Guía de gestión de riesgos para el ciudadano y el empresario moderno

Con frecuencia se considera, especialmente en el ámbito de las pequeñas y medianas empresas (Pymes), que las certificaciones internacionales son exclusivas de las grandes corporaciones; no obstante, aunque el proceso de certificación puede representar un costo significativo, la metodología que sustenta estos estándares es gratuita y vital. Estandarizar la forma en que se procesan las amenazas constituye un factor que distingue a una organización resiliente de aquella que desaparece ante la primera crisis.

Ciclo de gestión de riesgos tecnológicos

¿Qué es realmente el riesgo?

Según el estándar internacional, el riesgo es el efecto de la incertidumbre sobre los objetivos. En términos llanos, es la posibilidad de que algo ocurra y altere (parcial o totalmente) la marcha del proyecto. Para entenderlo, se desglosan sus componentes:

• Efecto: cualquier desviación de lo que se esperaba. No siempre es negativo, pues una desviación puede abrir una oportunidad inesperada.
• Incertidumbre: es ese estado de "ceguera parcial" donde falta información sobre un evento futuro.
• Objetivos: son las metas de rentabilidad, salud financiera, cumplimiento legal o reputación de marca.

Al aplicar la lógica de la ISO 31000 a la vida digital, no sólo se protege el patrimonio, sino también la tranquilidad del océano tecnológico.

Caja de herramientas: estrategias de tratamiento

El “riesgo cero” no existe. En ningún balance contable aparece reflejado ni hay contrato alguno que lo elimine por completo; lo que sí se tiene es la capacidad de decidir cómo afrontarlo. La norma ofrece cuatro caminos:

• Mitigar (reducir): implementar controles. Si hay temor por un hackeo, se instalan firewalls y doble factor de autenticación.
• Transferir (compartir): aquí es donde entran los seguros y los contratos de tercerización. El riesgo financiero se traslada a un tercero a cambio de una prima.
• Asumir (retener): aceptar el riesgo conscientemente. En ocasiones, el costo de prevenirlo es más alto que el daño potencial o, simplemente, es un riesgo inherente a la actividad (como los sismos).
• Explotar (aumentar): si el riesgo tiene un componente positivo (oportunidad), invertimos más para maximizar el beneficio.

Metamorfosis de la amenaza: del papel al algoritmo

La tecnología no sólo ha creado nuevas herramientas de control, ha descubierto una lista de amenazas que hace 20 años habrían parecido ciencia ficción. Desde la perspectiva del compliance, se observa cómo los delitos tradicionales han mutado.

Puede considerarse el caso de la validación de identidad. Antiguamente, la apertura de una cuenta bancaria requería presencia física y firma autógrafa; en la actualidad, existen empresas dedicadas exclusivamente a la validación remota de la identidad. La banca electrónica ha democratizado el acceso al capital, pero también ha facilitado el camino para el denominado “secuestro digital”. Ya no es necesario que se prive físicamente de la libertad a una persona para vaciar sus cuentas; basta con obtener el control de su dispositivo móvil.

Principales riesgos digitales

El fin de una era: de DiCaprio a los biométricos

Si se analiza la película Atrápame si puedes, se advertiría que el fraude con cheques realizado por Frank Abagnale Jr. resultaría hoy imposible. Los sistemas de validación en línea y los identificadores magnéticos han relegado esa técnica a la obsolescencia.

No obstante, la delincuencia no desapareció; se especializó. Antes, el riesgo radicaba en la falsificación de un voucher físico; en la actualidad, las tarjetas carecen de números impresos y la máquina de planchado es una reliquia de museo; el campo de batalla se ha trasladado a los datos biométricos. La paradoja es que, con mayor seguridad tecnológica, el eslabón más débil sigue siendo el mismo, el factor humano.

Ciberresiliencia y el custodio digital del futuro

En el clima actual, ya no basta con hablar de seguridad informática; el concepto clave para 2026 es la ciberresiliencia.

Mientras la seguridad procura evitar que el daño ocurra, la resiliencia parte del reconocimiento de que, tarde o temprano, puede materializarse un ataque, y se enfoca en la capacidad de recuperación. En el ámbito contable, la resiliencia se refleja en la continuidad del flujo de caja; y en lo jurídico, en la protección frente a responsabilidades civiles y penales de los administradores.

Factor humano e ingeniería social

El riesgo digital más severo hoy no es un virus informático, sino la ingeniería social. Es el arte de engañar a las personas para que entreguen sus llaves digitales voluntariamente. Un correo que parece del Servicio de Administración Tributaria (SAT), un mensaje de soporte técnico o una llamada urgente de su banco. En este caso, la gestión de riesgos no requiere software, sino educación y protocolos.

Desde el punto de vista jurídico, el riesgo tecnológico está intrínsecamente ligado a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Para una empresa, perder la base de datos de sus clientes no es sólo un problema operativo, sino una contingencia legal que puede derivar en multas millonarias y daño reputacional irreparable.

El entorno virtual y la conectividad global han instaurado una nueva gramática para los negocios.

Gestión del entorno digital

Ahora bien, se proponen estas acciones para gestionar el entorno digital:

• Inventario de activos: es indispensable conocer con precisión qué se posee, como cuentas, dispositivos e información sensible. No es posible proteger aquello cuya existencia se desconoce.
• Higiene de contraseñas: se recomienda utilizar gestores de contraseñas y evitar la reutilización de claves entre redes sociales y cuentas bancarias.
• Validación biométrica: la sustitución de contraseñas escritas por mecanismos como la huella digital, el reconocimiento facial o el escaneo de iris constituye una forma de reducir el riesgo de hackeo.
• Doble factor de autenticación: se considera el control de mitigación más efectivo y económico disponible.
• Actualización constante: los parches de seguridad de las aplicaciones constituyen “escudos” frente a vulnerabilidades recién descubiertas.
• Cultura de la duda: ante cualquier comunicación urgente o inusual que solicite datos, conviene detenerse; el riesgo suele disfrazarse de urgencia.
• Respaldos (backups): la regla de oro es 3-2-1; mantener tres copias de la información, en dos formatos distintos y con una de ellas fuera de línea (offline). La combinación con un método de respaldo en la nube incrementa la redundancia y, además, permite tercerizar la seguridad de los datos al seleccionar un proveedor confiable.
• Seguros de ciberriesgos: para las empresas, hay que considerar la transferencia del riesgo a través de pólizas especializadas.
• Revisión de avisos de privacidad: conviene conocer qué derechos se otorgan sobre la propia información.
• Capacitación continua: si el riesgo evoluciona, su conocimiento también debe hacerlo.
• Plan de respuesta: es necesario tener definido a quién contactar y qué cuentas bloquear en caso de pérdida inmediata del teléfono.

Conclusiones

La tecnología es una aliada poderosa que ha potenciado la capacidad de generar riqueza y bienestar; sin embargo, como todo activo valioso, requiere una vigilancia constante. La gestión de riesgos no es un destino, sino un proceso continuo de adaptación. Al aplicar la lógica de la ISO 31000 a la vida digital, no sólo se protege el patrimonio, sino también la tranquilidad en este incierto océano tecnológico.