Cómo realizar un análisis de riesgos
De la hoja en blanco a un registro de riesgos que dirige el negocio. Siete pasos basados en ISO 31000 e ISO 27005, escritos para la práctica.
By Kim Borg, Founder, RiskNote · Last updated
Por qué la mayoría de los análisis de riesgos se estancan antes de empezar
Todos saben que debería haber un análisis de riesgos. El problema rara vez es falta de voluntad. Es que el paso de ”deberíamos hacer uno” a tener realmente uno en marcha parece demasiado grande.
Empieza con una hoja en blanco. ¿Qué evaluamos? ¿Qué categorías? ¿Cómo fijamos probabilidad y consecuencia? De repente han pasado tres meses y la hoja sigue en blanco.
Esta guía te lleva del inicio al análisis de riesgos terminado. Basada en ISO 31000 e ISO 27005, pero escrita para la práctica, no para el libro de texto. Descarga la plantilla Excel si quieres seguir en tu propio registro mientras lees.
Paso 1 — Empezar con los activos a proteger
Antes de identificar un solo riesgo necesitas saber qué estás protegiendo realmente. Aquí es donde la mayoría de análisis de riesgos se equivocan: se empieza listando amenazas sin entender primero qué vale la pena proteger.
Los activos a proteger son aquello sin lo que el negocio no puede funcionar. Haz un inventario corto: ¿qué ocurre si esto desaparece, se interrumpe o se filtra? Eso se convierte en tu lista priorizada.
Información
Datos de clientes, secretos comerciales, datos personales.
Disponibilidad
Sistemas críticos, procesos, entregas.
Recursos financieros
Flujos de ingresos, activos, flujo de caja.
Marca y confianza
Reputación, relaciones con clientes, posición de mercado.
Personas
Empleados, clientes, terceros.
Cumplimiento regulatorio
Licencias, permisos, estatus legal.
Paso 2 — Definir el alcance
Una trampa común: intentar analizar todo el negocio de una vez. El resultado queda superficial e inutilizable. En su lugar, define claramente qué se incluye, el horizonte temporal y qué partes interesadas se ven afectadas.
¿Qué está en el alcance?
¿Toda la organización, un proceso específico, un sistema, una cadena de suministro? Un análisis acotado con profundidad siempre vale más que uno amplio sin sustancia.
¿Qué horizonte temporal?
¿Los próximos 12 meses, un período de proyecto o un horizonte estratégico a tres años? El marco temporal determina cómo evaluar la probabilidad.
¿Qué partes interesadas se ven afectadas?
¿Dirección, empleados, clientes, reguladores? Distintas partes interesadas tienen distintos niveles de tolerancia.
Un análisis de riesgos acotado con profundidad siempre gana a uno amplio sin sustancia. Siempre puedes hacer más.
Paso 3 — Identificar amenazas y riesgos
Ahora llenas la hoja. Separa los conceptos: una amenaza es lo que puede pasar (ransomware, fallo de proveedor). Una vulnerabilidad es la debilidad que hace posible la amenaza (backups inseguros, proveedor único). Un riesgo es la combinación de amenaza, vulnerabilidad y consecuencia para un activo a proteger.
Trabaja sistemáticamente. Algunos ángulos probados:
Por activo a proteger
¿Qué podría afectar a los datos de clientes? ¿Qué podría cortar la disponibilidad? ¿Qué amenaza a la marca?
Por categoría de amenaza
Ciber, física, personal, proveedor, regulatoria, financiera. Asegura una cobertura amplia.
Por escenario
¿Qué pasa si el servidor cae? ¿Si la persona clave se va? ¿Si un subcontratista quiebra?
Involucra a las personas adecuadas. TI no lo sabe todo sobre los procesos, el negocio no lo sabe todo sobre las amenazas. Un taller con un grupo multidisciplinar siempre supera a un analista solitario.
Paso 4 — Evaluar probabilidad y consecuencia
Aquí los riesgos pasan de palabras a datos de priorización. Usa una escala que se ajuste a tu negocio. Una matriz 5×5 funciona mejor en la mayoría de los casos.
Define las escalas antes de empezar a evaluar. ¿Qué significa realmente ”consecuencia grave” en euros, tiempo de inactividad o pérdida de clientes? Sin definiciones las evaluaciones se vuelven arbitrarias y no comparables en el tiempo.
Probabilidad (1–5) — qué tan probable dentro del horizonte
1. Improbable
Difícil imaginar cómo ocurriría.
2. Poco probable
Puede ocurrir, pero no esperado.
3. Posible
Bien podría ocurrir.
4. Probable
Se espera que ocurra.
5. Muy probable
Ocurre regularmente o es inminente.
Consecuencia (1–5) — gravedad si el riesgo se materializa
1. Insignificante
Apenas perceptible.
2. Limitada
Perturbación manejable.
3. Moderada
Impacto significativo, pero manejable.
4. Grave
Daño material al negocio.
5. Catastrófica
Amenaza la supervivencia del negocio.
Paso 5 — Priorizar acciones, no solo celdas rojas
Una idea equivocada común: el producto final de un análisis de riesgos es la matriz con celdas rojas. No lo es. El producto final es una lista priorizada de acciones. Para cada riesgo identificado, elige una estrategia de tratamiento.
Estrategias de tratamiento
Reducir
Bajar probabilidad o consecuencia mediante controles.
Transferir
Seguros, cláusulas contractuales, outsourcing.
Aceptar
Riesgo consciente dentro de la tolerancia, documentado.
Evitar
Eliminar la actividad que crea el riesgo.
Cada acción debe tener
Propietario claro
Persona nombrada con mandato para impulsar la acción.
Fecha límite
Fecha concreta. No ”pronto” o ”en otoño”.
Resultado medible
¿Cómo sabrás que la acción funcionó?
Vínculo al riesgo
¿Qué riesgo aborda y cómo afecta la acción a P y C?
Prioriza las acciones por efecto por esfuerzo, no solo por el nivel de riesgo. Un riesgo medio con una solución simple puede ser más importante de manejar primero que un riesgo alto que requiere una inversión de tres años.
Paso 6 — Mantener vivo el análisis
Un análisis de riesgos archivado en una carpeta está muerto al día siguiente. La realidad cambia: surgen nuevas amenazas, el negocio evoluciona, se implementan acciones, la regulación se endurece.
Un análisis de riesgos que funciona es un proceso vivo:
Revisión regular
Al menos anualmente, más a menudo para áreas críticas.
Actualizaciones por disparador
Ante incidentes, cambios, nuevos sistemas, nuevos proveedores, nuevos requisitos regulatorios.
Seguimiento continuo
De la efectividad y estado de las acciones, no solo la lista de riesgos.
Propietario claro
Alguien que realmente asume mantenerlo actualizado.
Para organizaciones sujetas a NIS2, ISO 27001 o similares, un análisis de riesgos vivo no es solo una buena idea. Es un requisito.
Paso 7 — Mapear a marcos y regulaciones
Si tu negocio está sujeto a requisitos específicos, asegúrate de que el análisis de riesgos los cumple. Los más comunes en el contexto europeo:
ISO 31000
Gestión de riesgos general, principios y marco. Leer la guía ISO 31000.
ISO 27005
Riesgos de seguridad de la información específicamente.
ISO 27001
Requiere evaluación de riesgos y plan de tratamiento documentados. Ver la guía ISO 27001.
NIS2
Medidas de gestión de riesgos para entidades esenciales e importantes. Leer sobre NIS2.
RGPD (EIPD)
Evaluación de impacto para el tratamiento de datos personales. Ver análisis de riesgos RGPD.
MSBFS 2020:6
Trabajo sistemático de seguridad de la información para autoridades públicas suecas.
DORA
Resiliencia operativa para el sector financiero.
El mismo análisis de riesgos subyacente a menudo puede cubrir varios marcos. Se trata sobre todo de cómo se documenta y reporta.
Resumen — los siete pasos
1. Empezar con activos a proteger
Sabe qué estás protegiendo realmente.
2. Definir el alcance
La profundidad le gana a la amplitud.
3. Identificar amenazas y riesgos
Sistemático, multidisciplinar.
4. Evaluar probabilidad y consecuencia
Con escalas definidas.
5. Priorizar acciones
No celdas rojas, sino efecto por esfuerzo.
6. Mantener vivo el análisis
Regularmente y por disparador.
7. Mapear a marcos
Donde se necesite.
Preguntas frecuentes sobre análisis de riesgos
¿Cuánto tarda un análisis de riesgos?
Para una pyme, medio día de trabajo basta para la primera ronda: 2–4 horas para identificación y evaluación, más 1–2 horas para el plan de acción. Organizaciones más grandes o áreas que requieren talleres: cuenta con 2–5 días de trabajo en total.
¿Cuál es la diferencia entre análisis de riesgos y evaluación de riesgos?
Análisis de riesgos es el proceso completo: identificar, analizar, evaluar, tratar, monitorear. Evaluación de riesgos suele ser un subconjunto, la evaluación real de probabilidad y consecuencia. En la práctica los términos se usan como sinónimos, pero ISO 31000 los separa.
¿Tenemos que usar una matriz 5×5?
No. ISO 31000 es agnóstica respecto al tamaño de la matriz. 5×5 es la práctica común porque 3×3 es demasiado gruesa (solo 9 combinaciones) y 7×7 demasiado compleja. Algunas organizaciones usan categorías cualitativas en su lugar. Lo importante es que la escala sea consistente y definida de antemano.
¿Todos los análisis deben hacerse en taller?
No, pero los análisis de una sola persona casi siempre son más estrechos. Un grupo multidisciplinar de 3–6 personas detecta riesgos que un analista solitario pasa por alto. Un taller no tiene que durar todo el día. 90 minutos por ronda dan mucho si está preparado.
¿Con qué frecuencia debe actualizarse el análisis de riesgos?
Riesgos operativos trimestralmente, estratégicos anualmente. Los riesgos de proyecto se actualizan por sprint o reunión de comité. Ante incidentes, cambios grandes (nuevo proveedor, cambio de sistema, cambio regulatorio) siempre una nueva ronda. NIS2 e ISO 27001 exigen revisión regular documentada.
¿Quién debe ser propietario del análisis de riesgos?
La dirección posee el proceso y la tolerancia al riesgo. Un responsable de riesgos designado (a menudo el CISO, CFO o COO en empresas más pequeñas) es responsable de mantener vivo el análisis. Cada riesgo individual debe tener un propietario nombrado con mandato para impulsar acciones.
More guides
De la hoja en blanco al registro de riesgos en 20 minutos
Para esto se construyó RiskNote. Describe el negocio, la IA sugiere riesgos relevantes, y tienes un registro estructurado con matriz 5×5 en el tiempo que tardas en tomar un café. Luego lo refinas junto con el negocio.