Saltar al contenido
CertENS
EN
Implantación

Errores más comunes al redactar el Análisis de Riesgos

Los errores que aparecen una y otra vez en los análisis de riesgos ENS: alcance mal definido, valoraciones infladas, amenazas genéricas y controles desalineados con la DA.

7 min de lectura Diego Aranda · Implantador ENS · CertENS

El Análisis de Riesgos (AR) es el documento más importante del ENS tras la Política. Define qué hay que proteger, contra qué, con qué medidas y en qué medida. Y sin embargo es uno de los entregables donde más errores aparecen. En muchos proyectos, el AR llega a la auditoría con inconsistencias que el auditor detecta al instante. Este artículo recoge los patrones de error más frecuentes que hemos visto en cientos de AR revisados, con el objetivo de que no los cometas.

Error 1 — Alcance mal definido

El problema

El AR se redacta sobre un alcance ambiguo. O demasiado amplio (toda la organización) o demasiado estrecho (una aplicación aislada), en ambos casos no alineado con el alcance del sistema certificable.

Consecuencias

  • Activos no incluidos que deberían estarlo.
  • Dependencias mal modeladas porque faltan piezas.
  • Discrepancias con la Declaración de Aplicabilidad.

Cómo evitarlo

Definir el alcance antes de abrir PILAR. Escribirlo en una página: sistemas, servicios, sedes, personal, proveedores. Validar con Responsable de la Información y Responsable del Sistema. Alinearlo con la DA desde el principio.

Error 2 — Inventario de activos desconectado

El problema

El AR parte de un inventario de activos improvisado para el ejercicio, no del inventario de op.pl.1. Resultado: activos del AR que no aparecen en inventario y viceversa.

Consecuencias

  • Incoherencia detectable al instante.
  • Riesgos sobre activos que no existen formalmente.
  • Activos críticos no analizados.

Cómo evitarlo

El inventario operativo es la fuente de verdad. El AR se hace a partir de él. Si necesitas agrupar o simplificar para el AR, documenta cómo (ej.: “endpoints corporativos agrupados en una clase”).

Error 3 — Valoraciones copiadas sin criterio

El problema

Dimensiones de seguridad valoradas copiando valores de otro AR o poniendo valores “por defecto medios” sin pararse a pensar por activo.

Consecuencias

  • Categorización global errónea (típicamente inflada).
  • Medidas del Anexo II que aplican de más.
  • Coste desproporcionado.

Cómo evitarlo

Para cada activo relevante, preguntar por cada dimensión: “si se pierde confidencialidad/integridad/disponibilidad/autenticidad/trazabilidad, ¿qué impacto hay?”. Asignar nivel con criterio. Documentar el razonamiento.

Error 4 — Amenazas genéricas sin contextualizar

El problema

Lista de amenazas de MAGERIT aplicada tal cual, sin seleccionar las relevantes ni eliminar las que no aplican.

Consecuencias

  • AR lleno de ruido.
  • Riesgos sobredimensionados en apartados irrelevantes.
  • Discusión estéril con el auditor sobre amenazas absurdas.

Cómo evitarlo

Filtrar el catálogo de amenazas según el tipo de activo y el contexto. Una aplicación web SaaS no sufre las mismas amenazas que un servidor on-premise en una oficina. Documentar por qué se han descartado algunas amenazas (“N.1 Fuego: mitigado por proveedor cloud con certificaciones”).

Error 5 — Probabilidad y degradación inventadas

El problema

Valores de frecuencia e impacto asignados sin base. “Pongo 3” porque es un valor intermedio.

Consecuencias

  • Riesgos residuales poco creíbles.
  • Dos analistas diferentes llegan a resultados opuestos.
  • Auditor detecta inconsistencias entre activos similares.

Cómo evitarlo

Definir criterios explícitos al inicio del proyecto: qué significa frecuencia “alta” vs. “media” vs. “baja”, qué significa degradación del 50%. Dejarlos documentados. Aplicarlos consistentemente.

Error 6 — No incluir el contexto actual

El problema

AR realizado hace 2 años sin actualizar, que ignora la realidad actual: nuevas amenazas (ransomware masivo, ataques a cadena de suministro), nuevas tecnologías (cloud, IA), nuevos contextos geopolíticos.

Consecuencias

  • Riesgos infravalorados en vectores reales.
  • Medidas desalineadas con amenazas actuales.
  • Imagen de AR “de cumplimiento” no vivo.

Cómo evitarlo

Revisión mínima anual del AR. Incorporar amenazas emergentes explícitamente. Reflejar el cambio en el documento con fecha y razón.

Error 7 — Salvaguardas teóricas vs. reales

El problema

Se anotan salvaguardas (controles) como aplicadas al 100% cuando en realidad están parcialmente implementadas o ausentes.

Consecuencias

  • Riesgo residual subestimado.
  • Contradicción con la DA (donde los mismos controles aparecen parcialmente).
  • Hallazgo directo en auditoría cuando el auditor cruza ambos documentos.

Cómo evitarlo

Valorar salvaguardas con honestidad. Es mejor un AR con riesgos residuales altos y un plan de tratamiento que un AR irrealmente tranquilo.

Error 8 — No cruzar con la DA

El problema

AR y DA se redactan por personas distintas sin coordinarse. Aparecen medidas en la DA que no salen del AR, y riesgos en el AR sin tratamiento en la DA.

Consecuencias

  • Incoherencia muy visible en auditoría.
  • Dificultad para justificar decisiones.
  • Dudas sobre qué documento “manda”.

Cómo evitarlo

AR y DA se mantienen como dos caras de la misma moneda. Plantillas con referencias cruzadas. Un responsable único del conjunto. Revisión conjunta.

Error 9 — Olvidar dependencias

El problema

Activos analizados aisladamente sin modelar que el servicio de negocio depende de 20 activos técnicos.

Consecuencias

  • Impacto sobre la información subestimado.
  • Cadenas de ataque no visibles.
  • Continuidad mal planificada.

Cómo evitarlo

Modelar dependencias en PILAR explícitamente. Visualizar cómo un fallo en un activo propaga impacto. Priorizar puntos únicos de fallo.

Error 10 — No tratar proveedores

El problema

AR que no incluye proveedores críticos como activos ni sus amenazas propias.

Consecuencias

  • Subestimación del riesgo de cadena de suministro.
  • Sorpresa cuando un proveedor cae y el servicio colapsa.
  • Hallazgo claro en auditoría 2026 (énfasis en supply chain).

Cómo evitarlo

Proveedores críticos son activos. Se valoran, se analizan amenazas, se asocian medidas (op.ext). La dependencia se refleja explícitamente.

Error 11 — Plan de tratamiento vacío

El problema

AR que identifica riesgos altos pero no genera un plan de tratamiento concreto.

Consecuencias

  • Riesgos permanecen altos sin acción.
  • Auditor pregunta “¿qué estás haciendo al respecto?” y no hay respuesta.
  • Imagen de AR académico sin aplicación.

Cómo evitarlo

Para cada riesgo no aceptado, una acción: mitigar (cómo, quién, cuándo), transferir (contratos, seguros), evitar (dejar de hacer algo), aceptar (acta formal con aprobación del Responsable de la Información).

Error 12 — Redacción pensada solo para auditor

El problema

AR redactado con lenguaje defensivo, minimizando riesgos, para “pasar la auditoría”.

Consecuencias

  • Documento poco útil internamente.
  • Desconexión con la realidad operativa.
  • El equipo no lo usa en decisiones.

Cómo evitarlo

Redactar el AR para tomar decisiones. El auditor valida, no escribe. Un AR honesto que identifica problemas reales es más valioso que uno bonito.

Error 13 — No firmarlo

El problema

AR redactado pero sin aprobación formal del Responsable de la Información.

Consecuencias

  • Documento sin validez formal.
  • Hallazgo en auditoría.
  • Nadie se “apropia” del riesgo.

Cómo evitarlo

Todos los documentos ENS deben estar firmados (digital o físicamente). AR incluido. Sin firma, no existe formalmente.

Error 14 — Hacer el AR en una semana

El problema

AR ejecutado como sprint de una semana antes de la auditoría.

Consecuencias

  • Superficialidad evidente.
  • Errores en cascada.
  • Imposibilidad de que el equipo operativo lo entienda.

Cómo evitarlo

El AR de un sistema mediano requiere 4-8 semanas de trabajo con varias iteraciones. Planificarlo y no comprimir.

Error 15 — No revisarlo tras incidentes

El problema

Un incidente serio (fuga, ransomware, caída mayor) no se refleja en el AR.

Consecuencias

  • AR que no aprende.
  • Riesgo que ya se materializó sigue valorado como bajo.
  • Auditor detecta la anomalía.

Cómo evitarlo

Tras cualquier incidente relevante, revisión del AR. Actualizar frecuencia, impacto, medidas. Dejar constancia.

Checklist para validar tu AR

Antes de darlo por bueno, pásalo por:

  • Alcance explícito y alineado con la DA.
  • Inventario coherente con el de op.pl.1.
  • Valoraciones por dimensión justificadas.
  • Catálogo de amenazas filtrado al contexto.
  • Criterios de frecuencia e impacto documentados.
  • Salvaguardas valoradas con honestidad.
  • Dependencias modeladas.
  • Proveedores críticos incluidos.
  • Plan de tratamiento por cada riesgo.
  • AR revisado en último año.
  • Firma formal del Responsable de la Información.
  • Cruzado con DA sin contradicciones.

Recomendación final

El AR no es un trámite ni un entregable más: es el centro neurálgico del ENS. Hacerlo bien ahorra meses de trabajo posterior. Hacerlo mal genera incoherencias que te perseguirán cada renovación. Invertir tiempo en un AR vivo, revisado y honesto es la diferencia entre un sistema ENS útil y un cajón de documentos.

Sigue leyendo

Implantación

Cómo calcular el coste real de certificarse en ENS

Desglose honesto del coste de certificación ENS: consultoría, auditoría, inversión técnica, horas internas y coste recurrente de mantenimiento.

6 min
Implantación

Gestión de activos [op.pl.1] sin morir en el intento

Cómo construir y mantener un inventario de activos útil, mantenible y aprobado en auditoría, sin convertirlo en un Excel monstruo.

6 min
Implantación

Logs y trazabilidad: qué exige el ENS y cómo implementarlo

Requisitos de trazabilidad del ENS: qué eventos registrar, con qué retención, cómo proteger la integridad de los logs y cómo usarlos en auditoría.

6 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu