El riesgo tecnológico empieza a medirse en dinero, no en escalas técnicas
La señal
Las organizaciones empiezan a dejar atrás las evaluaciones de riesgo con escalas técnicas aisladas y a conectar cada vulnerabilidad directamente con su consecuencia de negocio: pérdida financiera, retraso operativo o exposición regulatoria.
El supuesto que se rompe
Se asumía que una calificación técnica de severidad, una vulnerabilidad “crítica” o con puntaje alto, era suficiente para que la dirección de una empresa entendiera qué tan grave era el riesgo. La misma calificación puede ser irrelevante en un sistema y catastrófica en otro, dependiendo de qué proceso de negocio depende de él.
Qué observar
Si los reportes de riesgo que recibe la dirección conectan cada hallazgo técnico con una cifra o una consecuencia de negocio concreta, o si se quedan en una escala que solo el equipo técnico entiende.