Cómo cuantificar el riesgo humano para pedirle presupuesto al CFO

Vista cenital de una mesa de directorio en madera cálida con luz dorada. A un lado, papeles dispersos con gráficos de barras difusos; una mano que viste camisa desliza hacia el centro una única tarjeta limpia, frente a una silla vacía.
Mauro Sánchez Blog No hay comentarios

Cómo cuantificar el riesgo humano para pedirle presupuesto al CFO

Cada cierre de presupuesto se repite la misma escena en las organizaciones con las que trabajamos. El responsable de seguridad prepara su pedido para el programa de concienciación, lo presenta con tasas de clic y cursos completados, y el director financiero escucha con cortesía antes de aprobar el mínimo. El CFO entiende el riesgo. Lo que no recibe es una cifra en el idioma que habla todos los días para asignar capital.

Dirijo el equipo de ingeniería de SMARTFENSE y me toca pensar cómo los datos del programa llegan a quien decide. Desde ese lugar veo que el problema rara vez está en el monto pedido. Está en el idioma. El responsable de seguridad habla de comportamiento y el CFO razona en pérdidas esperadas, retorno y costo evitado. Mientras el pedido no se traduzca a esa moneda, compite en desventaja contra cada proyecto que sí llegó expresado en euros.

Te cuento cómo cuantificar el riesgo humano en lenguaje financiero, qué condiciones tiene que cumplir el dato para que el CFO lo tome en serio, y por qué el miedo es el peor argumento posible para sostener una línea de presupuesto.

¿Por qué el CFO no aprueba un presupuesto de concienciación presentado con tasas de clic?

Porque una tasa de clic no es una cifra financiera. El CFO ordena cada pedido de la organización comparando el capital que consume contra el valor que devuelve, y para eso necesita números en la misma unidad. Un porcentaje de comportamiento lo obliga a hacer él mismo la conversión a dinero, y casi nunca tiene el contexto para hacerla bien.

Cuando el pedido de concienciación llega como “bajamos la tasa de clic a la mitad”, el CFO no sabe cuánto vale ese cambio. No porque no lo entienda, sino porque nadie le dijo cuánto riesgo monetario representa cada punto. El pedido de la unidad de negocio que está al lado, en cambio, ya viene con su retorno calculado. La decisión se inclina sola hacia el que hizo el trabajo de traducción.

El responsable de seguridad suele leer ese desenlace como falta de compromiso del comité con la ciberseguridad. Mi lectura, desde el lado de los datos, es más simple. El comité asigna lo que puede comparar, y un programa descrito en métricas de actividad es justamente lo que no se puede comparar contra el resto del presupuesto.

Ahí aparece el primer error de encuadre. Mientras el pedido viaje con la etiqueta de concienciación, el comité lo archiva como un gasto de actividad que se repite cada año. La gestión del riesgo humano (Human Risk Management) plantea otra cosa. Trata el comportamiento de las personas como un riesgo medible, que se gestiona y se reduce con un número que el CFO puede seguir trimestre a trimestre. Cambiar la etiqueta hace trabajo real, porque mueve la conversación del terreno de la actividad al del riesgo, que es donde el CFO asigna capital.

¿Qué significa cuantificar el riesgo humano en lenguaje financiero?

Cuantificar el riesgo humano en lenguaje financiero es expresar la exposición de la organización a los errores de sus colaboradores como una pérdida monetaria esperada. Es la probabilidad de que ocurra un incidente originado en una persona, multiplicada por el costo estimado de ese incidente, y la forma en que ese número se mueve cuando se invierte en el programa.

No es un ejercicio de precisión contable. Nadie espera que el responsable de seguridad acierte el costo exacto de una brecha que todavía no pasó. Lo que el CFO necesita es dirección y orden de magnitud: si estamos hablando de una exposición de decenas de miles o de varios millones, y si la inversión propuesta mueve ese número de forma material o marginal.

La diferencia con el reporte habitual es de marco. El informe operativo describe lo que pasó en la última campaña. La cifra financiera describe lo que está en juego hacia adelante y lo que cambia según la decisión que se tome en esa reunión. Una mira al espejo retrovisor, la otra al parabrisas, y el CFO conduce mirando al frente.

¿Cómo se traduce el riesgo humano a una cifra que el CFO entienda?

La traducción tiene cinco pasos, y ninguno exige inventar datos. Exige conectar los que ya tienes con una fuente de costo creíble.

  1. Parte de una probabilidad observable. Usa el riesgo humano agregado del programa, el que sale de combinar resultados de simulaciones, comportamiento real y exposición por área. Es un número que la plataforma ya calcula y que tiene historia, no una estimación de pasillo.
  2. Ancla el costo del incidente a una fuente pública. En lugar de proponer una cifra propia, toma la referencia de un informe neutral y reconocido como el Cost of a Data Breach de IBM o el Verizon Data Breach Investigations Report, y elige el valor del sector y la región que correspondan a tu organización. El CFO confía antes en una fuente externa que en un número interno.
  3. Calcula la pérdida esperada. Multiplica la probabilidad por el costo. Ese producto es la cifra que pertenece a la conversación financiera, porque está en la misma unidad que el resto de los riesgos que el comité ya gestiona.
  4. Muestra la sensibilidad, no solo el nivel. El CFO no compra un número estático. Compra cuánto baja la pérdida esperada si el riesgo humano baja una cantidad concreta tras la inversión. Esa pendiente es la que convierte un gasto en una palanca.
  5. Presenta el programa como reducción de pérdida esperada. El pedido final deja de ser “necesito presupuesto para concienciación” y pasa a ser “con esta inversión, la pérdida esperada por riesgo humano baja de forma material en el próximo ciclo”. Ahí el programa deja de ser una línea de costo y se vuelve una decisión de inversión.

Ninguno de estos pasos requiere un modelo financiero sofisticado. Requiere disciplina para no saltarse la traducción y para no rellenar con cifras inventadas los huecos donde falta dato.

¿Cómo se pide el presupuesto sin recurrir al miedo?

Se pide mostrando el costo de no decidir, no la catástrofe. El miedo consigue una aprobación puntual el día que hubo un titular sobre un ataque, y se evapora al ciclo siguiente. Un contrafactual cuantificado consigue algo más valioso, que es una línea de presupuesto que se sostiene aunque no haya pasado nada grave ese trimestre.

La pregunta que más mueve la aguja deja de lado el “¿qué pasa si nos atacan?” y apunta a otra cosa, “¿cómo evoluciona nuestra pérdida esperada si no hacemos nada durante el próximo año?”. Esa proyección obliga a tratar la gestión del riesgo humano como un activo que se deprecia si no se mantiene, y le da al CFO exactamente el tipo de razonamiento con el que está cómodo. El costo de la inacción, puesto en números, pesa más que cualquier escenario dramático.

Construir ese argumento es un trabajo de caso de negocio, no de alarma. Si quieres profundizar en cómo se arma el respaldo de la alta dirección sin apoyarse en el susto, escribimos sobre cómo obtener el apoyo de la alta dirección con casos de negocio. La lógica es la misma que sostiene cualquier inversión: comparar el costo de actuar contra el costo de no hacerlo.

¿Qué datos de la plataforma sostienen esa conversación?

Toda esta traducción se cae si el número de partida llega viejo o cuesta una semana de trabajo armarlo. Para que el responsable de seguridad pueda sentarse frente al CFO con una pérdida esperada defendible, necesita tres cosas del programa: un riesgo humano agregado que se actualice solo, la capacidad de proyectar ese número hacia adelante, y la posibilidad de responder una pregunta nueva en la misma reunión sin volver a la planilla.

Esa frescura del dato es un problema de plataforma antes que de criterio. Sobre el primer punto, qué medir para llegar a un riesgo humano agregado que tenga sentido, ya escribimos en detalle: vale leer si tu programa de awareness está midiendo lo que importa. Sobre el segundo, cómo ese dato llega fresco al comité sin cuatro horas de tablas dinámicas, lo contamos desde la ingeniería en por qué el informe de awareness llega tarde al comité.

Esa capa de respuesta en vivo la resolvemos en SMARTFENSE con una funcionalidad que llamamos Insight Agent, hoy en etapa de early adopters. Permite formular en lenguaje natural la pregunta que el CFO acaba de hacer y obtener la cifra y su sensibilidad sin rearmar el reporte. El protagonista de esta conversación sigue siendo la traducción del riesgo a dinero, que es criterio humano. La plataforma solo se ocupa de que el número que sostiene esa traducción esté disponible cuando hace falta y no dos semanas después. Si quieres verlo sobre tus propios datos, escríbenos para sumarte al programa o conoce el resto de la plataforma.

El responsable de seguridad que sale del comité con menos presupuesto del que pidió rara vez perdió por falta de argumentos técnicos. Perdió porque presentó en una moneda que el CFO no usa para asignar capital. Traducir el riesgo humano a pérdida esperada no garantiza un sí. Pero pone la conversación en el único terreno donde el sí es posible.

Preguntas frecuentes

¿Qué es cuantificar el riesgo humano en lenguaje financiero?
Es expresar la exposición de la organización a los errores de sus colaboradores como una pérdida monetaria esperada: la probabilidad de un incidente originado en una persona multiplicada por su costo estimado, y cómo ese número cambia con la inversión en el programa de gestión del riesgo humano.

¿Por qué el CFO no aprueba presupuestos de concienciación presentados con tasas de clic?
Porque una tasa de clic no está en la unidad que el CFO usa para comparar pedidos. Asigna capital comparando costo contra valor devuelto, y un porcentaje de comportamiento lo obliga a traducir a dinero sin el contexto para hacerlo. El pedido que llega ya convertido a pérdida evitada compite mejor.

¿Qué fuente usar para estimar el costo de un incidente?
Conviene anclar el costo a un informe público y neutral, como el Cost of a Data Breach de IBM o el Verizon Data Breach Investigations Report, eligiendo el valor del sector y la región que correspondan. Una fuente externa reconocida genera más confianza que una cifra interna.

¿Cómo se pide presupuesto de ciberseguridad sin recurrir al miedo?
Mostrando el costo de no decidir en lugar de la catástrofe. Un contrafactual cuantificado, cuánto crece la pérdida esperada si no se invierte durante el próximo ciclo, sostiene una línea de presupuesto estable, mientras que el miedo solo consigue aprobaciones puntuales que se evaporan al trimestre siguiente.

Share:

Compartir en LinkedIn Compartir en Pinterest Compartir en WhatsApp
Tags:

Mauro Sánchez

CTO de SMARTFENSE, lidera los equipos de ingeniería y desarrollo. Especialista en materia de ciberseguridad e infraestructura, siendo el encargado de definir y concretar las integraciones y alianzas tecnológicas estratégicas de SMARTFENSE con diferentes soluciones. Más de 20 años avalan su experiencia en la toma de decisión e implementación de medidas de seguridad y tecnología.

Deja una respuesta

Búsqueda

Entradas recientes

Nube de etiquetas

actualidad cambio de comportamiento capacitación y concienciación ciberseguridad ciso columnista invitado concienciación consejos hardening de usuarios ingeniería social phishing ransomware responsable de seguridad seguridad de la información smartfense