El mapa de riesgos es el entregable más útil de una auditoría tecnológica y, paradójicamente, el peor entendido. Llega al cliente, lo revisa por encima, ve "una lista de cosas que hay que arreglar" y la guarda en una carpeta esperando momento mejor. Cuando se vuelve a abrir, meses después, no se sabe por dónde empezar. La carpeta acaba siendo un archivo, no una herramienta.
El problema no suele ser el mapa. Es que nadie ha explicado cómo se lee. Un mapa de riesgos no es una lista de tareas: es un sistema de señales que te dice cuáles son urgentes, cuáles son importantes, cuáles son crónicas y qué decisión tomar con cada categoría. Esta es la guía para usarlo.
Riesgo alto · acción inmediata
Qué significa. Una vulnerabilidad o problema con probabilidad alta de manifestarse y consecuencia grave si lo hace. Lo que en lenguaje claro se traduce a: "puede pasar pronto y, si pasa, duele mucho".
Ejemplos típicos en PYME. Backups que no se han verificado en años (la copia existe pero no se sabe si se restaura). Credenciales de un servicio crítico expuestas en un repositorio público. Un servidor con vulnerabilidades conocidas y sin parchear hace seis meses. Una base de datos sin cifrado en tránsito accesible desde Internet. Dependencia total de una persona externa que en cualquier momento puede dejar el cliente.
Qué hacer. No esperar al final del trimestre. La acción mínima debe ejecutarse en días o, como máximo, dos semanas. Si el riesgo alto requiere una intervención mayor que tarda meses, hay que aplicar una mitigación temporal mientras se prepara la solución definitiva. Por ejemplo, si la base de datos sin cifrar requiere una migración compleja, lo razonable es restringir su acceso por IP de forma inmediata mientras se planifica la migración.
Cuántos riesgos altos suele haber en una PYME. Entre 1 y 4 en una empresa que nunca ha auditado su tecnología. Si la auditoría te entrega 12 riesgos altos, dos cosas están pasando: o el sistema está realmente en mal estado o el auditor está clasificando demasiado fácil. Pídele criterio explícito para distinguir los reales de los hinchados.
Ventana temporal aceptable. 0-30 días para tener acción ejecutada o, al menos, mitigación temporal en marcha.
Riesgo medio · planificar el trimestre
Qué significa. Probabilidad media o consecuencia media. O ambos a la vez. Es lo que no va a hacer caer el negocio mañana, pero tampoco se puede dejar indefinidamente.
Ejemplos típicos. Documentación dispersa entre varias personas y sin centralizar (cuando alguien se va, se pierde conocimiento). Costes de hosting un 30-40% por encima de lo necesario por dimensionamiento incorrecto. Política de contraseñas sin doble factor en herramientas críticas. Software propio sin pruebas automatizadas que dificulta cualquier cambio. Catálogo de productos duplicado entre dos sistemas que se desincronizan poco a poco.
Qué hacer. Entran en el plan trimestral con responsable y fecha. La diferencia con el riesgo alto es que se pueden agrupar por afinidad: tres riesgos medios relacionados con seguridad, por ejemplo, se pueden cerrar en un mismo mini-proyecto de dos semanas. La eficiencia de tratarlos juntos suele ser mayor que ir uno a uno.
Por qué se descuidan. Porque no urgen. Y porque al no urgir nunca son la prioridad de nadie. La forma de evitar que se acumulen indefinidamente es asignar tiempo fijo cada trimestre (un 10-15% del tiempo del responsable interno o un presupuesto fijo para externos) a cerrar riesgos medios.
Ventana temporal aceptable. 30-90 días desde la auditoría. Pasado el trimestre sin avance, los riesgos medios deberían reclasificarse: o se promueven a alto (si el contexto ha cambiado y ya son urgentes) o se documenta explícitamente que la empresa los acepta como parte del coste operativo.
Riesgo bajo · plan anual o asunción consciente
Qué significa. Probabilidad baja, consecuencia limitada. O las dos. No es que no importe, es que el coste de eliminarlos a corto plazo no compensa.
Ejemplos típicos. Optimizaciones de rendimiento que ahorrarían pocos segundos en operaciones poco frecuentes. Pequeñas mejoras de UX que son convenientes pero no bloqueantes. Documentación técnica adicional que sería útil pero el negocio puede operar sin ella. Refactorizaciones de código que dejarían más limpio el sistema sin cambiar su comportamiento.
Qué hacer. Dos opciones legítimas, dependiendo del contexto.
La primera es incluirlos en un plan anual ligero, donde se cierran cuando hay margen, sin presión. Por ejemplo: "este trimestre, además del trabajo principal, cerramos tres riesgos bajos del listado". Esto convierte la lista de bajos en un goteo de mejoras continuas que el equipo puede hacer entre proyectos mayores.
La segunda es asumirlos conscientemente, documentando que se han identificado y se ha decidido no actuar. No por descuido, sino por decisión deliberada: "este riesgo lo conocemos, lo asumimos, no merece la pena gastar energía aquí". Eso es legítimo siempre que la decisión esté escrita y revisada cada cierto tiempo. Asumir un riesgo es distinto a olvidarlo.
Ventana temporal aceptable. Un año, con revisión. Si al cabo de un año sigue sin tocarse y ya ni siquiera aparece en las conversaciones, el riesgo está olvidado, no asumido. Eso es peor que tenerlo abierto.
Lo que un buen mapa incluye además del nivel
Un mapa de riesgos serio no se queda en "alto, medio, bajo". Cada riesgo tiene metadatos adicionales que permiten priorizar y actuar.
Probabilidad e impacto desglosados. Un riesgo "alto" puede serlo por dos vías muy distintas: probabilidad alta de manifestarse con impacto medio, o probabilidad media con impacto crítico. Aunque la categoría final sea la misma, la respuesta es distinta. Un riesgo de probabilidad alta requiere acción aunque su impacto sea moderado. Un riesgo de impacto crítico requiere acción aunque su probabilidad sea baja. Saber el desglose evita errores de priorización.
Evidencia del riesgo. Una captura, una traza de logs, una medición concreta, un fragmento de código identificado. Sin evidencia, el riesgo es opinión. La evidencia también sirve para verificar después que se ha resuelto.
Acción mínima recomendada. Qué hacer en concreto, con un nivel de detalle suficiente para ejecutarlo. No "mejorar la seguridad", sino "habilitar el doble factor en estas tres herramientas, con coste cero, ejecutable en 2 horas".
Coste y esfuerzo estimado. Cuánto cuesta económicamente y cuánto en horas de trabajo. Sin esto, no se puede priorizar. Un riesgo medio que se cierra en una hora es prioritario sobre un riesgo alto que requiere un proyecto de tres meses, en términos de relación coste-beneficio inmediata.
Responsable propuesto. Quién debería ejecutar la acción: equipo interno, freelance externo, proveedor existente, agencia nueva. Esto depende del tipo de riesgo y del músculo interno de la empresa.
Señales de un mapa mal hecho
Cuando recibes un mapa de riesgos de una auditoría, hay tres señales que indican que está mal hecho.
La primera es que todos los riesgos están en la misma categoría. Si todos son medios o todos son altos, no es un mapa: es una lista. La gracia del mapa es que prioriza. Sin priorización, el cliente sigue sin saber por dónde empezar.
La segunda es que falta evidencia. Cuando un riesgo se enuncia genéricamente ("riesgo de seguridad por configuración débil") sin referencia concreta, no se puede verificar ni resolver con seguridad. Pide siempre la evidencia de cada riesgo.
La tercera es que no hay acciones específicas asociadas. "Mejorar la seguridad" no es una acción. "Configurar el doble factor en X, Y y Z y desactivar el acceso por contraseña en el panel de administración" sí lo es.
Cómo lo usamos durante el año posterior
El mapa no se cierra el día que se entrega. Es un documento vivo durante los siguientes doce meses. La revisión recomendada: una sesión de 30 minutos al mes para repasar qué se ha cerrado, qué riesgos nuevos han aparecido (porque siempre aparecen) y qué reclasificaciones tienen sentido.
Las empresas que tratan el mapa así suelen reducir su lista de riesgos altos a cero en el primer trimestre y mantienen una rotación saludable de medios y bajos. Las que lo guardan en un cajón, al cabo del año, tienen los mismos riesgos altos del informe original más los nuevos que han surgido. La diferencia entre las dos no es la auditoría: es lo que se hace con ella.