Neurodecisiones: cómo tu estómago influye en la adopción tecnológica
25 junio, 2025
Lineamientos de la OCDE para empresas estatales en Costa Rica: implicaciones para la Junta Directiva
30 julio, 2025
La información es la sangre que recorre cada proceso del negocio. Sin embargo, en muchas organizaciones los riesgos asociados a documentos y datos no figuran en el mapa de riesgos corporativo, aun cuando una filtración o pérdida de archivos críticos puede comprometer la ventaja competitiva, generar sanciones o paralizar operaciones. Bajo esta premisa, encontrará a continuación una guía práctica para estandarizar la identificación y el tratamiento de riesgos documentales combinando lo mejor de ISO15489 (gestión documental) e ISO 27001:2022 (seguridad de la información).
1. ¿Qué es un mapa de riesgos documentales?
Un mapa de riesgos documentales es una representación —normalmente tabular— donde se inventarían los activos de información (registros, expedientes, bases de datos, etc.), se evalúan amenazas, vulnerabilidades, impacto y probabilidad, y se asignan controles y responsables. Su objetivo principal es:
- Proteger la confidencialidad, integridad y disponibilidad (CIA) de la información.
- Cumplir requisitos legales y regulatorios de conservación, privacidad y prueba electrónica.
- Respaldar la continuidad de negocio al vincular documentos críticos con los procesos estratégicos.
2. Sinergia entre ISO 15489 e ISO 27001
| Norma | Enfoque principal | Aporte al mapa de riesgos |
| ISO 15489 | Gestión del ciclo de vida documental: creación, clasificación, almacenamiento, disposición | Proporciona criterios objetivos para clasificar documentos según propósito, valor de negocio y obligaciones legales. |
| ISO 27001:2022 | Sistema de Gestión de Seguridad de la Información (SGSI); metodología de evaluación, tratamiento y mejora continua de riesgos | Aporta la mecánica de análisis de amenazas, vulnerabilidades, impacto y probabilidad + catálogo de controles (Anexo A). La versión 2022 debe adoptarse antes del 31 oct 2025. |
Idea práctica: utilice ISO 15489 para decidir qué documentos son críticos y ISO 27001 para medir cuánto y cómo protegerlos.
3. Metodología paso a paso
Paso 1 – Delimitar el alcance y levantar procesos
- Liste los procesos de negocio.
- Identifique “qué documentos/archivos” genera o recibe cada proceso.
- Establezca un líder de proceso que oficiará como “propietario del riesgo”.
Paso 2 – Clasificar la información (ISO 15489)
Evalúe cada documento con tres preguntas:
| Pregunta | Ejemplo | Resultado de clasificación |
| ¿Cuál es su propósito? | Informe financiero anual | “Legal / Financiero” |
| ¿Qué impacto tendría su pérdida o alteración? | Plan estratégico quinquenal | “Alto impacto estratégico” |
| ¿Hay requisitos normativos? | Historias clínicas | “Retención mínima 10 años” |
Consejo de auditoría: documente la retención y la disposición previstas; servirá como evidencia de cumplimiento.
Paso 3 – Inventariar activos y atributos
- Cree un catálogo donde asigne a cada documento: formato, ubicación, volumen, propietario, software asociado y nivel CIA necesario.
Paso 4 – Analizar amenazas y vulnerabilidades (ISO 27001)
- Amenazas: ciber-ataque, incendio de archivo físico, error humano, fuga interna.
- Vulnerabilidades: falta de copias de respaldo, controles de acceso débiles, ausencia de registro de préstamo de expedientes.
Paso 5 – Valorar impacto y probabilidad
- Adopte una matriz 5×5. Ejemplo: impacto “Crítico” × probabilidad “Media” → nivel de riesgo “Alto”.
Tip experto: para documentos estratégicos hay que ponderar no sólo la pérdida económica, sino el daño reputacional y la pérdida de ventaja competitiva.
Paso 6 – Definir controles y responsables
- Utilice los 93 controles del Anexo A (ISO 27001:2022) como catálogo: cifrado, puertas lógicas de acceso, entornos estancos (sandbox) para pruebas, etc. Alinee cada control con el propietario del proceso y marque una fecha de revisión.
Paso 7 – Integrar y gobernar
- Incruste el mapa dentro del riesgo corporativo para que el Comité de Riesgos lo supervise.
- Revise al menos una vez por año o tras cambios sustanciales en el negocio, la ley o el entorno de amenazas.
5. Buenas prácticas de mantenimiento
- Automatice el refresco del inventario con el gestor documental o ERP.
- Sensibilice al personal: sin cultura de seguridad cualquier control fracasa.
- Audite muestras aleatorias de documentos: verifique trazabilidad y controles.
- Integre métricas de riesgo residual en los KPIs del SGSI y del Sistema de Gestión de Documentos.
- Actualice el mapa cuando cambie la legislación (p. ej. protección de datos o retención fiscal).
6. Conclusión
Cuando la información constituye el activo más valioso, incluirla de forma explícita en el mapa de riesgos empresariales deja de ser opcional. Al aplicar la ISO 15489 para clasificar y ordenar los registros y la ISO 27001 para ponderar y tratar los riesgos, usted obtendrá una visión integral que protege tanto la operación diaria como la estrategia futura del negocio. Utilice la plantilla, adapte los ejemplos y convierta el mapa de riesgos documentales en un documento vivo que se alimente de auditorías, incidentes y lecciones aprendidas.
Bono: Próximos pasos
- Realizar una auto-evaluación del nivel de madurez frente a ISO 27001:2022 antes de julio 2025.
- Vincular el mapa con el plan de continuidad (BCP) para asegurar recuperación documental.
- Programar una revisión anual conjunta entre el responsable de documentación y el CISO.
