El presente documento tiene como objetivo servir como guía técnica y práctica para la realización de un análisis de riesgos.
El análisis de riesgos es un proceso esencial para garantizar la continuidad operativa, la fiabilidad y la resiliencia de cualquier organización. Su propósito no es eliminar las amenazas por completo —algo imposible—, sino identificarlas, evaluarlas y gestionarlas para que el impacto sobre el negocio sea asumible y controlado.
Esta guía se estructura en pasos claros que permiten comprender cada fase del proceso, y se complementa con un ejemplo práctico aplicado a la empresa AGGuard, que servirá como referencia para ilustrar los conceptos tratados en cada punto.
El proceso se apoya en los principios de la triada CIA:
En ciberseguridad, la meta no es eliminar los riesgos, sino aprender a gestionarlos para seguir operando con fiabilidad incluso ante el fallo.
Nota importante: Este análisis de riesgos forma parte del Plan Director de Seguridad (PDS), donde se priorizan y planifican las iniciativas de mejora de seguridad derivadas del análisis.
Nota: En esta guía se utilizará AGGuard, una empresa especializada en seguridad de redes, como ejemplo práctico para ilustrar cada fase del análisis de riesgos.
El primer paso del análisis de riesgos es establecer el alcance del estudio. Esto significa definir claramente qué sistemas, procesos, departamentos o áreas estratégicas serán objeto del análisis.
Vamos a considerar que este análisis de riesgos forma parte del Plan Director de Seguridad (PDS), pero puede priorizar áreas más críticas para el negocio.
Establecer un alcance claro permite centrar los esfuerzos en lo que realmente importa y evita análisis innecesariamente amplios.
Contexto: AGGuard es una empresa especializada en seguridad de redes y bastionado de sistemas.
Alcance definido:
"Los servicios y sistemas de monitorización remota y la plataforma de soporte técnico de AGGuard, incluyendo infraestructura, bases de datos y estaciones de trabajo administrativas."
Elemento | Incluido | Justificación |
Servicio de monitorización gestionada | ✅ Sí | Núcleo operativo de la empresa, aporta ingresos recurrentes. |
Base de datos de clientes | ✅ Sí | Contiene información sensible |
Plataforma de soporte remoto | ✅ Sí | Crítica para la disponibilidad del servicio |
Estaciones de trabajo técnicas | ✅ Sí | Acceso administrativo a sistemas críticos |
Sistemas administrativos de RRHH | ❌ No | Fuera del alcance definido, bajo impacto en ingresos |
Infraestructura de oficinas | ❌ No | No directamente relacionada |
Servicios externos de terceros | ❌ No | Responsabilidad del proveedor |
Una vez definido el alcance, el siguiente paso es identificar los activos dentro del mismo.
Un activo puede definirse como todo elemento que tiene valor para la organización y cuya pérdida o daño puede afectar a su operativa, reputación o continuidad.
Los activos incluyen tanto recursos tecnológicos (como servidores o redes) como informativos, humanos u organizativos. Cada uno de ellos se evalúa según su criticidad, es decir, el nivel de impacto que tendría su pérdida o indisponibilidad para la empresa.
Nivel de criticidad | Descripción |
🔴 Crítico | Su pérdida detiene la actividad principal o compromete la seguridad global. |
🟠 Alto | Su afectación degrada notablemente la calidad o disponibilidad del servicio. |
🟡 Medio | Impacta parcialmente la operativa, con alternativas temporales viables. |
🟢 Bajo | Genera un impacto leve o fácilmente recuperable. |
Clasificar los activos por criticidad permite centrar los recursos de seguridad en lo que realmente importa.
Activo | Descripción | Criticidad | Justificación |
Servidor principal | Aloja servicios de monitorización y control remoto | 🔴 Muy alto | Su caída paraliza la atención a clientes |
Base de datos de clientes | Información técnica, contraseñas cifradas y contratos | 🔴 Muy alto | Contiene datos confidenciales y de cumplimiento legal |
Plataforma de soporte remoto | Herramienta para conexión y asistencia técnica | 🟠 Alto | Afecta la capacidad de resolver incidencias críticas |
Estación de trabajo del equipo técnico | Equipos con acceso administrativo | 🟡 Medio | Su fallo afecta parcialmente la productividad (los trabajadores pueden acceder a través de un pórtatil personal con una VPN de la empresa) |
Servidor de correo interno | Comunicación operativa y con clientes | 🟢 Bajo | Puede sustituirse temporalmente mediante servicios externos |
Una amenaza es cualquier evento que pueda afectar negativamente a los activos o la operativa de una organización, provocando daños, pérdidas o interrupciones.
Las amenazas se evalúan en función de su nivel de riesgo, definido por la combinación de impacto y probabilidad. A la hora de identificar amenazas, es recomendable tomar como punto de partida metodologías como MAGERIT v3, que proporciona un catálogo estructurado de amenazas comunes.
Cuanto mayor sea el impacto y la probabilidad, mayor será la prioridad de actuación.
Amenaza | Activo afectado | Impacto | Probabilidad | Nivel de riesgo |
Ataque de ransomware | Servidor principal | Muy alto | Alta | 🔴 Muy alto |
Fuga de datos (phishing o robo de credenciales) | Base de datos de clientes | Muy alto | Media | 🔴 Muy alto |
Ataque DDoS | Plataforma de soporte remoto | Alto | Media | 🟠 Alto |
Pérdida o robo de dispositivo portátil | Puesto de trabajo o portátil | Medio | Baja | 🟡 Medio |
Fallo del proveedor cloud | Copias de respaldo y servicios externos | Medio | Baja | 🟢 Bajo |
Las amenazas con mayor impacto y probabilidad deben ser gestionadas de inmediato, ya que comprometen la continuidad y la confianza del cliente.
Las vulnerabilidades son las debilidades internas que permiten que una amenaza se haga efectiva. Debemos analizarlas en relación directa con la amenaza asociada para entender cómo afectan al riesgo total.
Por otro lado, las salvaguardas son las medidas de seguridad que ya están implantadas en la organización para reducir o mitigar el impacto de amenazas. Identificar tanto vulnerabilidades como salvaguardas existentes es esencial para estimar con precisión la probabilidad e impacto de cada riesgo.
Una amenaza solo se convierte en un problema real si existe una vulnerabilidad que la hace posible. Las salvaguardas existentes reducen esta probabilidad.
Amenaza asociada | Vulnerabilidad interna | Riesgo para la empresa | Criticidad |
Ciberataque (ransomware) | Contraseñas sin MFA y copias de seguridad conectadas a la red | Permite el cifrado total de sistemas y pérdida de servicio | 🔴 Muy alto |
Fuga de datos | Falta de formación en phishing y exceso de privilegios | Pérdida de confianza, sanciones legales y daño reputacional | 🔴 Muy alto |
Ataque DDoS | Ausencia de mitigación para conexiones masivas o tráfico falso | Interrupción de la disponibilidad del servicio online | 🟠 Alto |
Fallo del proveedor cloud | No disponer de copias locales actualizadas | Pérdida temporal de datos y dependencia externa | 🟡 Medio |
Riesgo | Salvaguardas actuales | Nivel de madurez | Efectividad |
Ransomware | Backups cifrados semanales y antivirus actualizado | 🟡 Medio | Protección parcial |
Fuga de datos | Políticas de acceso manuales y formación inicial | 🟡 Medio | Protección parcial |
Corte eléctrico | UPS básicas y contrato de soporte limitado | 🟡 Medio | Protección parcial |
Ataque DDoS | Firewall perimetral sin filtrado avanzado | 🔴 Bajo | Protección insuficiente |
Error humano | Procedimientos internos básicos sin revisión | 🟡 Medio | Protección parcial |
Las salvaguardas actuales proporcionan una protección base, pero su nivel de madurez es principalmente medio. Esto significa que la mayoría dependen del factor humano y no están completamente automatizadas.
Una vez identificados los activos, amenazas, vulnerabilidades y salvaguardas, disponemos de la información necesaria para evaluar el riesgo.
Para cada par activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría.
El cálculo del riesgo se realiza mediante la siguiente fórmula:
RIESGO = PROBABILIDAD × IMPACTO
Donde:
Consideraciones importantes:
Si optamos por un análisis cualitativo en lugar de cuantitativo, utilizamos una matriz de riesgo que cruza probabilidad e impacto:
Impacto Bajo | Impacto Medio | Impacto Alto | Impacto Muy alto | |
Probabilidad Baja | 🟢 Bajo | 🟡 Medio | 🟡 Medio | 🟠 Alto |
Probabilidad Media | 🟡 Medio | 🟠 Alto | 🟠 Alto | 🔴 Muy alto |
Probabilidad Alta | 🟡 Medio | 🟠 Alto | 🔴 Muy alto | 🔴 Muy alto |
La matriz permite visualizar rápidamente qué riesgos requieren atención inmediata (celda roja) y cuáles pueden gestionarse con menor urgencia.
Una vez calculados los riesgos, la organización debe establecer su umbral de riesgo aceptable. Por encima de este límite, los riesgos deben ser tratados activamente.
Ejemplo: La empresa AGGuard decide que tratará aquellos riesgos cuyo valor sea superior a 4 (escala numérica) o superior a "Medio" (escala cualitativa).
Riesgo | Probabilidad | Impacto | Cálculo | Nivel | Acción |
Ransomware | Alta (4) | Muy alto (5) | 4 × 5 = 20 | 🔴 Muy alto | ✅ Requiere tratamiento |
Fuga de datos | Media (3) | Muy alto (5) | 3 × 5 = 15 | 🔴 Muy alto | ✅ Requiere tratamiento |
Corte eléctrico | Media (3) | Alto (4) | 3 × 4 = 12 | 🟠 Alto | ✅ Requiere tratamiento |
Ataque DDoS | Media (3) | Alto (4) | 3 × 4 = 12 | 🟠 Alto | ✅ Requiere tratamiento |
Pérdida de dispositivo | Baja (2) | Medio (3) | 2 × 3 = 6 | 🟡 Medio | ✅ Requiere tratamiento |
Fallo cloud | Baja (2) | Medio (3) | 2 × 3 = 6 | 🟡 Medio | ⚠️ Monitorizar |
Todos los riesgos evaluados en AGGuard superan el umbral de aceptación, por lo que requieren estrategias de tratamiento activo.
Una vez identificados los riesgos que superan el umbral de aceptación, debemos aplicar estrategias de tratamiento para reducir o gestionar su impacto.
Existen cuatro estrategias principales de tratamiento del riesgo:
Estrategia | Acción | Objetivo | Ejemplo |
MITIGAR | Implantar medidas para reducir probabilidad o impacto | Controlar el daño potencial | Instalación de MFA, backups automáticos |
ELIMINAR | Eliminar la causa o proceso vulnerable | Prevenir completamente el riesgo | Desactivar servicios innecesarios |
TRANSFERIR | Delegar el riesgo (contratos, seguros, servicios externos) | Reducir la exposición directa | Contratar seguros de ciberseguridad |
ASUMIR | Aceptar el riesgo bajo control y con justificación | Mantener la operativa con contingencia | Asumir riesgos bajos sin medidas adicionales |
Las iniciativas de tratamiento derivadas de este análisis forman parte del Plan Director de Seguridad, donde se clasifican y priorizan junto con otros proyectos.
Riesgo | Nivel | Estrategia | Medidas adoptadas |
Ransomware | 🔴 Muy alto | 🔒 Mitigar | MFA en todos los accesos, backups offline, segmentación de red |
Fuga de datos | 🔴 Muy alto | 🛑 Eliminar | Formación continua, principio de mínimo privilegio, DLP activo |
Corte eléctrico | 🟠 Alto | 🔁 Transferir | Contrato con proveedor energético, UPS redundantes, grupo electrógeno |
Ataque DDoS | 🟠 Alto | 🔒 Mitigar | Balanceadores activos, servicio anti-DDoS en capa 7 |
Pérdida de dispositivo | 🟡 Medio | 🔒 Mitigar | Cifrado de disco, gestión remota de dispositivos (MDM) |
Fallo cloud | 🟡 Medio | 📦 Asumir | Copias locales, revisión periódica del SLA del proveedor |
Las salvaguardas son las medidas aplicadas para reducir el riesgo. Sin embargo, no todas las salvaguardas tienen el mismo nivel de madurez.
Un sistema maduro no solo aplica controles, sino que los automatiza, monitoriza y revisa continuamente.
Nivel de madurez | Descripción | Ejemplo |
🟢 Alto | Medidas proactivas, automatizadas y seguras | Copias automáticas, cifradas, verificadas periódicamente y restauradas en pruebas regulares |
🟡 Medio | Protección parcial, parcialmente automatizada | Copias manuales con verificación ocasional |
🔴 Bajo | Medidas reactivas o insuficientes | Copias sin cifrado ni revisión, o inexistentes |
Las salvaguardas deben adecuarse al nivel de criticidad del activo: cuanto más crítico sea, mayor madurez deben tener las medidas aplicadas.
Riesgo | Salvaguardas actuales | Nivel de madurez | Riesgo residual |
Ransomware | Backups cifrados semanales y antivirus actualizado | 🟡 Medio | 🟠 Medio |
Fuga de datos | Políticas de acceso manuales y formación inicial | 🟡 Medio | 🟠 Medio |
Corte eléctrico | UPS básicas y contrato de soporte limitado | 🟡 Medio | 🟠 Medio |
Ataque DDoS | Firewall perimetral sin filtrado avanzado | 🔴 Bajo | 🔴 Alto |
Error humano | Procedimientos internos básicos sin revisión | 🟡 Medio | 🟡 Medio |
Riesgo | Medidas a implementar | Objetivo | Nivel de madurez esperado |
Ransomware | Backups automáticos offline, IDS/IPS, MFA global | Reducir riesgo operativo y pérdida de datos | 🟢 Alto |
Fuga de datos | DLP activo, revisión trimestral de accesos, formación continua | Evitar exposición o fuga de información sensible | 🟢 Alto |
Corte eléctrico | UPS redundantes, generador y pruebas trimestrales | Garantizar continuidad del servicio | 🟢 Alto |
Ataque DDoS | Servicio anti-DDoS en capa 7 y balanceadores redundantes | Aumentar disponibilidad y resiliencia del servicio | 🟢 Alto |
Error humano | Programas de formación continua y campañas de concienciación | Reducir errores por desconocimiento | 🟢 Alto |
El objetivo es elevar el nivel de madurez de todas las salvaguardas a Alto, lo que requiere automatización, monitorización continua y revisiones periódicas.
A lo largo de esta guía se ha mostrado cómo realizar un análisis de riesgos estructurado y práctico, comprendiendo cada fase desde la definición del alcance hasta la aplicación de salvaguardas con el nivel de madurez adecuado.
Puntos clave:
En definitiva, una empresa segura no es la que no tiene incidentes, sino la que sabe enfrentarlos y seguir operando con fiabilidad.