Un registro de riesgos ISO que funciona (y no parece un export de consultor)

Un registro de riesgos no tiene por qué ser una hoja de cálculo de 300 filas. Para una pyme, entre 30 y 60 riesgos es algo realista. Aquí tienes el formato que supera una auditoría y que además es útil en el día a día.

El registro de riesgos es la lista central de "qué puede salir mal". Los consultores entregan a veces hojas de 300 filas con riesgos teóricos. Para una pyme, entre 30 y 60 riesgos es realista. Cada riesgo debe poder explicarse de forma concreta a un CFO sin perfil técnico.

Por cada riesgo se documenta

• Descripción breve ("pérdida de un portátil con datos de clientes")
• Qué activo o proceso se ve afectado
• Amenaza (robo) y vulnerabilidad (sin cifrado de disco)
• Probabilidad (1-5) × impacto (1-5) = puntuación
• Medidas actuales
• Responsable (nombre)
• Puntuación de riesgo residual
• Acción adicional (opcional) + fecha límite

Puntuación realista

Probabilidad: 1 = muy infrecuente, 3 = puede ocurrir una vez al año, 5 = realidad cotidiana. Impacto: 1 = inconveniente menor, 3 = pérdida de un día de trabajo, 5 = el negocio en peligro. Una puntuación de 15 o más requiere acción inmediata.

Cadencia de revisión

• Cada trimestre: repasar los riesgos en curso y añadir nuevos.
• Anualmente: revisión completa en la revisión de dirección.
• Tras cada incidente: actualizar el registro de riesgos con la lección aprendida.

Ejemplos de riesgos reales en una pyme

1. Ransomware en el portátil de un empleado a través de un correo de phishing
2. Un exempleado sigue teniendo acceso a datos de clientes (brecha en el offboarding)
3. El administrador de contabilidad no se revisa durante meses (retraso en la revisión de accesos)
4. El proveedor cloud cae durante la temporada alta
5. Un empleado cae en un correo de phishing y un ataque de MFA fatigue tiene éxito
6. Una contraseña compartida se filtra a través de un paste en Slack

Para el registro de incidentes, consulta: cómo configurar un registro de incidentes.