Human Risk Management (HRM) vs Human Risk Intelligence (HRI)

Publicado el
March 31, 2026
Tiempo de lectura
5 min de lectura
Categoría
5 min de lectura

Human Risk Management (HRM) vs Human Risk Intelligence (HRI)

Publicado el
31 Mar 26

Si ocupas un puesto directivo en TI, cumplimiento o servicios gestionados, es probable que hayas empezado a ver el término Human Risk Intelligence (HRI) cada vez con más frecuencia.

Al principio puede sonar a un buzzword más del sector. Al fin y al cabo, la mayoría de las organizaciones ya realizan formación en concienciación sobre seguridad, simulaciones de phishing, gestión de políticas e informes sobre el riesgo humano. Eso es el Human Risk Management (HRM), y sigue desempeñando un papel importante.

Pero el HRI no es solo una nueva etiqueta para el HRM.

Es el siguiente paso.

La diferencia es sencilla: el HRM te ayuda a gestionar programas de riesgo humano. El HRI te ayuda a entender dónde se concentra el ciberriesgo humano, qué abordar primero y cómo demostrar que el riesgo realmente está disminuyendo.

Ese cambio importa ahora porque los equipos directivos plantean preguntas más exigentes, los atacantes son cada vez más sofisticados y los equipos de seguridad no pueden permitirse dedicar tiempo a actividades que quedan bien en un informe pero no reducen el riesgo de forma clara.

Lo que el HRM hace bien

El HRM sentó las bases para gestionar el lado humano del ciberriesgo.

Aportó estructura a las organizaciones. Ayudó a los equipos a automatizar la formación, ejecutar pruebas de phishing, hacer seguimiento de la aceptación de políticas e informar sobre el progreso. Para muchos responsables de TI y proveedores de servicios, eso supuso una mejora notable frente a los esfuerzos de concienciación improvisados.

El HRM es valioso porque ayuda a responder preguntas importantes:

  • ¿Los empleados completan su formación?
  • ¿Mejoran las tasas de clic en phishing?
  • ¿Se están aceptando las políticas?
  • ¿Podemos mostrar evidencias para auditorías y revisiones de cumplimiento?

Esas preguntas siguen siendo importantes.

El problema es que, por sí solas, ya no bastan.

Dónde se queda corto el HRM

El HRM tradicional suele centrarse en la actividad del programa.

Te dice qué ha ocurrido en el programa, pero no siempre dónde está la exposición real.

Por ejemplo, saber que una campaña de phishing tuvo una tasa de fallo del 6 % es útil. Pero no te dice si los usuarios de mayor riesgo se concentran en el área financiera, si además tienen una higiene de identidad débil, si cuentan con accesos privilegiados o si ayudar a un pequeño grupo podría reducir significativamente la exposición global.

Ahí está la brecha.

El HRM a menudo mide la participación, la cobertura y los resultados de las campañas. El HRI está diseñado para medir la exposición, el contexto y la mejora.

En términos prácticos, el HRM te dice que se ha producido una actividad. El HRI te ayuda a decidir qué es lo más importante.

Qué es realmente el HRI

El Human Risk Intelligence es la práctica de convertir las señales de riesgo humano en información accionable.

En lugar de analizar los datos de concienciación de forma aislada, el HRI reúne un conjunto más amplio de señales, como el comportamiento, la higiene de seguridad, los accesos y el contexto del usuario, para ofrecer una imagen más clara del riesgo.

Eso significa ayudar a los responsables a responder preguntas como:

  • ¿Qué usuarios o grupos tienen más probabilidades de ser atacados?
  • ¿Qué identidades son las más fáciles de comprometer?
  • ¿Qué cuentas causarían el mayor daño si se utilizaran de forma indebida?
  • ¿Qué factores de riesgo deberíamos abordar primero?
  • ¿Podemos demostrar que la exposición realmente está disminuyendo?

Es un modelo operativo diferente.

El HRM suele estar dirigido por el programa y ser periódico. El HRI es continuo, contextual y está dirigido por el riesgo.

__wf_reserved_inherit

HRM vs. HRI: la diferencia práctica

La forma más sencilla de entenderlo es esta:

  • El HRM consiste en ejecutar bien el programa.
  • El HRI consiste en usar ese programa, junto con otras señales, para tomar mejores decisiones de riesgo.

El HRM se centra en la ejecución: formación, phishing, políticas, informes y cobertura.

El HRI se centra en la inteligencia: priorización, explicabilidad, remediación, evidencias y reducción medible del riesgo.

Eso no hace que el HRM quede obsoleto. Hace que el HRM sea la base.

De hecho, las estrategias de HRI más sólidas se construyen sobre unas bases sólidas de HRM. Si todavía no ejecutas de forma eficaz la concienciación, las simulaciones y los flujos de trabajo de políticas, resulta mucho más difícil generar inteligencia útil a partir de ellos.

El HRI no es un rechazo del HRM. Es lo que ocurre cuando las organizaciones necesitan más de él.

HRM
Human Risk Management
HRI
Human Risk Intelligence
Enfoque principal Ejecutar la actividad de concienciación y cumplimiento Entender y reducir el ciberriesgo relacionado con las personas
Entradas principales Formación, simulaciones de phishing, datos de políticas e informes Concienciación, comportamiento, higiene, accesos y contexto del usuario
Cómo funciona Dirigido por el programa y periódico Continuo, contextual y dirigido por el riesgo
Qué muestra Actividad, participación y resultados de campañas Exposición al riesgo, factores clave y prioridades de remediación
Cómo se priorizan las acciones A menudo de forma amplia o manual Según quién y qué genera la mayor exposición
Resultados Mayor cobertura del programa y más actividad de concienciación Mejor priorización, remediación más rápida, reducción del riesgo más clara y mayor garantía de gobernanza
Cómo se mide el éxito Tasas de finalización, tasas de clic y actividad de reporting Menor exposición, controles más sólidos y mejora medible
En qué ayuda a los equipos Ejecutar y hacer seguimiento de los programas de seguridad Identificar el riesgo, priorizar correcciones y demostrar el progreso

Qué no es el HRI

Aquí es donde suele empezar la confusión, así que conviene ser directo.

  • El HRI no es formación en concienciación con un nombre más atractivo: La formación sigue importando. Las simulaciones de phishing siguen importando. La participación en las políticas sigue importando. Pero, por sí solas, no ofrecen una imagen completa del riesgo humano.
  • El HRI no es una puntuación de caja negra que nadie puede explicar: Si un directivo pregunta por qué un usuario, un grupo o un cliente se considera de alto riesgo, la respuesta debería ser clara. Un HRI eficaz hace visibles los factores de riesgo. No los oculta tras una puntuación imprecisa.
  • El HRI no es vigilancia de los empleados: El objetivo no es monitorizar a las personas por monitorizar. El objetivo es identificar una exposición de seguridad significativa y reducirla de forma responsable.
  • El HRI no es un ejercicio de sustitución total: Para la mayoría de las organizaciones y proveedores de servicios, es una evolución. Empiezas con los controles y los datos que ya tienes, y después conectas señales, mejoras la priorización y generas evidencias más sólidas de la mejora.

Por qué el HRI importa ahora

Este cambio se está produciendo por una razón.

El riesgo humano y el riesgo de identidad se han fusionado

El riesgo humano y el riesgo de identidad están hoy mucho más próximos que antes. Verizon afirma que las credenciales comprometidas fueron el vector de acceso inicial en el 22 % de las brechas, mientras que Microsoft constató que el 28 % comenzaron con phishing o ingeniería social. El mensaje es claro: las acciones humanas y la exposición de las identidades están hoy profundamente conectadas.

La IA hace que la ingeniería social sea más inteligente y más rápida

La IA hace que la ingeniería social sea más convincente y mucho más fácil de escalar. Microsoft afirma que los actores de amenazas están utilizando la IA para acelerar sus operaciones y crear señuelos más personalizados, lo que aumenta la presión sobre los equipos de seguridad para ir más allá de los esfuerzos de concienciación genéricos.

Las partes interesadas quieren pruebas, no solo actividad

La ciberseguridad es ahora una prioridad a nivel de consejo de administración. Deloitte constató que el 93 % de los comités de auditoría la sitúan entre sus tres principales preocupaciones, lo que ayuda a explicar por qué los equipos directivos quieren algo más que métricas de actividad. Quieren evidencias de que el riesgo se está reduciendo de forma medible.

Los equipos no pueden permitirse tratar todos los riesgos por igual

Los equipos de seguridad están al límite, y eso cambia la ecuación. ISC2 constató que el 33 % de las organizaciones carecen de los recursos para dotar a sus equipos adecuadamente, lo que hace aún más importante concentrar el tiempo y el esfuerzo donde más reduzcan el riesgo.

Por qué esto importa a los responsables de TI, de cumplimiento y a los MSP

Para los responsables sénior de TI, el HRI ayuda a concentrar el tiempo y el presupuesto limitados donde más reduzcan la exposición.

Para los responsables de cumplimiento y gobernanza, crea una conexión más clara entre los controles, la acción y unas evidencias de mejora defendibles.

Para los MSP y los proveedores de servicios de TI, abre una conversación más estratégica con los clientes. En lugar de informar únicamente sobre la actividad, puedes mostrar dónde se concentra el riesgo, qué se ha hecho al respecto y qué cambió como resultado. Eso permite construir un relato de QBR más sólido y una oferta de servicios más sólida a largo plazo.

En resumen

El HRM hizo avanzar el mercado. Ayudó a las organizaciones a operacionalizar el lado humano del ciberriesgo.

Pero el entorno ha cambiado.

Hoy, los responsables necesitan algo más que actividad de concienciación e informes periódicos. Necesitan contexto. Necesitan priorización. Necesitan pruebas.

Ahí es donde entra el HRI.

El HRM te ayuda a ejecutar el programa. El HRI te ayuda a entender el riesgo.

Y, ahora mismo, esa diferencia importa.

Cómo empezar con el HRI

__wf_reserved_inherit

La buena noticia es que empezar con el HRI no significa reconstruir todo tu programa desde cero.

Para la mayoría de las organizaciones, el HRI empieza por aprovechar mejor los datos, los controles y los flujos de trabajo que ya tienen. El objetivo no es reemplazar el HRM. Es construir sobre él.

Empieza por las señales que ya tienes

La mayoría de las organizaciones ya disponen de datos útiles sobre el riesgo humano. La participación en la formación, los resultados de phishing, la aceptación de políticas, la higiene de identidad, la adopción de MFA y los niveles de acceso pueden contribuir a ofrecer una imagen más clara del riesgo. El primer paso es reunir esas señales en lugar de revisarlas de forma aislada.

Céntrate en los riesgos más importantes

El HRI funciona mejor cuando empieza por la priorización. En lugar de intentar medirlo todo a la vez, céntrate en las áreas que podrían generar la mayor exposición. Eso puede significar usuarios privilegiados, empleados del área financiera, usuarios con una higiene de identidad débil o grupos que muestran de forma reiterada comportamientos de riesgo.

Conecta la actividad con la exposición real

Un buen enfoque de HRI va más allá de si alguien completó una formación o hizo clic en un correo de phishing. Se pregunta qué significan esas señales en su contexto. ¿Es fácil comprometer a este usuario? ¿Tiene acceso a sistemas sensibles? ¿Reduciría un riesgo significativo mejorar a este grupo? Ahí es donde la inteligencia empieza a ser útil.

Mide la mejora, no solo la participación

El objetivo no es solo demostrar que se ha producido una actividad. Es demostrar que el riesgo está disminuyendo. Eso implica hacer seguimiento de si los usuarios adecuados están mejorando, de si las exposiciones clave se están reduciendo y de si las intervenciones tienen un impacto medible a lo largo del tiempo.

Construye a partir de ahí

No necesitas un modelo perfecto desde el primer día. Los programas de HRI más eficaces suelen empezar de forma modesta, demostrar valor rápidamente y mejorar con el tiempo. Lo más importante es pasar de un reporting de actividad amplio a una toma de decisiones más clara y más dirigida por el riesgo.

Suscríbete al boletín

Suscríbete al boletín

Al hacer clic en Suscríbete, confirmas que aceptas nuestros términos y condiciones.
¡Gracias! Tu envío ha sido recibido!
¡Ups! Algo salió mal al enviar el formulario.

Descubre cómo las empresas de servicios profesionales reducen el riesgo humano con usecure

Descubre cómo los equipos de TI de servicios profesionales usan usecure para proteger los datos confidenciales de sus clientes, mantener el cumplimiento normativo y salvaguardar su reputación, sin interrumpir el trabajo facturable.