Registro de Riesgos
Rastrea, evalúa y gestiona riesgos de seguridad organizacionales.
Descripción General
El Registro de Riesgos te ayuda a:
- Identificar y documentar riesgos
- Evaluar probabilidad e impacto
- Rastrear planes de tratamiento de riesgos
- Monitorear riesgos en el tiempo
- Reportar sobre postura de riesgo
Navega a Registro de Riesgos en la barra lateral.
Estructura de Riesgos
Entrada de Riesgo
Cada riesgo incluye:
| Campo | Descripción |
|---|---|
| ID de Riesgo | Identificador único |
| Título | Nombre del riesgo |
| Descripción | Descripción detallada del riesgo |
| Categoría | Categoría del riesgo |
| Probabilidad | Probabilidad de ocurrencia |
| Impacto | Severidad si se materializa |
| Puntuación de Riesgo | Nivel de riesgo calculado |
| Propietario | Persona responsable |
| Estado | Estado actual del riesgo |
| Tratamiento | Plan de respuesta al riesgo |
Categorías de Riesgos
Organiza riesgos por categoría:
- Técnico: Vulnerabilidades del sistema, fallas de arquitectura
- Operacional: Fallas de proceso, error humano
- Cumplimiento: Violaciones regulatorias, fallas de auditoría
- Terceros: Riesgos de proveedores, cadena de suministro
- Físico: Instalación, ambiental
- Estratégico: Negocio, riesgos de mercado
Evaluación de Riesgos
Escala de Probabilidad
| Nivel | Puntuación | Descripción |
|---|---|---|
| Raro | 1 | Poco probable que ocurra |
| Improbable | 2 | Podría ocurrir ocasionalmente |
| Posible | 3 | Podría ocurrir a veces |
| Probable | 4 | Probablemente ocurrirá |
| Casi Seguro | 5 | Se espera que ocurra |
Escala de Impacto
| Nivel | Puntuación | Descripción |
|---|---|---|
| Insignificante | 1 | Impacto mínimo |
| Menor | 2 | Pequeño impacto, fácilmente gestionable |
| Moderado | 3 | Impacto notable |
| Mayor | 4 | Impacto significativo |
| Severo | 5 | Impacto crítico en operaciones |
Cálculo de Puntuación de Riesgo
Puntuación de Riesgo = Probabilidad × Impacto
Rango de Puntuación Nivel de Riesgo
1-4 Bajo (Verde)
5-9 Medio (Amarillo)
10-16 Alto (Naranja)
17-25 Crítico (Rojo)Matriz de Riesgo
Matriz visual de evaluación de riesgo:
IMPACTO
1 2 3 4 5
┌────┬────┬────┬────┬────┐
5 │ 5 │ 10 │ 15 │ 20 │ 25 │
├────┼────┼────┼────┼────┤
4 │ 4 │ 8 │ 12 │ 16 │ 20 │
P ├────┼────┼────┼────┼────┤
R 3 │ 3 │ 6 │ 9 │ 12 │ 15 │
O ├────┼────┼────┼────┼────┤
B 2 │ 2 │ 4 │ 6 │ 8 │ 10 │
A ├────┼────┼────┼────┼────┤
B 1 │ 1 │ 2 │ 3 │ 4 │ 5 │
I └────┴────┴────┴────┴────┘
L
I ■ Bajo ■ Medio ■ Alto ■ Crítico
D
A
DCrear Riesgos
Añadir Nuevo Riesgo
- Ve a Registro de Riesgos
- Haz clic en Añadir Riesgo
- Ingresa detalles del riesgo:
- Título
- Descripción
- Categoría
- Evalúa probabilidad e impacto
- Asigna propietario
- Haz clic en Crear
Riesgo desde Hallazgo
Crea riesgos desde hallazgos de seguridad:
- Abre un hallazgo
- Haz clic en Crear Riesgo
- El riesgo se completa automáticamente con detalles del hallazgo
- Revisa y ajusta evaluación
- Haz clic en Crear
Importar Riesgos
Importa riesgos desde hoja de cálculo:
- Haz clic en Importar
- Descarga plantilla
- Completa datos de riesgos
- Sube archivo
- Revisa y confirma
Tratamiento de Riesgos
Opciones de Tratamiento
| Tratamiento | Descripción | Cuándo Usar |
|---|---|---|
| Mitigar | Reducir probabilidad o impacto | Riesgo puede reducirse de manera rentable |
| Aceptar | Reconocer y monitorear | Riesgo dentro de tolerancia |
| Transferir | Trasladar a tercero | Seguro, outsourcing |
| Evitar | Eliminar la fuente del riesgo | Riesgo demasiado alto, actividad no esencial |
Planes de Tratamiento
Documenta planes de tratamiento:
- Abre detalle del riesgo
- Haz clic en pestaña Tratamiento
- Selecciona tipo de tratamiento
- Añade detalles del tratamiento:
- Acciones requeridas
- Cronograma
- Recursos necesarios
- Riesgo residual esperado
- Haz clic en Guardar
Riesgo Residual
Después del tratamiento, evalúa riesgo residual:
Riesgo Inicial: 16 (Alto)
Tratamiento: Implementar MFA
Evaluación de Riesgo Residual:
- Probabilidad: 4 → 2 (reducida por control)
- Impacto: 4 → 4 (sin cambios)
- Puntuación Residual: 8 (Medio)Estado del Riesgo
Tipos de Estado
| Estado | Descripción |
|---|---|
| Identificado | Nuevo riesgo, aún no evaluado |
| Evaluando | Bajo evaluación |
| Tratando | Tratamiento en progreso |
| Monitoreando | Aceptado, siendo rastreado |
| Cerrado | Riesgo eliminado o ya no relevante |
Flujo de Estado
Identificado → Evaluando → Tratando → Monitoreando
↓
CerradoMonitoreo de Riesgos
Revisiones de Riesgos
Programa revisiones regulares de riesgos:
- Ve a Configuración → Gestión de Riesgos
- Establece frecuencia de revisión (mensual, trimestral)
- Asigna revisores
- El sistema envía recordatorios
Tendencias de Riesgos
Rastrea cambios en puntuación de riesgo en el tiempo:
Riesgo: Acceso No Autorizado a Datos
Historial de Puntuación:
Ene: ████████████████████ 20 (Crítico)
Feb: ████████████████ 16 (Alto)
Mar: ████████████ 12 (Alto)
Abr: ████████ 8 (Medio) ← MFA implementadoIndicadores Clave de Riesgo (KRIs)
Función Profesional
El seguimiento de KRI requiere plan Professional o Enterprise.
Configura KRIs para riesgos importantes:
- Abre detalle del riesgo
- Haz clic en pestaña KRIs
- Define indicador:
- Métrica a rastrear
- Valores umbral
- Fuente de datos
- El sistema alerta cuando se exceden umbrales
Reportes de Riesgos
Resumen de Riesgos
Ver postura general de riesgo:
Resumen del Registro de Riesgos
Riesgos Totales: 24
Por Nivel:
Crítico ██ 2 (8%)
Alto ████ 4 (17%)
Medio ████████ 8 (33%)
Bajo ██████████ 10 (42%)
Principales Riesgos:
1. Ataque de Ransomware (Puntuación: 20)
2. Violación de Datos vía Terceros (Puntuación: 16)
3. Violación de Cumplimiento (Puntuación: 15)Mapa de Calor de Riesgos
Representación visual de todos los riesgos:
- Ve a Reportes → Mapa de Calor de Riesgos
- Ver riesgos trazados en matriz
- Haz clic en cualquier celda para ver riesgos en ese nivel
- Exporta para presentaciones
Reporte de Tendencias
Rastrea cambios en postura de riesgo:
| Período | Crítico | Alto | Medio | Bajo | Puntuación Total |
|---|---|---|---|---|---|
| Q1 | 3 | 5 | 7 | 8 | 156 |
| Q2 | 2 | 4 | 8 | 10 | 128 |
| Q3 | 2 | 4 | 8 | 10 | 124 |
Reporte Ejecutivo
Genera reporte de riesgo para nivel directivo:
- Haz clic en Reportes → Resumen Ejecutivo
- Selecciona período de tiempo
- Elige secciones a incluir
- Genera PDF
Integración con Controles
Mapeo Riesgo-Control
Vincula riesgos a controles mitigadores:
- Abre detalle del riesgo
- Haz clic en pestaña Controles
- Haz clic en Vincular Control
- Selecciona controles relevantes
- Haz clic en Vincular
Efectividad del Control
Ver cómo los controles reducen el riesgo:
Riesgo: Ataque de Inyección SQL
Puntuación de Riesgo Inherente: 20
Controles Mitigadores:
- Consultas parametrizadas (efectividad: 80%)
- Validación de entrada (efectividad: 60%)
- WAF (efectividad: 40%)
Puntuación de Riesgo Residual: 6Acceso API
bash
# Listar riesgos
GET /api/v1/risks?status=monitoring
# Obtener detalles de riesgo
GET /api/v1/risks/{risk_id}
# Crear riesgo
POST /api/v1/risks
{
"title": "Violación de Datos vía Phishing",
"description": "Riesgo de violación de datos a través de ataques de phishing",
"category": "technical",
"likelihood": 4,
"impact": 5,
"owner_id": "user_123"
}
# Actualizar riesgo
PATCH /api/v1/risks/{risk_id}
{
"treatment_type": "mitigate",
"treatment_plan": "Implementar capacitación de seguridad de email",
"residual_likelihood": 2,
"residual_impact": 5
}Consulta Referencia API para documentación completa.
Mejores Prácticas
- Revisiones Regulares: Revisa riesgos al menos trimestralmente
- Asignar Propietarios: Cada riesgo necesita un propietario
- Documentar Tratamiento: Detalla cómo se abordan los riesgos
- Rastrear Tendencias: Monitorea puntuaciones de riesgo en el tiempo
- Vincular a Controles: Conecta riesgos a controles mitigadores
- Actualizar Prontamente: Reevalúa después de cambios o incidentes
- Reportar a Liderazgo: Mantén a ejecutivos informados