Cómo calcular la puntuación de riesgo humano (Metodología manual de HRM)
Descubre la metodología manual para cuantificar el riesgo de tus colaboradores. Cumple con NIS2, justifica tu presupuesto con el ROSI y mitiga amenazas.

El rigor regulatorio de la Directiva NIS2 traslada de forma directa el ciberriesgo desde la sala de servidores hasta el consejo de administración, exigiendo un enfoque estrictamente cuantitativo para calcular la puntuación de riesgo humano. Bajo el marco de la Directiva NIS2, específicamente en su Artículo 20, los órganos de dirección asumen la obligatoriedad legal de participar en sesiones de concienciación y supervisar las medidas proactivas de control. Implementar una metodología clara aporta los datos objetivos que la alta dirección requiere para evaluar la madurez de su cultura de seguridad y demostrar la debida diligencia ante las autoridades supervisoras (como INCIBE o las autoridades nacionales de control) antes de dar el paso hacia la orquestación automatizada de la plataforma.
Durante años, la dirección general ha percibido la ciberseguridad como un centro de costes técnicos en lugar de un activo estratégico para la continuidad de negocio. Sin embargo, la gestión del riesgo factor humano o Human Risk Management (HRM) demuestra que las métricas tradicionales de participación pasiva no reflejan la resiliencia real. Informes globales de referencia, como el Verizon Data Breach Investigations Report, confirman de manera sistemática que el factor humano interviene en aproximadamente el 68% de las brechas de seguridad. Esta realidad empuja a los líderes de seguridad a plantearse preguntas directas: ¿cómo afecta la normativa a la supervisión del personal y qué indicadores del factor humano debemos priorizar? La respuesta reside en la rendición de cuentas y en el despliegue de métricas que evidencien que la organización mitiga de forma activa sus vulnerabilidades internas.
Adoptar una metodología de ciberriesgo manual constituye el primer paso indispensable para comprender el nivel de exposición real. Al cuantificar el comportamiento operativo en lugar de medir la simple asistencia a lecturas estáticas, la empresa evoluciona desde una defensa reactiva hacia una postura de anticipación basada en datos. Para navegar por estos requisitos legales con seguridad, resulta vital consultar una guía estratégica sobre el cumplimiento normativo en simulaciones que clarifique cómo encajan las métricas de comportamiento dentro del marco del RGPD y de la regulación DORA (esta última aplicable de forma estricta a entidades financieras y proveedores tecnológicos altamente críticos).
Establecer un scoring nítido no tiene como único fin evitar sanciones económicas o la inhabilitación temporal de los administradores; representa la vía para activar un cortafuegos humano capaz de salvaguardar la reputación corporativa frente a amenazas dirigidas a la identidad de los colaboradores.
La fórmula de riesgo fundamental: Riesgo = Probabilidad x Impacto
La gestión proactiva del riesgo traduce la teoría de control en un sistema operativo mediante la ecuación: Riesgo = Probabilidad x Impacto. Esta metodología estructural permite cuantificar el factor humano multiplicando la frecuencia estadística de que un colaborador desencadene un incidente por la gravedad potencial que dicho evento causaría en la infraestructura de la empresa. Mediante la aplicación de este algoritmo, puedes transformar las observaciones cualitativas subjetivas en un sistema de scoring auditable alineado con las exigencias regulatorias europeas.
Para mantener el máximo rigor profesional, esta metodología de ciberseguridad debe estructurarse siguiendo los estándares de la norma ISO/IEC 27005:2022 para la gestión de riesgos de seguridad de la información. Este marco internacional asegura que tu mapa de calor sea consistente, repetible y apto para superar auditorías oficiales. Cuando el comité directivo plantea la pregunta de "¿cómo evaluar el riesgo digital de las personas de forma objetiva?", la respuesta exige desglosar metódicamente las dos variables de nuestra fórmula de riesgo:
Riesgo(R)=Probabilidad(P)×Impacto(I)
Definir la Probabilidad (P)
En el ecosistema del Human Risk Management (HRM), la probabilidad no se basa en intuiciones; se calcula evaluando el comportamiento observable y el nivel de exposición digital de la plantilla. Para determinar un factor de probabilidad exacto, debes analizar de forma continua:
- Resiliencia histórica en simulaciones: Datos extraídos de una guía completa de simulación de ataques. Registra la frecuencia con la que un colaborador o área de negocio hace clic en enlaces sospechosos o, de forma positiva, cuántos de ellos notifican la amenaza.
- Exposición externa de identidades: El volumen de cuentas corporativas comprometidas y filtradas en la dark web, un factor monitorizado mediante herramientas de escaneo como el Account Breach Scanner (ABS).
- Precursores psicológicos y situacionales: Variables del clima laboral como la fatiga digital o el burnout, que multiplican estadísticamente la posibilidad de un error involuntario.
Evaluar el Impacto (I)
El impacto aísla el radio de explosión operativa y la parálisis que provocaría la suplantación o el compromiso de una cuenta específica. Dado que los colaboradores manejan diferentes niveles de acceso, la puntuación de riesgo final debe ponderarse según:
- Criticidad del rol funcional: Un fallo en el departamento financiero o en el equipo de administración de sistemas (DevOps) introduce un riesgo de negocio drásticamente superior al de un puesto operativo sin privilegios.
- Nivel de acceso a la información: Determina si el perfil maneja datos altamente sensibles, activos financieros o información confidencial regulada por el RGPD (Personally Identifiable Information o PII).
- Conectividad técnica: Evalúa el nivel de integración y permisos que posee la cuenta dentro de la arquitectura de red y sistemas centrales de la compañía.
Indicadores clave para cuantificar el factor humano
Calcular la puntuación de riesgo humano exige descartar los indicadores pasivos de visualización y concentrar los esfuerzos en métricas del factor humano de alta fidelidad, como la tasa de reporte, la exposición externa de credenciales y el estado de alerta cognitivo. Una metodología de ciberriesgo madura prioriza la capacidad activa del colaborador para detectar y notificar anomalías, ya que la detección proactiva es la evidencia primaria de un cortafuegos humano robusto.
Para presentar un informe de control comprensible ante la alta dirección y justificar las acciones estratégicas, debes recolectar evidencias empíricas en las siguientes tres dimensiones operativas:
Resiliencia ante simulaciones de ingeniería social
Evaluar el comportamiento en contextos realistas mediante simulaciones multivector (phishing, vishing, smishing o códigos QR maliciosos) ofrece la métrica más directa del cambio conductual. Aunque la mayoría de los programas tradicionales miden únicamente la tasa de fallo o clic, el indicador de resiliencia más fiable es el ratio de reporte: colaboradores que notifican la amenaza frente a colaboradores que interactúan de forma ingenua con el engaño. Una tasa de reporte al alza demuestra que la cultura de seguridad está evolucionando hacia una defensa activa. Cruzar estos datos con las últimas tendencias de phishing avanzado e ingeniería social con IA garantiza que los entrenamientos de la plantilla simulen de forma fiel las amenazas del mercado real.
Exposición externa de credenciales corporativas
El riesgo operativo de la empresa extendida no se limita a las acciones dentro de la red corporativa; incluye la superficie de ataque creada por identidades comprometidas en plataformas de terceros.
- Fugas de identidad: Utiliza un escáner de brechas de cuentas o Account Breach Scanner (ABS) para monitorizar de manera automatizada qué correos corporativos se encuentran expuestos en bases de datos filtradas.
- Vulnerabilidad de accesos: Un volumen elevado de credenciales expuestas en un departamento específico activa una alerta inmediata para forzar la rotación de contraseñas independientes o reforzar el doble factor de autenticación (MFA).
- Ponderación del scoring: La exposición de una cuenta con privilegios elevados debe penalizar con mayor severidad el cálculo final de la fórmula de riesgo del departamento afectado.
Presión psicosocial y fatiga digital
La seguridad de la información está estrechamente unida al bienestar emocional de la plantilla. El estrés crónico, la sobrecarga de tareas y el burnout actúan como multiplicadores de fuerza estadísticos para el error humano involuntario. La fatiga disminuye la capacidad de atención y el estado de alerta del colaborador, haciéndolo significativamente más vulnerable a las tácticas psicológicas de manipulación (urgencia, autoridad) de la ingeniería social. El ENISA Threat Landscape 2025 subraya que la ingeniería social a menudo explota situaciones de alto estrés. Medir el clima laboral de forma anonimizada y agregada proporciona la inteligencia predictiva necesaria para intervenir de forma preventiva en las áreas más expuestas.
Manual paso a paso: Metodología de puntuación manual
Para calcular la puntuación de riesgo humano de forma manual, debes aplicar una metodología secuencial basada en la segmentación de la plantilla por niveles de exposición, la cuantificación multivariable de conductas y la normalización de los datos en un índice de riesgo organizacional. Este enfoque cuantitativo transforma las percepciones abstractas en indicadores del factor humano accionables y auditables, facilitando las evidencias de debida diligencia que exigen los reguladores de la directiva NIS2.
Aunque la automatización es el objetivo final para lograr una supervisión continua, ejecutar este proceso manual dota al CISO del criterio estratégico necesario para calibrar el algoritmo de control. Sigue estos tres pasos operativos:
Paso 1: Segmentación funcional y mapeo de activos
Divide tu fuerza laboral en grupos homogéneos según su nivel de privilegios técnicos y el impacto potencial de un incidente en sus puestos de trabajo:
- Niveles de riesgo discretos: Agrupa a los colaboradores en niveles funcionales (ej. Nivel 1: Personal administrativo general; Nivel 2: Finanzas, Recursos Humanos y Legal; Nivel 3: Administradores de sistemas, DevOps y Dirección Ejecutiva).
- Asignación de criticidad: Determina el valor de los activos de información y sistemas a los que accede cada grupo. Una brecha en el Nivel 3 paralizará los servicios críticos de la compañía, provocando consecuencias de negocio graves, mientras que un evento en el Nivel 1 tendrá un impacto acotado.
Paso 2: Cuantificación numérica variables (Escala 1 a 5)
Asigna valores numéricos estandarizados a las dos variables de nuestra fórmula de riesgo para cada segmento definido:
- Factor de Probabilidad (P): Basado en la frecuencia de comportamiento. Asigna un «1» a aquellos que notifican amenazas de forma constante y un «5» a los que fallan con frecuencia en tu guía completa sobre simulaciones de phishing y concienciación.
- Factor de Impacto (I): Determina el daño potencial en base a los datos que manejan. Un '1' representa acceso limitado a información no crítica; un '5' se reserva para perfiles con control total de producción, accesos maestros o datos confidenciales de alta sensibilidad.
- Cálculo base: Multiplica el valor de Probabilidad por el de Impacto (P×I) para cada grupo o colaborador, obteniendo un scoring bruto que refleja su nivel de exposición real.
Paso 3: Normalización de resultados e identificación de áreas críticas
Transforma las puntuaciones individuales en inteligencia agregada para la toma de decisiones del comité directivo:
- Scoring departamental: Calcula la media de las puntuaciones de riesgo dentro de cada departamento para identificar con precisión los mapas de calor o "risk hotspots" de la organización.
- Conversión a índice: Normaliza las puntuaciones brutas en una escala estándar de 0 a 100 o de 1 a 10. Esta métrica visual facilita el seguimiento continuo del ROSI (Return of Security Investment), demostrando cómo las acciones de concienciación y mitigación reducen de forma efectiva el riesgo organizacional a lo largo del tiempo.
Pasar de los datos al ROSI: Cómo justificar tu presupuesto de seguridad
Una puntuación de riesgo precisa actúa como el catalizador estratégico para la aprobación presupuestaria al traducir las métricas técnicas de ciberseguridad al lenguaje financiero del Return on Security Investment (ROSI). Cuantificar la exposición del factor humano permite a los CISOs transformar la seguridad de un centro de costes reactivo a un motor de continuidad de negocio y resiliencia corporativa.
Traducir indicadores técnicos en decisiones ejecutivas
Para asegurar la validación del comité de dirección o la junta de accionistas, debes abandonar la jerga puramente informática (como las tasas de clic aisladas) y conectar los indicadores del factor humano con la exposición financiera y la reducción de primas en los ciberseguros. Presentar el scoring de riesgo de la plantilla permite visibilizar con exactitud el coste potencial de la inacción. Estudios económicos de referencia, como el IBM Cost of a Data Breach Report, sitúan el coste medio de una brecha de datos empresarial por encima de los 4 millones de euros. Demostrar que un programa de gestión del riesgo reduce la probabilidad estadística de sufrir un incidente de ransomware o suplantación de identidad posiciona a la ciberseguridad como una inversión rentable que blinda el Ebitda de la compañía.
Estructura financiera para defender el business case del ROSI
Si deseas asegurar el presupuesto necesario para tus programas de entrenamiento y control operativo, estructura tu propuesta económica siguiendo estos cuatro pasos:
- Vincula el riesgo con el impacto financiero: Compara el nivel de riesgo de tus áreas críticas con las sanciones directas por incumplimiento de la Directiva NIS2, cuyas multas pueden alcanzar los 10 millones de euros o el 2% del volumen de negocio anual global de la empresa.
- Evidencia la eficiencia de la mitigación: Demuestra con datos históricos cómo los entrenamientos individualizados y las rutas automáticas reducen la probabilidad de cesión de credenciales en el puesto de trabajo.
- Cuantifica el retorno de la inversión: Aplica la fórmula del ROSI para verificar que el coste de implementar una estrategia continua de Human Risk Management (HRM) es drásticamente inferior a los gastos derivados de la respuesta a incidentes, la parálisis operativa y el daño reputacional de marca.
- Presenta un roadmap escalable hacia la automatización: Utiliza los resultados de tu metodología manual como una prueba de concepto sólida y argumenta el salto hacia una gestión centralizada; conoce cómo la plataforma de Kymatio automatiza la gestión integral del riesgo humano para optimizar recursos, liberar tiempo de los colaboradores y generar evidencias auditables en tiempo real para los reguladores.
Preguntas más frecuentes
Es una métrica cuantitativa que mide la probabilidad de que un colaborador se vea involucrado en un incidente de ciberseguridad, multiplicada por el impacto operativo y financiero que dicho evento causaría en la organización. Constituye la base del Human Risk Management para evaluar de forma objetiva la resiliencia de la plantilla.
El Artículo 20 de la directiva europea impone a los órganos de dirección el deber de supervisar y aprobar las medidas de control del riesgo. Contar con un scoring basado en datos aporta la evidencia de debida diligencia necesaria ante las inspecciones del regulador, mitigando el riesgo de multas administrativas y la responsabilidad personal o inhabilitación de los directivos.
El estrés crónico y la fatiga digital actúan como precursores críticos del riesgo. Un colaborador expuesto a una alta sobrecarga cognitiva reduce de forma drástica su estado de alerta, lo que incrementa hasta un 40% su susceptibilidad ante fraudes de ingeniería social, elevando el valor de probabilidad (P) en la fórmula de riesgo.
El awareness tradicional es reactivo, plano y se limita a medir la asistencia administrativa a cursos estáticos. El HRM es un proceso estratégico y continuo basado en datos que evalúa de forma dinámica el comportamiento en contextos realistas, la exposición externa de credenciales y los factores psicosociales para aplicar mitigar los riesgos de forma proactiva.
El ROSI (Return on Security Investment) se determina comparando el coste financiero de desplegar soluciones de prevención y concienciación frente al ahorro económico derivado de la reducción del riesgo organizacional, evitando los costes de recuperación de incidentes, las pérdidas por parálisis del negocio y las sanciones regulatorias.
Es indispensable contar con las métricas de respuesta e interacción directa ante simulaciones de ingeniería social, el registro de credenciales corporativas expuestas filtradas mediante un escáner ABS, los indicadores de participación y la clasificación del nivel de acceso e impacto de cada puesto de trabajo en la organización.



