Fundamentos de Ciberseguridad

Matriz de riesgos: Guía para lideres de TI

juanhernandez@preyhq.com
Juan H.
Jun 3, 2025
0 minutos de lectura
Matriz de riesgos: Guía para lideres de TI

Ser líder de TI hoy en día significa hacer malabares constantemente con las gestiones del área en conjunto con una ola incesante de ciberamenazas — ransomware, filtraciones de datos, exigencias de cumplimiento, entre otras responsabilidades. Decidir en qué concentrar primero el tiempo y el presupuesto limitados de tu equipo parece una misión imposible a veces, ¿verdad?. La matriz de riesgos de TI debiese aportar claridad a todo este caos.

En esta guía intentaremos ayudarte para definir una matriz de riesgos sólida y que realmente trabaje para ti. Esto no se trata solo de dibujar puntitos en un gráfico; se trata de usar esa matriz como un arma estratégica. Te mostraremos puedes usar la matriz para priorizar recursos de manera efectiva, traducir los riesgos tecnológicos al idioma del negocio, justificar tu presupuesto y alinear la seguridad con los objetivos de la empresa.

¿Qué es una matriz de riesgos TI?

En esencia, una matriz de riesgos TI es una herramienta visual sencilla pero increíblemente útil. Es una cuadrícula diseñada para ayudar a entender, comparar y priorizar los diversos riesgos de TI que acechan por ahí. Lo hace representando los riesgos según dos dimensiones clave:

  • Probabilidad: ¿Qué tan probable es que ocurra una amenaza o evento negativo específico? (Suele calificarse de forma cualitativa como Baja, Media o Alta, o a veces con una escala numérica).
  • Impacto: Si el evento ocurre, ¿qué tan graves serían las consecuencias para el negocio? (También suele calificarse como Bajo, Medio o Alto, considerando factores como pérdidas financieras, interrupciones operativas, daños reputacionales, fallas de cumplimiento, etc.).

Cada riesgo identificado se ubica en esta cuadrícula, cuyos ejes representan la Probabilidad y el Impacto. El resultado es un mapa visual —a menudo con colores tipo "heatmap"— que típicamente usa verde para riesgos bajos, amarillo/naranja para medios y rojo para altos.

Este diseño visual ayuda a identificar de inmediato cuáles riesgos representan la mayor amenaza (normalmente los que caen en la esquina superior derecha: alta probabilidad y alto impacto), en comparación con los menos críticos. Su objetivo principal es brindar una imagen clara y compartida del panorama de riesgos, ayudándote a pasar de decisiones basadas en intuición a decisiones informadas y con prioridades claras.

¿Cómo elaborar una matriz de riesgos?

Identifica y clasifica los riesgos: Conoce a tu enemigo

Identificar los riesgos que pueden afectar a tu organización constituye un aspecto fundamental para la subsecuente mitigación de su impacto. Una amenaza no contemplada podría pasar desapercibida y materializarse sin previo aviso. No obstante, es importante evitar una identificación excesiva de riesgos, lo cual podría complicar las tareas administrativas y resultar en la omisión de las amenazas verdaderamente significativas. Se recomienda delimitar el alcance de la identificación al campo de acción propio de la industria o sector de tu organización.

El paso primordial para la identificación de riesgos es su adecuada clasificación. Una posible estructura para esta clasificación es la siguiente:

  • Riesgos Internos: Aquellos originados en productos o servicios, comunicaciones, la estructura organizacional y, de manera destacada, en la seguridad de la información.
  • Riesgos Externos: Comprenden factores como catástrofes naturales, cambios en la normativa legal, alteraciones o ataques a la cadena de suministro, entre otros.

Cada riesgo identificado debe ser documentado de forma exhaustiva, especificando su naturaleza, denominación, clasificación, así como las posibles causas y consecuencias asociadas al mismo.

Priorización de riesgos identificados: ¿Dónde duele más?

Una vez identificados los riesgos, surge la interrogante sobre el parámetro para determinar a qué amenaza, dentro de la matriz de riesgos, se le debe conferir mayor importancia. Dicha priorización se establecerá de acuerdo con la postura que tu organización adopte frente a los mismos, considerando:

  • Apetito de riesgo: ¿Cuánta turbulencia estás dispuesto a soportar antes de que salten las alarmas? Es el nivel de "calor" que tu operación puede manejar.
  • Tolerancia al Rresgo: Algunas organizaciones son fortalezas, otras son puestos de avanzada. Tu tamaño y experiencia dictan cuánto castigo puedes encajar y seguir en pie.
  • Umbral de riesgo: Esta es tu línea roja. El punto exacto donde una amenaza pasa de ser "ruido de fondo" a "objetivo prioritario" que exige acción inmediata. También define qué nivel de exposición es "aceptable" (porque eliminarlo todo es imposible). Este umbral es tuyo y solo tuyo.

Evalúa probabilidad e impacto: Mide la amenaza real

Estás a un paso de tener tu matriz lista para la acción. Sin embargo, resta analizar la frecuencia o probabilidad de ocurrencia de las amenazas, así como el impacto potencial de las mismas.

Escalas de impacto (piensa en el dolor para el negocio):

  • Alto: Pérdida financiera catastrófica (por ejemplo, seis cifras o más), interrupción operativa que paraliza funciones clave, daño reputacional grave que llega a medios nacionales, multas regulatorias importantes (como por incumplimiento de la Ley Marco de Ciberseguridad Chile, GDPR, HIPAA, PCI DSS, etc.), pérdida de propiedad intelectual crítica o responsabilidad legal significativa. En resumen: un evento que podría poner tu cargo en peligro.
  • Medio: Costo financiero visible, interrupción temporal de un servicio importante (pero no del núcleo del negocio), algo de mala prensa o reclamos de clientes, o una advertencia regulatoria menor. Molesto, pero manejable.
  • Bajo: Incidente contenido con bajo costo directo, interrupciones menores, quejas internas. Se gestiona mediante procedimientos estándar.

Escalas de probabilidad (aterrizada a la realidad):

Estas definiciones deben basarse en datos y evidencias reales, no en corazonadas.

  • Alta: Amenazas constantes. Malware común intentando ingresar todos los días, phishing frecuente, explotación de vulnerabilidades conocidas que aún no has parcheado.
  • Media: Sucede ocasionalmente o sabes que tienes debilidades específicas. Phishing dirigido al área de finanzas, errores humanos que exponen datos, vulnerabilidades menos comunes.
  • Baja: Eventos raros o sofisticados. Un actor estatal apuntando a tus sistemas, o un desastre natural extremo que afecte simultáneamente tus centros de datos primario y de respaldo (poco probable, pero ilustrativo).

¿Matriz 3x3, 5x5 o matriz personalizada?

Empezar simple es la clave. Una matriz 3x3 (Bajo / Medio / Alto para ambos ejes) es excelente para comenzar y obtener una visión clara a nivel ejecutivo. Obliga a priorizar de forma directa. Si más adelante necesitas mayor detalle —como distinguir entre un impacto “muy alto” y uno “moderadamente alto”—, puedes escalar a una 5x5 o incluso personalizar la escala.

Lo importante es no dejar que la búsqueda de la precisión perfecta te impida avanzar. La matriz debe ser útil, no un obstáculo.

Ejemplos de amenazas

Para ayudarte con la construcción de tu matriz de riesgo, aquí van algunos escenarios comunes. No son una lista exhaustiva, pero darán una idea clara de cómo analizar y trazar riesgos reales que podrían estar afectando tu entorno:

Activo de Información / Proceso Crítico Amenaza Vulnerabilidad Impacto Probabilidad
Datos y sistemas ERP/CRM/SIS Ransomware cifra los servidores que alojan tu sistema ERP/CRM/SIS. Sistemas operativos o software de servidor desactualizados; falta de segmentación de red; backups inexistentes o no probados. Alto Alta
Datos confidenciales en portátil de ejecutivo/empleado Pérdida o robo de un computador portátil con información sensible. Falta de cifrado de disco completo; contraseñas débiles; políticas laxas sobre el manejo físico de equipos. Medio Media
Cuentas de usuario y acceso a sistemas corporativos Credencial de empleado (ej: admin) encontrada en la dark web. Ausencia de Autenticación de Múltiples Factores (MFA); reutilización de contraseñas; falta de monitoreo de brechas. Alto Alta
Información confidencial estratégica o de clientes Empleado descontento filtra documentos confidenciales antes de renunciar. Controles de acceso laxos (sin principio de menor privilegio); falta de monitoreo de actividad de usuarios; falta de soluciones DLP. Alto Media
Continuidad de servicios críticos (pagos, comunicaciones) Tu proveedor SaaS crítico (pagos, comunicaciones) sufre caída prolongada o brecha de seguridad. Alta dependencia de un proveedor SaaS sin plan de continuidad robusto o proveedor alternativo evaluado. Alto Media
Credenciales de acceso y datos sensibles accedidos por usuarios Ataque de phishing o spear phishing exitoso contra empleados. Empleados no capacitados en ciberhigiene; falta de filtros de correo robustos; ausencia de MFA en servicios expuestos. Alto Alta
Servidor de base de datos crítico para operaciones Falla catastrófica de hardware (disco, placa madre) en servidor core sin redundancia adecuada. Hardware envejecido sin plan de reemplazo; falta de redundancia (RAID, clústeres); monitoreo deficiente de salud del hardware. Alto Media
Datos sensibles en servicios en la nube (S3, Azure Blobs) Configuración incorrecta de permisos en almacenamiento en la nube, exponiendo datos públicamente. Falta de revisión periódica de configuraciones de nube; personal no capacitado en seguridad de nube; falta de herramientas CSPM. Alto Media
Aplicación de negocio crítica tras una actualización Implementación de un parche o nueva versión de software que introduce errores críticos (bugs) en producción. Pruebas insuficientes en entornos de desarrollo/QA; falta de un plan de rollback robusto y probado. Medio Media
Capacidad de recuperación ante desastres (Datos críticos) Fallo en la restauración de copias de seguridad durante un incidente real. Backups no probados regularmente; backups corruptos; procedimiento de restauración no documentado; backups en misma red/ubicación que originales. Alto Baja
Servicios web públicos (sitio web, portal de clientes) Ataque de Denegación de Servicio Distribuido (DDoS). Insuficiente capacidad de ancho de banda; falta de servicios de mitigación de DDoS; arquitecturas de aplicación no resilientes a picos de tráfico. Alto Media
Sistemas operativos y aplicaciones críticas Explotación de una vulnerabilidad de día cero (Zero-Day). Lenta capacidad de parcheo; falta de segmentación de red que limite impacto; dependencia de software propenso a vulnerabilidades no descubiertas. Alto Baja
Datos corporativos y cumplimiento normativo Uso de "Shadow IT": aplicaciones o servicios no autorizados por TI. Políticas de uso de software poco claras o no aplicadas; falta de herramientas para descubrir y gestionar activos; necesidad de agilidad de usuarios. Medio Medio
Datos sensibles y funcionalidades expuestas vía APIs Explotación de vulnerabilidades en APIs (autenticación/autorización rota, exposición de datos). Falta de validación de entradas robusta; mecanismos de autenticación/autorización débiles para APIs; falta de limitación de tasa (rate limiting). Alto Media
Continuidad operativa y conocimiento técnico Pérdida inesperada de personal con conocimiento técnico único o crítico. Falta de documentación de sistemas/procesos; concentración de conocimiento en pocas personas; falta de planes de sucesión o capacitación cruzada. Medio Medio

Leer la matriz: cómo traducir colores en decisiones empresariales

Ya trazaste tus riesgos en la matriz. Ahora bien, ¿qué significan realmente esos colores en términos de decisiones diarias y asignación de recursos? Estas zonas no solo indican prioridad: también definen tu estrategia de tratamiento del riesgo. ¿Qué haces a continuación?

Riesgo alto (Rojo/Naranja): Acción inmediata

Detén todo. Estos riesgos son amenazas potencialmente existenciales o con consecuencias inaceptables. Exigen mitigación urgente. Eso significa:

  • Implementar controles de seguridad (como parches, herramientas nuevas, mejores procesos, más capacitación).
  • En casos extremos, incluso considerar evitar completamente la actividad si el riesgo es demasiado alto y no mitigable.

Para organizaciones chilenas que están dentro del alcance de la Ley 21.663, los riesgos en zona roja pueden activar la obligación de notificar incidentes críticos con una alerta temprana al CSIRT Nacional en menos de 3 horas. Estos escenarios también requieren visibilidad total y decisiones a nivel ejecutivo o incluso del directorio.

Riesgo medio (Amarillo): Gestión activa

Estos riesgos no te quitan el sueño esta noche, pero sí necesitan un plan definido, monitoreo y acciones programadas. Algunas opciones:

  • Mitigarlos directamente.
  • Transferir el riesgo (por ejemplo, mediante seguros específicos).
  • En ciertos casos, aceptarlo formalmente —pero esto debe documentarse y aprobarse a nivel de gestión.

Esto es especialmente importante para mostrar a la Agencia Nacional de Ciberseguridad (ANCI) que estás aplicando un enfoque basado en riesgos, uno de los pilares del cumplimiento regulatorio.

Riesgo bajo (Verde): Supervisión continua

Puedes respirar más tranquilo, pero no ignorarlos. Estos riesgos suelen gestionarse mediante los controles y procedimientos operativos ya existentes. El monitoreo periódico garantiza que no escalen con el tiempo.

Más allá del riesgo absoluto: priorización relativa

La matriz no solo te muestra el nivel de riesgo absoluto; te ayuda a priorizar de forma comparativa. Cuando estás abrumado, te permite identificar qué fuego apagar primero. Es una herramienta práctica para decidir dónde enfocar tu tiempo, esfuerzo y presupuesto, algo fundamental para cumplir las exigencias de la Ley N° 21.663, que exige una gobernanza clara sobre los riesgos de ciberseguridad.

De la matriz a la gobernanza: usos estratégicos de la matriz de riesgos

Es en este ámbito donde la matriz de riesgos de TI evidencia su valor como un instrumento estratégico fundamental, particularmente para los líderes de TI que participan en la toma de decisiones a nivel ejecutivo. Cuando se deja de verla como una simple herramienta de evaluación y se integras activamente en tu gobierno corporativo, se obtiene una clara ventaja: la capacidad de influir en la definición de prioridades, justificar inversiones críticas y comunicar riesgos complejos de manera comprensible para todas las partes interesadas, incluyendo la gerencia y el directorio.

Este enfoque no solo es recomendable, sino cada vez más necesario en Chile, donde la Ley 21.663 obliga a los OSE y OIV a contar con procesos formales de gestión de riesgos, incluyendo monitoreo, tratamiento y reporte estructurado.

Afinando la priorización

Adiós al método del "que grita más fuerte" o al "último incendio del día". La matriz  da una base informada (aunque sea cualitativa) para decidir dónde asignar a tu equipo, tu presupuesto y tu enfoque. El Rojo se atiende antes que el Amarillo.

Cerrando la brecha entre TI y negocio

Este punto es clave. La matriz funciona como un traductor universal. En lugar de hablar de CVE, exploits o parches, se puede señalar un cuadrante rojo y decir:

"Este riesgo representa la posibilidad de que nuestra línea de producción principal quede detenida tres días por un ransomware, con un costo estimado de $X millones en pérdidas. Por eso necesitamos invertir en protección avanzada para endpoints."

Así, se transforma detalles técnicos en impactos de negocio claros para la alta dirección.

Justificando inversiones en seguridad

Se acabaron las solicitudes vagas de “más seguridad”. Vincula tu propuesta de presupuesto a la reducción de riesgos específicos:

"Invertir en esta nueva pasarela de seguridad para correo electrónico aborda directamente tres riesgos actualmente en zona naranja. Con esto, los llevaremos a amarillo o verde y reduciremos significativamente nuestra exposición a fraude por BEC."

Esto entrega un retorno claro de la inversión (ROI) en términos de mitigación.

Seguimiento y reporte de avances

La matriz no es estática. A medida que implementas controles, cierras brechas o mejoras procesos, los riesgos deben moverse hacia abajo o hacia la izquierda. Usa matrices actualizadas en tus reportes para el directorio, auditorías internas o la ANCI.

Esto te permite mostrar de forma visual y concreta cómo tu programa de seguridad genera resultados reales a lo largo del tiempo.

Alimentando el registro de riesgos

Mientras la matriz ofrece una vista de alto nivel, el análisis detrás de cada riesgo alimenta tu registro formal de riesgos organizacionales. Este registro debe incluir:

  • Descripción del riesgo
  • Evaluación actual
  • Responsable
  • Plan de tratamiento (mitigar, aceptar, transferir, evitar)
  • Estado de avance

Este nivel de documentación también es fundamental para demostrar cumplimiento ante fiscalizaciones, como las previstas por la Ley N° 21.663.

Errores comunes en la matriz (y cómo evitarlos)

Cuando se usa de forma estratégica, la matriz puede ser muy poderosa. No obstante, como cualquier herramienta valiosa de ciberseguridad, hay muchas formas de que el proceso se descarrile si no se ejecuta con cuidado.

Incluso con las mejores intenciones, algunos errores comunes pueden convertir una matriz con potencial en un documento confuso o en un simple requisito cumplido de forma superficial. Y en el caso de los OSE y OIV chilenos, esto puede significar incumplimiento ante la ANCI, lo que conlleva sanciones administrativas o incluso económicas según la Ley.

A continuación, los errores más frecuentes (y cómo evitarlos):

Definiciones inconsistentes

Esta problemática puede manifestarse de diversas maneras. A modo de ejemplo: el departamento de Ventas podría definir "Alto Impacto" como la pérdida de un cliente principal, mientras que Operaciones podría interpretarlo como la interrupción de una planta de producción, y Finanzas, como la imposición de una multa de considerable cuantía.

Solución: Establece definiciones claras, compartidas y consensuadas de impacto y probabilidad. Todos los actores clave deben estar de acuerdo (TI, legal, operaciones, alta dirección).

Ignorar factores cualitativos

Obsesionarse con los puntajes exactos puede hacer que pierdas de vista el contexto. Un riesgo “Medio/Medio” puede tener efectos en cadena, daños a reputación o consecuencias indirectas difíciles de cuantificar.

Solución: Añade comentarios y análisis cualitativos. A veces, la historia detrás del número es más reveladora que la cifra misma.

Parálisis por análisis

La dedicación de tiempo desmesurado al debate sobre la precisión de la calificación de un riesgo (por ejemplo, si su probabilidad corresponde a un nivel medio o alto) puede ocurrir mientras la vulnerabilidad asociada permanece sin ser atendida.

Solución: Acierta en lo general primero (Rojo/Amarillo/Verde) y actúa. La perfección es enemiga de la seguridad efectiva.

Olvidarse de actualizar

El entorno de amenazas cambia todos los días. Tu organización también. Si no revisas la matriz con regularidad, puede quedar obsoleta muy rápido.

Solución: Programa actualizaciones trimestrales como mínimo, o gatilla revisiones ante eventos relevantes (nuevas vulnerabilidades críticas, cambios en la infraestructura, adquisiciones, etc.).

Visión de túnel

Realizar el análisis de riesgos solo desde el área de TI o Seguridad es un error común.

Solución: Involucra a las unidades de negocio. Ellas comprenden mejor que nadie cómo impacta la caída de un sistema en la operación real. El proceso debe ser colaborativo.

Conclusión: claridad estratégica para gestionar el riesgo TI

La gestión de riesgos de Tecnologías de la Información (TI) es una tarea inherentemente compleja y exigente. No obstante, una matriz de riesgos implementada de manera efectiva, consistente y alineada con los objetivos de negocio, permite mitigar dicha complejidad y centrar los esfuerzos. Esta herramienta facilita la transformación de un extenso inventario de contingencias potenciales en información estructurada que fundamenta la toma de decisiones.

Su correcta utilización permite adoptar decisiones defendibles, asignar recursos de manera eficiente a las áreas de mayor criticidad y comunicar el valor de las iniciativas de seguridad en un lenguaje comprensible para la alta dirección y otras unidades de la organización. El objetivo es evolucionar de un enfoque predominantemente reactivo, similar a la respuesta ante incidentes imprevistos, hacia un rol proactivo y estratégico en la salvaguarda de la continuidad operativa del negocio.

Para las organizaciones que operan en Chile —y en particular para aquellas designadas como Operadores de Servicios Esenciales (OSE) o de Importancia Vital (OIV)—, esta herramienta adquiere una relevancia crucial. Constituye un elemento fundamental para demostrar el cumplimiento de las disposiciones de la Ley N° 21.663 ante la Agencia Nacional de Ciberseguridad (ANCI). Su implementación no solo representa una buena práctica consolidada, sino que se configura como un requisito indispensable para las entidades obligadas a operar con un Sistema de Gestión de Seguridad de la Información (SGSI) que sea robusto y auditable.

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.