La matriz de riesgo 5x5 sobrevive a auditorías, no al escrutinio
ISO 27001 nunca pide un mapa de calor. Lo que sí pide (resultados consistentes, válidos y comparables) es la prueba que la mayoría de las matrices de riesgo no superan.

Pregunta a un equipo de implementación por qué su evaluación de riesgos de ISO 27001 es una cuadrícula de cinco por cinco con verdes, ámbares y rojos, y la respuesta, en nuestra experiencia, suele ser alguna versión de "es lo que el auditor espera". Ambas mitades de esa frase merecen más escrutinio del que reciben. Nada en las cláusulas de riesgo de la norma pide una matriz, y la matriz es una forma deficiente de cumplir con lo que esas cláusulas sí exigen. La cuadrícula persiste porque es legible en una revisión documental, no porque sea buena para describir el riesgo, y tratar ambas propiedades como si fueran lo mismo es, argumentaríamos, el error metodológico silencioso dentro de muchos SGSI certificados.
Lo que realmente exige el apartado 6.1.2
ISO/IEC 27001:2022 (tercera edición, publicada el 25-10-2022; la enmienda de acción climática Amd 1:2024, publicada el 23-02-2024, no altera el apartado 6.1.2) dedica una sola cláusula, la 6.1.2, al proceso de evaluación de riesgos. Exige que la organización defina y aplique un proceso que establezca criterios de riesgo, incluidos los criterios de aceptación de riesgos; que garantice que las evaluaciones repetidas "producen resultados consistentes, válidos y comparables"; e identifique riesgos, los analice evaluando consecuencias y probabilidad para determinar niveles de riesgo, y los evalúe frente a los criterios (ISO/IEC 27001:2022, apartado 6.1.2).
Fíjate en lo que el apartado 6.1.2 no especifica. Ni matriz. Ni mapa de calor. Ni escala de cinco puntos, ni "probabilidad por impacto", ni esquema de colores. Incluso la frase "niveles de riesgo", que los equipos suelen interpretar como una licencia para usar categorías ordinales, no indica cómo deben expresarse esos niveles. La norma de orientación de apoyo, ISO/IEC 27005:2022 (cuarta edición, publicada el 25-10-2022), admite tanto enfoques cualitativos como cuantitativos, y sus ejemplos de escalas de consecuencia y probabilidad, así como de matrices, aparecen en el Anexo A, un anexo informativo con técnicas de ejemplo. Es orientación; no impone nada.
Por lo tanto, para los resultados de cualquier método que elijas, el texto certificable pide tres propiedades: consistencia, validez y comparabilidad. La norma no define estas palabras, por lo que lo que sigue es nuestro argumento, basado en su significado literal: la pregunta razonable es cómo puntúa el método predeterminado en cada una de ellas, y la respuesta lleva décadas en la literatura revisada por pares.
La matriz frente a las tres palabras de la norma
El examen más citado sobre este método es el de Tony Cox, "What's Wrong with Risk Matrices?" (Risk Analysis, vol. 28, no. 2, abril de 2008), y sus hallazgos se ajustan incómodamente bien a las tres palabras del apartado 6.1.2.
Comparable. Cox demostró que las matrices de riesgo tienen una resolución limitada: normalmente solo pueden comparar correctamente y sin ambigüedades una pequeña fracción de pares de riesgos seleccionados aleatoriamente, y pueden asignar calificaciones idénticas a riesgos cuantitativamente muy diferentes. Dos riesgos que difieren en un orden de magnitud en pérdida esperada pueden terminar en la misma celda de "alto". Un método cuyo resultado no puede distinguirlos no produce resultados comparables; produce una etiqueta compartida que oculta la comparación que necesitabas.
Válida. El mismo artículo mostró que las matrices pueden hacer algo peor que no discriminar: pueden asignar erróneamente una calificación cualitativa más alta al riesgo cuantitativamente menor, y en condiciones realistas, como cuando la frecuencia y la gravedad están negativamente correlacionadas, la priorización guiada por una matriz puede funcionar peor que el azar. La validez significa que los resultados del método reflejan fielmente lo que se está midiendo. Un método que puede invertir el orden de dos riesgos no lo hace.
Consistente. Las etiquetas ordinales parecen objetivas porque todos en la sala usan las mismas palabras. La evidencia muestra que esas palabras no transmiten los mismos números entre cabezas. Cuando investigadores probaron cómo los lectores interpretan el lenguaje de incertidumbre calibrado del IPCC, las probabilidades asignadas variaban ampliamente y a menudo caían fuera de los rangos que se suponía que debían significar (Budescu, Broomell y Por, "Improving communication of uncertainty in the reports of the Intergovernmental Panel on Climate Change", Psychological Science, vol. 20, no. 3, pp. 299-308, 2009). El "probable" en tu escala hace lo mismo: dos evaluadores competentes, el mismo riesgo, celdas diferentes, y el proceso no tiene forma de detectarlo, porque el desacuerdo está oculto dentro de la etiqueta compartida.
En conjunto, esto es una inversión incómoda. El método que los equipos eligen porque se siente seguro para la auditoría es el más difícil de defender ante una lectura literal de la cláusula que supuestamente debe cumplir. En nuestra experiencia, rara vez recibe un hallazgo, y ese es precisamente el punto: la matriz está optimizada para ser reconocible en una revisión documental, no para la decisión para la que existe ese documento.
Por qué sobrevive, entonces
Sería demasiado fácil tachar esto de pereza. La matriz sobrevive porque hace un trabajo real, solo que no el trabajo de medir el riesgo. Es barata de producir. Comprime el desacuerdo, lo que permite que un taller de riesgos termine a tiempo: dos personas que podrían discutir durante una hora sobre si una probabilidad es del 5% o del 25% aceptarán ambas un "medio". Le da a la dirección una imagen en una sola página. Y es familiar para cualquier revisor que haya visto cientos de ellas, lo que, sospechamos, es gran parte de lo que los profesionales quieren decir realmente con "el auditor lo espera".
Esos son beneficios sociales, y son reales. El error está en considerarlos beneficios analíticos. La compresión que termina el taller antes es la misma que borra la información que el apartado 6.1.2 te pide preservar. Cuando la matriz es el análisis en lugar de un resumen del mismo, el registro de riesgos se convierte en un registro de qué argumentos se evitaron.
Sobre el miedo específico a la auditoría: en nuestra interpretación, la auditoría de certificación evalúa la conformidad con la norma y con el proceso que tú mismo documentaste. Nada en el texto certificable nombra una técnica, por lo que, si se espera una matriz en algún lugar, esa expectativa proviene de la convención o de tu propio método documentado, no de ISO/IEC 27001 en sí. Lo que un auditor puede cuestionar con justicia es si tus criterios están definidos, si tu método se aplica como se documentó y si los resultados repetidos son comparables. Esas preguntas son independientes del método, y un mejor método responde a ellas de manera más convincente, no menos.
La decisión real
Enmarcado con honestidad, un equipo que elige un método de gestión de riesgos bajo ISO 27001 está optando entre tres posturas.
La primera es mantener la matriz y reforzarla: anclar cada etiqueta a un rango cuantitativo explícito, definir la consecuencia en dinero o tiempo de inactividad en lugar de adjetivos, y aceptar las patologías documentadas como el precio de la legibilidad. Esto es defendible, pero solo si el anclaje es real. Una matriz cuyo "probable" está vinculado a un rango numérico declarado es un instrumento diferente a una en la que "probable" significa lo que el equipo sintió ese día.
La segunda es la cuantificación total al estilo de FAIR (Factor Analysis of Information Risk), el enfoque de análisis de factores publicado por The Open Group como los estándares Open FAIR: distribuciones, simulaciones, curvas de excedencia de pérdidas. Para muchas organizaciones pequeñas y medianas, en nuestra opinión, esto implica más maquinaria de la que requieren sus decisiones, y las habilidades de calibración y modelado que asume rara vez están disponibles internamente. Adoptarlo mal reproduce el problema de falsa precisión con más decimales.
La tercera postura, y la que defendemos, es el término medio poco glamuroso: establece los criterios de aceptación de riesgos en términos operativos (dinero, tiempo de inactividad, registros expuestos), estima la probabilidad y el impacto como rangos calibrados en lugar de puntos ordinales, y mantén la cuadrícula de colores, si la mantienes, estrictamente como una capa de presentación sobre un análisis que ocurrió en otro lugar. Esto satisface las tres palabras del apartado 6.1.2 de manera más literal que el método predeterminado, cuesta mucho menos que la cuantificación total, y no cambia nada de lo que el auditor ve, salvo que ahora los números detrás de la imagen existen.
Una salvedad honesta acompaña cualquier cambio: el apartado 6.1.2 pide que las evaluaciones repetidas sean comparables, y un cambio metodológico a mitad de ciclo te cuesta la comparabilidad año tras año. Cambia en un punto natural y registra el motivo. Ese es un costo de transición a gestionar, no una razón para mantener un método en el que ya no crees.
La regla que vale la pena conservar
Si el argumento más fuerte a favor de tu método de gestión de riesgos es que se parece al de todos los demás, has aprendido algo sobre auditorías y nada sobre tus riesgos. ISO 27001 es más permisiva, y más exigente, que la predeterminada que se le culpa: su cláusula de riesgos nunca pide la cuadrícula, y sí pide consistencia, validez y comparabilidad, que son exactamente las propiedades que la cuadrícula carece, según la documentación. Los equipos que leen la cláusula en lugar de copiar el artefacto terminan con un método que pueden defender en ambas salas, la de auditoría y la de revisión de incidentes.
Diseñar lo que una cláusula exige realmente, en lugar de lo que el ecosistema de plantillas ha decidido que exige, es gran parte del trabajo diario de construir un SGSI, y es el tipo de pregunta para la que ISMS Copilot está diseñado para responder con el texto de la propia norma. La matriz es opcional. Las tres palabras, no.
Artículos relacionados

La demora en los sistemas de alto riesgo del Reglamento de IA no es un respiro
La UE acordó posponer los plazos de los sistemas de alto riesgo hasta diciembre de 2027 y agosto de 2028. La razón de este cambio debería cambiar cómo lo interpretas: es una advertencia sobre tu alcance, no un margen adicional para tu planificación.

IA para GDPR: Automatización de transferencias de datos transfronterizas
Automatiza el mapeo, monitoreo y documentación de transferencias de datos transfronterizas de la UE con IA: los equipos legales conservan las decisiones finales.

Mejores prácticas para la preparación de auditorías multiplataforma
Centraliza controles, mapea requisitos superpuestos y automatiza la recolección de evidencias para reducir el tiempo y los costos de auditoría en múltiples marcos de cumplimiento.
