La perspectiva de Cyber Academy
El tratamiento del riesgo es lo que se hace una vez que se conoce el riesgo: evitar, reducir, transferir, aceptar. Cada decisión queda documentada, justificada por el apetito al riesgo y trazada a través del SoA hasta los controles y la evidencia operativa. La mayoría de las auditorías fallidas se reducen a una sola cosa: el plan de tratamiento y la realidad divergieron, y nadie actualizó el SoA.
Las cuatro opciones de tratamiento
El tratamiento del riesgo es la fase en la que la evaluación se convierte en acción. Una vez que un riesgo ha sido identificado, analizado y evaluado frente a tus criterios, debes decidir qué hacer con él. El vocabulario convencional, compartido por ISO 31000 e ISO/IEC 27005, te ofrece cuatro familias de respuesta. No están ordenadas de la mejor a la peor; la elección correcta depende del riesgo, del coste del control y del apetito que la dirección haya aprobado.
- Evitar: detener la actividad que genera el riesgo, o realizarla de otra manera. Das de baja el servicio expuesto, eliminas la funcionalidad o sales del mercado que provoca la exposición.
- Reducir (modificar): aplicar controles que disminuyan la probabilidad, el impacto, o ambos. Es la vía más habitual y la que se vincula directamente con tu conjunto de controles.
- Transferir (compartir): trasladar parte de la consecuencia financiera u operativa a un tercero, normalmente mediante un seguro o una cláusula contractual. La transferencia rara vez traslada el riesgo completo; te queda el residuo reputacional y regulatorio.
- Aceptar (retener): decidir que el riesgo residual es tolerable y convivir con él, dejando constancia. La aceptación es una decisión legítima, no una falta de acción, siempre que la firme la autoridad adecuada.
De la decisión a la evidencia: la cadena que siguen los auditores
Lo difícil del tratamiento del riesgo no es elegir una opción, es mantener coherente el rastro documental. Cada decisión debe justificarse por referencia al apetito de riesgo documentado, recogerse en un plan de tratamiento del riesgo y, a continuación, trazarse hasta los controles que la implementan y la evidencia de que operan. En un sistema de gestión de la seguridad de la información ISO/IEC 27001 es donde reside la Declaración de Aplicabilidad (SoA): registra qué controles del Anexo A se aplican, por qué y dónde se encuentra la evidencia.
El hallazgo de auditoría más frecuente en este ámbito es la deriva. El plan de tratamiento decía una cosa, la SoA decía otra, y la operación sobre el terreno había avanzado más allá de ambas. Se retira un control, un proyecto cambia de alcance, se sustituye a un proveedor, y nadie actualiza los documentos. Las decisiones pueden haber sido todas razonables por separado, pero la cadena ya no concilia, y esa incoherencia es la que produce una no conformidad.
Riesgo residual y reevaluación
El tratamiento no hace desaparecer un riesgo. Lo que queda tras aplicar los controles es el riesgo residual, y esa es la cifra que el propietario del riesgo acepta realmente. La buena práctica consiste en volver a ejecutar el análisis sobre el riesgo tratado para que el nivel residual quede explícito, y luego encaminarlo de nuevo a la misma autoridad de aceptación. ISO/IEC 27005, alineada desde su revisión de 2022 con los principios de ISO 31000, lo plantea como un bucle iterativo y no como un ejercicio puntual: tratas, mides lo que queda, aceptas o vuelves a tratar.
Lo que los profesionales hacen realmente
En el trabajo diario de GRC, el tratamiento del riesgo se gestiona como un plan vivo y no como un entregable de proyecto. Un ritmo viable se parece a esto:
- Vincula cada decisión de tratamiento a un riesgo nombrado en el registro y al enunciado de apetito que la justifica, para que la motivación sobreviva a la rotación de personal.
- Asigna un único responsable rendidor de cuentas y una fecha objetivo a cada acción de «reducir», y haz su seguimiento como cualquier otro compromiso.
- Mantén conciliados la SoA, el plan de tratamiento y la evidencia de los controles con una cadencia fija, no solo antes de una auditoría.
- Registra el riesgo residual y la firma de aceptación para todo aquello que no mitigues por completo, incluidos los riesgos que transfieres.
Hecho así, el plan de tratamiento deja de ser teatro de auditoría y se convierte en el lugar donde la organización puede decir con honestidad a qué está expuesta y quién decidió que eso era aceptable.
Frequently asked questions
01¿Cuáles son las cuatro opciones de tratamiento del riesgo?
Evitar, reducir (modificar), transferir (compartir) y aceptar (retener). ISO 31000 e ISO/IEC 27005 comparten este vocabulario. Ninguna es intrínsecamente superior; la elección depende del riesgo, del coste del tratamiento y de tu apetito de riesgo.
02¿Aceptar un riesgo es lo mismo que ignorarlo?
No. La aceptación es una decisión deliberada y documentada, firmada por alguien con la autoridad adecuada. Ignorar un riesgo lo deja sin tratar y sin registrar, que es precisamente lo que un auditor señala como una brecha.
03¿Cómo se conecta el tratamiento del riesgo con la Declaración de Aplicabilidad?
En un SGSI ISO/IEC 27001, las decisiones de tratamiento para reducir el riesgo determinan los controles que seleccionas, y la SoA registra qué controles se aplican, por qué y dónde reside la evidencia. El plan de tratamiento y la SoA deben mantenerse coherentes entre sí y con la realidad.
04¿Qué es el riesgo residual en este contexto?
El riesgo residual es lo que queda después de aplicar los controles que has elegido. Es el nivel que el propietario del riesgo acepta realmente, por lo que la buena práctica es reevaluarlo explícitamente y encaminarlo de nuevo a tu autoridad de aceptación.
05¿Transferir un riesgo elimina tu responsabilidad?
Rara vez. Un seguro o una cláusula contractual pueden trasladar la consecuencia financiera u operativa a un tercero, pero normalmente conservas la exposición reputacional y regulatoria, y la rendición de cuentas por el riesgo sigue siendo tuya.