Ser líder de TI hoy en día significa hacer malabares constantemente con las gestiones del área en conjunto con una ola incesante de ciberamenazas — ransomware, filtraciones de datos, exigencias de cumplimiento, entre otras responsabilidades. Decidir en qué concentrar primero el tiempo y el presupuesto limitados de tu equipo parece una misión imposible a veces, ¿verdad?. La matriz de riesgos de TI debiese aportar claridad a todo este caos.
En esta guía intentaremos ayudarte para definir una matriz de riesgos sólida y que realmente trabaje para ti. Esto no se trata solo de dibujar puntitos en un gráfico; se trata de usar esa matriz como un arma estratégica. Te mostraremos puedes usar la matriz para priorizar recursos de manera efectiva, traducir los riesgos tecnológicos al idioma del negocio, justificar tu presupuesto y alinear la seguridad con los objetivos de la empresa.
¿Qué es una matriz de riesgos TI?

En esencia, una matriz de riesgos TI es una herramienta visual sencilla pero increíblemente útil. Es una cuadrícula diseñada para ayudar a entender, comparar y priorizar los diversos riesgos de TI que acechan por ahí. Lo hace representando los riesgos según dos dimensiones clave:
- Probabilidad: ¿Qué tan probable es que ocurra una amenaza o evento negativo específico? (Suele calificarse de forma cualitativa como Baja, Media o Alta, o a veces con una escala numérica).
- Impacto: Si el evento ocurre, ¿qué tan graves serían las consecuencias para el negocio? (También suele calificarse como Bajo, Medio o Alto, considerando factores como pérdidas financieras, interrupciones operativas, daños reputacionales, fallas de cumplimiento, etc.).
Cada riesgo identificado se ubica en esta cuadrícula, cuyos ejes representan la Probabilidad y el Impacto. El resultado es un mapa visual —a menudo con colores tipo "heatmap"— que típicamente usa verde para riesgos bajos, amarillo/naranja para medios y rojo para altos.
Este diseño visual ayuda a identificar de inmediato cuáles riesgos representan la mayor amenaza (normalmente los que caen en la esquina superior derecha: alta probabilidad y alto impacto), en comparación con los menos críticos. Su objetivo principal es brindar una imagen clara y compartida del panorama de riesgos, ayudándote a pasar de decisiones basadas en intuición a decisiones informadas y con prioridades claras.
¿Cómo elaborar una matriz de riesgos?
Identifica y clasifica los riesgos: Conoce a tu enemigo
Identificar los riesgos que pueden afectar a tu organización constituye un aspecto fundamental para la subsecuente mitigación de su impacto. Una amenaza no contemplada podría pasar desapercibida y materializarse sin previo aviso. No obstante, es importante evitar una identificación excesiva de riesgos, lo cual podría complicar las tareas administrativas y resultar en la omisión de las amenazas verdaderamente significativas. Se recomienda delimitar el alcance de la identificación al campo de acción propio de la industria o sector de tu organización.
El paso primordial para la identificación de riesgos es su adecuada clasificación. Una posible estructura para esta clasificación es la siguiente:
- Riesgos Internos: Aquellos originados en productos o servicios, comunicaciones, la estructura organizacional y, de manera destacada, en la seguridad de la información.
- Riesgos Externos: Comprenden factores como catástrofes naturales, cambios en la normativa legal, alteraciones o ataques a la cadena de suministro, entre otros.
Cada riesgo identificado debe ser documentado de forma exhaustiva, especificando su naturaleza, denominación, clasificación, así como las posibles causas y consecuencias asociadas al mismo.
Priorización de riesgos identificados: ¿Dónde duele más?
Una vez identificados los riesgos, surge la interrogante sobre el parámetro para determinar a qué amenaza, dentro de la matriz de riesgos, se le debe conferir mayor importancia. Dicha priorización se establecerá de acuerdo con la postura que tu organización adopte frente a los mismos, considerando:
- Apetito de riesgo: ¿Cuánta turbulencia estás dispuesto a soportar antes de que salten las alarmas? Es el nivel de "calor" que tu operación puede manejar.
- Tolerancia al Rresgo: Algunas organizaciones son fortalezas, otras son puestos de avanzada. Tu tamaño y experiencia dictan cuánto castigo puedes encajar y seguir en pie.
- Umbral de riesgo: Esta es tu línea roja. El punto exacto donde una amenaza pasa de ser "ruido de fondo" a "objetivo prioritario" que exige acción inmediata. También define qué nivel de exposición es "aceptable" (porque eliminarlo todo es imposible). Este umbral es tuyo y solo tuyo.
Evalúa probabilidad e impacto: Mide la amenaza real

Estás a un paso de tener tu matriz lista para la acción. Sin embargo, resta analizar la frecuencia o probabilidad de ocurrencia de las amenazas, así como el impacto potencial de las mismas.
Escalas de impacto (piensa en el dolor para el negocio):
- Alto: Pérdida financiera catastrófica (por ejemplo, seis cifras o más), interrupción operativa que paraliza funciones clave, daño reputacional grave que llega a medios nacionales, multas regulatorias importantes (como por incumplimiento de la Ley Marco de Ciberseguridad Chile, GDPR, HIPAA, PCI DSS, etc.), pérdida de propiedad intelectual crítica o responsabilidad legal significativa. En resumen: un evento que podría poner tu cargo en peligro.
- Medio: Costo financiero visible, interrupción temporal de un servicio importante (pero no del núcleo del negocio), algo de mala prensa o reclamos de clientes, o una advertencia regulatoria menor. Molesto, pero manejable.
- Bajo: Incidente contenido con bajo costo directo, interrupciones menores, quejas internas. Se gestiona mediante procedimientos estándar.
Escalas de probabilidad (aterrizada a la realidad):
Estas definiciones deben basarse en datos y evidencias reales, no en corazonadas.
- Alta: Amenazas constantes. Malware común intentando ingresar todos los días, phishing frecuente, explotación de vulnerabilidades conocidas que aún no has parcheado.
- Media: Sucede ocasionalmente o sabes que tienes debilidades específicas. Phishing dirigido al área de finanzas, errores humanos que exponen datos, vulnerabilidades menos comunes.
- Baja: Eventos raros o sofisticados. Un actor estatal apuntando a tus sistemas, o un desastre natural extremo que afecte simultáneamente tus centros de datos primario y de respaldo (poco probable, pero ilustrativo).
¿Matriz 3x3, 5x5 o matriz personalizada?
Empezar simple es la clave. Una matriz 3x3 (Bajo / Medio / Alto para ambos ejes) es excelente para comenzar y obtener una visión clara a nivel ejecutivo. Obliga a priorizar de forma directa. Si más adelante necesitas mayor detalle —como distinguir entre un impacto “muy alto” y uno “moderadamente alto”—, puedes escalar a una 5x5 o incluso personalizar la escala.
Lo importante es no dejar que la búsqueda de la precisión perfecta te impida avanzar. La matriz debe ser útil, no un obstáculo.
Ejemplos de amenazas
Para ayudarte con la construcción de tu matriz de riesgo, aquí van algunos escenarios comunes. No son una lista exhaustiva, pero darán una idea clara de cómo analizar y trazar riesgos reales que podrían estar afectando tu entorno:
Leer la matriz: cómo traducir colores en decisiones empresariales

Ya trazaste tus riesgos en la matriz. Ahora bien, ¿qué significan realmente esos colores en términos de decisiones diarias y asignación de recursos? Estas zonas no solo indican prioridad: también definen tu estrategia de tratamiento del riesgo. ¿Qué haces a continuación?
Riesgo alto (Rojo/Naranja): Acción inmediata
Detén todo. Estos riesgos son amenazas potencialmente existenciales o con consecuencias inaceptables. Exigen mitigación urgente. Eso significa:
- Implementar controles de seguridad (como parches, herramientas nuevas, mejores procesos, más capacitación).
- En casos extremos, incluso considerar evitar completamente la actividad si el riesgo es demasiado alto y no mitigable.
Para organizaciones chilenas que están dentro del alcance de la Ley 21.663, los riesgos en zona roja pueden activar la obligación de notificar incidentes críticos con una alerta temprana al CSIRT Nacional en menos de 3 horas. Estos escenarios también requieren visibilidad total y decisiones a nivel ejecutivo o incluso del directorio.
Riesgo medio (Amarillo): Gestión activa
Estos riesgos no te quitan el sueño esta noche, pero sí necesitan un plan definido, monitoreo y acciones programadas. Algunas opciones:
- Mitigarlos directamente.
- Transferir el riesgo (por ejemplo, mediante seguros específicos).
- En ciertos casos, aceptarlo formalmente —pero esto debe documentarse y aprobarse a nivel de gestión.
Esto es especialmente importante para mostrar a la Agencia Nacional de Ciberseguridad (ANCI) que estás aplicando un enfoque basado en riesgos, uno de los pilares del cumplimiento regulatorio.
Riesgo bajo (Verde): Supervisión continua
Puedes respirar más tranquilo, pero no ignorarlos. Estos riesgos suelen gestionarse mediante los controles y procedimientos operativos ya existentes. El monitoreo periódico garantiza que no escalen con el tiempo.
Más allá del riesgo absoluto: priorización relativa
La matriz no solo te muestra el nivel de riesgo absoluto; te ayuda a priorizar de forma comparativa. Cuando estás abrumado, te permite identificar qué fuego apagar primero. Es una herramienta práctica para decidir dónde enfocar tu tiempo, esfuerzo y presupuesto, algo fundamental para cumplir las exigencias de la Ley N° 21.663, que exige una gobernanza clara sobre los riesgos de ciberseguridad.
De la matriz a la gobernanza: usos estratégicos de la matriz de riesgos
Es en este ámbito donde la matriz de riesgos de TI evidencia su valor como un instrumento estratégico fundamental, particularmente para los líderes de TI que participan en la toma de decisiones a nivel ejecutivo. Cuando se deja de verla como una simple herramienta de evaluación y se integras activamente en tu gobierno corporativo, se obtiene una clara ventaja: la capacidad de influir en la definición de prioridades, justificar inversiones críticas y comunicar riesgos complejos de manera comprensible para todas las partes interesadas, incluyendo la gerencia y el directorio.
Este enfoque no solo es recomendable, sino cada vez más necesario en Chile, donde la Ley 21.663 obliga a los OSE y OIV a contar con procesos formales de gestión de riesgos, incluyendo monitoreo, tratamiento y reporte estructurado.
Afinando la priorización
Adiós al método del "que grita más fuerte" o al "último incendio del día". La matriz da una base informada (aunque sea cualitativa) para decidir dónde asignar a tu equipo, tu presupuesto y tu enfoque. El Rojo se atiende antes que el Amarillo.
Cerrando la brecha entre TI y negocio
Este punto es clave. La matriz funciona como un traductor universal. En lugar de hablar de CVE, exploits o parches, se puede señalar un cuadrante rojo y decir:
"Este riesgo representa la posibilidad de que nuestra línea de producción principal quede detenida tres días por un ransomware, con un costo estimado de $X millones en pérdidas. Por eso necesitamos invertir en protección avanzada para endpoints."
Así, se transforma detalles técnicos en impactos de negocio claros para la alta dirección.
Justificando inversiones en seguridad
Se acabaron las solicitudes vagas de “más seguridad”. Vincula tu propuesta de presupuesto a la reducción de riesgos específicos:
"Invertir en esta nueva pasarela de seguridad para correo electrónico aborda directamente tres riesgos actualmente en zona naranja. Con esto, los llevaremos a amarillo o verde y reduciremos significativamente nuestra exposición a fraude por BEC."
Esto entrega un retorno claro de la inversión (ROI) en términos de mitigación.
Seguimiento y reporte de avances
La matriz no es estática. A medida que implementas controles, cierras brechas o mejoras procesos, los riesgos deben moverse hacia abajo o hacia la izquierda. Usa matrices actualizadas en tus reportes para el directorio, auditorías internas o la ANCI.
Esto te permite mostrar de forma visual y concreta cómo tu programa de seguridad genera resultados reales a lo largo del tiempo.
Alimentando el registro de riesgos
Mientras la matriz ofrece una vista de alto nivel, el análisis detrás de cada riesgo alimenta tu registro formal de riesgos organizacionales. Este registro debe incluir:
- Descripción del riesgo
- Evaluación actual
- Responsable
- Plan de tratamiento (mitigar, aceptar, transferir, evitar)
- Estado de avance
Este nivel de documentación también es fundamental para demostrar cumplimiento ante fiscalizaciones, como las previstas por la Ley N° 21.663.
Errores comunes en la matriz (y cómo evitarlos)
Cuando se usa de forma estratégica, la matriz puede ser muy poderosa. No obstante, como cualquier herramienta valiosa de ciberseguridad, hay muchas formas de que el proceso se descarrile si no se ejecuta con cuidado.
Incluso con las mejores intenciones, algunos errores comunes pueden convertir una matriz con potencial en un documento confuso o en un simple requisito cumplido de forma superficial. Y en el caso de los OSE y OIV chilenos, esto puede significar incumplimiento ante la ANCI, lo que conlleva sanciones administrativas o incluso económicas según la Ley.
A continuación, los errores más frecuentes (y cómo evitarlos):
Definiciones inconsistentes
Esta problemática puede manifestarse de diversas maneras. A modo de ejemplo: el departamento de Ventas podría definir "Alto Impacto" como la pérdida de un cliente principal, mientras que Operaciones podría interpretarlo como la interrupción de una planta de producción, y Finanzas, como la imposición de una multa de considerable cuantía.
Solución: Establece definiciones claras, compartidas y consensuadas de impacto y probabilidad. Todos los actores clave deben estar de acuerdo (TI, legal, operaciones, alta dirección).
Ignorar factores cualitativos
Obsesionarse con los puntajes exactos puede hacer que pierdas de vista el contexto. Un riesgo “Medio/Medio” puede tener efectos en cadena, daños a reputación o consecuencias indirectas difíciles de cuantificar.
Solución: Añade comentarios y análisis cualitativos. A veces, la historia detrás del número es más reveladora que la cifra misma.
Parálisis por análisis
La dedicación de tiempo desmesurado al debate sobre la precisión de la calificación de un riesgo (por ejemplo, si su probabilidad corresponde a un nivel medio o alto) puede ocurrir mientras la vulnerabilidad asociada permanece sin ser atendida.
Solución: Acierta en lo general primero (Rojo/Amarillo/Verde) y actúa. La perfección es enemiga de la seguridad efectiva.
Olvidarse de actualizar
El entorno de amenazas cambia todos los días. Tu organización también. Si no revisas la matriz con regularidad, puede quedar obsoleta muy rápido.
Solución: Programa actualizaciones trimestrales como mínimo, o gatilla revisiones ante eventos relevantes (nuevas vulnerabilidades críticas, cambios en la infraestructura, adquisiciones, etc.).
Visión de túnel
Realizar el análisis de riesgos solo desde el área de TI o Seguridad es un error común.
Solución: Involucra a las unidades de negocio. Ellas comprenden mejor que nadie cómo impacta la caída de un sistema en la operación real. El proceso debe ser colaborativo.
Conclusión: claridad estratégica para gestionar el riesgo TI
La gestión de riesgos de Tecnologías de la Información (TI) es una tarea inherentemente compleja y exigente. No obstante, una matriz de riesgos implementada de manera efectiva, consistente y alineada con los objetivos de negocio, permite mitigar dicha complejidad y centrar los esfuerzos. Esta herramienta facilita la transformación de un extenso inventario de contingencias potenciales en información estructurada que fundamenta la toma de decisiones.
Su correcta utilización permite adoptar decisiones defendibles, asignar recursos de manera eficiente a las áreas de mayor criticidad y comunicar el valor de las iniciativas de seguridad en un lenguaje comprensible para la alta dirección y otras unidades de la organización. El objetivo es evolucionar de un enfoque predominantemente reactivo, similar a la respuesta ante incidentes imprevistos, hacia un rol proactivo y estratégico en la salvaguarda de la continuidad operativa del negocio.
Para las organizaciones que operan en Chile —y en particular para aquellas designadas como Operadores de Servicios Esenciales (OSE) o de Importancia Vital (OIV)—, esta herramienta adquiere una relevancia crucial. Constituye un elemento fundamental para demostrar el cumplimiento de las disposiciones de la Ley N° 21.663 ante la Agencia Nacional de Ciberseguridad (ANCI). Su implementación no solo representa una buena práctica consolidada, sino que se configura como un requisito indispensable para las entidades obligadas a operar con un Sistema de Gestión de Seguridad de la Información (SGSI) que sea robusto y auditable.