La mayoría de las organizaciones hace seguimiento de demasiados KPIs de GRC; y casi todos ellos carecen de significado.Los directivos los ignoran, los auditores no confían en ellos, y los equipos no pueden actuar en consecuencia.Si quieren demostrar el cumplimiento con números, necesitan KPIs que revelen la realidad, no que decoren cuadros de mando.
El mundo del GRC está obsesionado con las métricas: puntuaciones de riesgo, estados RAG, recuentos de controles, progreso de auditorías, gráficos de madurez, mapas de calor, diagramas de araña.Pero esta es la realidad que solo se aprende después de años en el campo:La mayoría de los KPIs no dicen nada sobre el cumplimiento; solo indican qué se midió.
Ejemplo de un proyecto real:A company claimed “98% compliance maturity” because their dashboard said so.El auditor hizo una sola pregunta:“Which 2% is missing?”Nadie lo sabía.Porque el KPI era vanidad, no evidencia.
Veamos los KPIs que realmente importan; los que ayudan a demostrar el cumplimiento, defender decisiones y generar acción.
1. Cobertura de controles: el KPI más importante que nadie rastrea correctamente
El cumplimiento comienza con una pregunta:¿Qué parte del marco de controles está realmente implementada?
But this KPI is often inflated, guessed, or “optimistically updated.”
La versión correcta tiene este aspecto:Cobertura de controles = (Número de controles implementados con evidencia) ÷ (Total de controles aplicables)
Anécdota:Una fintech afirmaba tener un 80 % de cumplimiento ISO.Cuando recalculamos usando únicamente controles con evidencia, la cobertura real era del 47 %.Doloroso, pero honesto.Y finalmente útil.
La cobertura de controles demuestra implementación, no ambición.
2. Tasa de completitud de evidencias: el asesino silencioso del cumplimiento
No se cumple por tener controles.Se cumple porque se puede demostrar que se tienen controles eficientes.
Este KPI mide exactamente eso:¿Cuántos controles implementados tienen evidencia adjunta, verificada y lista para la auditoría?
Ejemplo:Una empresa tenía políticas impecables y controles técnicos sólidos.Sin embargo, el 62 % de las evidencias faltaba o estaba desactualizado.Resultado: fallo en la auditoría.
La completitud de evidencias es lo que les importa a los auditores.Es también lo que los Consejos de Administración valoran.
3. Velocidad de remediación: la velocidad supera a la perfección
Los directivos no juzgan por el número de incidencias.Juzgan por la rapidez con que se cierran.
La velocidad de remediación mide:
- tiempo medio para cerrar un hallazgo
- tiempo medio para cerrar una incidencia de alto riesgo
- tasa de mejora mes a mes
La velocidad refleja madurez mejor que cualquier mapa de calor.
4. Incidencias de alto riesgo abiertas: el KPI que realmente interesa a los directivos
Executives don’t care about “total findings.”Les importa lo que puede dañar el negocio.
Haga seguimiento de:Número de incidencias de alto riesgo abiertasycuánto tiempo llevan abiertas.
Un gráfico sencillo:Incidencias de alto riesgo (abiertas) → 7Días abiertos (media) → 63
Este es el KPI que consigue que se aprueben presupuestos.
5. Tasa de adopción de políticas: el KPI más infravalorado del GRC
Las políticas no sirven de nada si nadie las lee.Los controles no sirven de nada si nadie los aplica.
La adopción de políticas mide:
- quién ha leído la política
- quién la ha reconocido formalmente
- quién la cumple
Ejemplos:
- El 94 % del personal completó la formación sobre uso aceptable
- El 61 % completó la formación sobre codificación segura
- El 38 % cumplió los requisitos de la política de contraseñas
6. Tiempo de contención de incidentes: el KPI que demuestra capacidad de respuesta
El cumplimiento no es solo prevención; también es reacción.
Dos cifras importan:
- tiempo de detección
- tiempo de contención
Este KPI demuestra madurez operativa.Los auditores lo valoran.Los Consejos de Administración lo valoran.Los atacantes lo detestan.
7. KPIs de gestión de accesos: el camino más rápido hacia las no conformidades
Si hay un ámbito en el que los auditores siempre profundizan, es el control de accesos.
Se necesitan KPIs como:
- % de usuarios con MFA
- % de cuentas privilegiadas revisadas
- cuentas huérfanas detectadas y eliminadas
- frecuencia de revisiones de acceso
- combinaciones tóxicas eliminadas
El acceso es donde el cumplimiento se construye, o se rompe.
8. KPIs de riesgo de proveedores: porque los terceros son el eslabón más débil
Los programas de GRC fracasan porque los proveedores fallan.
Haga seguimiento de:
- % de proveedores críticos evaluados
- % de evaluaciones vencidas
- proveedores de alto riesgo sin mitigaciones
- tiempo medio de remediación para incidencias de proveedores
Los KPIs de proveedores protegen cuando los suministradores fallan.
9. Preparación regulatoria: el KPI que permite a los directivos dormir tranquilos
Esto es especialmente relevante con ISO 27001, SOC 2, NIS2, DORA y GDPR.
Haga seguimiento de:
- % de obligaciones regulatorias mapeadas a controles
- % implementados
- % con evidencia
- brechas que requieren decisiones
Los KPIs de preparación regulatoria convierten el pánico en planificación.
10. Reducción de la exposición al riesgo: el único KPI que muestra progreso real
Las puntuaciones de riesgo suelen ser subjetivas.La exposición al riesgo, no.
Este KPI mide:Cuánto riesgo real se eliminó este trimestre.
Ejemplos:
- se cerraron 3 vulnerabilidades de alto riesgo
- se implementó MFA en 12 aplicaciones críticas
- se redujo la exposición a proveedores en un 35 %
- se eliminaron 2 puntos únicos de fallo
La tabla que corrige los KPIs de GRC de una vez por todas
Una hoja de referencia rápida:
Tipo de KPIDemuestraPor qué importaCobertura de controlesImplementaciónMuestra madurez realCompletitud de evidenciasPreparación para auditoríaSin evidencia = sin cumplimientoVelocidad de remediaciónCapacidad de respuestaRemediaciones rápidas = gobernanza sólidaIncidencias de alto riesgo abiertasExposiciónImpulsa decisiones y presupuestoAdopción de políticasComportamientoEl cumplimiento es humanoTiempo de contención de incidentesMadurez operativaMuestra resilienciaKPIs de accesoSolidez de la gobernanzaEl favorito de los auditoresKPIs de proveedoresSeguridad de tercerosMayor punto ciegoPreparación regulatoriaPostura de cumplimientoReduce la incertidumbre de la direcciónReducción de la exposiciónProgreso realMuestra el valor de la seguridad
Reflexión final
Los KPIs de GRC no son una cuestión de reporting.Son una cuestión de demostrar que la organización es segura, cumple y mejora.
No se necesitan más KPIs.Se necesitan los KPIs adecuados; los que reflejan la realidad, exponen el riesgo y orientan las decisiones.
Cuando los KPIs se vuelven significativos, el GRC deja de ser un ejercicio burocrático…y se convierte en una herramienta de liderazgo.
Si quieren construir un marco de KPIs que realmente demuestre el cumplimiento, y no solo decore cuadros de mando, eso es exactamente lo que enseñamos en el ISO27001 Lead ImplementerÚnanse a la próxima sesión y transformen la forma en que su organización mide la seguridad.
