Explica la diferencia entre los KPI y los KRI de seguridad, con ejemplos.
Respuesta breve
Un KPI (Key Performance Indicator) mide lo bien que rinde una actividad de seguridad frente a su objetivo — por ejemplo, el tiempo medio de detección, el cumplimiento del SLA de parcheo o el porcentaje de sistemas con MFA. Un KRI (Key Risk Indicator) es una señal prospectiva de que la exposición al riesgo aumenta hacia un nivel inaceptable, con un umbral que debería desencadenar una acción — por ejemplo, el número de parches críticos vencidos, el recuento de dispositivos no gestionados o las revisiones de acceso fallidas con tendencia al alza. Los KPI te dicen cómo lo estás haciendo; los KRI te advierten de hacia dónde te diriges.
Las métricas son cómo la seguridad se comunica con el resto del negocio. Los entrevistadores preguntan esto porque confundir KPI y KRI es habitual, y la diferencia determina si un dashboard impulsa la acción o solo decora una diapositiva.
KPI: ¿qué tal estamos rindiendo?
Un Key Performance Indicator mide el rendimiento frente a un objetivo. Es en gran medida retrospectivo o del presente, y te dice si un control o proceso está cumpliendo su función. Ejemplos:
- Tiempo medio de detección / respuesta (MTTD / MTTR).
- Cumplimiento del SLA de parcheo — porcentaje de críticos parcheados dentro del objetivo.
- Cobertura de MFA — porcentaje de cuentas con MFA habilitada.
- Tasa de reporte en simulaciones de phishing.
Los KPI responden: ¿somos buenos en esto?
KRI: ¿hacia dónde nos dirigimos?
Un Key Risk Indicator es una señal prospectiva y adelantada de que la exposición al riesgo está aumentando hacia un nivel inaceptable. Su rasgo definitorio es un umbral y una tolerancia ligados al apetito de riesgo, de modo que cruzarlo desencadena una acción. Ejemplos:
- Número de parches críticos vencidos con tendencia al alza.
- Recuento de dispositivos no gestionados o desconocidos en la red.
- Revisiones de acceso fallidas u omitidas en aumento.
- Volumen de excepciones / aceptaciones de riesgo concedidas.
Los KRI responden: ¿esto se está volviendo peligroso?
El solapamiento
Los mismos datos brutos pueden alimentar ambos: el cumplimiento de parcheo como KPI (rendimiento) y los parches críticos vencidos por encima de un umbral como KRI (advertencia). Lo que lo convierte en un KRI es el vínculo con un umbral de riesgo y un disparador de escalado.
Por qué importa
Los candidatos sólidos explican que los KPI miden el rendimiento mientras que los KRI son señales adelantadas ligadas al apetito de riesgo con umbrales de acción. Mostrar cómo una misma métrica puede cumplir ambos roles —y adaptar la presentación para un consejo frente a ingenieros— demuestra verdadera madurez en el reporte.
Posibles preguntas de seguimiento
- ¿Cómo estableces un umbral y una tolerancia significativos para un KRI?
- ¿Puede la misma métrica subyacente servir como KPI y como KRI a la vez? Da un ejemplo.
- ¿Cómo los presentarías ante un consejo de administración frente a un equipo de ingeniería?