Todo programa de seguridad que merece ese nombre parte de una pregunta incómoda: ¿qué puede salir mal, con qué probabilidad y con qué consecuencias? Sin respuesta, no hay priorización posible: se compran controles por moda, se gasta en lo urgente en vez de en lo importante, y ni el CISO ni el consejo pueden justificar por qué se protege un activo y no otro. La gestión de riesgos convierte esa pregunta en un proceso repetible, auditable y defendible ante un regulador. En este módulo aprenderás el vocabulario riguroso de ISO 31000, el proceso de apreciación del riesgo, la metodología española de referencia MAGERIT v3 (la que usa la Administración y el Esquema Nacional de Seguridad a través de la herramienta PILAR), y los dos grandes enfoques de cálculo: el cualitativo (matrices de calor) y el cuantitativo (ALE y el marco FAIR). El tratamiento del riesgo, el riesgo residual y la Declaración de Aplicabilidad se ven en el Módulo 4: aquí construimos los cimientos —identificar y analizar— sin los cuales cualquier tratamiento posterior es una apuesta a ciegas.
Qué aprenderás
- El vocabulario exacto de ISO 31000 / ISO Guía 73: activo, amenaza, vulnerabilidad, riesgo, riesgo inherente y residual, propietario del riesgo.
- Las fases del proceso de gestión de riesgos de ISO 31000:2018 y qué ocurre en cada una.
- La metodología MAGERIT v3 del CCN: modelo de activos, dependencias, dimensiones DICAT, amenazas, degradación, frecuencia y salvaguardas.
- Cómo se relaciona MAGERIT con la herramienta PILAR y con el ENS.
- La diferencia real entre análisis cualitativo y cuantitativo, y cuándo usar cada uno.
- A calcular una pérdida anual esperada con la fórmula ALE = SLE × ARO, con un ejemplo numérico completo.
- Qué aporta FAIR (Factor Analysis of Information Risk) frente al ALE clásico.
- Qué son el apetito de riesgo, la tolerancia y la capacidad de riesgo, y cómo se fijan los criterios de aceptación.
- A construir y leer una matriz de riesgo 5×5 y a priorizar riesgos con ella.
El riesgo: vocabulario que hay que dominar antes de calcular nada
La mayoría de discusiones inútiles en un comité de riesgos vienen de usar mal cuatro o cinco palabras. La referencia para fijar el vocabulario es ISO Guía 73:2009 (vocabulario de gestión del riesgo), junto con las definiciones que reproduce y usa ISO 31000:2018.
Riesgo: una definición que sorprende a quien no la conoce
ISO 31000 define el riesgo como el «efecto de la incertidumbre sobre los objetivos». No dice «probabilidad de que pase algo malo»: dice que el riesgo es el efecto de no saber con certeza qué va a pasar, medido respecto a lo que la organización quiere conseguir. Esto tiene dos consecuencias: formalmente el riesgo no es solo negativo (puede ser una desviación positiva u oportunidad, aunque en seguridad casi siempre trabajamos su cara negativa), y se define respecto a objetivos —no existe «el riesgo» en abstracto, sino el riesgo de que un activo concreto no soporte un proceso de negocio que persigue un objetivo concreto, lo que conecta la gestión de riesgos con la gobernanza del Módulo 2—.
De forma operativa, el riesgo se modela clásicamente como una función de dos variables sobre un activo:
Riesgo = f(Probabilidad, Impacto)
La probabilidad depende de que exista una amenaza capaz de explotar una vulnerabilidad; el impacto depende del valor del activo afectado y de la dimensión de seguridad comprometida (confidencialidad, integridad, disponibilidad…). Esta fórmula simplificada es el punto de partida cualitativo; más adelante veremos su versión cuantitativa con ALE.
Los cinco términos que hay que saber definir sin dudar
| Término | Definición operativa | Ejemplo |
|---|---|---|
| Activo | Elemento de valor para la organización que hay que proteger. | Base de datos de clientes, servidor de correo, código fuente del ERP. |
| Amenaza | Causa potencial de un incidente no deseado. Deliberada (ataque), accidental (error humano) o ambiental (fallo eléctrico, incendio). | Ransomware, error de configuración de un administrador, corte eléctrico prolongado. |
| Vulnerabilidad | Debilidad de un activo o control explotable por una o más amenazas. | Software sin parchear, contraseña por defecto, backup sin probar. |
| Riesgo | Efecto de la incertidumbre sobre los objetivos; combinación de probabilidad de que una amenaza explote una vulnerabilidad y el impacto resultante. | «Exfiltración de la base de datos de clientes por inyección SQL no corregida» (ver curso de Hacking Web). |
| Control / salvaguarda | Medida que reduce la probabilidad, el impacto, o ambos. MAGERIT dice «salvaguarda»; ISO 27001/27002 dice «control». | Cifrado en reposo, segmentación de red, formación anti-phishing, WAF. |
Riesgo inherente vs. riesgo residual: la distinción que más se confunde
Es la pareja de conceptos peor entendida en comités de riesgo poco maduros, y conviene fijarla porque estructura todo el Módulo 4. El riesgo inherente (o bruto) es el nivel que existiría si no hubiera ningún control aplicado: una construcción teórica útil para entender la exposición «natural» del activo, no el estado real de la organización. El riesgo residual es el que queda después de aplicar los controles existentes: el riesgo real al que está expuesta la organización hoy, el que hay que comparar contra el apetito de riesgo para decidir si hace falta tratamiento adicional. Un error común de auditores junior es evaluar el inherente y presentarlo como situación actual, generando alarma injustificada (o, al revés, evaluar solo el residual y perder de vista lo grave que sería un fallo del control existente); un análisis maduro documenta ambos.
El propietario del riesgo (risk owner)
ISO 31000 e ISO/IEC 27001:2022 (cláusula 6.1.2) exigen identificar un propietario del riesgo: la persona con autoridad y responsabilidad suficientes para gestionarlo, decidir su tratamiento y responder de esa decisión. Un error frecuente es asignar como propietario a quien ejecuta el control técnico (el administrador de sistemas) en vez de a quien tiene autoridad real sobre el activo y el presupuesto (el responsable de negocio del que depende ese activo); el propietario firma la aceptación de un riesgo residual, y el equipo técnico implementa las salvaguardas que ese propietario decide.
El proceso de gestión de riesgos según ISO 31000:2018
ISO 31000:2018 («Gestión del riesgo — Directrices») no es una norma certificable: es un marco de directrices, de aplicación genérica a cualquier tipo de riesgo, no solo de seguridad de la información. Distingue tres capas: los principios (por qué gestionamos el riesgo), el marco de referencia (cómo se integra la gestión de riesgos en la gobernanza, con liderazgo, diseño, implementación, evaluación y mejora) y el proceso propiamente dicho, que es el que se desglosa aquí porque es el que se ejecuta activo a activo.
Comunicación y consulta
Es una actividad continua y transversal a todo el proceso, no una fase que se hace una vez y se olvida. Consiste en dialogar con las partes interesadas (internas: dirección, propietarios de procesos, equipos técnicos; externas: clientes, proveedores, reguladores) para recabar su percepción del riesgo y explicar los criterios que se van a usar. Sin comunicación y consulta, el análisis lo hace un analista aislado con su propia percepción sesgada, y el resultado no tiene legitimidad ni en el comité de riesgos ni ante los propietarios de los activos.
Establecimiento del contexto
Antes de identificar ningún riesgo hay que fijar el marco en el que se va a evaluar:
- Contexto externo: entorno regulatorio (RGPD, ENS, NIS2…), sector, competencia, relación con proveedores y clientes, entorno macroeconómico y tecnológico.
- Contexto interno: objetivos y estrategia de la organización, estructura, cultura, recursos y capacidades, sistemas de información.
- Criterios de riesgo: cómo se van a medir probabilidad e impacto, qué escalas se usarán (cualitativa, cuantitativa o mixta) y cuál es el apetito de riesgo de la organización (lo veremos más adelante). Sin criterios fijados de antemano, cada analista inventa su propia escala y los resultados no son comparables entre sí.
- Alcance: qué procesos, activos, ubicaciones o sistemas entran en este ejercicio de apreciación del riesgo.
Apreciación del riesgo (risk assessment)
Es el núcleo técnico del proceso y se subdivide en tres subfases que conviene no confundir, porque cada una responde a una pregunta distinta:
1. Identificación del riesgo
¿Qué puede pasar? Encontrar, reconocer y describir riesgos: qué activos existen, qué amenazas les son aplicables, qué vulnerabilidades tienen los controles actuales. Técnicas habituales: talleres con propietarios de proceso, revisión de incidentes históricos y catálogos de amenazas de referencia (como el de MAGERIT, más adelante).
2. Análisis del riesgo
¿Cómo de grave y probable es? Se estima la probabilidad y la magnitud de las consecuencias de cada riesgo, considerando los controles existentes, aplicando la metodología fijada en el contexto, y se calcula el nivel de riesgo (probabilidad × impacto, o su equivalente cuantitativo).
3. Evaluación del riesgo
¿Es aceptable o hay que actuar? Se compara el nivel de riesgo contra los criterios del contexto (apetito y tolerancia) para decidir qué riesgos necesitan tratamiento, cuáles se aceptan y cuáles requieren más análisis. El resultado es una lista priorizada que alimenta el plan de tratamiento del Módulo 4.
Tratamiento del riesgo
Selección e implementación de una o varias opciones para modificar el riesgo: mitigarlo, transferirlo, evitarlo o aceptarlo. Con el plan de tratamiento, el cálculo del riesgo residual resultante y la Declaración de Aplicabilidad (SoA) de ISO 27001, es el contenido íntegro del Módulo 4: Gestión de riesgos II. Aquí basta con situarla en el proceso: no es una fase aislada, sino la consecuencia lógica de una apreciación bien hecha.
Seguimiento y revisión, y registro e informe
Igual que la comunicación y consulta, el seguimiento y revisión es una actividad continua, no un evento puntual: verifica que las salvaguardas siguen siendo eficaces, detecta cambios en el contexto que obligan a repetir la apreciación, y asegura que el riesgo residual real coincide con el estimado, apoyándose en indicadores clave de riesgo (KRI), auditorías internas y pruebas técnicas (pentest, red team). Un incidente real gestionado con el proceso del curso de DFIR — Respuesta a Incidentes es una de las mejores fuentes para recalibrar probabilidad e impacto: lo que era hipótesis se convierte en dato observado. Un análisis de riesgos que se hace una vez al año y no se revisa más es un documento muerto. Por último, el registro e informe exige documentar todo el proceso: el registro de riesgos (risk register), informes al comité de seguridad y a la dirección, y evidencias para la trazabilidad ante una auditoría; sin ello, todo lo anterior es indemostrable ante un auditor de ISO 27001 o del ENS.
| Fase ISO 31000:2018 | Pregunta que responde |
|---|---|
| Comunicación y consulta | ¿Quién debe opinar y estar informado? |
| Establecimiento del contexto | ¿Con qué reglas vamos a jugar? |
| Identificación del riesgo | ¿Qué puede pasar? |
| Análisis del riesgo | ¿Cómo de grave y probable es? |
| Evaluación del riesgo | ¿Es aceptable o hay que actuar? |
| Tratamiento del riesgo | ¿Qué vamos a hacer al respecto? (Módulo 4) |
| Seguimiento y revisión | ¿Sigue siendo válido lo que decidimos? |
| Registro e informe | ¿Cómo lo demostramos? |
MAGERIT v3: la metodología de referencia en España
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es la metodología pública de análisis de riesgos elaborada por el Consejo Superior de Administración Electrónica y mantenida por el CCN (Centro Criptológico Nacional). Su versión vigente, MAGERIT v3, se estructura en tres libros: Libro I – Método, Libro II – Catálogo de elementos (tipos de activos, dimensiones, catálogo de amenazas) y Libro III – Guía de técnicas. Es la metodología de referencia para las administraciones públicas españolas y el marco recomendado para el análisis de riesgos exigido por el Esquema Nacional de Seguridad (Módulo 9), aunque también la usan numerosas empresas privadas por su rigor.
El modelo de activos y sus dependencias
La aportación estructural más característica de MAGERIT es que no analiza los activos de forma aislada: construye un modelo de dependencias. Unos activos dependen de otros para prestar su función, y el riesgo se propaga a través de esas dependencias. MAGERIT organiza los activos en capas típicas, de lo más abstracto a lo más físico: activos esenciales (información y servicios prestados: el «para qué»), datos, servicios, software (aplicaciones), hardware (equipos), redes de comunicaciones, soportes de información, equipamiento auxiliar (alimentación, climatización, mobiliario), instalaciones y personal.
La lógica: un servicio esencial («facturación electrónica») depende de una aplicación, que depende de un servidor, que depende de una sala con climatización, que depende de personal que la opera; degradar cualquier eslabón degrada los siguientes hasta llegar al servicio esencial. MAGERIT calcula el riesgo propagando el impacto por este árbol de dependencias, evitando el error de valorar un servidor «en el vacío» sin conectarlo al proceso de negocio al que sirve.
Las cinco dimensiones de valoración: DICAT
MAGERIT valora cada activo en varias dimensiones de seguridad, porque un mismo activo puede ser muy crítico en una dimensión y poco en otra. Las cinco dimensiones (acrónimo DICAT, el mismo que reutiliza el ENS) son:
| Dimensión | Sigla | Qué mide |
|---|---|---|
| Disponibilidad | D | Que el activo esté accesible y utilizable cuando los usuarios legítimos lo necesitan. |
| Integridad | I | Que el activo no haya sido alterado de forma no autorizada o no controlada. |
| Confidencialidad | C | Que la información no se revele a individuos, entidades o procesos no autorizados. |
| Autenticidad | A | Que una entidad sea quien dice ser, o que se garantice el origen de los datos. |
| Trazabilidad | T | Que se puedan atribuir las acciones (quién, qué, cuándo) de forma inequívoca. |
Nótese la diferencia con la tríada clásica CIA/CID (confidencialidad, integridad, disponibilidad): MAGERIT (y el ENS) la amplían con autenticidad y trazabilidad como dimensiones propias, no como subcategorías de integridad. Un sistema puede tener sus datos íntegros y disponibles, pero si no se puede probar quién hizo cada acción (falta de trazabilidad) o si alguien puede suplantar a un usuario legítimo (falta de autenticidad), el riesgo residual es real e independiente de las otras tres dimensiones.
Amenazas, degradación y frecuencia
El Libro II de MAGERIT aporta un catálogo de amenazas tipificado (desastres naturales, de origen industrial, errores y fallos no intencionados, ataques intencionados), cada una asociada a los tipos de activos a los que aplica y a las dimensiones que degrada. Para cada par activo-amenaza, el analista estima dos parámetros:
- Degradación: qué porcentaje del valor del activo se pierde si la amenaza se materializa (equivalente conceptual al «factor de exposición» del cálculo ALE).
- Frecuencia (probabilidad): con qué periodicidad es razonable esperar que la amenaza se materialice, en una escala (muy frecuente, frecuente, normal, poco frecuente) o en términos anuales.
Con el valor del activo en cada dimensión, la degradación y la frecuencia, MAGERIT calcula el impacto potencial (cuánto se pierde si ocurre) y el riesgo potencial (impacto ponderado por la frecuencia), en su versión inherente (sin salvaguardas) y residual, tras aplicar el efecto reductor de las salvaguardas existentes.
PILAR: la herramienta que automatiza MAGERIT
PILAR (Procedimiento Informático-Lógico para el Análisis de Riesgos) es la herramienta del CCN que implementa MAGERIT de forma automatizada: modela el árbol de activos y sus dependencias, valora cada uno en las dimensiones DICAT, aplica el catálogo de amenazas, registra las salvaguardas existentes y obtiene automáticamente los mapas de riesgo inherente y residual, con informes exportables útiles para la Declaración de Aplicabilidad del Módulo 4 y la documentación del ENS. Es gratuita para administraciones públicas y organismos vinculados; existe también una versión reducida (microPILAR) para organizaciones más pequeñas. No es la única forma de aplicar MAGERIT —cabe en una hoja de cálculo—, pero es la referencia de facto en el ecosistema público español.
Enfoque cualitativo vs. cuantitativo: dos formas de medir lo mismo
Hasta ahora hemos hablado de «nivel de riesgo» sin fijar cómo se expresa numéricamente. Hay dos grandes familias de enfoque, y la elección no es ideológica: depende de la madurez de los datos disponibles y de a quién hay que convencer.
Análisis cualitativo
Expresa probabilidad e impacto en escalas descriptivas (muy bajo/bajo/medio/alto/muy alto, o equivalentes ordinales del 1 al 5) y combina ambas variables en una matriz de riesgo o «matriz de calor». Es el enfoque más extendido porque no requiere datos históricos fiables de pérdidas (que en muchas organizaciones no existen con calidad suficiente), es rápido de ejecutar en talleres, y se comunica bien a un comité que solo necesita la priorización, no el detalle del cálculo.
Su debilidad principal es la subjetividad: «alto» para un analista puede no significar lo mismo que para otro, y agregar riesgos cualitativos no es matemáticamente consistente sin convertirlos antes a una escala numérica con lógica explícita.
Matriz de riesgo 5×5
La matriz 5×5 es el formato cualitativo más usado en GRC. Se cruza la probabilidad (filas) con el impacto (columnas), cada una en cinco niveles, y el resultado se agrupa típicamente en bandas de color:
| Probabilidad Impacto | 1 · Muy bajo | 2 · Bajo | 3 · Medio | 4 · Alto | 5 · Muy alto |
|---|---|---|---|---|---|
| 5 · Muy alta | 5 (Bajo) | 10 (Medio) | 15 (Alto) | 20 (Crítico) | 25 (Crítico) |
| 4 · Alta | 4 (Bajo) | 8 (Medio) | 12 (Alto) | 16 (Crítico) | 20 (Crítico) |
| 3 · Media | 3 (Bajo) | 6 (Medio) | 9 (Alto) | 12 (Alto) | 15 (Alto) |
| 2 · Baja | 2 (Bajo) | 4 (Bajo) | 6 (Medio) | 8 (Medio) | 10 (Medio) |
| 1 · Muy baja | 1 (Bajo) | 2 (Bajo) | 3 (Bajo) | 4 (Bajo) | 5 (Bajo) |
El valor de cada celda es el producto probabilidad × impacto (escala ordinal del 1 al 25); las bandas de color son un criterio de la organización, no un estándar universal —hay quien usa cuatro bandas, quien usa tres, quien pondera más el impacto—. Lo importante es que los umbrales se fijen en el establecimiento del contexto, antes de analizar ningún riesgo, y que se mantengan estables entre ciclos para que los resultados sean comparables en el tiempo.
Análisis cuantitativo
Expresa el riesgo en unidades monetarias (u otra unidad continua comparable, como horas de indisponibilidad), lo que permite compararlo con el coste de los controles en el lenguaje de un director financiero. Su punto débil es que exige datos de calidad (valor de activos, frecuencia histórica, coste real de incidentes similares) que muchas organizaciones no tienen, generando una falsa sensación de precisión sobre estimaciones que siguen siendo subjetivas. La técnica clásica —y la que hay que dominar porque aparece en CISM, CRISC y CISSP— es el cálculo de la pérdida anual esperada (ALE).
El cálculo ALE: SLE × ARO, paso a paso
El modelo cuantitativo clásico descompone la pérdida anual esperada de un riesgo en tres componentes:
SLE (Pérdida Única Esperada) = Valor del activo × Factor de Exposición (EF)
ALE (Pérdida Anual Esperada) = SLE × ARO (Tasa Anual de Ocurrencia)
- Valor del activo (AV): valor económico del activo en riesgo, incluyendo costes directos (reposición, licencias) e indirectos razonablemente estimables (ingresos que genera, coste de reconstrucción de datos).
- Factor de Exposición (EF, Exposure Factor): porcentaje del valor del activo que se perdería si la amenaza se materializa una vez. Un EF del 100% es pérdida total; un EF del 20% es una quinta parte del valor.
- SLE (Single Loss Expectancy, Pérdida Única Esperada): coste económico de un único incidente, resultado de AV × EF.
- ARO (Annualized Rate of Occurrence, Tasa Anual de Ocurrencia): frecuencia media esperada del incidente en un año. Puede ser menor que 1 (un incidente cada cuatro años: ARO = 0,25) o mayor (tres veces al año: ARO = 3).
- ALE (Annualized Loss Expectancy, Pérdida Anual Esperada): resultado de SLE × ARO; cuánto se espera perder por ese riesgo en un año medio. Es la cifra que se compara contra el coste anualizado de un control para calcular su retorno de inversión.
Ejemplo numérico completo
Supongamos una tienda online de tamaño medio que quiere cuantificar el riesgo de una caída prolongada de su base de datos de pedidos por un ataque de ransomware sin backup verificado.
| Parámetro | Valor | Justificación |
|---|---|---|
| Valor del activo (AV) | 200.000€ | Ingresos medios de dos semanas de la tienda (no solo coste de reposición del servidor). |
| Factor de Exposición (EF) | 60% | Parada media de una semana más costes de recuperación y sanción; no es pérdida total (hay backups parciales y seguro) pero es severa. |
| SLE | 120.000€ | 200.000€ × 0,60 |
| ARO | 0,25 | Sector objetivo frecuente de ransomware, sin controles maduros: razonable esperarlo una vez cada cuatro años. |
| ALE | 30.000€/año | 120.000€ × 0,25 |
Con este resultado, el comité de riesgos tiene una cifra defendible: este riesgo «cuesta» 30.000€ al año en expectativa estadística. Si implantar backup inmutable con pruebas de restauración cuesta 8.000€/año y reduce el EF del 60% al 10%, el nuevo ALE sería 200.000€ × 0,10 × 0,25 = 5.000€/año: una reducción de riesgo de 25.000€/año por una inversión de 8.000€/año. Esa comparación —coste del control frente a reducción de ALE— es exactamente el argumento que un CISO necesita para defender presupuesto ante dirección financiera.
Las limitaciones que hay que reconocer
El ALE clásico trata la frecuencia como un promedio estable (un ARO de 0,25 no dice nada sobre si el incidente puede ocurrir dos veces el mismo año), no captura la incertidumbre sobre las propias estimaciones de AV, EF y ARO, y sumar varios ALE para una exposición total asume independencia entre riesgos que rara vez es cierta. Esto es lo que el marco FAIR trata de resolver.
FAIR: cuantificación del riesgo con rigor estadístico
FAIR (Factor Analysis of Information Risk) es un modelo de cuantificación del riesgo mantenido como estándar internacional por The Open Group (la misma organización que mantiene TOGAF): el único modelo internacional de cuantificación de riesgo de seguridad de la información ampliamente adoptado con ese estatus, según sus propios mantenedores. Frente al ALE de «una cifra por parámetro», FAIR descompone el riesgo en un árbol de factores y trata cada uno como una distribución de probabilidad (mínimo, máximo y valor más probable, simulada con métodos de Montecarlo), definiendo el riesgo como el producto de dos factores de alto nivel:
Riesgo = Frecuencia de Eventos de Pérdida (LEF) × Magnitud de Pérdida Probable (PLM)
- LEF: frecuencia con la que un agente de amenaza entra en contacto con el activo, por la probabilidad de que ese contacto se convierta en un ataque efectivo (capacidad del agente frente a resistencia de los controles).
- PLM: pérdida primaria (costes directos: respuesta, sustitución, productividad) más pérdida secundaria (sanciones, pérdida de clientes, daño reputacional, litigios).
El resultado no es una cifra única sino una distribución de pérdida anual esperada («con un 90% de confianza, la pérdida anual está entre 12.000€ y 85.000€, con media de 34.000€»), comunicando la incertidumbre en vez de esconderla tras un número que suena más preciso de lo que es. FAIR exige más madurez de datos y herramienta (el propio Open Group certifica la formación, el Open FAIR) que el ALE clásico, por lo que conviene reservarlo para los riesgos de mayor criticidad o incertidumbre, y usar el cualitativo o el ALE simple para el grueso del inventario.
Apetito de riesgo, tolerancia y capacidad
Estos tres términos se usan a menudo como sinónimos y no lo son; la confusión genera comités de riesgo que discuten sin saber si hablan de lo mismo.
| Concepto | Qué significa | Quién lo fija |
|---|---|---|
| Apetito de riesgo (risk appetite) | Cantidad y tipo de riesgo que la organización está dispuesta a buscar o retener para conseguir sus objetivos. Decisión estratégica, no solo tolerancia pasiva. | Consejo de administración / alta dirección, como parte de la estrategia. |
| Tolerancia al riesgo (risk tolerance) | Nivel de variación aceptable alrededor del apetito para un objetivo concreto; margen dentro del cual un riesgo se considera aceptable sin escalar. | Comité de riesgos / dirección de la unidad de negocio. |
| Capacidad de riesgo (risk capacity) | Máximo riesgo que la organización puede absorber objetivamente sin poner en peligro su viabilidad. Límite duro (financiero, legal, reputacional), no una preferencia. | Realidad financiera y legal de la organización; no es discrecional. |
La relación lógica: el apetito debe estar siempre por debajo de la capacidad (no se puede querer asumir más riesgo del que la organización puede sobrevivir), y la tolerancia opera como el margen fino alrededor del apetito para decisiones del día a día. En la práctica, el apetito se traduce en criterios de evaluación y aceptación concretos: por ejemplo, «todo riesgo en banda Crítica requiere aprobación del comité de dirección; los de banda Alta requieren plan de tratamiento en 90 días; los de banda Media se revisan trimestralmente; los de banda Baja los acepta el propietario del riesgo sin escalado». Fijar estos umbrales con precisión, y por escrito, es lo que separa una política de riesgos real de un documento decorativo.
Caso práctico: valorar un activo con enfoque MAGERIT
Una empresa de servicios profesionales de 80 empleados quiere valorar, con enfoque MAGERIT, su servidor de gestión documental (contratos, expedientes de clientes, documentación fiscal), previo a construir su análisis de riesgos para una futura certificación ISO 27001.
Paso 1: identificar el activo esencial del que depende
El servidor no es un fin en sí mismo: soporta el servicio esencial «gestión de expedientes de clientes», del que depende la facturación y la relación contractual con todos los clientes activos. Modelo de dependencias: Servicio esencial (gestión de expedientes) → Datos (documentos, metadatos) → Software (aplicación documental) → Hardware (servidor físico o instancia cloud) → Instalaciones (CPD o proveedor cloud) → Personal (administrador de sistemas, responsable legal).
Paso 2: valorar el activo en las cinco dimensiones DICAT
Usando una escala de 0 a 10 (habitual en PILAR), con la justificación de negocio para cada valor:
| Dimensión | Valor (0-10) | Justificación |
|---|---|---|
| Disponibilidad (D) | 6 | Parada de un día: asumible (hay copias locales en curso). Parada de una semana: afecta gravemente a la facturación. |
| Integridad (I) | 9 | Un expediente fiscal alterado sin control tiene consecuencias legales y económicas graves, y es difícil de detectar sin versionado. |
| Confidencialidad (C) | 9 | Contiene datos personales y secretos comerciales de clientes; una fuga es incidente RGPD notificable y daño reputacional severo. |
| Autenticidad (A) | 8 | Crítico garantizar que un documento firmado proviene realmente de quien dice, en comunicaciones con clientes y Administración. |
| Trazabilidad (T) | 7 | Necesario demostrar quién accedió o modificó un expediente, por control interno y por posibles requerimientos legales. |
El valor global del activo en MAGERIT no es la media simple de estas cinco cifras: se suele tomar el máximo de las dimensiones relevantes como valor dominante para priorizar (aquí, Integridad y Confidencialidad, ambas en 9), porque un activo es tan crítico como su dimensión más sensible, aunque el detalle por dimensión se conserva para el análisis fino de cada amenaza.
Paso 3: aplicar amenazas relevantes y estimar el riesgo
Del catálogo de amenazas de MAGERIT se identifican como aplicables, entre otras: «[A.11] Acceso no autorizado» (degrada C, I, A), «[A.24] Denegación de servicio» (degrada D) y «[E.2] Errores del administrador» (degrada D, I) —esta última, en un entorno Windows corporativo, típicamente ligada a fallos de privilegios en el directorio, terreno del curso de Defensa de Active Directory—. Para el acceso no autorizado, con frecuencia «normal» (una vez cada 1-3 años en una pyme sin controles maduros) y degradación del 70% sobre confidencialidad, el riesgo potencial (inherente) en esa dimensión resulta alto, dado que el valor del activo ya es 9/10. Tras registrar las salvaguardas actuales (control de acceso por rol, sin MFA ni revisión periódica de permisos), el riesgo residual se reduce pero sigue siendo significativo por la ausencia de MFA —una salvaguarda que el comité debería priorizar de inmediato, lo que ya apunta al Módulo 4—.
Errores comunes
- Confundir riesgo inherente con riesgo residual, generando pánico injustificado o una falsa sensación de seguridad.
- Analizar activos técnicos sin conectarlos al proceso de negocio: un servidor «importante» sin decir para qué no se puede priorizar frente a otros cien igual de «importantes».
- Inventar cifras de ARO o EF sin ninguna base para un ALE «impresionante»: un número cuantitativo mal fundamentado es peor que un cualitativo honesto.
- No fijar los umbrales de la matriz de riesgo antes de analizar: decidir a posteriori qué es «Alto» o «Crítico» según el resultado deseado invalida el ejercicio.
- Asignar el propietario del riesgo a quien no tiene autoridad real sobre el activo o el presupuesto, convirtiendo la aceptación en un trámite sin responsabilidad.
- Tratar el análisis de riesgos como un evento anual aislado en vez de un proceso vivo con seguimiento continuo, tal como exige ISO 31000:2018.
- Mezclar escalas cualitativas y cuantitativas sin conversión explícita: sumar un «riesgo Alto» con un ALE de 40.000€ no produce ningún resultado válido.
- Ignorar la propagación de dependencias (el punto fuerte de MAGERIT): valorar el servidor pero olvidar la climatización o el administrador único sin respaldo.
Ejercicio
Eres el analista de riesgos de una empresa de comercio electrónico. Con los criterios de la matriz 5×5 de este módulo (probabilidad × impacto, ambos en escala 1-5), construye la matriz de calor y prioriza los siguientes cinco riesgos, indicando su puntuación y banda (Bajo/Medio/Alto/Crítico):
- R1 — Inyección SQL en el checkout sin validar: probabilidad 4 (aplicación pública, sin WAF, código legado), impacto 5 (base de datos completa de clientes y pagos).
- R2 — Empleado que reutiliza contraseña corporativa en un servicio externo comprometido: probabilidad 4 (patrón habitual en el sector), impacto 3 (correo corporativo, no sistemas críticos, gracias a la segmentación).
- R3 — Corte eléctrico prolongado en el CPD propio sin SAI de respaldo suficiente: probabilidad 2 (infraestructura estable, pero sin redundancia), impacto 4 (parada total de la tienda online).
- R4 — Fuga de datos por un proveedor de email marketing subcontratado sin cláusulas de seguridad auditadas: probabilidad 3 (madurez de un tercero no evaluada), impacto 4 (datos personales de toda la base de clientes, incidente RGPD notificable).
- R5 — Defacement del blog corporativo por una vulnerabilidad conocida del CMS sin parchear: probabilidad 5 (explotación automatizada habitual), impacto 2 (daño de imagen puntual, sin afectar a datos de clientes).
Preguntas para resolver: ¿qué riesgo o riesgos caen en banda Crítica y deberían tratarse antes de fin de trimestre? ¿Hay algún riesgo con impacto alto pero probabilidad baja que, aun así, merezca atención prioritaria por el tipo de consecuencia (piensa en R3 y R4 frente a otro riesgo con la misma puntuación pero de naturaleza distinta)? Para cada riesgo, indica en una frase quién debería ser razonablemente su propietario en esta organización.
Preguntas frecuentes
¿Es obligatorio usar MAGERIT si mi empresa se certifica en ISO 27001?
No. La cláusula 6.1.2 de ISO/IEC 27001:2022 exige un proceso de apreciación del riesgo con requisitos mínimos (criterios consistentes, propietarios identificados, análisis de probabilidad e impacto), pero no impone metodología. MAGERIT es la referencia en España y obligatoria de facto en la Administración por su vínculo con el ENS; una empresa privada puede usar MAGERIT, una metodología propia o FAIR, siempre que cumpla esa cláusula. Muchas consultoras españolas usan MAGERIT también con clientes privados por su solidez y por dominar ya PILAR.
¿Puedo mezclar análisis cualitativo y cuantitativo en el mismo ejercicio de riesgos?
Sí, y es cada vez más habitual: un barrido cualitativo con matriz 5×5 sobre todo el inventario y, después, un análisis cuantitativo con ALE o FAIR solo en los riesgos de bandas Alta y Crítica, donde cuantificar en euros se justifica para decidir presupuesto. Lo incorrecto es mezclar ambas escalas dentro del mismo cálculo sin una conversión explícita.
¿Qué diferencia hay entre una amenaza y un riesgo? Se usan como sinónimos muy a menudo.
La amenaza es la causa potencial («ransomware»); el riesgo es el efecto de que esa amenaza explote una vulnerabilidad concreta sobre un activo concreto, con probabilidad e impacto estimados. El ransomware es la misma amenaza para dos empresas, pero el riesgo es muy distinto si una tiene backups inmutables probados semanalmente y la otra ninguno.
¿Cómo se fija en la práctica el apetito de riesgo de una organización que nunca lo ha definido formalmente?
En un taller con la alta dirección, no con el equipo técnico: se presentan escenarios de riesgo concretos y se pregunta si se considerarían aceptables sin actuar, aceptables con seguimiento, o inaceptables sin tratamiento inmediato. De ahí salen los primeros umbrales, que se formalizan por escrito y se revisan al menos anualmente o tras un incidente relevante. No es un ejercicio matemático: es una decisión estratégica de la que la dirección responde ante el consejo, los reguladores o los tribunales.
Si ya tengo un pentest o un análisis de vulnerabilidades técnico, ¿para qué necesito además un análisis de riesgos como el de este módulo?
Un pentest identifica vulnerabilidades técnicas explotables en un momento dado; es un insumo valioso para la identificación y el análisis del riesgo, pero no es por sí mismo un análisis de riesgos: le falta la conexión con el valor de negocio del activo, la comparación contra un apetito de riesgo definido, un propietario con autoridad para decidir, y el seguimiento continuo. Sus hallazgos deberían alimentar el registro de riesgos, pero la priorización final —qué se trata primero, con qué presupuesto— es una decisión de gestión de riesgos, no técnica.
La norma ISO 31000:2018, Risk management — Guidelines, es la guía internacional de referencia que establece los principios, el marco de referencia y el proceso para gestionar el riesgo, aplicable a cualquier organización con independencia de su tamaño, actividad o sector. — Ficha oficial del estándar, International Organization for Standardization (ISO), iso.org/standard/65694.html
