Los enfoques basados en el riesgo permiten utilizar de forma más eficaz los recursos de seguridad limitados, personalizando las inversiones en función de las amenazas más significativas para los activos críticos. En lugar de aplicar controles de seguridad de la misma manera en todos los sistemas y procesos, las organizaciones pueden adaptar las protecciones en función de los perfiles de riesgo, el impacto en el negocio y la eficacia de los controles.

Postura de seguridad más sólida

La gestión del riesgo operativo regulada establece una base para medir (y mostrar) la eficacia de la seguridad, a través de KRI y métricas. Se trata de un enfoque basado en datos que proporciona visibilidad de las tendencias de riesgo a lo largo de un periodo de tiempo, controles de seguridad eficaces y avances en la postura de seguridad en general. Mediante el uso de métricas universalmente aceptadas, los profesionales de la seguridad de las organizaciones pueden trazar su camino hacia la reducción de la exposición a riesgos específicos, comparar su rendimiento con el de sus homólogos y mostrar sus logros en materia de seguridad a las partes interesadas (en lugar de ofrecer evaluaciones subjetivas del progreso).

Proceso de gestión del riesgo operativo: pasos clave

La gestión del riesgo operativo no es un ejercicio puntual, sino una serie iterativa de actividades que deben ejecutarse y mejorarse continuamente. Este enfoque orientado a los procesos ayuda a las organizaciones a mitigar de forma proactiva los riesgos antes de que se conviertan en eventos costosos.

Identificar los riesgos operativos

El primer paso clave es catalogar los riesgos en todas las operaciones, sistemas y procesos de la organización. Identificar dónde residen los datos y qué datos confidenciales contienen esos sistemas. Esto se puede hacer utilizando datos históricos de incidentes, inteligencia sobre amenazas, análisis de vulnerabilidades, requisitos de cumplimiento y revisiones de procesos empresariales. Es fundamental establecer talleres formales de identificación de riesgos con las partes interesadas de todas las unidades de negocio, ya que los riesgos operativos suelen surgir cuando se cruzan diferentes departamentos.

Evaluar el impacto y la probabilidad del riesgo

Las organizaciones deben identificar primero los riesgos y luego cuantificar la probabilidad y el impacto comercial si el riesgo se materializa. Esta evaluación suele seguir una metodología estandarizada con puntuaciones cualitativas (por ejemplo, baja/media/alta) o métricas cuantitativas (por ejemplo, estimaciones del impacto financiero, porcentajes de probabilidad). Estas evaluaciones deben analizar diferentes categorías de impacto, como pérdidas financieras, interrupciones operativas, incumplimientos normativos y daños a la reputación.

Tomar medidas para mitigar

Es responsabilidad de las organizaciones diseñar e implementar controles para gestionar los riesgos priorizados en función de las evaluaciones de riesgos. Estos controles pueden ser preventivos (prevenir la probabilidad de que se produzcan), detectivos (detectar los eventos de riesgo cuando se producen) o correctivos (reducir el impacto después de un evento). Para cada riesgo importante, las organizaciones también deben desarrollar planes de tratamiento de riesgos con funciones y responsabilidades para implementar controles, fechas objetivo y recursos para llevar a cabo los planes.

Supervisar y evaluar los riesgos periódicamente

El panorama de riesgos es dinámico debido a la aparición de nuevas amenazas, los cambios en los procesos empresariales y la eficacia variable de los controles. Dichos procesos incluyen la supervisión continua mediante indicadores clave de riesgo (KRI) para medir los niveles de exposición al riesgo y la eficacia de los controles. Las revisiones rutinarias de los riesgos deben evaluar la eficacia continua de los controles existentes y la necesidad de actualizar las evaluaciones de riesgos en función de los cambios internos o externos.

Retos comunes en la gestión de riesgos operativos

Incluso las organizaciones comprometidas con una gestión de riesgos sólida se enfrentan a obstáculos importantes a la hora de implementar y mantener programas eficaces. Estos retos pueden socavar incluso las iniciativas de gestión de riesgos bien diseñadas si no se abordan adecuadamente.

Enfoques organizativos aislados del riesgo

Esto da lugar a que diversas actividades de gestión de riesgos se aíslen y se lleven a cabo por separado en distintos departamentos de la organización. Las unidades de seguridad, cumplimiento normativo, TI y negocio suelen tener procesos de evaluación de riesgos distintos, que se basan en metodologías, terminologías y criterios dispares para evaluar los riesgos.

Prioridades contrapuestas y recursos limitados

Debido a las limitaciones de recursos, las organizaciones suelen tener dificultades para implementar un proceso de gestión de riesgos eficaz en su totalidad. Los equipos de seguridad y gestión de riesgos deben aprovechar un subconjunto cada vez más reducido de presupuesto, personal y atención ejecutiva frente a iniciativas empresariales con mucho más potencial para generar ingresos, y las actividades de riesgo rara vez reciben suficientes recursos técnicos.

Medición de los riesgos de ciberseguridad

Articular escenarios complejos de ciberseguridad en términos financieros es un reto constante para muchas organizaciones. A diferencia de los riesgos operativos, que pueden tener un impacto financiero directo, los riesgos cibernéticos suelen estar relacionados con elementos intangibles que son difíciles de cuantificar, como el daño a la reputación o el robo de propiedad intelectual. Las amenazas emergentes cuentan con datos históricos limitados, lo que dificulta la cuantificación precisa del riesgo.

Integración con los procesos empresariales

La incorporación de la gestión de riesgos en las organizaciones’ supone un gran reto para muchas de ellas. Las evaluaciones de riesgos pertinentes y proporcionadas risk assessments suelen considerarse ejercicios de cumplimiento normativo, pero no son fundamentales para la toma de decisiones empresariales. Desgraciadamente, esta desalineación puede dar lugar a una situación en la que se implementen nuevas inversiones, productos o tecnologías sin contar con procedimientos suficientes para evaluar los riesgos asociados.

Equilibrio entre seguridad y eficiencia operativa

Encontrar el equilibrio adecuado entre la reducción del riesgo y el rendimiento empresarial crea una tensión continua en la mayoría de las organizaciones. Un exceso de seguridad también puede crear fricciones y obstaculizar los procesos empresariales, además de reducir la productividad y molestar a los usuarios. Por otro lado, sacrificar la seguridad para cubrir la eficiencia operativa le expone al riesgo de sufrir costosas infracciones.

Mejores prácticas para implementar la gestión del riesgo operativo

Los conocimientos teóricos sobre los marcos de riesgo por sí solos no son suficientes para implementar eficazmente el riesgo operativo. En su lugar, es necesario tener en cuenta enfoques prácticos.

Crear un marco de evaluación de riesgos

Se debe hacer hincapié en la creación de una metodología coherente para la evaluación y documentación de riesgos en todos los departamentos de la organización. En este marco, se establecen categorías de riesgo estructuradas, criterios de evaluación y métodos de puntuación para que se puedan comparar objetivamente los diferentes tipos de riesgos. El marco debe documentarse adecuadamente e incluir más detalles sobre cómo realizar las evaluaciones, de modo que el proceso de evaluación esté estandarizado, independientemente de quién lo lleve a cabo.

Crear una declaración clara sobre la tolerancia al riesgo

Estas declaraciones pueden expresar de forma explícita la tolerancia al riesgo de la empresa, lo cual es fundamental en las decisiones basadas en el riesgo. Deben establecer umbrales de riesgo aceptables para todos los tipos de operaciones, activos y escenarios y, en la medida de lo posible, dichos umbrales deben ser cuantificables. Dichas declaraciones deben ser aprobadas tanto por la dirección como por el consejo de administración para garantizar que la tolerancia al riesgo se ajusta a los objetivos estratégicos y a los requisitos de gobernanza.

Realizar evaluaciones de riesgos periódicas

Las evaluaciones de riesgos periódicas ayudan a los equipos a establecer un ritmo que mantiene actualizada la información sobre riesgos para reflejar los cambios tanto en las amenazas como en sus operaciones comerciales. Las organizaciones deben realizar evaluaciones completas al menos una vez al año, pero es necesario realizar evaluaciones específicas de forma periódica cuando se produce un cambio significativo en los sistemas, los procesos o el panorama de amenazas.

Establecer procedimientos de respuesta a incidentes

La creación de un plan integral de respuesta y recuperación ante incidentes es fundamental para limitar los posibles daños derivados de cualquier incidente de seguridad o interrupción operativa. Estos protocolos deben delimitar las funciones de las distintas partes interesadas de una organización, sus responsabilidades y las vías de escalamiento para los diferentes tipos de eventos, lo que permite iniciar las acciones de respuesta con rapidez y sin confusiones ni retrasos.

Realizar ejercicios de simulación

Los ejercicios periódicos basados en escenarios permiten a las organizaciones evaluar sus capacidades de gestión de riesgos en un entorno seguro. Estos ejercicios también deben incluir escenarios realistas basados en el perfil de riesgo de la organización en cuestión, de modo que los participantes puedan trabajar en su respuesta basándose en los protocolos existentes y los recursos disponibles. Los ejercicios de simulación deben reunir a equipos multifuncionales con personal técnico, líderes empresariales, personal de comunicaciones y asesores jurídicos para simular la compleja coordinación que se necesita durante incidentes reales.

Métricas de riesgo operativo e indicadores clave de riesgo (KRI)

La gestión del riesgo operativo solo funciona con métricas probadas que proporcionan información sobre los niveles de riesgo y la eficacia de los controles. Los KRI (indicadores clave de riesgo) son medidas para supervisar las condiciones de riesgo cambiantes que sirven como señal de alerta temprana para las organizaciones antes de que se produzcan incidentes o pérdidas. Los indicadores clave de riesgo deben estar bien diseñados, ser prospectivos, medibles y estar directamente vinculados a los riesgos específicos que pueden amenazar los objetivos empresariales.

Las organizaciones deben crear una combinación equilibrada de indicadores adelantados y atrasados que ofrezca una visibilidad global del riesgo. Los indicadores adelantados se centran en las condiciones de riesgo que pueden dar lugar a incidentes futuros (por ejemplo, intentos fallidos de acceder a un sistema, violaciones de las políticas de seguridad y vulnerabilidades crecientes en los sistemas). Los indicadores rezagados evalúan el rendimiento de los controles existentes basándose en datos descriptivos sobre la frecuencia de los incidentes, el tiempo que se tarda en resolverlos y las consecuencias financieras de los riesgos que se han materializado.

Las métricas de riesgo deben estar accesibles en paneles de control significativos y otros formatos para maximizar su valor y permitir que las diversas partes interesadas sigan los indicadores clave. Los paneles de control ejecutivos pueden mostrar tendencias sobre los principales riesgos y los posibles impactos en el negocio, pero los equipos operativos necesitan métricas sobre controles técnicos y vulnerabilidades específicos. Al revisar periódicamente estas métricas, las organizaciones pueden detectar riesgos emergentes, validar la eficacia de sus controles y tomar decisiones basadas en datos con respecto a su inversión en gestión de riesgos.

Conclusión

A medida que el panorama de amenazas se ha vuelto más complejo, la gestión del riesgo operativo ha madurado y ha pasado de ser un ejercicio de cumplimiento a convertirse en un imperativo estratégico para las instituciones que desean proteger sus activos y garantizar la continuidad del negocio. Tanto si se enfrenta a la inestabilidad causada por cambios rápidos como si simplemente se enfrenta a los retos que plantea lo desconocido, los enfoques estructurados y las mejores prácticas que se analizan a lo largo de esta guía pueden ayudar a las organizaciones a crear una gestión de riesgos resiliente. Esta capacidad ayuda a mitigar la probabilidad y el impacto de los incidentes de seguridad, al tiempo que mejora el rendimiento operativo y la confianza de las partes interesadas.

La maduración del paradigma de la gestión del riesgo operativo es un proceso que requiere inversión, enfoque organizativo y tiempo, pero los beneficios resultantes superan sin duda alguna la inversión realizada. Ayuda a distinguir a las organizaciones como base para la protección de los activos críticos, lo que les permitirá sacar el máximo partido a su inversión en seguridad y desarrollar la resiliencia necesaria para absorber y recuperarse de los retos operativos que inevitablemente surgen.

"