Gestión de Amenazas en Proyectos Empresariales: Identificación y Estrategias

En el dinámico mundo empresarial, la actividad de una empresa, además de la propia evolución de sus ventas, está sujeta a constantes riesgos. Gestionar un proyecto sin analizar sus amenazas es como conducir un coche deportivo a toda velocidad con los ojos vendados: puedes tener el mejor motor (equipo) y el mejor combustible (presupuesto), pero el primer obstáculo te sacará de la carretera. Por ello, la identificación de todos los tipos de amenazas de una empresa es una labor de suma importancia, ya que de ello depende no solo la implementación eficaz de soluciones, sino sobre todo factores como la operatividad, la rentabilidad, la sostenibilidad a largo plazo y la calidad del producto o servicio que se ofrezca a los consumidores.

¿Qué es la Gestión de Riesgos y Amenazas?

La gestión de riesgos es el proceso de identificar, evaluar, monitorizar y responder a aquellos factores de riesgo que pueda encontrarse un proyecto empresarial, de forma que se defiendan los objetivos del negocio. En el contexto del Project Management Institute (PMI), un riesgo es un evento o condición incierta que, si ocurre, tiene un efecto positivo o negativo en uno o más objetivos del proyecto. El objetivo principal de la gestión de riesgos en proyectos es aumentar la probabilidad y el impacto de los eventos positivos (oportunidades) y disminuir la probabilidad y el impacto de los eventos negativos (amenazas). No se trata solo de evitar desastres, se trata de optimizar las posibilidades de éxito.

Para tener éxito y crecer rápidamente, una organización necesita unir tanto sus defensas, como la respuesta para ejecutar de manera rápida y eficiente. Finalmente, es esencial reconocer que el enfoque de gestión de amenazas es beneficioso para organizaciones de todos los tamaños, desde PYMES hasta grandes empresas. La gestión de proyectos acarrea una serie de riesgos que deben tenerse en cuenta.

Identificación y Clasificación de Amenazas Empresariales

Para gestionar los riesgos de la empresa se comienza detectando los posibles peligros a los que el negocio está expuesto. Es habitual que, a comienzos de un proyecto empresarial, sean más los riesgos a los que se expone el negocio. Las amenazas de una empresa no solo están relacionadas con el resto de marcas rivales que operan en un mismo mercado, sino que se trata de una categoría que engloba otros factores. En términos generales, los diferentes tipos de amenaza son situaciones adversas, circunstancias desfavorables para la operatividad o elementos concretos que ponen en riesgo la buena marcha de las empresas. Por lo tanto, debemos destacar dos: la amenaza interna y la amenaza externa.

El análisis de riesgos de un proyecto comienza con la identificación de riesgos, una fase clave en la que se detectan las posibles amenazas antes de que ocurran. Una vez identificados, los riesgos suelen clasificarse por tipología: financieros, técnicos, operativos, humanos, legales o externos.

Amenazas Internas

Las amenazas internas, también conocidas como insider threat, se presentan cuando un individuo con estrechos vínculos a una entidad y con acceso autorizado realiza acciones que comprometen la seguridad de la información o sistemas cruciales de la organización, ya sea de manera voluntaria o involuntaria. Esta figura no necesariamente es un empleado; incluso proveedores, contratistas y socios externos pueden representar amenazas. Cualquier persona que trabaje para una organización puede suponer una amenaza, ya que existe riesgo de que lleve a cabo acciones que deriven en un incidente de seguridad.

¿Quiénes pueden ejercer como insiders?

• Empleados: Cualquier empleado que posea acceso o conocimientos sobre la organización, su información, su estructura, sus empleados, etc. Esto incluye usuarios privilegiados, como miembros del equipo de IT y superusuarios, así como empleados despedidos o que han dejado la organización voluntariamente.
• Actores externos: Proveedores, contratistas y socios.

Los incidentes internos suponen un gran porcentaje de los incidentes de seguridad que se producen en las organizaciones. Sin embargo, la mayoría de las soluciones de seguridad se concentran en analizar equipos informáticos, redes y datos del sistema. Una cuarta parte de los incidentes de seguridad involucran la participación de insiders.

Clases de Amenazas Internas

Se distinguen principalmente dos tipos: las malintencionadas y las accidentales.

Amenazas Malintencionadas	Amenazas Accidentales
Sabotaje	Error humano
Hurto de propiedad intelectual	Toma de decisiones erróneas
Actividades de espionaje	Ataques de phishing
Fraude (con fines financieros)	Infección por malware
	Complicidad involuntaria
	Extracción de credenciales

Ejemplos de amenazas internas a una empresa incluyen empleados que roban datos y filtran información, trabajadores que cometen errores que implican perder activos, un ambiente de trabajo tóxico que genera conflictos, falta de innovación que favorece el quedarse atrás de los competidores, fuga de talento debido a condiciones laborales poco atractivas, tomar malas decisiones que desvían a la empresa de sus objetivos, y falta de comunicación entre los departamentos que genera caos.

Amenazas Externas

Una amenaza externa es aquella que proviene del exterior y, por lo tanto, la empresa debe protegerse de ella para que no tenga un impacto negativo. A diferencia de las debilidades, las amenazas de una empresa en DAFO provienen del exterior, es decir, no son consecuencia directa de las decisiones o la gestión propia de cada compañía.

Ejemplos de Amenazas Externas de una Empresa

• Ingreso al mercado de nuevas marcas potencialmente competidoras.
• Desarrollo de productos o servicios innovadores.
• Cambios legales o variaciones en las regulaciones impositivas.
• Decrecimiento del mercado en el que se opera.
• Crecimiento ralentizado del escenario comercial.
• Crisis económicas de gran alcance.
• Cambios en las tendencias del consumo, generalmente repentinos.
• Transformaciones demográficas adversas.
• Modificaciones en las tasas de cambio de las divisas en las que se opera.
• Ataques de malware.

Estrategias de Gestión de Riesgos y Amenazas

Para abordar estas situaciones, las organizaciones deben adoptar una estrategia que incluya componentes clave. Según el 2019 Cost of a Data Breach Report, las organizaciones pueden ahorrar un promedio de 1.2 millones de dólares cuando se hace una pronta detección de potenciales amenazas.

Fases de la Gestión de Riesgos del Proyecto

El punto de partida es el diseño de un plan de gestión de riesgos en un proyecto, un documento clave que establece cómo se llevará a cabo todo el proceso. En él se define la metodología que se utilizará, los roles y responsabilidades de los implicados, el apetito de riesgo aceptable, las herramientas a emplear, el presupuesto destinado a la gestión de riesgos y la frecuencia de las revisiones. A partir de este plan se desarrollan los planes de respuesta a los riesgos, que recogen las estrategias más adecuadas para cada amenaza identificada.

1. Identificación de Riesgos del Proyecto

Por encima de todo, el primer paso es identificar los riesgos potenciales que podrían afectar negativamente al éxito del proyecto. Reúna a los diferentes actores del proyecto y realice sesiones de lluvia de ideas para no evitar ningún problema. Algunos métodos como el Análisis DAFO (fortalezas, debilidades, oportunidades, amenazas) son muy relevantes, porque permiten acceder a una visión global del contexto de su proyecto. Los riesgos más comunes a los que puede enfrentarse al gestionar el proyecto son retrasos en la entrega de los productos, sobrecostos presupuestarios o problemas técnicos.

Figura 1: Representación de un análisis DAFO para la identificación de amenazas.

2. Evaluación y Priorización de Riesgos

Una vez identificados, los riesgos suelen clasificarse por tipología. El siguiente paso es la evaluación y priorización. Aquí se aplica una evaluación cualitativa, valorando la probabilidad de ocurrencia y el impacto potencial, normalmente mediante una matriz probabilidad-impacto. Las matrices de riesgo, en particular, pueden serle de gran utilidad, ya que clasifican los riesgos según su probabilidad e impacto. Gracias a ellos, puede saber qué riesgos requieren una atención especial e inmediata. Este es un punto esencial, ya que es necesario basarse en estos análisis para asignar los recursos de manera óptima.

Figura 2: Matriz de probabilidad e impacto utilizada para priorizar riesgos.

3. Planificación de la Respuesta al Riesgo

Para hacer frente a estos riesgos, es fundamental implementar estrategias adecuadas. Ahora que tiene una idea de los riesgos a los que se puede enfrentar, su probabilidad de ocurrencia y su posible gravedad, necesita planificar su respuesta. En función de los riesgos y su impacto potencial, la administración puede optar por cuatro estrategias:

• Atenuación: El director del proyecto decide reducir la probabilidad o el impacto de los riesgos previstos.
• Traslado: El equipo decide transferir el riesgo identificado a otra parte interesada del proyecto.
• Aceptación: A pesar de la presencia de riesgos, se está de acuerdo en que no se requiere ninguna acción inmediata para abordarlos.
• Evasión: Los formuladores de políticas han identificado un riesgo importante que debe evitarse. Luego se modifica el plan del proyecto para tratar de evitar este riesgo.

Independientemente del enfoque adoptado, se recomienda encarecidamente proporcionar planes de emergencia para todos los escenarios críticos identificados. Entonces no se tomarán cursos y se tendrán posibilidades de minimizar el impacto de estos riesgos en el proyecto.

4. Control y Seguimiento Continuo

Una vez identificados y analizados los riesgos, comienza la fase más activa de la gestión de riesgos en los proyectos: el control y seguimiento continuo. Esta etapa consiste en poner en marcha las acciones definidas y en vigilar de forma sistemática el entorno del proyecto para detectar cualquier cambio que pueda generar nuevas amenazas. El monitoreo y control continuo de riesgos implica hacer seguimiento de los riesgos identificados, de los riesgos residuales y de la aparición de nuevas amenazas. Para ello, se establecen indicadores clave de riesgo (KRIs) y disparadores o triggers, señales tempranas que alertan de que un riesgo puede materializarse y activan el plan de contingencia correspondiente.

Dado que los proyectos evolucionan, la gestión de riesgos en un proyecto debe ser dinámica. En las reuniones periódicas de seguimiento se revisa el estado del registro de riesgos, se actualizan prioridades y se incorporan nuevas amenazas si el contexto ha cambiado. La documentación y comunicación del riesgo es igualmente crucial. Tableros visibles, radiadores de información o informes semanales que incluyan el «Top 5 de Riesgos» aseguran que todo el equipo esté al tanto de las amenazas más importantes.

Componentes Clave para Prevenir Amenazas Internas

Para mitigar y evitar las amenazas internas, tanto las intencionales como las no intencionales, resulta esencial supervisar de manera continua el acceso a la información y sistemas críticos, y tomar medidas inmediatas ante cualquier incidente. Las posibles amenazas son variadas y numerosas: desde la introducción de malware hasta fraudes financieros, manipulación de datos y/o robo de información valiosa. Para abordar estas situaciones, las organizaciones deben adoptar una estrategia que incluya al menos los siguientes componentes clave:

• Sistemas internos de detección y prevención de intrusiones (IDS/IPS).
• Sistemas de prevención de fuga de datos (DLP).
• Procedimiento de gestión de incidentes.
• Política de Seguridad de la Información que cubra los aspectos relacionados con posibles amenazas internas.
• Integración de herramientas, incluyendo SIEM y otras soluciones de seguridad, para facilitar la prevención y gestión de incidentes.
• Concienciación en materia de seguridad de la información para todos los empleados y personal externo con acceso a información, cubriendo todos los ámbitos (comunicaciones, gestión de información, gestión de incidentes, cumplimiento normativo, …).

Figura 3: Representación de las capas de seguridad esenciales para protegerse de amenazas internas.

Riesgos Específicos del Proyecto y su Gestión

Al gestionar un proyecto, siempre están presentes ciertos riesgos que pueden poner en peligro los objetivos de calidad, plazo y coste comprometidos con el cliente. Cuanto más conocimiento en este sentido posea el responsable de un proyecto, mayor capacidad de anticipación tendrá para atajar riesgos y evitar que se generen problemas y, por tanto, mejores resultados obtendrá.

Riesgo de Presupuesto

El riesgo de presupuesto viene por el agotamiento de la partida disponible para ejecutar un proyecto antes de su finalización, lo que obligaría a su parada o a una ampliación del importe destinada a tal efecto, con el consiguiente impacto en la rentabilidad del mismo.

Riesgo de Plazo

El riesgo de plazo es al que suelen prestar más atención la mayoría de los implicados en un proyecto. El responsable un proyecto tiene que ser ágil para anticiparse a todos aquellos pequeños y grandes retrasos en las tareas que consumen la holgura y provocan que no se cumpla la fecha de entrega del proyecto. La gestión de la holgura y la aplicación de la tensión adecuada en cada momento del proyecto son parte de su trabajo, dado que los retrasos a veces se pueden recuperar incrementando la cantidad o el ritmo de los recursos (personas, máquinas,…) que trabajan en el proyecto.

Riesgo de Recursos

El riesgo de recursos siempre está presente en un proyecto. Hacer una buena previsión de la curva de recursos necesaria para la ejecución de un proyecto es vital para no quedarse estancado sin recursos en una determinada fase y, sobre todo, para poder rentabilizar el trabajo realizado.

Riesgos Operacionales y de Comunicación

• No existencia de unas normas de gestión del proyecto.
• Planificaciones no ajustadas a la realidad debido a: estimaciones erróneas, movilidad de los recursos, insuficiencia de recursos (cantidad y personal), fechas prefijada y cambios de requisitos.
• No se tiene una visión del estado real de los proyectos y por ende ni visibilidad de la evolución del proyecto.
• Retraso en la entrega de las aplicaciones e, incluso, reducción en las funcionalidades de las mismas.
• Falta de procedimientos de comunicación entre los grupos de las distintas direcciones en el ámbito de un proyecto.
• Falta de una matriz de escalado.
• Falta de compromiso del cliente para el proyecto.
• Falta de cumplimiento de acuerdos establecidos durante reuniones con el cliente.
• Existencia de personal del equipo de trabajo, sin que tenga establecida su participación en el proyecto.
• Documentación del progreso del proyecto obsoleto o sin cumplir con los estándares establecidos para su realización.
• Pérdida de contacto con clientes potenciales, para futuros proyectos.
• Modificaciones del alcance en el transcurso del proyecto.

La identificación y gestión de las dependencias con otros proyectos es otro de los puntos calientes donde debe trabajar duro el responsable de proyecto, bien desde una oficina de proyectos integrada, bien por iniciativa propia. Mantener una comunicación constante de los responsables del proyecto - Reuniones de seguimiento - es crucial, así como informar al cliente de los próximos pasos y de las tareas pendientes para gestionar expectativas y anticiparse.

La Importancia de la Prevención y la Cultura Organizacional

Aunque gran parte de la gestión de riesgos en proyectos se centra en la reacción y mitigación, la verdadera madurez se alcanza cuando se prioriza la prevención. La prevención comienza con la cultura organizacional. Fomentar un entorno donde se valore y premie la identificación temprana de problemas, en lugar de castigar al mensajero, es fundamental. Definir roles y responsabilidades claras es otra medida preventiva esencial. La evaluación de proveedores y de las dependencias críticas también forma parte de la prevención. Por último, contar con planes de contingencia y protocolos de comunicación de crisis es clave.

Los sistemas de gestión de riesgos pretenden ir más allá de identificar los riesgos y cuantificar el riesgo, prediciendo así su impacto en el negocio. Cuando la gestión de riesgos forma parte de los procesos continuos de la empresa, el sistema de gestión de riesgos se acoplará perfectamente a otros sistemas y procedimientos. Su puesta en marcha supone organización, planificación, dotación de un presupuesto y control posterior. La norma ISO 9001 (de 2015), orientada a un enfoque preventivo, incorporó un enfoque basado en riesgos, lo que implica que cuando las empresas adapten sus sistemas de gestión, deberán incluir métodos o procedimientos para la evaluación, administración, eliminación y/o minimización de los riesgos.

Implementar una gestión de riesgos en proyectos sólida genera beneficios tangibles para las organizaciones. Además, incrementa la fiabilidad de la planificación, facilita la toma de decisiones basadas en información objetiva y refuerza la confianza de clientes, inversores y equipos internos. Luchar contra la incertidumbre para alcanzar tus objetivos es un desafío constante en la gestión de proyectos. Si bien los riesgos son previsibles, la incertidumbre no lo es. Incluso con una preparación adecuada por adelantado, puede quedar atrapado en incertidumbres impredecibles. Por esta razón, requieren un enfoque basado en la flexibilidad y la capacidad de reacción. Los métodos ágiles pueden facilitarle el logro de sus objetivos. Con el monitoreo colaborativo de los proyectos y los ciclos iterativos, los enfoques ágiles se adaptan perfectamente para gestionar su proyecto sin dejar de ser adaptables.

En todo momento, manténgase abierto y preparado para ajustar los planes según sea necesario. No piense en ello como un fracaso o una debilidad, sino como una resiliencia bienvenida. Para motivar a sus empleados y mantener el rendimiento durante todo el proyecto, mantenga una comunicación transparente. Todas las partes interesadas deben estar en condiciones de intercambiar información fácilmente a través de un suite dedicada al trabajo en equipo. De esta forma tendrá es más fácil identificar rápidamente los problemas y los riesgos con el fin de encontrar soluciones colaborativas pertinentes y eficaces.

Conocer los tipos de amenazas que existen y prestarles atención para solucionarlas es vital. Tanto una amenaza interna como una amenaza externa puede poner en riesgo la continuidad de una empresa, generando problemas muy graves.