¿Qué es la Gestión de Riesgos Digitales?

La gestión de riesgos es un tema recurrente en todas las disciplinas de gestión. Los marcos tradicionales —desde la gestión de proyectos y la gestión de servicios, hasta el gobierno de TI y la arquitectura empresarial— enfatizan consistentemente su importancia. Incluso los marcos Agile reconocen su valor.

Esencialmente, la gestión de riesgos es (o más bien debería ser) una forma de lidiar con la incertidumbre. Sin embargo, en la práctica, a menudo se aplica como un ejercicio burocrático, siguiendo ritualisticamente procedimientos sin una comprensión adecuada de su propósito o impacto.

Una razón para esto es el pensamiento mágico (o lo que llamamos el "culto cargo" de la gestión de riesgos): la convicción de que el riesgo será gestionado correctamente simplemente aplicando un conjunto predeterminado de procedimientos.

Otra razón es un cambio en el propósito desde realmente gestionar riesgos, hacia demostrar que las actividades prescritas de gestión de riesgos han sido realizadas. En este caso, el foco real se convierte en cumplimiento: probar que los controles apropiados están en su lugar para cumplir con los requisitos regulatorios y las políticas internas.

Como resultado, la gestión de riesgos tiende a exhibir un fuerte sesgo hacia la mitigación de amenazas (y especialmente hacia amenazas relacionadas con la seguridad), mientras que pasa por alto completamente la gestión de oportunidades. Sin embargo, en los negocios como en los deportes, un equipo que se enfoca únicamente en la defensa y descuida la ofensiva eventualmente se volverá ineficaz en ambas.

El desafío más apremiante que enfrentan las empresas hoy es cómo navegar olas continuas de disrupción impulsadas por tecnologías de vanguardia, como la inteligencia artificial, el Internet de las Cosas, blockchain, robótica y computación en la nube. La aceleración tecnológica ha hecho que el mundo digital sea VUCA: Volátil, Incierto, Complejo y Ambiguo. En consecuencia, es crucial cambiar el enfoque del desarrollo empresarial desde una visión determinística de "si-entonces-sino" hacia una probabilística de "si-entonces-quizás", alineándose más estrechamente con la mentalidad Agile que enfatiza la adaptabilidad, experimentación y aprendizaje continuo.

La "Gestión de Riesgos Digitales" es el proceso continuo de identificar, evaluar, priorizar y tratar tanto riesgos positivos como negativos, para optimizar su impacto en los objetivos de la empresa. Una Gestión de Riesgos Digitales efectiva ayuda a las empresas a prosperar en un panorama digital cada vez más hipercompetitivo.

Es importante enfatizar que la Gestión de Riesgos Digitales no es una ruptura con la gestión de riesgos tradicional, sino más bien su evolución natural en un contexto donde, como se destaca en The DevOps Handbook, toda organización puede ser vista como una empresa de tecnología, independientemente del sector en el que opere[i].

Muchas innovaciones tecnológicas no se originan a partir de inventos novedosos, sino de la recombinación de ideas y tecnologías preexistentes. Por ejemplo, la tecnología blockchain tiene sus raíces en la integración de redes peer-to-peer, criptografía y una forma revisada de contabilidad por partida doble.

De manera similar, la inteligencia artificial ha avanzado gracias a la convergencia de una capacidad computacional mejorada, conjuntos de datos a gran escala y décadas de investigación algorítmica; mientras que la computación en la nube surgió de la combinación de virtualización, sistemas distribuidos y conectividad de internet de alta velocidad.

Las disciplinas de gestión deberían seguir el mismo enfoque, contextualizando sus principios establecidos desde hace tiempo a la luz de las nuevas condiciones. La Gestión de Riesgos Digitales (DRM) ejemplifica este enfoque al reconfigurar las prácticas tradicionales de riesgo para abordar la realidad digital contemporánea. Dentro del contexto de las transformaciones digitales en curso, la DRM puede ser re-imaginada como compuesta por los siguientes componentes.

Una definición rigurosa de los conceptos básicos de riesgo es fundamental para una gestión eficaz del riesgo. En un entorno VUCA, existe una nueva relevancia para conceptos del siglo XX como la probabilidad epistémica (que ha sido desarrollada por la epistemología y la teoría bayesiana).

Tales conceptos abordan el desafío fundamental de razonar y tomar decisiones bajo incertidumbre en contextos digitales, donde cada fenómeno se desarrolla a partir de una configuración única e irrepetible de condiciones, fuerzas y variables en juego, cuyos efectos son a menudo no lineales y complejos de aislar.

Descomponer un riesgo en sus componentes lógicos constituyentes, y comprender sus interdependencias, permite una mejor observación, análisis y control de cada uno, ofreciendo así más oportunidades para una intervención efectiva.

Todo riesgo puede entenderse como una combinación de la probabilidad de un evento y su magnitud de efecto (en caso de que ocurra). Por ejemplo, consideremos una empresa que desea ingresar a un nuevo segmento de mercado y tiene la oportunidad de desplazar a un competidor ya establecido. Esta oportunidad puede conceptualizarse como el producto de la probabilidad de éxito y su magnitud de efecto (es decir, el alcance de la participación de mercado capturada).

La probabilidad de lograr el objetivo, sin embargo, depende de varios subfactores. Uno es el grado en que el objetivo es accesible o está protegido por barreras de entrada: para obtener una mejor comprensión de este aspecto, la empresa puede intentar adquirir un conocimiento más profundo de los clientes objetivo. Otro es la confianza de la empresa para iniciar acciones, basada en un caso de negocio que sopesa beneficios, costos y riesgos (incluyendo posibles contraataques de los competidores).

Otros factores incluyen la posibilidad de tomar a los competidores desprevenidos (evitando así acciones defensivas) y las capacidades relativas y recursos movilizados tanto por la empresa como por sus competidores.

Finalmente, observemos que el efecto general de capturar exitosamente un activo puede exceder su valor intrínseco: por ejemplo, también puede mejorar la reputación de la empresa. Las redes sociales, en particular, pueden servir como poderosos amplificadores tanto de victorias como de derrotas — como suele ser el caso en los deportes, donde los fanáticos, los medios y la atención viral rápidamente magnifican el resultado de un partido.

Los controles dirigidos son específicos para cada elemento de la Descomposición Conceptual del Riesgo. Pueden ser ejercidos tanto por actores que persiguen una oportunidad (es decir, que buscan superar obstáculos y obtener acceso a algún valor) como por aquellos que se defienden contra una amenaza (es decir, que intentan evitar pérdidas o interrupciones).

En ambos casos, los controles ayudan a reformular las probabilidades y los efectos potenciales de los escenarios de riesgo que se desarrollan, transformando la gestión de riesgos en un proceso dinámico y bidireccional que se asemeja más a un juego que a un mecanismo puramente defensivo.

El proceso de gestión de riesgos abarca la identificación de riesgos, su evaluación cualitativa y cuantitativa, y la planificación y ejecución iterativa de respuestas a los riesgos, que involucran el despliegue de un conjunto equilibrado de controles basados en RCD. A lo largo del proceso, la comunicación y gestión de supuestos e información relacionados con riesgos se mantienen como actividades continuas, asegurando transparencia y adaptabilidad.

La Gestión de Riesgos Digitales puede operar como un proceso independiente a nivel empresarial, en operaciones comerciales, y en contextos donde se adoptan enfoques no ágiles. Al mismo tiempo, en entornos ágiles, debe funcionar como una técnica complementaria integrada dentro de marcos existentes.

Ágil puede considerarse como intrínsecamente preocupado por la gestión de riesgos, ya que reduce progresivamente la incertidumbre iteración por iteración[i]. Por lo tanto, las metodologías iterativas e incrementales (como Scrum o AgilePM3) pueden incorporar DRM como una capa integrativa.

Siguiendo este enfoque, los Product Owners de Scrum deben identificar riesgos especificando sus agentes y causas, los eventos de riesgo, y sus efectos en los activos; luego estimarlos y evaluar su valor monetario para priorizarlos junto con otros elementos del Product Backlog. ¿Debería uno dar prioridad a un elemento del backlog que generará una ganancia garantizada de un millón en un año, o a una oportunidad que tiene un 50% de posibilidades de rendir tres millones en el mismo período?

Las técnicas tradicionales, como las simulaciones Monte Carlo, pueden utilizarse para proporcionar estimaciones precisas de la probabilidad y efecto de cada elemento del RCD. Un Árbol de Decisión puede ayudar al Product Owner a optimizar el orden de elementos en el Product Backlog tomando en cuenta la naturaleza no lineal del valor.

Además, así como el refinamiento del backlog descompone historias de usuario gruesas en más finas, los riesgos pueden descomponerse en sus múltiples causas usando Diagramas de Espina de Pescado, habilitando así el refuerzo o mitigación específica de cada uno. Si sabemos qué mariposa en Brasil causará un tornado en Texas, podemos tomarla fácilmente y clavarla a la pared, evitando así el riesgo con muy poco gasto.

Durante cada sprint, los desarrolladores pueden planificar e implementar los controles proporcionados por el RCD para sus varios elementos. Más importante aún, pueden probar el modelado de cada riesgo identificado y los controles aplicados a él, siguiendo el ciclo de Deming (Planificar, Hacer, Estudiar, Actuar).

La mente humana quiere basar las decisiones en certezas; sin embargo, en un mundo VUCA, las certezas suelen ser ilusiones. Aquellos que no logran aprender a gestionar riesgos no pueden competir; el remedio radica en un cambio cultural. Otra vez: imagina que una empresa invierte en un elemento del backlog que generará una ganancia garantizada de un millón en un año, mientras que otra destina sus recursos a una oportunidad que tiene un 50% de posibilidades de producir tres millones en el mismo período. ¿Cuál está mejor posicionada para sobrevivir la disrupción digital?

El beneficio principal de la Gestión de Riesgos Digitales no es la mayor efectividad en la mitigación de amenazas digitales; es la capacidad de reestructurar la empresa para aumentar su adaptabilidad y supervivencia a largo plazo.

La DRM busca transformar las empresas en sistemas fractales, capaces de intercambiar continuamente información y conocimiento, y de replicar modelos operativos efectivos a través de múltiples niveles de la organización. Una empresa que practica DRM desarrolla estructuras adaptativas y autosimilares que mejoran la flexibilidad, promueven el intercambio de conocimiento y sostienen la competitividad a largo plazo, al tiempo que establece un marco para el modelado de riesgos y la toma de decisiones habilitados por IA.

Esta transformación estructural mejora la capacidad de la organización para el aprendizaje continuo, posicionándola para capitalizar las oportunidades digitales y lograr una ventaja competitiva sostenida.

Para construir capacidades efectivas de gestión de riesgos, las empresas pueden reutilizar métodos probados de campos como la ciencia militar y la ciberseguridad. Los ejercicios militares basados en escenarios y el purple teaming de la ciberseguridad pueden adaptarse a contextos empresariales.

Por ejemplo, un equipo interno puede simular el ataque de un competidor, mientras que otro equipo responde corrigiendo las vulnerabilidades expuestas y lanzando contramedidas, y un tercer equipo desempeña el papel de los clientes, decidiendo qué lado apoyar.

Este tipo de simulación no solo fortalece el trabajo en equipo y el pensamiento competitivo, sino que también acelera el desarrollo de una cultura de Gestión de Riesgos Digitales, una donde la resistencia, la adaptabilidad y la toma de decisiones basada en datos se vuelven integrales a la empresa.

La Gestión de Riesgos Digitales transforma la disrupción en impulso, convirtiéndola en el motor de un crecimiento efectivo y sostenible en la era digital.

[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.

[ii]  "Correctamente implementada, la agilidad en proyectos es una forma eficaz de lidiar con el riesgo del proyecto – no hay necesidad de, ni valor en, un proceso paralelo para 'gestionar el riesgo'." Agile Project Management v3 Reference Book, Agile Business Consortium, 2024.