Fórmula básica: Riesgo = Probabilidad × Impacto. Una vulnerabilidad altamente probable en sistema no crítico es riesgo bajo. Una vulnerabilidad poco probable en sistema crítico también puede ser riesgo bajo. Solo cuando ambas son altas, riesgo es crítico.
Qué es el análisis de riesgos
Análisis de riesgos es el proceso sistemático de identificar amenazas potenciales a activos de una organización, evaluar vulnerabilidades que podrían ser explotadas, estimar probabilidad e impacto si se realiza el riesgo, y priorizar controles basado en ese análisis. Transforma intuición y miedo en números que permiten tomar decisiones racionales sobre inversión en seguridad.
Por qué importa
Un CISO con presupuesto limitado debe priorizar. No puede parchear todo, proteger todo, monitorizar todo. Análisis de riesgos responde: qué activo, si es comprometido, cause mayor daño? Qué amenaza es más probable en mi sector? Qué controles existen y cuál cuesta menos para mayor reducción de riesgo? Sin análisis de riesgos, gastas en lo que te asusta o lo que está de moda, no en lo que realmente es crítico. Para requisitos DORA, NIS2, ISO 27001, análisis de riesgos es mandatorio cada 1-2 años (o cuando cambios significativos ocurran).
Puntos clave
Análisis cualitativo: clasificar riesgos en alto/medio/bajo basado en juicio experto y datos históricos. Rápido pero menos riguroso. Útil para decisiones de alto nivel.
Análisis cuantitativo: asignar números a probabilidad e impacto (moneda perdida, días de downtime, multas regulatorias) y calcular riesgo esperado anual. Más riguroso pero requiere datos históricos.
Matriz de riesgos: tabla que cruza probabilidad x impacto para visualizar dónde están riesgos críticos. Herramienta visual útil para comunicar a liderazgo.
Ejemplo: priorización basada en análisis de riesgos
CISO debe decidir entre: (A) Implementar WAF en web, costo 30k€ anuales, reduce riesgos web. (B) Implementar EDR en 500 endpoints, costo 50k€, reduce riesgos endpoint. (C) Mejorar backup y disaster recovery, costo 40k€, reduce riesgo de pérdida de datos. Sin análisis, podría ser decisión subjetiva. Con análisis: identifica que 60% de incidentes en su sector vienen por endpoints comprometidos (ransomware), 25% por ataques web, 15% por otros. Combina con probabilidad estimada y impacto en su organización. Resultado: EDR tiene mejor ROI de riesgo, se prioriza primero. WAF segundo. DR tercero en esta ronda.
Errores habituales
- Hacer análisis de riesgos una sola vez y archivarlo. El riesgo cambia: nuevas vulnerabilidades, cambios en infraestructura, nuevas amenazas en industria. Análisis de riesgos debe ser anual mínimo.
- Incluir tantos activos que análisis se vuelve inmanejable. Agrupar activos: servidores críticos, servidores normales, endpoints, aplicaciones, datos. No necesitas análisis individual de 500 PCs.
- No considerar factores humanos y de proceso. La vulnerabilidad más crítica técnicamente puede ser irrelevante si el control compensatorio es cultura fuerte de no compartir contraseñas.
- Hacer análisis sin Input de negocio. IT entiende técnica, pero solo CEO entiende impacto de 1 hora de downtime en ventas. Análisis debe ser colaborativo.
Términos relacionados
Preguntas frecuentes
¿Cada cuánto hay que hacer análisis de riesgos?
Mínimo cada 2 años. Mejor anual. Además, cada vez que haya cambios significativos: adquisición de otra empresa, adopción de nueva tecnología, brecha de la competencia, cambios en regulación. Análisis de riesgos es vivo, no estático.
¿Cuál es la diferencia entre riesgo y amenaza?
Amenaza es el agente (atacante, desastre natural). Riesgo es la probabilidad de que esa amenaza explote una vulnerabilidad y cause impacto. Sin vulnerabilidad, amenaza es irrelevante. Sin amenaza, vulnerabilidad es teórica. Riesgo es la combinación.
¿Quién debería hacer análisis de riesgos?
Equipo multidisciplinario: CISO/Seguridad (amenazas y controles), Operaciones (impacto si falla), Finanzas (coste de incidente), Legal (regulaciones aplicables). Un solo departamento sesga el análisis.