Gestión de riesgos y priorización
No puede proteger todo por igual. No tiene el presupuesto, el tiempo ni las personas. La gestión de riesgos le ayuda a decidir qué proteger primero, cuánto invertir y cuándo «suficientemente bueno» es realmente suficiente.
Esto no consiste en rellenar formularios de cumplimiento. Se trata de tomar decisiones inteligentes con recursos limitados.
Por qué la gestión de riesgos importa para las pequeñas empresas
Sin una gestión de riesgos formal, las decisiones de seguridad ocurren basándose en:
- El incidente que acaba de ocurrir
- Lo que piensa la persona más ruidosa en la sala
- Lo que cubrió el último artículo de noticias
- Las herramientas que los proveedores están vendiendo en este momento
Esto lleva a una mala asignación de recursos. Puede gastar $50.000 en un sistema avanzado de detección de amenazas mientras deja sus buckets S3 públicos. O formar a todos en phishing mientras ignora que tres personas comparten la contraseña de administrador.
La gestión de riesgos proporciona un marco para responder a: «¿Dónde debemos enfocarnos a continuación?»
Los fundamentos: ¿qué es el riesgo?
En seguridad, el riesgo se calcula como:
Riesgo = Probabilidad × Impacto
Probabilidad: ¿Qué tan probable es esta amenaza? ¿Ocurrencia diaria? ¿Una vez al año? ¿Una vez por década?
Impacto: Si ocurre, ¿qué tan grave es? ¿Inconveniencia menor? ¿Pérdida financiera importante? ¿Fin de la empresa?
Una amenaza de alta probabilidad pero bajo impacto (correos spam) requiere un tratamiento diferente al de baja probabilidad pero impacto catastrófico (ransomware que destruye todos los datos).
Opciones de respuesta al riesgo
Para cualquier riesgo identificado, tiene cuatro opciones:
| Respuesta | Cuándo usarla | Ejemplo |
|---|---|---|
| Mitigar | El riesgo es demasiado alto, los controles pueden reducirlo | Añadir MFA para reducir el riesgo de compromiso de cuenta |
| Aceptar | El riesgo es suficientemente bajo, o el costo de mitigación supera el beneficio | Aceptar que una herramienta interna no crítica pueda tener tiempo de inactividad menor |
| Transferir | Alguien más puede gestionar el riesgo mejor | Comprar seguro cibernético, usar servicios de seguridad gestionados |
| Evitar | El riesgo es inaceptable y no puede mitigarse | No almacenar datos de tarjetas de crédito; usar Stripe en su lugar |
La mayoría del trabajo de seguridad es mitigación. Pero saber cuándo aceptar, transferir o evitar es igualmente importante.
Proceso simplificado de evaluación de riesgos
Los marcos empresariales de riesgo (ISO 31000, NIST RMF) son completos pero abrumadores para pequeñas empresas. Aquí hay un enfoque práctico que puede completar en un día.
Paso 1: Identificar activos críticos (2 horas)
¿Qué dolería más si se comprometiera, destruyera o filtrara?
Categorías de activos a considerar:
| Categoría | Ejemplos | Preguntas a hacer |
|---|---|---|
| Datos | PII de clientes, código fuente, registros financieros | ¿Qué datos no se pueden recrear? ¿Qué datos dañarían la reputación si se filtraran? |
| Sistemas | Servidores de producción, bases de datos, plataformas SaaS | ¿Qué sistemas, si caen, detienen el negocio? |
| Procesos | Procesamiento de pagos, incorporación de clientes | ¿Qué procesos manejan operaciones sensibles? |
| Personas | Empleados clave con conocimiento o acceso crítico | ¿Quién tiene las llaves del reino? |
| Reputación | Marca, confianza del cliente | ¿Qué haría que los clientes se fueran? |
Ejercicio rápido: Enumere sus 10 activos principales. Si tiene dificultades para priorizar, pregúntese: «Si esto desapareciera mañana, ¿cuánto tiempo tardaría la empresa en darse cuenta? ¿Cuánto tiempo hasta que fuera una crisis?»
Paso 2: Identificar amenazas (1 hora)
¿Qué podría salir mal? Sea específico.
Fuentes de amenazas comunes para pequeñas empresas:
| Fuente de amenaza | Escenarios de ejemplo |
|---|---|
| Atacantes externos | Ransomware, relleno de credenciales, escaneo oportunista |
| Amenazas internas | Empleado descontento, filtración accidental de datos, víctima de ingeniería social |
| Terceros | Brecha de proveedor, compromiso de la cadena de suministro, interrupción de SaaS |
| Fallos técnicos | Fallo de hardware, error de configuración, bug de software |
| Natural/físico | Corte de energía, inundación, robo de equipos |
No piense demasiado en esto. No se está defendiendo contra estados-nación. Enfóquese en las amenazas que realmente afectan a empresas como la suya. Consulte el Verizon DBIR para datos sobre qué ataques son más comunes en su sector.
Paso 3: Evaluar la probabilidad (1 hora)
Para cada combinación amenaza-activo, estime la probabilidad:
| Calificación | Descripción | Frecuencia | Ejemplo |
|---|---|---|---|
| 5 - Casi seguro | Se espera que ocurra | Varias veces al año | Intentos de phishing contra empleados |
| 4 - Probable | Probablemente ocurrirá | Una vez al año | Intento de relleno de credenciales |
| 3 - Posible | Podría ocurrir | Una vez cada 2–3 años | Ataque dirigido a su empresa |
| 2 - Poco probable | Podría ocurrir pero no se espera | Una vez cada 5–10 años | Sabotaje interno |
| 1 - Raro | Circunstancias excepcionales | Una vez cada 10+ años | Ataque de un estado-nación |
Use datos cuando estén disponibles:
- ¿Cuántos correos de phishing recibió el mes pasado?
- ¿Cuántos intentos de escaneo de vulnerabilidades hay en sus registros?
- ¿Qué dicen los datos del sector sobre la frecuencia de brechas?
Cuando no hay datos disponibles, use su juicio informado. Es mejor estimar que no evaluar en absoluto.
Paso 4: Evaluar el impacto (1 hora)
Si la amenaza se materializa, ¿qué tan grave es?
| Calificación | Descripción | Financiero | Operativo | Reputacional |
|---|---|---|---|---|
| 5 - Catastrófico | Supervivencia del negocio en riesgo | >$1M o >50% de ingresos | Meses de interrupción | Cobertura mediática importante, éxodo de clientes |
| 4 - Mayor | Daño significativo | $100K–$1M | Semanas de interrupción | Cobertura sectorial, pérdida notable de clientes |
| 3 - Moderado | Impacto notable | $10K–$100K | Días de interrupción | Algunas quejas de clientes |
| 2 - Menor | Pequeño impacto | $1K–$10K | Horas de interrupción | Pocos se dan cuenta |
| 1 - Negligible | Efecto mínimo | Menos de $1K | Minutos de interrupción | Nadie se da cuenta |
Consejo: Considere todos los tipos de impacto. Una brecha puede costar $50K en respuesta directa pero $500K en negocios perdidos si sale en las noticias.
Paso 5: Calcular y clasificar los riesgos (30 minutos)
Multiplique probabilidad × impacto para obtener la puntuación de riesgo:
Puntuación de riesgo = Probabilidad (1-5) × Impacto (1-5)
Niveles de riesgo:
- 1-4: Bajo (verde) → Aceptar o monitorizar
- 5-9: Medio (amarillo) → Planificar mitigación
- 10-14: Alto (naranja) → Priorizar mitigación
- 15-25: Crítico (rojo) → Acción inmediata requerida
Ejemplo de evaluación de riesgos:
| Activo | Amenaza | P | I | Puntuación | Nivel de riesgo |
|---|---|---|---|---|---|
| Base de datos de clientes | Ransomware | 3 | 5 | 15 | Crítico |
| Base de datos de clientes | Inyección SQL | 2 | 5 | 10 | Alto |
| Código fuente | Robo de laptop de desarrollador | 3 | 3 | 9 | Medio |
| Sistema de correo | Phishing → toma de cuenta | 4 | 4 | 16 | Crítico |
| Sitio web de marketing | Defacement | 3 | 2 | 6 | Medio |
| Datos de RRHH | Abuso de acceso interno | 2 | 4 | 8 | Medio |
| Servidores de producción | DDoS | 3 | 4 | 12 | Alto |
| Copias de seguridad | Corrupción/eliminación | 2 | 5 | 10 | Alto |
Ahora sabe dónde enfocarse: el ransomware y el phishing hacia la toma de cuentas son sus riesgos críticos.
El registro de riesgos
Un registro de riesgos es su documento vivo para rastrear los riesgos y su tratamiento. No necesita ser sofisticado—una hoja de cálculo funciona bien.
Plantilla de registro de riesgos
| ID | Activo | Amenaza | P | I | Punt. | Controles actuales | Tratamiento | Responsable | Fecha objetivo | Estado |
|---|---|---|---|---|---|---|---|---|---|---|
| R-001 | BD clientes | Ransomware | 3 | 5 | 15 | Copias diarias, AV | Mitigar: Añadir segmentación de red, EDR | Líder TI | Q1 2025 | En progreso |
| R-002 | Correo | Phishing | 4 | 4 | 16 | Filtro básico de spam | Mitigar: Implementar gateway de seguridad de correo, formar usuarios | Security Champion | Q1 2025 | Planificado |
| R-003 | Código fuente | Robo de laptop | 3 | 3 | 9 | Cifrado de disco completo | Aceptar: Controles actuales suficientes | Líder de desarrollo | N/A | Aceptado |
Mejores prácticas del registro de riesgos
-
Revisar trimestralmente — Los riesgos cambian. Emergen nuevas amenazas. Los controles maduran.
-
Asignar responsables — Cada riesgo necesita una persona responsable.
-
Seguir el progreso del tratamiento — Un registro de riesgos que solo lista riesgos es inútil. Haga seguimiento de lo que está haciendo al respecto.
-
Mantenerlo simple — 15–25 riesgos es manejable. 200 riesgos significa que nunca lo mirará.
-
Incluir riesgos aceptados — Documente por qué los aceptó. Cuando el liderazgo pregunte «¿por qué no...?» tendrá la respuesta.
Herramientas para el registro de riesgos
| Herramienta | Costo | Mejor para |
|---|---|---|
| Google Sheets | Gratis | Inicio rápido, equipos pequeños |
| Notion | Nivel gratuito | Visual, fácil de compartir |
| Jira/Linear | Niveles gratuitos | Integración con flujo de trabajo de desarrollo |
| OWASP Threat Dragon | Gratis | Modelado visual de amenazas |
| SimpleRisk | Gratis (Community) | Gestión dedicada de riesgos |
| LogicGate, ServiceNow | De pago | Necesidades empresariales de GRC |
Recomendación para pequeñas empresas: Empiece con una hoja de cálculo. Migre a una herramienta dedicada solo cuando la complejidad lo exija.
La matriz de riesgo: priorización visual
Una matriz de riesgo hace que la priorización sea visual y fácil de comunicar al liderazgo.
| Probabilidad | Impacto 1 | Impacto 2 | Impacto 3 | Impacto 4 | Impacto 5 |
|---|---|---|---|---|---|
| 5 — Casi seguro | 5 Med | 10 Alto | 15 Crít | 20 Crít | 25 Crít |
| 4 — Probable | 4 Bajo | 8 Med | 12 Alto | 16 Crít | 20 Crít |
| 3 — Posible | 3 Bajo | 6 Med | 9 Med | 12 Alto | 15 Crít |
| 2 — Poco probable | 2 Bajo | 4 Bajo | 6 Med | 8 Med | 10 Alto |
| 1 — Raro | 1 Bajo | 2 Bajo | 3 Bajo | 4 Bajo | 5 Med |
Código de colores para presentaciones:
- Verde (Bajo): Monitorizar, sin acción inmediata
- Amarillo (Medio): Planificar mitigación, plazo razonable
- Naranja (Alto): Priorizar, abordar dentro del trimestre
- Rojo (Crítico): Acción inmediata, escalar al liderazgo
Usar datos de riesgo para la priorización
Priorización de iniciativas de seguridad
Al decidir entre proyectos, compare su reducción de riesgo:
| Iniciativa | Costo | Esfuerzo | Riesgos abordados | Reducción de riesgo |
|---|---|---|---|---|
| Implantación de MFA | $2K/año | 2 semanas | R-002 (phishing) | 16 → 8 |
| Despliegue de EDR | $10K/año | 1 mes | R-001 (ransomware) | 15 → 10 |
| Formación en seguridad | $3K | Continua | R-002, R-003 | Múltiple -2 |
| Segmentación de red | $5K | 2 meses | R-001 | 15 → 9 |
El MFA ofrece la mejor reducción de riesgo por dólar. Empiece ahí.
Justificar el presupuesto de seguridad
Los datos de riesgo facilitan las conversaciones sobre presupuesto:
Antes de la evaluación de riesgos: «Necesitamos $15K para herramientas de seguridad.» → «¿Por qué? No hemos tenido ningún problema.»
Después de la evaluación de riesgos: «Nuestro principal riesgo — phishing que lleva a la toma de cuentas — tiene una puntuación de 16/25. Los datos del sector muestran que empresas similares enfrentan un costo promedio de brecha de $150K. Una inversión de $15K en seguridad de correo y formación reduce este riesgo a 8/25, reduciendo aproximadamente a la mitad nuestra pérdida esperada.»
Aceptar el riesgo deliberadamente
A veces la respuesta correcta es «aceptar el riesgo». Pero hágalo conscientemente:
Plantilla de aceptación de riesgo
ID de riesgo: R-003
Descripción del riesgo: Robo de código fuente mediante robo de laptop
Puntuación actual del riesgo: 9 (Medio)
Controles actuales: Cifrado de disco completo, capacidad de borrado remoto
Recomendación: Aceptar
Justificación:
- Los controles actuales reducen el impacto significativamente
- Los controles adicionales (p. ej., sin código local) impactarían gravemente la productividad
- El costo de mitigación adicional supera la pérdida esperada
Aceptado por: [Nombre del CTO]
Fecha: [Fecha]
Fecha de revisión: [Fecha + 1 año]
Evaluación de riesgos para escenarios específicos
Evaluación de nuevo proveedor
Antes de adoptar una nueva herramienta SaaS:
| Factor de riesgo | Preguntas | Señales de alerta |
|---|---|---|
| Exposición de datos | ¿A qué datos accederán? | Acceso a todos los datos de clientes cuando solo necesitan correo |
| Autenticación | ¿Soportan SSO/MFA? | Autenticación solo con contraseña |
| Historial de brechas | ¿Han sido vulnerados? | Brecha reciente, mala respuesta |
| Cumplimiento | ¿Tienen SOC 2/ISO 27001? | Sin auditorías de terceros |
| Copia de seguridad/recuperación | ¿Cuál es su SLA? ¿Exportación de datos? | Sin capacidad de exportación |
Nueva funcionalidad/proyecto
Antes de construir algo nuevo:
- ¿Qué datos sensibles maneja?
- ¿Qué autenticación/autorización necesita?
- ¿Qué terceros están involucrados?
- ¿Cuál es el radio de explosión si se compromete?
- ¿Cuál es el requisito mínimo de seguridad?
Cambio de infraestructura
Antes de cambios importantes:
- ¿Qué controles existentes se ven afectados?
- ¿Se introducen nuevos vectores de ataque?
- ¿Cuál es el plan de retroceso?
- ¿Ha revisado el diseño el equipo de seguridad?
Errores comunes
-
Parálisis por análisis — Pasar meses en una evaluación perfecta en lugar de tomar acción. Una evaluación aproximada realizada en un día supera a una perfecta que tarda un trimestre.
-
Ignorar los riesgos aceptados — Escribirlos y olvidarlos. Revíselos trimestralmente.
-
Tratar todos los riesgos por igual — El punto es la priorización. Si todo es alta prioridad, nada lo es.
-
No involucrar a las partes interesadas — La evaluación de riesgos hecha en aislamiento pierde el contexto de negocio. Involucre a producto, ingeniería y liderazgo.
-
Registro de riesgos estático — Los riesgos cambian. Aparecen nuevos activos. Las amenazas evolucionan. Revise y actualice regularmente.
-
Dependencia excesiva de marcos — NIST e ISO son referencias útiles, no escrituras sagradas. Adáptelos a su contexto.
-
Olvidar la aceptación de riesgos — A veces aceptar el riesgo es la decisión correcta. No documentar esa decisión es el error.
-
Sesgo de impacto — Las personas se enfocan en riesgos de alto impacto incluso cuando la probabilidad es negligible. Una catástrofe una vez en un siglo puede merecer menos atención que incidentes frecuentes de impacto medio.
Cuantificar el riesgo en dinero
El liderazgo entiende el dinero mejor que las puntuaciones de riesgo. Convierta los riesgos abstractos en términos financieros.
Cuantificación simple del riesgo
Pérdida Anual Esperada (ALE) = Pérdida por Evento Único × Tasa Anual de Ocurrencia
Ejemplo: Brecha de datos de clientes
- Pérdida por Evento Único (SLE): $150.000 (respuesta + multas + reputación)
- Tasa Anual de Ocurrencia (ARO): 0,1 (10% de probabilidad por año)
- ALE = $150.000 × 0,1 = $15.000/año de pérdida esperada
Si un control de $5.000/año reduce la ARO a 0,02:
- Nueva ALE = $150.000 × 0,02 = $3.000/año
- Ahorro: $15.000 - $3.000 = $12.000/año
- ROI: ($12.000 - $5.000) / $5.000 = 140%
Referencia de estimación de costos
Use estos rangos para sus cálculos (ajuste según el tamaño de la empresa):
| Tipo de impacto | Estimación para empresa pequeña | Notas |
|---|---|---|
| Respuesta a incidentes | $10K–50K | Tiempo interno + forense |
| Legal/regulatorio | $20K–200K | Varía según jurisdicción y tipo de datos |
| Notificación a clientes | $1–5 por registro | Requerido en la mayoría de jurisdicciones |
| Monitorización de crédito | $10–20 por persona/año | A menudo requerido tras brecha de PII |
| Tiempo de inactividad | $1K–50K por hora | Depende del modelo de negocio |
| Reputación | Impacto del 5–20% en ingresos | Difícil de cuantificar, real no obstante |
Presentar el riesgo en términos de negocio
| Marco técnico | Marco de negocio |
|---|---|
| «El riesgo de inyección SQL es alto» | «Un atacante podría robar toda nuestra base de datos de clientes» |
| «Puntuación de riesgo 16 de 25» | «Estimamos $75K de pérdida anual esperada de este riesgo» |
| «Necesitamos un WAF» | «Por $10K/año, podemos reducir la probabilidad de brecha en un 60%» |
| «Vulnerabilidad CVSS 9,8» | «Esta vulnerabilidad permite a los atacantes tomar el control de nuestros servidores pocas horas después de ser escaneados» |
STRIDE: modelado de amenazas para desarrolladores
Para los equipos de desarrollo, STRIDE proporciona una forma sistemática de identificar amenazas. Úselo al diseñar nuevas funcionalidades o revisar arquitecturas.
Categorías STRIDE
| Amenaza | Qué significa | Ejemplo | Enfoque de mitigación |
|---|---|---|---|
| Suplantación | Fingir ser alguien más | Usar credenciales robadas | Autenticación, MFA |
| Tampering (manipulación) | Modificar datos o código | Inyección SQL, cambiar precios | Validación de entrada, comprobaciones de integridad |
| Repudio | Negar acciones realizadas | El usuario alega que no hizo una transacción | Registros de auditoría, no repudio |
| Información divulgada | Exponer datos sensibles | Volcado de base de datos, errores verbosos | Cifrado, control de acceso, manejo de errores |
| Denegación de servicio | Hacer el sistema no disponible | DDoS, agotamiento de recursos | Limitación de tasa, redundancia |
| Elevación de privilegios | Obtener acceso no autorizado | Toma de cuenta de administrador, escalada de privilegios | Mínimo privilegio, comprobaciones de autorización |
Análisis STRIDE rápido
Para cualquier nueva funcionalidad, pregúntese:
1. SUPLANTACIÓN: ¿Cómo verificamos la identidad del usuario?
- ¿Pueden los atacantes suplantar a usuarios legítimos?
- ¿Es segura la gestión de sesiones?
2. MANIPULACIÓN: ¿Pueden modificarse los datos en tránsito o almacenamiento?
- ¿Se valida la entrada?
- ¿Hay comprobaciones de integridad?
3. REPUDIO: ¿Podemos probar lo que ocurrió?
- ¿Se registran las acciones?
- ¿Son los registros a prueba de manipulaciones?
4. INFORMACIÓN DIVULGADA: ¿Qué datos podrían filtrarse?
- ¿Son los errores demasiado verbosos?
- ¿Están los datos sensibles cifrados?
5. DENEGACIÓN DE SERVICIO: ¿Puede abusarse de esto?
- ¿Hay límites de tasa?
- ¿Qué ocurre bajo carga?
6. ELEVACIÓN DE PRIVILEGIOS: ¿Pueden los usuarios hacer más de lo permitido?
- ¿Se verifica la autorización en cada nivel?
- ¿Están las funciones de administrador debidamente protegidas?
Recursos para el modelado de amenazas
- OWASP Threat Modeling — Guía completa
- Microsoft Threat Modeling Tool — Herramienta visual gratuita
- Threagile — Modelado de amenazas de código abierto basado en código
- OWASP Threat Dragon — Diagramación gratuita y de código abierto
Incidentes del mundo real: cuando el riesgo no se gestionó
Caso 1: El bucket S3 olvidado
Una startup tenía «buckets S3 públicos» en su registro de riesgos como riesgo «Medio». Planificaron corregirlo «el próximo trimestre» durante tres trimestres seguidos. Un investigador de seguridad encontró el bucket con 2 millones de registros de clientes y lo reportó a periodistas antes de notificar a la empresa.
Costo: $400K en respuesta a incidentes, honorarios legales y pérdida de clientes. Los $2K y 2 días necesarios para corregirlo habían parecido «demasiado caros» durante demasiado tiempo.
Caso 2: El riesgo aceptado que mordió de vuelta
Una empresa SaaS aceptó el riesgo de no tener MFA en su consola de administración porque «está detrás de VPN». El laptop de un empleado se comprometió mediante phishing. El atacante accedió a la VPN, luego a la consola de administración. Sin MFA significó acceso total a los datos de los clientes.
El registro de riesgos decía: «Aceptado - la VPN proporciona protección suficiente.» La revisión de riesgos no había cuestionado si solo la VPN era suficiente.
Caso 3: La evaluación de riesgos que salvó el trato
Una startup fintech estaba en conversaciones de M&A. La diligencia debida del adquirente incluyó una revisión de seguridad. Porque la startup tenía:
- Registro de riesgos documentado
- Responsabilidad clara del riesgo
- Revisiones trimestrales regulares
- Documentación formal de aceptación para las brechas conocidas
El equipo de seguridad del adquirente pasó 2 días en lugar de 2 semanas en la evaluación. La startup demostró una madurez de seguridad más allá de su tamaño, contribuyendo a una valoración más alta.
Caso 4: Prioridades sin evaluación de riesgos
Una empresa invirtió $50K en detección avanzada de amenazas mientras tenía:
- El 30% de los sistemas sin parches
- Sin MFA en sistemas críticos
- Contraseñas de administrador compartidas
Su primera «amenaza detectada» fue un atacante ya dentro, usando esas credenciales compartidas. La cara herramienta de detección funcionó perfectamente—detectó la brecha que la higiene básica habría prevenido.
Comunicación de riesgos: haciéndolo real
La técnica del escenario
En lugar de puntuaciones de riesgo abstractas, cuente historias:
Abstracto: «Riesgo R-002: Phishing que lleva a compromiso de cuenta. Probabilidad 4, Impacto 4, Puntuación 16.»
Escenario: «Es el jueves por la tarde. Un desarrollador hace clic en un enlace de un correo que parece ser de GitHub. Introduce sus credenciales. Para el viernes por la mañana, el atacante ha clonado todos nuestros repositorios privados, incluyendo el que tiene claves API embebidas en el código. Han accedido a nuestra cuenta de AWS y descargado datos de clientes. Nuestra primera señal es un tweet de un investigador de seguridad diciendo que nuestros datos están a la venta.»
Los escenarios hacen que el riesgo sea visceral. El liderazgo recuerda los escenarios.
Declaraciones de apetito de riesgo: ejemplos
Consiga que el liderazgo apruebe un apetito de riesgo explícito. Ejemplos:
Conservador (sector regulado):
«No aceptaremos ningún riesgo con calificación 10 o superior. Todos los riesgos medios (5–9) deben tener planes de mitigación documentados con plazos de 90 días. Ningún sistema de producción puede tener vulnerabilidades críticas o altas conocidas durante más de 7 días.»
Equilibrado (empresa tecnológica típica):
«Los riesgos con calificación 15+ requieren aprobación de nivel C para su aceptación. Los riesgos con calificación 10–14 requieren aprobación del VP. Todos los riesgos altos y críticos deben tener planes de mitigación. Aceptamos que algunos riesgos medios existirán; requieren revisión trimestral.»
Agresivo (startup en etapa inicial):
«Priorizamos la velocidad de comercialización. Los riesgos con calificación 20+ requieren aprobación del fundador. Aceptamos conscientemente un mayor riesgo a cambio de velocidad, pero documentamos nuestras decisiones para referencia futura. No se aceptan riesgos de exposición de datos de clientes independientemente de la puntuación.»
Mapas de calor para presentaciones
Las presentaciones de riesgo visuales funcionan mejor que las tablas:
Mapa de calor de riesgos de la empresa — Q1 2025
| Probabilidad | Impacto: Bajo | Impacto: Medio | Impacto: Alto |
|---|---|---|---|
| Alto | — | Phishing por correo | BD de clientes |
| Medio | Sitio web | Robo de laptop | Código fuente |
| Bajo | — | — | DDoS |
Áreas de enfoque: Protección de la BD de clientes, seguridad del correo. Riesgos aceptables: defacement del sitio web (baja probabilidad/impacto).
Consejos de experto
La revisión «3 en 30»
¿No puede hacer una evaluación completa? Haga «3 en 30»:
- Identifique sus 3 activos principales
- Para cada uno, nombre las 3 amenazas principales
- Puntúelos en 30 minutos
Esto le da 9 elementos de riesgo que cubren sus áreas más críticas. Mejor que nada.
Use la inteligencia de amenazas para calibrar la probabilidad
No adivine la probabilidad en el vacío:
- Consulte el Verizon DBIR para su sector
- Revise las alertas de CISA para exploits activos
- Monitorice Have I Been Pwned para exposiciones de credenciales en su dominio
La «prueba del periódico» para el impacto
Al estimar el impacto, pregúntese: «¿Saldría esto en las noticias?» Si es así, probablemente es un 4 o 5.
Declaración de apetito de riesgo
Consiga que el liderazgo defina el apetito de riesgo: «No aceptaremos riesgos superiores a [puntuación X] a menos que sea aprobado explícitamente por [rol].» Esto le da criterios claros de escalada.
Ejemplo:
«Los riesgos con puntuación 15 o superior requieren aprobación del CEO para su aceptación. Los riesgos con puntuación 10–14 requieren aprobación del CTO. Los riesgos por debajo de 10 pueden ser aceptados por los jefes de departamento.»
Conecte los riesgos con los OKRs
Mapee los riesgos de seguridad a los objetivos de la empresa:
- «Nuestro objetivo de Q1 es $2M de ARR» → «Una brecha retrasaría los ciclos de ventas ~2 meses»
- «Estamos lanzando en la UE» → «Las multas por violación del GDPR podrían ser el 4% de los ingresos»
Esto hace que la seguridad sea relevante para las prioridades del negocio.
Taller: realice su evaluación de riesgos
Parte 1: Inventario de activos (1 hora)
- Liste los activos críticos de su empresa
- Categorice: Datos, Sistemas, Procesos, Personas, Reputación
- Clasifique por importancia (si solo puede proteger 5, ¿cuáles 5?)
Entregable: Inventario de activos con los 10 activos críticos identificados
Parte 2: Identificación de amenazas (1 hora)
- Para cada activo principal, identifique 3–5 amenazas relevantes
- Sea específico: «Ransomware mediante correo de phishing», no solo «ciberataque»
- Use fuentes de inteligencia de amenazas para validar
Entregable: Lista de amenazas mapeadas a activos
Parte 3: Puntuación de riesgos (1 hora)
- Puntúe cada par amenaza-activo en probabilidad (1–5)
- Puntúe cada uno en impacto (1–5)
- Calcule las puntuaciones de riesgo
- Clasifique de mayor a menor
Entregable: Lista de riesgos clasificada con puntuaciones
Parte 4: Registro de riesgos (1 hora)
- Cree un registro de riesgos usando la plantilla proporcionada
- Documente los controles actuales para cada riesgo
- Proponga tratamiento (mitigar, aceptar, transferir, evitar)
- Asigne responsables y fechas objetivo para riesgos altos/críticos
Entregable: Registro de riesgos inicial con los 15 riesgos principales
Parte 5: Plan de mitigación de riesgos (1 hora)
- Para sus 5 principales riesgos, defina acciones específicas de mitigación
- Estime el costo y esfuerzo para cada uno
- Proponga cronograma y prioridades
- Prepare resumen para el liderazgo
Entregable: Plan de mitigación de riesgos con acciones priorizadas
Cómo explicar esto al liderazgo
El discurso:
«Quiero formalizar cómo tomamos decisiones de seguridad. Ahora mismo, reaccionamos a lo que parece urgente. Una evaluación de riesgos nos dará una imagen clara de nuestros riesgos reales — qué es probable que ocurra y qué tan grave sería. Luego podemos invertir en lo que más importa, no solo en lo que es más ruidoso.»
Qué presentar:
- Los 5 riesgos principales con descripciones en lenguaje común
- Controles actuales y brechas
- Inversiones propuestas con costo y reducción de riesgo
- Qué recomienda aceptar (y por qué está bien)
La solicitud:
«Necesito 4 horas para completar la evaluación inicial y 30 minutos de su tiempo para revisar los resultados. Después, revisiones trimestrales de 15 minutos para mantenerla actualizada.»
Resultado esperado:
«Tendrá visibilidad de nuestra postura de seguridad real y los datos para tomar decisiones informadas sobre dónde invertir.»
Conclusión
No puede eliminar todo el riesgo. El objetivo es tomar decisiones deliberadas sobre qué riesgos aceptar, cuáles reducir y cuáles transferir. Un registro de riesgos hace que esas decisiones sean explícitas en lugar de implícitas.
Empiece con una hoja de cálculo y cuatro columnas. Puede añadir proceso más adelante.
Qué sigue
Siguiente: cumplimiento y requisitos regulatorios — entender qué está legalmente obligado a hacer y cómo convertirlo en una ventaja competitiva.