El riesgo es inherente a cualquier empresa. Lo que marca la diferencia es cómo lo entiende y lo gestiona una organización.

Desde los retos operativos hasta la volatilidad del mercado, los cambios normativos y los avances tecnológicos, las empresas se enfrentan a un amplio abanico de incertidumbres que pueden generar crecimiento o provocar pérdidas.

Para gestionarlas de forma eficaz, una empresa debe establecer un marco que le ayude a determinar cuánto riesgo está dispuesta a aceptar para alcanzar sus objetivos. Aquí es donde entra en juego el concepto de «apetito de riesgo».

Pero, para definir su apetito de riesgo, una empresa debe ver y comprender todos los riesgos a los que se enfrenta. Y, para los equipos de seguridad que están sentando las bases de su estrategia de gestión de la exposición, definir el apetito de riesgo de su organización es un paso fundamental.

¿Qué es el apetito de riesgo?

El apetito de riesgo es el nivel de riesgo que una organización está dispuesta a aceptar para alcanzar sus objetivos. Definirlo establece límites para la organización sobre qué riesgos asumirá y en qué medida. Un apetito de riesgo alto implica estar dispuesto a aceptar mayores riesgos a cambio de recompensas potencialmente mayores, mientras que un apetito de riesgo bajo implica que la organización prefiere reducir el riesgo tanto como sea posible.

Pensemos en una startup tecnológica que quiere invertir en investigación y desarrollo de vanguardia. Puede adoptar un mayor apetito de riesgo para lograr innovaciones disruptivas y revolucionarias, sabiendo que las posibles recompensas compensan la incertidumbre. Por el contrario, una gran corporación bien consolidada podría tener un menor apetito de riesgo, centrarse en un crecimiento sostenido y evitar proyectos que pudieran perjudicar de forma significativa su posición en el mercado o su reputación.

El apetito de riesgo es tanto cuantitativo como cualitativo

El apetito de riesgo nunca es estático; es una medida dinámica que debe ajustarse en función de factores como el sector, el tamaño y la situación de la empresa, los objetivos estratégicos, los requisitos normativos y el entorno general del mercado.

Tampoco se trata solo de cifras: el apetito de riesgo combina factores cuantitativos y cualitativos.

Por un lado, una empresa puede tener elementos medibles, como la cantidad de pérdidas que está dispuesta a tolerar, sus ratios de deuda y el tipo de retorno de la inversión (ROI) al que aspira. También puede tener que considerar aspectos subjetivos, como el posible efecto sobre la reputación de la empresa, las consideraciones éticas y hasta qué punto sus decisiones se alinean con sus valores fundamentales.

¿Por qué es importante definir el apetito de riesgo?

Prácticamente cualquier organización que quiera tener éxito debe asumir riesgos calculados. Pero, sin una comprensión clara de su apetito de riesgo, puede derivar hacia una toma de decisiones incoherente, reactiva o excesivamente prudente. Esto puede traducirse en oportunidades perdidas o pérdidas empresariales. Por eso definir el apetito de riesgo es esencial:

Para alinear la estrategia y la gestión de riesgos

Contar con un apetito de riesgo claramente definido proporciona un marco estratégico que alinea las prácticas de gestión de riesgos con los objetivos empresariales generales. Cuando una empresa sabe cuánto riesgo está dispuesta a aceptar, puede buscar oportunidades que se ajusten a su apetito de riesgo y evitar otras que podrían exponerla a un riesgo indebido.

Para mejorar la toma de decisiones

Definir el apetito de riesgo permite a líderes y responsables tomar decisiones informadas al comprender con claridad qué constituye un riesgo aceptable. También establece expectativas sobre los comportamientos de asunción y evitación de riesgos en toda la organización, lo que ayuda a los responsables a evaluar las compensaciones entre riesgo y recompensa en distintos escenarios.

Para generar confianza entre las partes interesadas

Un apetito de riesgo claramente definido transmite a inversores, reguladores, empleados y otras partes interesadas que la organización da prioridad a la gestión de riesgos. También demuestra un enfoque metódico y fiable para equilibrar riesgo y recompensa, lo que refuerza aún más la confianza de las partes interesadas.

Para promover la coherencia

Cuando todas las personas de una organización tienen claro cuánto riesgo es permisible, les resulta más fácil tomar decisiones coherentes porque todas entienden qué se considera una apuesta aceptable. Esto reduce la probabilidad de trabajar con objetivos contrapuestos o incluso de avanzar en direcciones opuestas. Por ejemplo, un departamento jurídico podría frenar la gran idea de un equipo de marketing si no comparten la misma noción de riesgo aceptable.

Para respaldar una supervisión eficaz del riesgo

Cuando las empresas definen su apetito de riesgo, pueden implantar sistemas para supervisar los niveles de riesgo en toda la organización, desde las finanzas hasta las operaciones. Así, pueden detectar posibles problemas de forma temprana y asegurarse de que las actividades se mantengan dentro de los límites de lo que se considera seguro o, al menos, aceptable. Definir y supervisar indicadores clave de riesgo (KRI) proporciona alertas tempranas si alguien se acerca demasiado a esos límites.

¿Cómo define una empresa su apetito de riesgo?

Normalmente, una organización lo hace redactando una declaración de apetito de riesgo (RAS). Las primeras partes de una RAS exponen los objetivos estratégicos de la empresa y los riesgos asociados.

Una empresa puede querer convertirse en el proveedor de software líder de su sector. Debe enumerar los objetivos estratégicos que son esenciales para alcanzar esa meta y también los riesgos asociados a ellos. Por ejemplo, Ivanti se dedica a ofrecer servicios de TI basados en la nube y soluciones de gestión de la seguridad. Eso significa que nuestra declaración de apetito de riesgo debe catalogar todos los riesgos asociados a esa línea de negocio y explicar cómo los gestionaremos.

Este es un ejemplo de cómo podría ser una sección de una declaración de apetito de riesgo para un proveedor de software:

Apetito de riesgo general

[Empresa XYZ] adopta un enfoque equilibrado del riesgo, reconociendo que no todos los riesgos son iguales y que cierto nivel de riesgo es necesario para alcanzar nuestros objetivos estratégicos.

Riesgo de innovaciónTenemos un apetito de riesgo alto para invertir en tecnologías avanzadas y soluciones innovadoras que diferencien nuestros productos en el entorno competitivo. Entendemos que esto exige aceptar cierto grado de incertidumbre en I+D y en el desarrollo de productos.
Riesgo operativoMantenemos un apetito de riesgo de bajo a moderado. Aunque aspiramos a la excelencia operativa, priorizamos iniciativas que mejoren la eficiencia y la calidad del servicio sin comprometer nuestros estándares de entrega.
Riesgo de seguridadTenemos un apetito de riesgo extremadamente bajo ante amenazas y brechas de seguridad. Nuestro compromiso con la seguridad de la red y la protección de datos es primordial, e invertimos de forma significativa en proteger nuestros sistemas y los datos de nuestros clientes.
Riesgo de cumplimientoTenemos un apetito de riesgo bajo ante el incumplimiento de requisitos legales y normativos. Garantizar la adhesión a las leyes, normas y mejores prácticas pertinentes en todas las áreas operativas es fundamental.

La RAS debe definir los riesgos que tendrían el mayor impacto en la organización, no los riesgos cotidianos que simplemente forman parte de la actividad empresarial. Debe contemplar múltiples escenarios de riesgo; por ejemplo, una estrategia concreta puede implicar riesgo en la cadena de suministro, como los efectos de depender de un proveedor o los peligros de exposición normativa si un proveedor gestiona de forma inadecuada los datos de los clientes.

También debe definir la cantidad de riesgo financiero que una empresa está dispuesta a asumir. Si entre sus objetivos está ofrecer un nuevo producto o servicio, siempre existe la posibilidad de fracasar en el mercado.

Componentes del apetito de riesgo

Estos son factores clave que deben tenerse en cuenta al definir el apetito de riesgo:

Capacidad de riesgo

Hace referencia a la cantidad máxima de riesgo que una organización puede soportar. Esto lo determinan los recursos financieros, las capacidades operativas y las restricciones normativas. Y la capacidad de riesgo difiere del apetito de riesgo: una organización puede tener capacidad para asumir un determinado nivel de riesgo, pero optar por no hacerlo en función de su apetito de riesgo.

Tolerancia al riesgo

Mientras que la capacidad de riesgo se refiere a cuánto riesgo puede soportar una organización, la tolerancia al riesgo es una desviación aceptable respecto a su objetivo. Incluso puede establecer distintas tolerancias para distintas áreas. Por ejemplo, una organización puede estar dispuesta a asumir riesgos con un nuevo producto, pero ser reacia al riesgo en la gestión de datos de clientes.

Umbrales de riesgo

Ya hemos mencionado la supervisión del riesgo y los KRI, ya que se utilizan para evitar que una empresa cruce los umbrales de riesgo: las «líneas rojas» que representan un exceso de riesgo. Cruzar un umbral de riesgo podría requerir un cambio de planes, el aumento de las medidas de seguridad o incluso la paralización completa de la actividad.

Relacionado: informe de investigación de Ivanti: Alinear perspectivas: la gestión del riesgo cibernético en la alta dirección

¿Por qué es importante el apetito de riesgo en la gestión de la exposición?

Hubo un tiempo en que mitigar el riesgo digital era mucho más sencillo que hoy. Esto se debe a que las superficies de ataque de la mayoría de las grandes organizaciones se han ampliado enormemente con el tiempo. La incorporación de más dispositivos y aplicaciones, utilizados por empleados en más lugares, ha transformado el entorno de trabajo y ampliado el panorama de amenazas digitales.

Es una de las razones por las que la investigación de Ivanti reveló que más de la mitad de los profesionales de TI no confían demasiado en poder prevenir un incidente de seguridad perjudicial en los próximos 12 meses. Más de uno de cada tres incluso afirma estar menos preparado para detectar amenazas y responder a incidentes que hace un año.

La gestión de vulnerabilidades tradicional se ha centrado durante mucho tiempo en remediar de forma reactiva vulnerabilidades de software y hardware, así como otras CVE, pero normalmente solo aplica análisis intermitentes. Sin embargo, el escenario actual de ciberamenazas exige un nuevo enfoque.

La gestión moderna de la exposición se centra en encontrar y remediar riesgos y vulnerabilidades de forma continua y proactiva en toda la superficie de ataque digital. Ya procedan de activos de TI expuestos, endpoints y aplicaciones no protegidos, recursos basados en la nube u otros vectores. ¿Qué hace que la gestión de la exposición y el apetito de riesgo estén tan estrechamente relacionados?

  • Evaluar la exposición según niveles de riesgo aceptables: La gestión de la exposición implica cuantificar los niveles de riesgo asociados a distintas exposiciones. Al definir el riesgo aceptable, las organizaciones pueden comparar el posible impacto de distintos riesgos con su apetito de riesgo.
  • Asignar recursos en función del riesgo: Las organizaciones deben priorizar qué exposiciones suponen la mayor amenaza para sus estrategias, una evaluación que solo pueden realizar con una comprensión clara de su apetito de riesgo. Esa priorización les permite concentrar recursos en mitigar las más críticas, a menudo con la ayuda de una herramienta avanzada de RBVM.
  • Ajustar el apetito de riesgo: A medida que cambia el entorno empresarial o surgen nuevos riesgos, puede ser necesario ajustar el apetito de riesgo. Los datos y conocimientos que las organizaciones descubren como parte de su práctica de gestión de la exposición les ayudan a tomar decisiones informadas sobre esos ajustes.
  • Garantizar el cumplimiento: Muchos sectores tienen requisitos normativos relacionados con la gestión de riesgos, que a su vez influyen en el apetito de riesgo de una organización. La gestión de la exposición implica identificar y abordar riesgos que podrían provocar incumplimientos.

Relacionado: informe de investigación de Ivanti: Gestión de la superficie de ataque

Analizar el riesgo de seguridad desde la perspectiva de la gestión de la exposición

Una diferencia destacada entre la gestión de la exposición y otras prácticas de seguridad es que la gestión de la exposición no solo incluye priorizar la remediación de los riesgos que suponen el mayor riesgo para la organización, sino también definir activamente qué riesgos se encuentran dentro de la tolerancia al riesgo de la organización. Por ejemplo, una empresa de comercio electrónico puede estar dispuesta a aceptar mayores riesgos de seguridad para mantener su sitio en funcionamiento durante el Black Friday: para ella, la compensación merece la pena.

En lugar de considerar cada riesgo potencial como una crisis que necesita remediación inmediata, las organizaciones deben priorizarlos en función de las necesidades del negocio. En este marco, la mayoría de los riesgos no son malos: se trata de cómo se reacciona ante ellos, cómo se controlan y cómo se mitigan para llevarlos a un nivel aceptable.