Evaluación de Riesgos ISO 27001: Metodología Paso a Paso

La evaluación de riesgos es el proceso central de ISO 27001. La cláusula 6.1.2 exige que la organización defina y aplique un proceso de evaluación de riesgos de seguridad de la información que establezca criterios de aceptación, sea reproducible y produzca resultados consistentes. Esta guía presenta una metodología práctica que cumple con todos los requisitos.

Lo que ISO 27001 exige (y lo que no)

La norma requiere un proceso que identifique riesgos de seguridad de la información, analice los riesgos (probabilidad e impacto), evalúe los riesgos contra criterios de aceptación, y priorice los riesgos para tratamiento. Sin embargo, ISO 27001 no prescribe una metodología específica. Puedes usar ISO 27005, OCTAVE, FAIR, NIST SP 800-30 o una metodología propia, siempre que cumpla con los requisitos mencionados.

Paso 1: Establecer el contexto

Antes de evaluar riesgos, define los criterios de aceptación del riesgo, las escalas de probabilidad e impacto, y la metodología que usarás. Estos criterios deben ser aprobados por la dirección.

Paso 2: Identificar los activos de información

Crea un inventario de activos que incluya datos y bases de datos, sistemas y aplicaciones, infraestructura de red y servidores, documentos y registros físicos, personas con conocimiento crítico, y servicios de terceros. Cada activo debe tener un propietario asignado.

Paso 3: Identificar amenazas y vulnerabilidades

Para cada activo o grupo de activos, identifica las amenazas (eventos que pueden causar daño) y las vulnerabilidades (debilidades que pueden ser explotadas). Usa fuentes como el historial de incidentes, inteligencia de amenazas (A.5.7), el contexto del sector y la información de fabricantes y CERTs.

Ejemplo de activo	Amenaza	Vulnerabilidad
Servidor de base de datos	Acceso no autorizado	Contraseña débil de administrador
Correo electrónico	Phishing	Personal sin capacitación
Laptop de empleado	Robo	Disco sin cifrar
Servicio cloud (SaaS)	Brecha del proveedor	Sin evaluación de seguridad del proveedor

Paso 4: Analizar probabilidad e impacto

Evalúa cada riesgo en dos dimensiones: la probabilidad de que la amenaza explote la vulnerabilidad, y el impacto sobre la confidencialidad, integridad o disponibilidad de la información. Usa escalas cualitativas (Muy bajo, Bajo, Medio, Alto, Muy alto) o cuantitativas según tu metodología.

Paso 5: Evaluar y priorizar

Combina probabilidad e impacto para obtener un nivel de riesgo. Compara cada riesgo contra los criterios de aceptación aprobados por la dirección. Los riesgos que superan el umbral de aceptación requieren tratamiento; los que están dentro del umbral pueden aceptarse formalmente.

Paso 6: Documentar resultados

Genera el registro de evaluación de riesgos que incluya cada riesgo identificado con su descripción, el activo afectado, la amenaza y vulnerabilidad, los valores de probabilidad e impacto, el nivel de riesgo resultante, el propietario del riesgo, y la decisión de tratamiento. Este registro es información documentada obligatoria (cláusula 8.2).

Dato clave: La evaluación de riesgos no es un evento único. Debe repetirse a intervalos planificados (al menos anualmente), cuando ocurran cambios significativos en la organización, después de incidentes de seguridad relevantes, y cuando se identifiquen nuevas amenazas o vulnerabilidades.

Error frecuente: Evaluar riesgos genéricos (como "ciberataque" o "falla de sistema") en lugar de riesgos específicos vinculados a activos concretos. Cuanto más específico sea el riesgo, más accionable será el tratamiento.

Evalúa riesgos profesionalmente con GRC360

GRC360 incluye un módulo completo de gestión de riesgos con metodología predefinida, matrices configurables, tratamiento de riesgos y reportes ejecutivos.

Crear Cuenta Gratis

Continúa con nuestras guías sobre el plan de tratamiento de riesgos, ISO 27005 y la Declaración de Aplicabilidad.