Registro de riesgos.

El registro de riesgos es la lista canónica y viva de riesgos identificados, con su análisis, evaluación, tratamiento y responsable. No es una hoja de cálculo puntual. Los auditores esperan entradas fechadas, propietarios nominados, cambios trazables y ciclos de revisión vinculados a la revisión por la dirección. La versión para el consejo es más corta; la versión operativa contiene todo.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

La perspectiva de Cyber Academy

El registro de riesgos es la lista canónica y viva de riesgos identificados, con su análisis, evaluación, tratamiento y responsable. No es una hoja de cálculo puntual. Los auditores esperan entradas fechadas, propietarios nominados, cambios trazables y ciclos de revisión vinculados a la revisión por la dirección. La versión para el consejo es más corta; la versión operativa contiene todo.

Qué es realmente el registro

El registro de riesgos es el único lugar donde la organización lleva el seguimiento de lo que le preocupa y de lo que hace al respecto. La gente imagina una hoja de cálculo, y a menudo empieza siéndolo, pero el artefacto que importa es la disciplina que lo sustenta : cada riesgo identificado, analizado, evaluado frente al apetito, asignado a un propietario, dotado de una decisión de tratamiento y revisado según un ciclo. Un registro rellenado una sola vez para una certificación y nunca vuelto a tocar no es un registro de riesgos, es una pieza de museo. La prueba consiste en saber si puedes mirar cualquier línea y ver cuándo se revisó por última vez, quién es su propietario y qué ha cambiado desde entonces.

Cada entrada suele incluir una descripción del riesgo, el activo u objetivo que amenaza, el análisis (probabilidad e impacto, sea cual sea la forma en que los puntúes), la evaluación frente a tus criterios, el tratamiento elegido, el propietario designado, el riesgo residual tras el tratamiento y una fecha de revisión. El nivel de detalle es deliberado : cuando un auditor o un incidente tira de un hilo, la entrada tiene que aguantar. Las entradas vagas, sin propietario ni fecha, son lo primero que detecta un auditor competente, y socavan la credibilidad de todo el programa.

Cómo se conecta con todo lo demás

El registro no es un documento independiente, es el eje al que se conecta el resto del programa de riesgos. La identificación y el análisis siguen una metodología como ISO 27005 o EBIOS RM, y su resultado aterriza aquí. La columna de tratamiento es donde cada riesgo se encuentra con la decisión de evitar, reducir, transferir o aceptar, y en un contexto ISO 27001 esa decisión se prolonga hasta la Declaración de Aplicabilidad y los controles que la implementan. La columna de evaluación solo significa algo si existe un apetito de riesgo escrito frente al cual evaluar, de lo contrario cada valoración no es más que la opinión de un analista. Así pues, el registro se sitúa aguas abajo de la metodología y del apetito, y aguas arriba del tratamiento y de la evidencia de los controles.

Por eso también el registro es un documento vivo ligado a la revisión por la dirección y no un entregable puntual. Aparecen riesgos nuevos, los riesgos tratados cambian su valoración residual, los propietarios se marchan, y el propio apetito puede variar. Un programa maduro revisa el registro con una cadencia definida y traslada los movimientos significativos a la revisión por la dirección, de modo que el liderazgo tome decisiones sobre una imagen actual y no sobre la del año pasado.

Qué mantienen realmente los profesionales

En la práctica el registro es donde las buenas intenciones se encuentran con el mantenimiento. Lo difícil no es la primera pasada, es mantenerlo honesto a lo largo de los años. Las entradas fechadas importan porque un auditor espera ver un cambio trazable : cuándo se planteó un riesgo, cuándo se movió su valoración, cuándo se completó el tratamiento. Los propietarios designados importan porque un riesgo sin propietario es un riesgo que en realidad nadie gestiona.

Los ciclos de revisión importan porque las tolerancias y las dependencias se desplazan, y un registro con dos reorganizaciones de antigüedad priorizará lo equivocado. Los campos son fáciles de enumerar y difíciles de sostener, que es precisamente por lo que el registro, y no la política, es donde se ve si un programa de riesgos está vivo.

Una confusión frecuente es entre el registro y el plan de tratamiento. El registro es el inventario de los riesgos y de su estado actual. El plan de tratamiento es el conjunto de acciones a las que te has comprometido, con plazos y responsabilidad, para llevar los riesgos hacia niveles aceptables. Se referencian mutuamente pero no son el mismo documento, y cuando se separan la auditoría lo nota. Mantén el registro como la fuente de verdad del estado, y deja que el plan de tratamiento sea la fuente de verdad del trabajo en curso.

Frequently asked questions

01¿Es un registro de riesgos lo mismo que una evaluación de riesgos?

No. La evaluación de riesgos es la actividad de identificar, analizar y valorar los riesgos. El registro es el registro vivo que conserva el resultado de esa actividad y le da seguimiento en el tiempo, incluyendo la propiedad, el tratamiento y las fechas de revisión.

02¿Exige ISO 27001 un registro de riesgos?

ISO 27001 no impone por su nombre un documento llamado «registro de riesgos», pero exige resultados documentados de la evaluación y el tratamiento de los riesgos de seguridad de la información. En la práctica, el registro es la forma en que las organizaciones satisfacen ese requisito y lo demuestran a los auditores.

03¿Qué debe contener cada entrada?

Como mínimo : una descripción clara del riesgo, el análisis (probabilidad e impacto), la evaluación frente a tus criterios, un propietario designado, la decisión de tratamiento, el riesgo residual tras el tratamiento y una fecha de revisión. Las entradas fechadas y trazables son lo primero que buscan los auditores.

04¿Con qué frecuencia debe revisarse el registro?

Con un ciclo definido y tras cualquier cambio significativo, con los movimientos relevantes alimentando la revisión por la dirección. Los riesgos, las valoraciones, los propietarios y el propio apetito se desplazan todos, de modo que un registro sin revisar deja rápidamente de reflejar la realidad.

05¿Por qué mantener una versión separada para el consejo?

El registro operativo lleva cada detalle que el equipo de riesgos necesita para hacer su trabajo. El consejo necesita un resumen enfocado de los riesgos que importan a su nivel para poder tomar decisiones. Concilia ambos, pero no obligues a un solo documento a servir a las dos audiencias.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.