Contenido

    Estos son los 7 puntos que cubre este artículo sobre la matriz 5×5 risk assessment:

    1. Qué es una 5×5 risk assessment matrix y qué resuelve
    2. Por qué encaja con una evaluación de riesgos audit-ready
    3. Cómo definir escalas de probabilidad e impacto (1 a 5)
    4. Cómo “rellenar” celdas sin caer en intuición
    5. Cómo convertir puntuaciones en planes de tratamiento
    6. Cómo mantener y revisar la matriz en el tiempo
    7. Errores que te pueden frenar y cómo corregirlos

    Una 5×5 risk assessment matrix convierte “hay riesgo” en decisiones repetibles. Lo hace dando forma a dos variables. Probabilidad e Impacto.

    Y crea un mapa sencillo para priorizar.

    Qué es una 5×5 risk assessment matrix (y cuándo usarla)

    Una 5×5 risk assessment matrix es una forma visual de valorar riesgos. Asigna un valor de 1 a 5 a la probabilidad y otro de 1 a 5 al impacto.

    El cruce de ambos define el nivel de riesgo por celda. Se usa cuando necesitas:

    • una evaluación consistente entre equipos,
    • y una manera de priorizar que sea entendible también para dirección.

    No es magia. Es disciplina.

    Una matriz 5×5 funciona cuando está conectada a tu proceso. Es decir: primero defines criterios, luego evalúas, después decides tratamiento y al final registras evidencia.

    Si falta cualquiera de esas piezas, la matriz se convierte en un dibujo bonito.

    Encajan bien los riesgos que puedes describir como escenarios. Por ejemplo: “un cambio de proveedor introduce una vulnerabilidad” o “un usuario repite una mala práctica de acceso”.

    Si tu riesgo es muy abstracto, costará asignar probabilidad e impacto de forma justificable.

    Antes de rellenar celdas, necesitas:

    • activos dentro del alcance (sistemas, datos o procesos),
    • escenarios con amenazas y vulnerabilidades relevantes,
    • y una lista de controles existentes (para que la probabilidad no sea “a ojo”).

    Por qué encaja con la evaluación de riesgos de ISO 27001

    ISO 27001 exige que tu proceso de evaluación sea coherente, consistente y documentado. La clave está en definir criterios claros y que las evaluaciones sean comparables en el tiempo.

    En la práctica, eso significa que no puedes improvisar escalas cada vez que alguien hace una evaluación. Una 5×5 risk assessment matrix ayuda justo ahí: estandariza cómo valoras probabilidad e impacto.

    Un auditor rara vez se queda en el número final. Suele preguntar: “¿por qué este 4 y no un 3?” y “¿cómo aseguras que mañana sigues el mismo criterio?”.

    La respuesta buena es trazabilidad: criterios, supuestos y evidencia.

    La matriz debe alimentar decisiones. Si los resultados no se traducen en tratamientos con responsables y revisiones, pierdes la razón de ser del ejercicio.

    Por eso, la matriz se diseña como un puente entre el registro de riesgos y tu plan de control. Si estás alineando este enfoque con tu camino de certificación, revisa obtener la certificación ISO 27001.

    Para el marco de evaluación, puedes revisar este enfoque de ISO 27001 en normas iso.

    Cómo definir escalas de probabilidad e impacto (1 a 5)

    El objetivo no es “poner números”. El objetivo es que cada número signifique algo verificable. La regla práctica es que cada valor debe tener una definición corta, una señal observable y un ejemplo.

    Así evitas que cada evaluador “rellene” desde su experiencia y rompa la consistencia del proceso.

    Paso 1: define criterios de probabilidad

    La probabilidad refleja qué tan probable es que ocurra un escenario. En vez de “alta o baja”, define señales observables: frecuencia, exposición, historial y controles existentes.

    Para que un “probabilidad 2” no sea una etiqueta vacía, define condiciones como:

    • frecuencia baja en el historial o barreras fuertes en controles existentes,
    • exposición limitada por diseño (menos superficie, menos privilegios, más segmentación),
    • y ausencia de cambios relevantes recientes en el alcance evaluado.

    Paso 2: define criterios de impacto

    El impacto refleja consecuencias sobre confidencialidad, integridad y disponibilidad. Define rangos: desde impacto bajo en procesos hasta impacto crítico en servicios o datos.

    Cuando defines impacto en la matriz, suele ayudar descomponerlo por:

    • confidencialidad (datos filtrados o expuestos),
    • integridad (cambios no autorizados o pérdida de exactitud),
    • y disponibilidad (caída de servicio o degradación sostenida).

    Luego traduces cada rango a consecuencias sobre tu negocio.

    Paso 3: documenta la “traducción” entre lenguaje y escala

    Cuando un evaluador diga “impacto 4”, el lector debe entender por qué. Eso crea trazabilidad.

    Para cada nivel, documenta como máximo:

    • qué significa,
    • qué evidencia lo soporta,
    • y qué consecuencia esperarías si el escenario se materializa.

    Con eso, el proceso se vuelve explicable.

    Cómo rellenar la 5×5 risk assessment matrix sin caer en intuición

    Rellenar celdas es donde suelen aparecer sesgos. Para evitarlos, usa un procedimiento simple y repetible.

    Procedimiento recomendado para puntuar sin sesgos

    1. Selecciona el escenario exacto y su alcance (activos afectados).
    2. Lista controles existentes y la evidencia que los soporta (pruebas, logs, revisiones).
    3. Evalúa probabilidad con criterios documentados y ejemplos de referencia.
    4. Evalúa impacto con rangos definidos y su conexión a CIA.
    5. Asigna puntuaciones y aplica el método acordado.
    6. Registra supuestos y justificación breve para que el valor sea replicable.

    1) Une activos, amenazas y vulnerabilidades

    Una celda no se completa para “un riesgo genérico”. Se completa para un escenario que afecta a activos dentro de tu alcance.

    2) Evalúa con contexto, no con opinión

    Evita decidir por percepción. Pide evidencias: controles actuales, cambios recientes, incidentes y señales operativas.

    Si no hay evidencia suficiente, el resultado debe reflejar esa incertidumbre. No pasa nada por decir “no se puede justificar con el nivel actual de datos”.

    3) Aplica el mismo criterio de cálculo

    Si usas multiplicación (probabilidad x impacto) o asignación directa por celdas, define el método. Y aplícalo siempre igual.

    Cómo convertir puntuaciones en planes de tratamiento

    Una matriz no es el plan. La matriz es un filtro para decidir prioridades. El siguiente paso es convertir niveles de riesgo en acciones y evidencias.

    Cómo decidir tolerancia sin improvisar

    Define umbrales de decisión antes de mirar la matriz. Por ejemplo: celdas muy altas requieren mitigación inmediata, celdas medias un plan con seguimiento y celdas bajas un mantenimiento.

    Ejemplo de trabajo: una celda que termina en tratamiento y evidencia

    Imagina el escenario: “un proveedor externo accede a un sistema de soporte y un cambio introduce una vulnerabilidad explotable”.

    Para asignar probabilidad 3, usas criterios y evidencia: existen controles, pero hay un historial de cambios con ventana de exposición y el control de verificación no cubre todas las variaciones.

    Para asignar impacto 4, conectas el criterio con CIA: si se explota, puede afectar confidencialidad de datos internos y romper integridad de los flujos de soporte, con impacto sostenido mientras el servicio está degradado.

    El resultado es una celda “alta” que, por tu tolerancia, entra en “mitigar”. Entonces no te quedas en la matriz.

    Definirás tratamiento con campos claros:

    • controles a aplicar (y por qué)
    • responsable y equipo
    • fecha objetivo
    • mecanismo de verificación (qué evidencia demuestra que el control funciona)
    • y fecha de revisión.

    Cuando llega la auditoría, no tienes que “adivinar”: puedes mostrar el rastro entre el escenario, la puntuación, las decisiones y la evidencia de ejecución.

    Plantilla de registro mínimo (para auditoría y mejora)

    Guarda al menos esta información por riesgo:

    • escenario y activos afectados
    • criterios de probabilidad e impacto usados
    • puntuación resultante y racional breve
    • decisión de tolerancia (aceptar/mitigar/transferir)
    • plan de tratamiento (controles, responsables, fechas)
    • evidencias que se generarán y cómo se verificarán
    • y próxima fecha de revisión (o trigger por cambio/incidente).

    Paso 1: clasifica el riesgo según tolerancia

    Define umbrales: qué celdas aceptas, qué celdas mitigas y cuáles requieren acciones inmediatas.

    Paso 2: define controles y responsables por tratamiento

    Para cada riesgo priorizado, especifica:

    • qué controles aplicar,
    • quién es responsable,
    • y cuándo se revisa.

    La mejor práctica es que el responsable no sea “un rol genérico”. Debe existir una persona o equipo que pueda demostrar ejecución cuando llegue la auditoría.

    Paso 3: alinea tu tratamiento con tu SGSI

    ISO 27001 pide que tu SoA y la documentación reflejen el racional del tratamiento. La trazabilidad importa. 

    Cómo mantener la 5×5 risk assessment matrix en el tiempo

    Una matriz que no se revisa se convierte en un archivo histórico. Y las auditorías buscan coherencia entre plan y realidad.

    Revisión periódica con triggers claros

    No necesitas revisar cada día. Necesitas revisar cuando cambie el contexto y cuando el riesgo “aprenda” (por incidentes y lecciones).

    Un calendario que suele funcionar es: revisión anual formal y micro-actualizaciones tras cambios relevantes o ejercicios de incidentes. Revisa la matriz cuando haya:

    • cambios en sistemas o procesos,
    • incident response con lecciones aprendidas,
    • y cambios de alcance.

    Control de calidad de resultados

    Antes de aprobar cambios, revisa:

    • consistencia de definiciones (probabilidad e impacto),
    • coherencia entre puntuación y evidencia disponible,
    • y consistencia de decisiones (lo que mitigaste antes no desaparece sin justificar).

    Versionado y control de cambios

    Para que la matriz no pierda trazabilidad, controla versiones. Cada cambio relevante debe dejar rastro: qué se ajustó, por qué se ajustó y desde qué fecha/escenario aplica.

    Eso evita que “la misma celda” signifique cosas distintas en auditoría. Además, programa una revisión periódica.

    Con eso mantienes la lógica de mejora continua. Además, asegura que el equipo usa la misma plantilla de trabajo: mismo formato de escenarios, mismas definiciones y mismo método de cálculo.

    Si el evaluador cambia, el proceso debe seguir explicando el porqué de cada puntuación. Así la matriz no se “personaliza”: se gobierna.

    Esto reduce re-trabajos cuando hay varios riesgos en paralelo. Y mejora la calidad de decisiones a lo largo del tiempo.

    Errores que te pueden frenar

    Aplicar la 5×5 risk assessment matrix sin criterios documentados

    Si “probabilidad 3” no tiene definición, la matriz deja de ser control. Un auditor puede detectar inconsistencias y el resultado pierde valor.

    Mezclar escalas entre evaluadores y equipos

    Si distintos equipos interpretan la misma celda de forma diferente, los niveles de riesgo no son comparables. Eso debilita la consistencia del proceso.

    Mantener la matriz estática aunque cambie el riesgo

    Si no se actualiza cuando cambia el contexto, la matriz contradice tu lógica operativa. El sistema se vuelve “paper-first”.

    No vincular los niveles al plan de tratamiento y la evidencia

    Sin tratamiento y sin rastro de decisión, la matriz no guía acciones. Tu documentación queda desconectada del SGSI.

    Cómo puede ayudarte PrivaLex con 5×5 risk assessment matrix

    En PrivaLex diseñamos el proceso de evaluación de riesgos para que sea consistente, documentado y usable por equipos. Te apoyamos en:

    • definir criterios y escalas por alcance,
    • convertir puntuaciones en tratamientos con responsables,
    • y dejar trazabilidad lista para auditoría.

    También te ayudamos a convertir la matriz en un activo de gestión: plantillas, criterios compartidos y un flujo de revisión que el equipo pueda sostener.

    Agenda una sesión estratégica con PrivaLex y revisamos tu punto de partida.

    Preguntas Frecuentes (FAQs)

    Es una forma visual de valorar riesgos con probabilidad e impacto en una escala 1-5. Ayuda a priorizar y a mantener consistencia entre evaluadores.

    En auditoría, lo relevante no es “usar 5×5 por moda”, sino demostrar que el método es repetible, justificable y conectado a tratamiento y evidencia.

    Se definen con criterios que puedas justificar con contexto: señales observables, historial de incidentes, controles existentes y rango de consecuencias sobre activos. Cuando defines escalas, evita ambigüedad: cada número debe poder explicarse en una frase y sostenerse con señales o rangos.

    ISO 27001 no impone una representación única. Lo importante es que el proceso sea coherente y documentado. Una matriz 5×5 es una opción práctica si encaja con tu método.

    Si tu proceso actual ya produce resultados consistentes, puedes conservarlo. La matriz solo suma si mejora la homogeneidad y la trazabilidad de decisiones.

    Usas la celda para priorizar según tu tolerancia. Luego defines controles, responsables, fechas y un mecanismo de revisión para evidenciar la ejecución.

    La clave es que el tratamiento tenga campos de gestión: responsable identificable, fecha objetivo, y una forma de verificar que el control ha reducido el riesgo.

    Como mínimo según tu calendario de revisión y siempre que cambie el contexto. Si hay incidentes o cambios relevantes, se actualiza para reflejar la nueva realidad.

    En la práctica, la revisión “extra” debe dispararse por aprendizajes reales: incidentes, near-misses, cambios de alcance o cambios de controles.

    Debe existir el plan de criterios, el método de cálculo, los resultados por riesgo y el vínculo a tratamiento y documentación del SGSI. Así puedes demostrar consistencia y mantenimiento.

    El auditor debe poder pedir el hilo completo: qué escenario se evaluó, qué puntuación se asignó, qué decisión se tomó y qué evidencia demuestra la ejecución.

    Webinar gratuito el 20 de mayo: prepárate para la auditoría con NIS2, ISO 27001 y ENS, con PrivaLex y Factorial IT.

    Ver webinar