¿Qué es la Gestión de Riesgos Digitales?

La gestión de riesgos es un tema recurrente en todas las disciplinas de gestión. Los marcos tradicionales — desde la gestión de proyectos y la gestión de servicios, hasta el gobierno de TI y la arquitectura empresarial — consistentemente enfatizan su importancia. Incluso los marcos Agile reconocen su valor.

Esencialmente, la gestión de riesgos es (o más bien debería ser) una forma de lidiar con la incertidumbre. Sin embargo, en la práctica, a menudo se aplica como un ejercicio burocrático, siguiendo ritualmente los procedimientos sin una comprensión adecuada de su propósito o impacto.

Una razón de esto es el pensamiento mágico (o lo que llamamos el "culto cargo" de la gestión de riesgos): la convicción de que el riesgo será gestionado correctamente simplemente aplicando un conjunto predeterminado de procedimientos.

Otra razón es un cambio de propósito, de realmente gestionar riesgos a demostrar que las actividades prescritas de gestión de riesgos han sido realizadas. En este caso, el enfoque real se convierte en cumplimiento: probar que los controles apropiados están en su lugar para cumplir con los requisitos regulatorios y las políticas internas.

Como resultado, la gestión de riesgos tiende a exhibir un fuerte sesgo hacia la mitigación de amenazas (y especialmente hacia las amenazas relacionadas con la seguridad), mientras que pasa por alto completamente la gestión de oportunidades. Sin embargo, en los negocios como en los deportes, un equipo que se enfoca únicamente en la defensa y descuida el ataque eventualmente se volverá ineficaz en ambos.

El desafío más apremiante que enfrentan las empresas hoy es cómo navegar las olas continuas de disrupción impulsadas por tecnologías de vanguardia, como la inteligencia artificial, el Internet de las Cosas, blockchain, robótica y computación en la nube. La aceleración tecnológica ha hecho del mundo digital un entorno VUCA: Volátil, Incierto, Complejo y Ambiguo. En consecuencia, es crucial cambiar el enfoque del desarrollo empresarial de una visión determinística "si-entonces-sino" a una probabilística "si-entonces-quizás", alineándose más estrechamente con la mentalidad Agile que enfatiza la adaptabilidad, la experimentación y el aprendizaje continuo.

La "Gestión de Riesgos Digitales" es el proceso continuo de identificar, evaluar, priorizar y tratar tanto los riesgos positivos como negativos, para optimizar su impacto en los objetivos de la empresa. Una Gestión de Riesgos Digitales efectiva ayuda a las empresas a prosperar en un panorama digital cada vez más hipercompetitivo.

Es importante destacar que la Gestión de Riesgos Digitales no es una ruptura con la gestión de riesgos tradicional, sino más bien su evolución natural en un contexto donde, como se destaca en The DevOps Handbook, toda organización puede ser vista como una empresa de tecnología, independientemente del sector en el que opere[i].

Muchas innovaciones tecnológicas no se originan a partir de invenciones novedosas, sino de la recombinación de ideas y tecnologías preexistentes. Por ejemplo, la tecnología blockchain tiene sus raíces en la integración de redes peer-to-peer, criptografía y una forma revisada de contabilidad por partida doble.

De manera similar, la inteligencia artificial ha avanzado gracias a la convergencia de mayor capacidad computacional, conjuntos de datos a gran escala y décadas de investigación algorítmica; mientras que la computación en la nube surgió de la combinación de virtualización, sistemas distribuidos y conectividad a internet de alta velocidad.

Las disciplinas de gestión deberían seguir el mismo enfoque, contextualizando sus principios establecidos a la luz de las nuevas condiciones. Digital Risk Management (DRM) ejemplifica este enfoque al reconfigurar las prácticas tradicionales de riesgo para abordar la realidad digital contemporánea. Dentro del contexto de las transformaciones digitales en curso, DRM puede ser re-conceptualizado como compuesto por los siguientes componentes.

Una definición rigurosa de los conceptos básicos de riesgo es fundamental para una gestión eficaz del riesgo. En un entorno VUCA (definido por volatilidad, incertidumbre, complejidad y ambigüedad), existe una nueva relevancia para conceptos del siglo XX como la probabilidad epistémica (que ha sido desarrollada por la epistemología y la teoría bayesiana).

Tales conceptos abordan el desafío fundamental de razonar y tomar decisiones bajo incertidumbre en contextos digitales, donde cada fenómeno se desarrolla a partir de una configuración única e irrepetible de condiciones, fuerzas y variables en juego — cuyos efectos son a menudo no lineales y complejos de aislar.

Descomponer un riesgo en sus componentes lógicos constituyentes, y comprender sus interdependencias, permite una mejor observación, análisis y control de cada uno, ofreciendo así más oportunidades para una intervención efectiva.

Todo riesgo puede entenderse como una combinación de la probabilidad de un evento y su magnitud de efecto (en caso de que ocurra). Por ejemplo, consideremos una empresa que quiere ingresar a un nuevo segmento de mercado, y tiene la oportunidad de desplazar a un competidor ya establecido. Esta oportunidad puede conceptualizarse como el producto de la probabilidad de éxito y su magnitud de efecto (es decir, el alcance de la participación de mercado capturada).

La probabilidad de lograr el objetivo, sin embargo, depende de varios subfactores. Uno es el grado en que el objetivo es accesible o está protegido por barreras de entrada: para obtener una mejor comprensión de este aspecto, la empresa puede tratar de adquirir un conocimiento más profundo de los clientes objetivo. Otro es la confianza de la empresa en iniciar la acción, basada en un caso de negocio que sopesa beneficios, costos y riesgos (incluyendo posibles contraataques de los competidores).

Otros factores incluyen la posibilidad de tomar a los competidores por sorpresa (evitando así acciones defensivas) y las capacidades relativas y recursos movilizados tanto por la empresa como por sus competidores.

Finalmente, nótese que el efecto general de capturar exitosamente un activo puede exceder su valor intrínseco: por ejemplo, también puede mejorar la reputación de la empresa. Las redes sociales, en particular, pueden servir como poderosos amplificadores tanto de victorias como de derrotas — como suele ser el caso en los deportes, donde los fanáticos, los medios y la atención viral magnifican rápidamente el resultado de un partido.

Los controles dirigidos son específicos para cada elemento de la Descomposición Conceptual del Riesgo. Pueden ser ejercidos tanto por actores que persiguen una oportunidad (es decir, que buscan superar obstáculos y obtener acceso a algún valor) como por aquellos que se defienden contra una amenaza (es decir, que intentan evitar pérdidas o interrupciones).

En ambos casos, los controles ayudan a remodelar las probabilidades y los efectos potenciales de los escenarios de riesgo en desarrollo, transformando la gestión de riesgos en un proceso dinámico y bidireccional que se asemeja más a un juego que a un mecanismo puramente defensivo.

El proceso de gestión de riesgos abarca la identificación de riesgos, su evaluación cualitativa y cuantitativa, y la planificación y ejecución iterativa de respuestas a los riesgos, que implican el despliegue de un conjunto equilibrado de controles basados en RCD. A lo largo del proceso, la comunicación y gestión de supuestos e información relacionados con riesgos se mantienen como actividades continuas, garantizando transparencia y adaptabilidad.

La Gestión Digital de Riesgos puede operar como un proceso independiente a nivel empresarial, en operaciones comerciales y en contextos donde se adoptan enfoques no-Agile. Al mismo tiempo, en entornos Agile, debe funcionar como una técnica complementaria integrada dentro de marcos de trabajo existentes.

Agile puede considerarse intrínsecamente preocupado por la gestión de riesgos, ya que reduce progresivamente la incertidumbre iteración tras iteración[i]. Por lo tanto, las metodologías iterativas e incrementales (como Scrum o AgilePM3) pueden incorporar DRM como una capa integrativa.

Siguiendo este enfoque, los Product Owners de Scrum deben identificar riesgos especificando sus agentes y causas, los eventos de riesgo y sus efectos en los activos; luego estimarlos y evaluar su valor monetario para priorizarlos junto con otros elementos del Product Backlog. ¿Debería uno dar prioridad a un elemento del backlog que generará una ganancia garantizada de un millón en un año, o a una oportunidad que tiene un 50% de posibilidades de producir tres millones en el mismo período?

Las técnicas tradicionales, como las simulaciones de Monte Carlo, pueden utilizarse para proporcionar estimaciones precisas de la probabilidad y el efecto de cada elemento del RCD. Un Árbol de Decisión puede ayudar al Product Owner a optimizar el orden de los elementos en el Product Backlog teniendo en cuenta la naturaleza no lineal del valor.

Además, así como el refinamiento del backlog descompone historias de usuario generales en otras más específicas, los riesgos pueden descomponerse en sus múltiples causas usando Diagramas de Espina de Pescado, permitiendo así el refuerzo o mitigación dirigida de cada uno. Si sabemos qué mariposa en Brasil causará un tornado en Texas, podemos fácilmente tomarla y clavarla en la pared, evitando así el riesgo con muy poco gasto.

Durante cada sprint, los desarrolladores pueden planificar e implementar los controles proporcionados por el RCD para sus diversos elementos. Más importante aún, pueden probar el modelado de cada riesgo identificado y los controles aplicados a él, siguiendo el ciclo de Deming (Planificar, Hacer, Estudiar, Actuar).

La mente humana quiere basar las decisiones en certezas; sin embargo, en un mundo VUCA, las certezas son a menudo ilusiones. Aquellos que no logran aprender cómo gestionar riesgos no pueden competir; el remedio radica en el cambio cultural. De nuevo: imagina que una empresa invierte en un elemento del backlog que generará una ganancia garantizada de un millón en un año, mientras que otra destina sus recursos a una oportunidad que tiene un 50% de posibilidades de generar tres millones en el mismo período. ¿Cuál está mejor posicionada para sobrevivir la disrupción digital?

El beneficio principal de la Gestión de Riesgos Digitales no es la mayor efectividad en la mitigación de amenazas digitales; es la capacidad de reestructurar la empresa para aumentar su adaptabilidad y supervivencia a largo plazo.

DRM busca transformar las empresas en sistemas fractales, capaces de intercambiar continuamente información y conocimiento, y de replicar modelos operativos eficaces a través de múltiples niveles de la organización. Una empresa que practica DRM desarrolla estructuras adaptativas y autosimilares que mejoran la flexibilidad, promueven el intercambio de conocimientos y sostienen la competitividad a largo plazo, mientras también establece un marco para el modelado de riesgos y la toma de decisiones habilitados por IA.

Esta transformación estructural mejora la capacidad de la organización para el aprendizaje continuo, posicionándola para capitalizar las oportunidades digitales y lograr una ventaja competitiva sostenida.

Para construir capacidades efectivas de gestión de riesgos, las empresas pueden reutilizar métodos probados de campos como las ciencias militares y la ciberseguridad. Los ejercicios militares basados en escenarios y los equipos púrpura de ciberseguridad pueden adaptarse a contextos empresariales.

Por ejemplo, un equipo interno puede simular el ataque de un competidor, mientras que otro equipo responde arreglando las vulnerabilidades expuestas y lanzando contramedidas, y un tercer equipo desempeña el papel de los clientes, decidiendo a qué lado apoyar.

Este tipo de simulación no solo fortalece el trabajo en equipo y el pensamiento competitivo, sino que también acelera el desarrollo de una cultura de Gestión de Riesgos Digitales, una donde la resistencia, la adaptabilidad y la toma de decisiones basada en datos se vuelven integrales a la empresa.

La Gestión de Riesgos Digitales transforma la disrupción en impulso, convirtiéndola en el motor de un crecimiento efectivo y sostenible en la era digital.

[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.

[ii]  "Cuando se aplica correctamente, la agilidad en los proyectos es una forma efectiva de manejar el riesgo del proyecto – no hay necesidad ni valor en tener un proceso paralelo para 'gestionar el riesgo'." Agile Project Management v3 Reference Book, Agile Business Consortium, 2024.