¿Qué significa “orientación basada en riesgos”?
Una gestión de la seguridad basada en riesgos significa que las decisiones, inversiones y controles de seguridad se aplican:
-
No de forma genérica, sino en función del riesgo real al que está expuesta la organización.
-
Es decir, se prioriza proteger lo más crítico, lo más vulnerable, o lo que más impacto podría causar si se compromete.
Esto es obligatorio en marcos como ISO 27001, ENS, NIS2 o DORA.
¿Qué es el “apetito de riesgo”?
El apetito de riesgo es:
El nivel de riesgo que una organización está dispuesta a aceptar para alcanzar sus objetivos, sin implementar medidas adicionales.
Depende de:
-
Su tolerancia al fallo
-
Su contexto regulatorio
-
Su capacidad financiera y técnica
-
Su modelo de negocio
Es un concepto estratégico, decidido por la alta dirección o comité de riesgos.
Ejemplo práctico
Una universidad puede aceptar:
-
El riesgo de que un estudiante falle un examen online (bajo impacto).
-
Pero no puede aceptar el riesgo de que su servidor de matrículas sea atacado en período de inscripciones → requiere control y mitigación.
Este equilibrio entre riesgo real y apetito define la priorización de medidas de seguridad.
¿Cómo se aplica?
-
Identificar activos y amenazas
-
Analizar riesgos (probabilidad x impacto)
-
Determinar apetito de riesgo por parte de la dirección
-
Definir respuestas: aceptar, mitigar, transferir o evitar
-
Aplicar controles solo donde el riesgo supere el apetito
-
Revisar periódicamente según cambios del negocio
Conclusión
Una gestión de seguridad basada en riesgos y en el apetito de riesgo es más eficaz, sostenible y alineada con los objetivos del negocio.
Permite priorizar recursos, justificar decisiones ante auditores y cumplir con marcos normativos exigentes como ENS, ISO 27001 o NIS2.
¿Quieres que te prepare una plantilla de matriz de apetito de riesgo o una gráfica de aceptación vs tratamiento de riesgos para usar en informes o presentaciones?