O ano 2025 puxo de manifesto que unha avaliación incorrecta do risco constitúe, por si mesma, un risco significativo.
A xestión do risco empresarial e tecnolóxico experimentou unha transformación profunda respecto dos modelos empregados hai apenas cinco anos. A xeneralización da automatización, o uso crecente da intelixencia artificial Ctanto por actores lexítimos como maliciosos— e o incremento das esixencias regulatorias no ámbito europeo obrigaron a revisar os enfoques tradicionais de avaliación das ameazas, dos impactos e da priorización de investimentos.
Neste contexto, persiste unha dificultade relevante: moitas organizacións continúan medindo aqueles aspectos que resultan máis sinxelos de cuantificar, en lugar daqueles que reflicten con maior fidelidade a exposición real ao risco. Esta aproximación resulta cada vez menos axeitada para contornas dinámicas e altamente interconectadas.
De cara a 2026, as funcións de ciberseguridade con maior grao de madurez deberán incorporar métricas que permitan comprender o risco de forma continua, obxectiva e baseada en evidencias, superando enfoques excesivamente estáticos ou cualitativos.
A continuación descríbense sete métricas clave que permiten avanzar cara a unha xestión do risco máis aliñada coa realidade operativa actual.
1. Tempo de materialización do risco (Time-to-Exploit)
Unha das métricas máis relevantes e, con frecuencia, menos consideradas.
Durante 2025, o intervalo entre a divulgación dunha vulnerabilidade e a súa explotación efectiva reduciuse de maneira significativa:
- De prazos próximos aos 90 días a rangos medios de 48–72 horas.
- En escenarios de explotación automatizada, mesmo por baixo das 6 horas.
O tempo dispoñible para actuar condiciona a prioridade real de mitigación. A ausencia desta métrica dificulta a adopción de decisións oportunas.
2. Risco residual dinámico
O uso de modelos de risco residual revisados unicamente de forma anual resulta insuficiente no contexto actual.
O risco residual debería recalcularse automaticamente ante cambios relevantes, tales como:
- a aparición de novas ameazas,
- modificacións na exposición dos activos,
- a incorporación ou deterioración de controis,
- a detección de explotación activa.
A evolución cara a modelos de risco dinámicos constitúe unha tendencia clave de cara a 2026.
3. Cobertura real de telemetría (Detection Coverage Rate)
A dispoñibilidade de ferramentas como SIEM ou EDR non garante, por si soa, unha visibilidade efectiva.
A métrica relevante é a porcentaxe de activos críticos que xeran sinais suficientes para permitir unha detección temperá.
En análises posteriores a incidentes, esta cobertura adoita situarse en valores inferiores aos esperados.
Conclusión: sen visibilidade axeitada, a capacidade de detección e resposta vese seriamente limitada.
4. Eficacia real dos controis (Control Effectiveness Score)
A existencia formal dun control non implica necesariamente o seu funcionamento efectivo.
Exemplos habituais observados durante 2025 inclúen:
- autenticación multifactor despregada de maneira parcial,
- procesos de parcheo incompletos en sistemas críticos,
- copias de seguridade non verificadas de forma periódica.
A medición da eficacia dos controis debe basearse en evidencias obxectivas.
5. Débeda de risco (Risk Debt)
O adiamento das accións de mitigación xera unha acumulación progresiva de risco, incrementando:
- a superficie de exposición,
- o número de actores capaces de explotala,
- o impacto regulatorio e reputacional,
- a probabilidade de materialización.
Esta métrica facilita a comunicación cos órganos de dirección e a priorización de recursos.
6. Índice de fricción organizativa (Organizational Friction Index)
Numerosos incidentes recentes puxeron de relevo que os principais obstáculos para a ciberseguridade non son exclusivamente tecnolóxicos, senón organizativos.
A fricción maniféstase, entre outros aspectos, cando se retrasan decisións, se bloquean cambios necesarios ou existen desaxustes entre áreas técnicas e de negocio.
Medir esta fricción permite avaliar a capacidade real de resposta da organización.
7. Velocidade do risco emerxente (Emerging Risk Velocity)
Ademais de identificar riscos emerxentes, resulta necesario avaliar a rapidez coa que evolucionan.
Exemplos recentes inclúen:
- o uso de intelixencia artificial xerativa para automatizar ataques,
- o emprego de deepfakes en fraudes corporativos,
- compromisos masivos de accesos remotos,
- riscos derivados de dependencias críticas na cadea de subministración dixital.
A velocidade do risco condiciona directamente a urxencia da actuación.
Os incidentes de maior impacto rexistrados nos últimos anos non se produciron, en moitos casos, pola ausencia de controis, senón pola falta de métricas que permitan avaliar a súa eficacia real.
Unha xestión do risco baseada en indicadores axeitados facilita a anticipación, mellora a toma de decisións e contribúe a reforzar a resiliencia das organizacións fronte a ameazas cada vez máis dinámicas.
