Finanzas, TI y ciberseguridad el equipo clave del riesgo empresarial

En muchas organizaciones, la gestión del riesgo se ha discutido durante décadas en el mismo lenguaje: riesgo de mercado, riesgo de crédito, riesgo de liquidez, riesgo geopolítico. Para los directores financieros, estos conceptos forman parte natural de la toma de decisiones estratégicas. Sin embargo, a medida que las operaciones empresariales se digitalizan y los activos críticos se trasladan a entornos tecnológicos, una parte cada vez más relevante del riesgo corporativo se encuentra en la infraestructura tecnológica que sostiene el negocio. 

En ese escenario, los CFOs desempeñan un papel clave en la conversación sobre ciberseguridad y gestión de riesgo tecnológico, no como actores secundarios, sino como parte de un equipo ejecutivo que integra finanzas, tecnología y seguridad.

John Watters, director independiente de Batuta, lo expresó con claridad cuando habla de la cultura del riesgo en el mundo financiero. Para quienes provienen de ese entorno, gestionar riesgos es una disciplina cotidiana. Se analizan probabilidades, impactos y escenarios de exposición de forma constante. En ciberseguridad, explica, durante muchos años esa mentalidad no estuvo presente. Hoy el concepto de riesgo es cada vez más central, pero muchas organizaciones aún enfrentan una brecha importante: no saben cómo gestionarlo de forma sistemática. “No puedes gestionar lo que no puedes medir, y no puedes medir lo que no puedes ver”, señala Watters. La visibilidad se convierte así en el primer paso para transformar la seguridad tecnológica en un proceso de gestión real del riesgo empresarial.

Ese principio conecta directamente con una de las metodologías más relevantes que aborda la exposición digital: el enfoque Continuous Threat Exposure Management (CTEM), desarrollado por Gartner. En lugar de tratar la seguridad como una serie de proyectos aislados o auditorías puntuales, CTEM propone un ciclo continuo de descubrimiento, evaluación, priorización y mitigación de amenazas. La exposición al riesgo, por lo tanto, también es dinámica.

En este punto es donde la colaboración entre finanzas, tecnología y seguridad se vuelve central porque el CFO entiende la exposición financiera del negocio, el equipo de TI conoce la arquitectura tecnológica y el área de ciberseguridad identifica las amenazas que pueden afectar a esa infraestructura. Cuando estas tres funciones trabajan de forma coordinada, la organización adquiere una capacidad mucho más sólida para comprender su riesgo digital y gestionarlo de manera estratégica.

Para lograrlo, el primer paso sigue siendo la visibilidad. Watters explica que la base de cualquier modelo de gestión del riesgo tecnológico es saber exactamente qué controles de seguridad existen, dónde están desplegados y si están funcionando correctamente. Esto implica tener claridad sobre cuántos dispositivos forman parte del entorno tecnológico, qué herramientas de seguridad están activas en ellos y si existe una alineación real entre el inventario de TI y las políticas de seguridad. Sin esa capa de visibilidad y gestión, cualquier intento de administrar vulnerabilidades o amenazas se vuelve incompleto.

A partir de esa base, la organización puede avanzar hacia una operación más madura. La visibilidad permite centralizar funciones como la gestión de parches, el monitoreo de vulnerabilidades y el análisis de amenazas. Con esa información consolidada, los equipos pueden evaluar la efectividad de los controles de seguridad existentes. Esa evolución permite escalar gradualmente desde la operación técnica hacia niveles más estratégicos de análisis de riesgo cibernético y riesgo tecnológico, integrando finalmente estas evaluaciones dentro de la gestión global del riesgo empresarial.

Para los CFOs, esta evolución tiene implicaciones directas. Una gran parte de la exposición al riesgo de una organización no aparece en los reportes financieros tradicionales. Un incidente de seguridad puede generar pérdidas económicas significativas, interrupciones operativas, sanciones regulatorias o daño reputacional. En muchos casos, los puntos más vulnerables se encuentran en los endpoints de la organización: laptops, estaciones de trabajo y dispositivos que conectan a los empleados con los sistemas centrales. Cada uno de ellos representa una posible puerta de entrada para un ataque.

Uno de los desafíos más importantes para la dirección financiera es que estos riesgos suelen permanecer invisibles dentro de los ciclos tradicionales de auditoría. Entre una auditoría y la siguiente pueden aparecer fallas de seguridad que pasan desapercibidas hasta que ya han causado un impacto. Las herramientas de protección de endpoints pueden quedar desactualizadas o desconectadas sin que se detecte oportunamente. Incluso el inventario completo de dispositivos puede fragmentarse, dejando activos fuera de las políticas de seguridad sin que exista evidencia para demostrar cumplimiento frente a un regulador.

En ese contexto, las plataformas que permiten monitorear continuamente la postura de seguridad tecnológica se convierten en un instrumento estratégico para la gestión del riesgo empresarial. Soluciones como Batuta buscan precisamente traducir la complejidad técnica de la ciberseguridad en información accionable para la dirección. Al ofrecer visibilidad constante sobre la protección de endpoints, el estado de los controles de seguridad y la cobertura real de las herramientas implementadas, estas plataformas permiten identificar exposiciones antes de que se conviertan en incidentes que afecten las operaciones o generen obligaciones regulatorias.

Además de fortalecer la prevención, esta visibilidad reduce fricciones en los procesos de auditoría y cumplimiento. La disponibilidad de evidencia estructurada y reportes exportables facilita la preparación de auditorías regulatorias y certificaciones de seguridad, disminuyendo el tiempo y los recursos necesarios para recopilar información. También ofrece transparencia sobre la inversión en ciberseguridad, permitiendo que la dirección evalúe si las tecnologías implementadas realmente están funcionando como se espera o si existen brechas de cobertura que requieren atención.

Para la supervisión ejecutiva, contar con estas métricas en indicadores claros resulta muy valioso. El resultado es una dinámica organizacional distinta. La gestión del riesgo digital deja de ser responsabilidad exclusiva del área de seguridad y pasa a convertirse en una conversación estratégica entre finanzas, tecnología y ciberseguridad. Cuando estas tres funciones operan de manera coordinada, la organización desarrolla una capacidad mucho más sólida para anticipar amenazas, priorizar inversiones de protección y proteger la continuidad del negocio. Juntos forman el núcleo de gestión del riesgo que las organizaciones necesitan para operar con resiliencia en la economía digital.