Si ocupas un puesto directivo en TI, cumplimiento o servicios gestionados, es probable que hayas empezado a ver el término Human Risk Intelligence (HRI) cada vez con más frecuencia.
Al principio puede sonar a un buzzword más del sector. Al fin y al cabo, la mayoría de las organizaciones ya realizan formación en concienciación sobre seguridad, simulaciones de phishing, gestión de políticas e informes sobre el riesgo humano. Eso es el Human Risk Management (HRM), y sigue desempeñando un papel importante.
Pero el HRI no es solo una nueva etiqueta para el HRM.
Es el siguiente paso.
La diferencia es sencilla: el HRM te ayuda a gestionar programas de riesgo humano. El HRI te ayuda a entender dónde se concentra el ciberriesgo humano, qué abordar primero y cómo demostrar que el riesgo realmente está disminuyendo.
Ese cambio importa ahora porque los equipos directivos plantean preguntas más exigentes, los atacantes son cada vez más sofisticados y los equipos de seguridad no pueden permitirse dedicar tiempo a actividades que quedan bien en un informe pero no reducen el riesgo de forma clara.
Lo que el HRM hace bien
El HRM sentó las bases para gestionar el lado humano del ciberriesgo.
Aportó estructura a las organizaciones. Ayudó a los equipos a automatizar la formación, ejecutar pruebas de phishing, hacer seguimiento de la aceptación de políticas e informar sobre el progreso. Para muchos responsables de TI y proveedores de servicios, eso supuso una mejora notable frente a los esfuerzos de concienciación improvisados.
El HRM es valioso porque ayuda a responder preguntas importantes:
- ¿Los empleados completan su formación?
- ¿Mejoran las tasas de clic en phishing?
- ¿Se están aceptando las políticas?
- ¿Podemos mostrar evidencias para auditorías y revisiones de cumplimiento?
Esas preguntas siguen siendo importantes.
El problema es que, por sí solas, ya no bastan.
Dónde se queda corto el HRM
El HRM tradicional suele centrarse en la actividad del programa.
Te dice qué ha ocurrido en el programa, pero no siempre dónde está la exposición real.
Por ejemplo, saber que una campaña de phishing tuvo una tasa de fallo del 6 % es útil. Pero no te dice si los usuarios de mayor riesgo se concentran en el área financiera, si además tienen una higiene de identidad débil, si cuentan con accesos privilegiados o si ayudar a un pequeño grupo podría reducir significativamente la exposición global.
Ahí está la brecha.
El HRM a menudo mide la participación, la cobertura y los resultados de las campañas. El HRI está diseñado para medir la exposición, el contexto y la mejora.
En términos prácticos, el HRM te dice que se ha producido una actividad. El HRI te ayuda a decidir qué es lo más importante.
Qué es realmente el HRI
El Human Risk Intelligence es la práctica de convertir las señales de riesgo humano en información accionable.
En lugar de analizar los datos de concienciación de forma aislada, el HRI reúne un conjunto más amplio de señales, como el comportamiento, la higiene de seguridad, los accesos y el contexto del usuario, para ofrecer una imagen más clara del riesgo.
Eso significa ayudar a los responsables a responder preguntas como:
- ¿Qué usuarios o grupos tienen más probabilidades de ser atacados?
- ¿Qué identidades son las más fáciles de comprometer?
- ¿Qué cuentas causarían el mayor daño si se utilizaran de forma indebida?
- ¿Qué factores de riesgo deberíamos abordar primero?
- ¿Podemos demostrar que la exposición realmente está disminuyendo?
Es un modelo operativo diferente.
El HRM suele estar dirigido por el programa y ser periódico. El HRI es continuo, contextual y está dirigido por el riesgo.
%20-%20Assets%20(1).png)
HRM vs. HRI: la diferencia práctica
La forma más sencilla de entenderlo es esta:
- El HRM consiste en ejecutar bien el programa.
- El HRI consiste en usar ese programa, junto con otras señales, para tomar mejores decisiones de riesgo.
El HRM se centra en la ejecución: formación, phishing, políticas, informes y cobertura.
El HRI se centra en la inteligencia: priorización, explicabilidad, remediación, evidencias y reducción medible del riesgo.
Eso no hace que el HRM quede obsoleto. Hace que el HRM sea la base.
De hecho, las estrategias de HRI más sólidas se construyen sobre unas bases sólidas de HRM. Si todavía no ejecutas de forma eficaz la concienciación, las simulaciones y los flujos de trabajo de políticas, resulta mucho más difícil generar inteligencia útil a partir de ellos.
El HRI no es un rechazo del HRM. Es lo que ocurre cuando las organizaciones necesitan más de él.
|
HRM Human Risk Management |
HRI Human Risk Intelligence |
|
|---|---|---|
| Enfoque principal | Ejecutar la actividad de concienciación y cumplimiento | Entender y reducir el ciberriesgo relacionado con las personas |
| Entradas principales | Formación, simulaciones de phishing, datos de políticas e informes | Concienciación, comportamiento, higiene, accesos y contexto del usuario |
| Cómo funciona | Dirigido por el programa y periódico | Continuo, contextual y dirigido por el riesgo |
| Qué muestra | Actividad, participación y resultados de campañas | Exposición al riesgo, factores clave y prioridades de remediación |
| Cómo se priorizan las acciones | A menudo de forma amplia o manual | Según quién y qué genera la mayor exposición |
| Resultados | Mayor cobertura del programa y más actividad de concienciación | Mejor priorización, remediación más rápida, reducción del riesgo más clara y mayor garantía de gobernanza |
| Cómo se mide el éxito | Tasas de finalización, tasas de clic y actividad de reporting | Menor exposición, controles más sólidos y mejora medible |
| En qué ayuda a los equipos | Ejecutar y hacer seguimiento de los programas de seguridad | Identificar el riesgo, priorizar correcciones y demostrar el progreso |
Qué no es el HRI
Aquí es donde suele empezar la confusión, así que conviene ser directo.
- El HRI no es formación en concienciación con un nombre más atractivo: La formación sigue importando. Las simulaciones de phishing siguen importando. La participación en las políticas sigue importando. Pero, por sí solas, no ofrecen una imagen completa del riesgo humano.
- El HRI no es una puntuación de caja negra que nadie puede explicar: Si un directivo pregunta por qué un usuario, un grupo o un cliente se considera de alto riesgo, la respuesta debería ser clara. Un HRI eficaz hace visibles los factores de riesgo. No los oculta tras una puntuación imprecisa.
- El HRI no es vigilancia de los empleados: El objetivo no es monitorizar a las personas por monitorizar. El objetivo es identificar una exposición de seguridad significativa y reducirla de forma responsable.
- El HRI no es un ejercicio de sustitución total: Para la mayoría de las organizaciones y proveedores de servicios, es una evolución. Empiezas con los controles y los datos que ya tienes, y después conectas señales, mejoras la priorización y generas evidencias más sólidas de la mejora.
Por qué el HRI importa ahora
Este cambio se está produciendo por una razón.
El riesgo humano y el riesgo de identidad se han fusionado
El riesgo humano y el riesgo de identidad están hoy mucho más próximos que antes. Verizon afirma que las credenciales comprometidas fueron el vector de acceso inicial en el 22 % de las brechas, mientras que Microsoft constató que el 28 % comenzaron con phishing o ingeniería social. El mensaje es claro: las acciones humanas y la exposición de las identidades están hoy profundamente conectadas.
La IA hace que la ingeniería social sea más inteligente y más rápida
La IA hace que la ingeniería social sea más convincente y mucho más fácil de escalar. Microsoft afirma que los actores de amenazas están utilizando la IA para acelerar sus operaciones y crear señuelos más personalizados, lo que aumenta la presión sobre los equipos de seguridad para ir más allá de los esfuerzos de concienciación genéricos.
Las partes interesadas quieren pruebas, no solo actividad
La ciberseguridad es ahora una prioridad a nivel de consejo de administración. Deloitte constató que el 93 % de los comités de auditoría la sitúan entre sus tres principales preocupaciones, lo que ayuda a explicar por qué los equipos directivos quieren algo más que métricas de actividad. Quieren evidencias de que el riesgo se está reduciendo de forma medible.
Los equipos no pueden permitirse tratar todos los riesgos por igual
Los equipos de seguridad están al límite, y eso cambia la ecuación. ISC2 constató que el 33 % de las organizaciones carecen de los recursos para dotar a sus equipos adecuadamente, lo que hace aún más importante concentrar el tiempo y el esfuerzo donde más reduzcan el riesgo.
Por qué esto importa a los responsables de TI, de cumplimiento y a los MSP
Para los responsables sénior de TI, el HRI ayuda a concentrar el tiempo y el presupuesto limitados donde más reduzcan la exposición.
Para los responsables de cumplimiento y gobernanza, crea una conexión más clara entre los controles, la acción y unas evidencias de mejora defendibles.
Para los MSP y los proveedores de servicios de TI, abre una conversación más estratégica con los clientes. En lugar de informar únicamente sobre la actividad, puedes mostrar dónde se concentra el riesgo, qué se ha hecho al respecto y qué cambió como resultado. Eso permite construir un relato de QBR más sólido y una oferta de servicios más sólida a largo plazo.
En resumen
El HRM hizo avanzar el mercado. Ayudó a las organizaciones a operacionalizar el lado humano del ciberriesgo.
Pero el entorno ha cambiado.
Hoy, los responsables necesitan algo más que actividad de concienciación e informes periódicos. Necesitan contexto. Necesitan priorización. Necesitan pruebas.
Ahí es donde entra el HRI.
El HRM te ayuda a ejecutar el programa. El HRI te ayuda a entender el riesgo.
Y, ahora mismo, esa diferencia importa.
Cómo empezar con el HRI
%20-%20Assets.png)
La buena noticia es que empezar con el HRI no significa reconstruir todo tu programa desde cero.
Para la mayoría de las organizaciones, el HRI empieza por aprovechar mejor los datos, los controles y los flujos de trabajo que ya tienen. El objetivo no es reemplazar el HRM. Es construir sobre él.
Empieza por las señales que ya tienes
La mayoría de las organizaciones ya disponen de datos útiles sobre el riesgo humano. La participación en la formación, los resultados de phishing, la aceptación de políticas, la higiene de identidad, la adopción de MFA y los niveles de acceso pueden contribuir a ofrecer una imagen más clara del riesgo. El primer paso es reunir esas señales en lugar de revisarlas de forma aislada.
Céntrate en los riesgos más importantes
El HRI funciona mejor cuando empieza por la priorización. En lugar de intentar medirlo todo a la vez, céntrate en las áreas que podrían generar la mayor exposición. Eso puede significar usuarios privilegiados, empleados del área financiera, usuarios con una higiene de identidad débil o grupos que muestran de forma reiterada comportamientos de riesgo.
Conecta la actividad con la exposición real
Un buen enfoque de HRI va más allá de si alguien completó una formación o hizo clic en un correo de phishing. Se pregunta qué significan esas señales en su contexto. ¿Es fácil comprometer a este usuario? ¿Tiene acceso a sistemas sensibles? ¿Reduciría un riesgo significativo mejorar a este grupo? Ahí es donde la inteligencia empieza a ser útil.
Mide la mejora, no solo la participación
El objetivo no es solo demostrar que se ha producido una actividad. Es demostrar que el riesgo está disminuyendo. Eso implica hacer seguimiento de si los usuarios adecuados están mejorando, de si las exposiciones clave se están reduciendo y de si las intervenciones tienen un impacto medible a lo largo del tiempo.
Construye a partir de ahí
No necesitas un modelo perfecto desde el primer día. Los programas de HRI más eficaces suelen empezar de forma modesta, demostrar valor rápidamente y mejorar con el tiempo. Lo más importante es pasar de un reporting de actividad amplio a una toma de decisiones más clara y más dirigida por el riesgo.
Suscríbete al boletín
Descubre cómo las empresas de servicios profesionales reducen el riesgo humano con usecure
Descubre cómo los equipos de TI de servicios profesionales usan usecure para proteger los datos confidenciales de sus clientes, mantener el cumplimiento normativo y salvaguardar su reputación, sin interrumpir el trabajo facturable.
Entradas relacionadas
Descubre más análisis, novedades y recursos de usecure.
%20(1).png)
.avif)
%20(1).png)

