Ciberseguridad

Qué es un análisis de riesgos en ciberseguridad y cómo hacerlo

Por Equipo GRC360 20 de March, 2026 13 min de lectura
Guía Completa
Matriz de riesgos 5x5 con colores verde, amarillo y rojo para visualizar niveles de riesgo en ciberseguridad

El análisis de riesgos es el proceso mediante el cual una organización identifica, evalúa y prioriza las amenazas a la seguridad de su información y sus sistemas. Sin un análisis de riesgos estructurado, las decisiones de seguridad se toman de forma reactiva —invirtiendo en la última tecnología de moda en lugar de abordar las vulnerabilidades reales—. El resultado suele ser gasto desalineado, brechas críticas desatendidas y una falsa sensación de seguridad.

En esta guía te enseñaremos a realizar un análisis de riesgos práctico y efectivo, adaptado a la realidad de las pymes chilenas. Este proceso es fundamental tanto para quienes buscan certificarse en ISO 27001 (cláusula 6.1.2) como para cualquier empresa que quiera proteger sus activos de manera inteligente.

¿Por qué es importante el análisis de riesgos?

En Chile, los ciberataques han aumentado un 38% interanual según el CSIRT de Gobierno (2025). Pero más allá de los números generales, cada empresa enfrenta un perfil de riesgo único determinado por su industria, tamaño, tecnología y procesos. Un análisis de riesgos permite:

  • Priorizar inversiones de seguridad en función del impacto real, no de percepciones o tendencias.
  • Cumplir requisitos regulatorios: La Ley 21.663 exige gestión de riesgos, ISO 27001 lo requiere formalmente, y la Ley 21.719 demanda medidas de seguridad proporcionales al riesgo.
  • Comunicar riesgos a la dirección en un lenguaje de negocio: probabilidad, impacto financiero, prioridad.
  • Reducir incidentes: Las organizaciones que realizan evaluaciones de riesgos periódicas experimentan un 43% menos de brechas de seguridad (Ponemon Institute, 2025).
  • Fundamentar la Declaración de Aplicabilidad (SoA) en ISO 27001, justificando qué controles implementar y cuáles no.
Obligatorio por ley: La Ley 21.663 Marco de Ciberseguridad de Chile exige a los operadores de servicios esenciales y de importancia vital mantener un proceso formal de gestión de riesgos de ciberseguridad. No hacerlo puede resultar en sanciones de hasta 20.000 UTM.

Conceptos fundamentales

Antes de entrar en la metodología, asegurémonos de que los conceptos clave estén claros:

ConceptoDefiniciónEjemplo
ActivoCualquier elemento que tiene valor para la organizaciónBase de datos de clientes, servidor ERP, contratos
AmenazaEvento o acción que puede causar daño a un activoRansomware, terremoto, empleado descontento
VulnerabilidadDebilidad que puede ser explotada por una amenazaSoftware sin parchar, falta de MFA, backup sin verificar
RiesgoProbabilidad de que una amenaza explote una vulnerabilidad e impacte un activoRiesgo alto de ransomware por falta de backups verificados
ControlMedida que reduce la probabilidad o impacto de un riesgoBackup automático con verificación semanal
Riesgo residualEl riesgo que permanece después de aplicar los controlesRiesgo medio de ransomware post-controles

Metodología paso a paso

Paso 1: Definir el alcance y la metodología

Antes de comenzar, documenta:

  • Qué procesos, sistemas y ubicaciones están dentro del alcance.
  • La metodología que utilizarás (cualitativa, cuantitativa o semi-cuantitativa).
  • Las escalas de valoración de impacto y probabilidad.
  • Los criterios de aceptación del riesgo (qué nivel es aceptable y cuál no).

Para pymes, recomendamos un enfoque semi-cuantitativo que combina escalas numéricas (1-5) con descripciones cualitativas. Es más práctico que un análisis puramente cuantitativo y más riguroso que uno puramente cualitativo.

Paso 2: Inventariar activos de información

Lista todos los activos de información relevantes y clasifícalos. Para cada activo, identifica:

  • Propietario (persona responsable de la seguridad del activo).
  • Ubicación (física o lógica).
  • Clasificación de confidencialidad.
  • Valor para la organización (alto, medio, bajo).

Paso 3: Identificar amenazas y vulnerabilidades

Para cada activo, identifica las amenazas relevantes y las vulnerabilidades existentes. Fuentes útiles de amenazas incluyen:

  • CSIRT de Gobierno: Alertas y boletines del equipo chileno de respuesta a incidentes.
  • ENISA Threat Landscape: Informe anual europeo de amenazas, altamente relevante.
  • OWASP Top 10: Para aplicaciones web.
  • CIS Controls: Para infraestructura y endpoints.
  • Historial propio: Incidentes pasados de la organización.

En Chile, las amenazas más frecuentes para pymes incluyen: ransomware, phishing, compromiso de credenciales, vulnerabilidades en software no actualizado, y errores humanos en la gestión de datos.

Paso 4: Evaluar probabilidad e impacto

Utiliza una escala de 1 a 5 para evaluar cada riesgo:

NivelProbabilidadImpacto
1 - Muy bajoMenos de 1 vez cada 5 añosImpacto mínimo, se resuelve en horas
2 - Bajo1 vez cada 2-5 añosImpacto menor, se resuelve en días
3 - Medio1 vez al añoImpacto moderado, afecta operaciones parcialmente
4 - AltoVarias veces al añoImpacto mayor, interrupción significativa del negocio
5 - Muy altoFrecuente (mensual o más)Impacto catastrófico, riesgo de continuidad del negocio

Paso 5: Calcular y priorizar riesgos

El nivel de riesgo se calcula como Probabilidad × Impacto, generando una matriz de riesgos 5×5:

Impacto 1Impacto 2Impacto 3Impacto 4Impacto 5
Prob. 5510152025
Prob. 448121620
Prob. 33691215
Prob. 2246810
Prob. 112345

Define umbrales claros:

  • 1-6 (Verde): Riesgo aceptable. Monitorear periódicamente.
  • 8-12 (Amarillo): Riesgo moderado. Requiere plan de tratamiento en el mediano plazo.
  • 15-25 (Rojo): Riesgo inaceptable. Requiere acción inmediata.
Error común: Evaluar todos los riesgos como "alto" para justificar más recursos. Esto diluye la utilidad del análisis e impide priorizar. Sé honesto en la evaluación: la credibilidad del análisis de riesgos depende de su objetividad.

Paso 6: Definir el tratamiento de riesgos

Para cada riesgo inaceptable, selecciona una estrategia de tratamiento:

  • Mitigar: Implementar controles que reduzcan la probabilidad o el impacto. Es la opción más común.
  • Transferir: Trasladar el riesgo financiero (seguros de ciberriesgo) o técnico (outsourcing a un proveedor especializado).
  • Evitar: Eliminar la actividad que genera el riesgo (ej: dejar de almacenar ciertos datos sensibles).
  • Aceptar: Aceptar conscientemente el riesgo residual, documentando la decisión y la justificación.

Marcos de referencia para análisis de riesgos

Existen múltiples marcos reconocidos internacionalmente. Los más relevantes para empresas en Chile:

MarcoEnfoqueMejor para
ISO 27005Gestión de riesgos de seguridad de la informaciónEmpresas que buscan certificación ISO 27001
NIST SP 800-30Evaluación de riesgos de TIOrganizaciones técnicas, sector público
OCTAVEEvaluación de riesgos operacionalesEmpresas sin equipo de seguridad dedicado
FAIRCuantificación financiera del riesgoCuando se necesita comunicar riesgos en términos de negocio
MAGERITMetodología de análisis y gestión de riesgosSector público, documentación en español

Para pymes chilenas que buscan ISO 27001, recomendamos basarse en ISO 27005 con elementos de FAIR para la comunicación a la dirección. MAGERIT también es una excelente opción por estar completamente disponible en español.

Herramientas para gestionar riesgos

La complejidad de la herramienta debe ser proporcional al tamaño de la organización:

  • Excel/Google Sheets: Válido para empresas muy pequeñas (<10 activos), pero rápidamente se vuelve inmanejable y difícil de auditar.
  • Plataformas GRC especializadas: Permiten gestionar riesgos, vincularlos con controles, generar matrices automáticas y mantener trazabilidad para auditoría. Esta es la opción recomendada para cualquier empresa seria sobre su gestión de riesgos.
  • GRC suites enterprise: Para grandes organizaciones con cientos de activos y múltiples marcos normativos.
Tip práctico: El módulo de riesgos de GRC360 permite evaluar riesgos con matriz 5×5, asignar controles del Anexo A, calcular riesgo residual automáticamente y generar el informe de evaluación de riesgos listo para auditoría. Todo integrado con tu programa GRC.

Ejemplo práctico: análisis de riesgos para una pyme

Veamos un ejemplo simplificado para una empresa de servicios profesionales de 30 personas:

ActivoAmenazaVulnerabilidadPIRiesgoTratamiento
BD ClientesRansomwareSin backup verificado4520Mitigar: backup 3-2-1
Email corporativoPhishingSin MFA, sin capacitación5315Mitigar: MFA + training
Servidor webExplotación vuln.Software desactualizado3412Mitigar: parches mensuales
LaptopsRoboSin cifrado de disco248Mitigar: BitLocker + inventario
Docs. en papelIncendioSin copias digitales133Aceptar: probabilidad muy baja

Frecuencia de revisión

El análisis de riesgos no es un ejercicio único. Debe revisarse:

  • Al menos una vez al año como parte de la revisión del SGSI.
  • Ante cambios significativos: nueva tecnología, nueva oficina, cambio de proveedor, fusión o adquisición.
  • Después de un incidente: cada incidente de seguridad es una oportunidad para actualizar el análisis.
  • Ante cambios regulatorios: nueva ley o regulación que afecte la seguridad de la información.

Gestiona tus riesgos de ciberseguridad de forma profesional

GRC360 incluye un módulo completo de análisis de riesgos con matrices visuales, cálculo automático de riesgo residual e integración con los controles del Anexo A de ISO 27001. Empieza gratis.

Crear Cuenta Gratis
SGSI Gestión de Riesgos NIST Pymes
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis