ISO 27001

Plan de tratamiento de riesgos ISO 27001: opciones y estrategias

Por Equipo GRC360 24 de March, 2026 12 min de lectura
Plan de tratamiento de riesgos en ISO 27001

Una vez completada la evaluación de riesgos, el siguiente paso es decidir qué hacer con cada riesgo que supera el umbral de aceptación. La cláusula 6.1.3 de ISO 27001 exige definir un proceso de tratamiento de riesgos que seleccione las opciones apropiadas y determine los controles necesarios.

Las cuatro opciones de tratamiento

OpciónDescripciónEjemplo
Mitigar (Modificar)Implementar controles para reducir la probabilidad o el impactoImplementar MFA para reducir el riesgo de acceso no autorizado
Transferir (Compartir)Transferir el riesgo a un terceroContratar un seguro de ciberriesgo, externalizar a un proveedor certificado
EvitarEliminar la actividad o el activo que genera el riesgoDejar de almacenar datos de tarjetas de crédito si no es necesario
AceptarAceptar el riesgo sin acción adicional (con aprobación formal)Riesgo residual bajo que está dentro de los criterios de aceptación

Selección de controles

Para los riesgos que se tratan mediante mitigación, selecciona los controles del Anexo A u otras fuentes. ISO 27001 exige que los controles seleccionados se comparen con el Anexo A para verificar que no se omitió ningún control necesario. El resultado se documenta en la Declaración de Aplicabilidad (SoA).

Estructura del plan de tratamiento

Para cada riesgo a tratar, el plan debe incluir la descripción del riesgo, la opción de tratamiento seleccionada, los controles a implementar, las acciones específicas requeridas, el responsable de cada acción, los recursos necesarios, el plazo de implementación, el riesgo residual esperado, y la aprobación del propietario del riesgo.

Riesgo residual

Después de implementar los controles, siempre queda un riesgo residual. Este debe evaluarse y compararse con los criterios de aceptación. Si el riesgo residual sigue siendo inaceptable, se necesitan controles adicionales. Los propietarios de riesgos deben aceptar formalmente el riesgo residual, dejando evidencia documental.

Dato clave: El plan de tratamiento de riesgos es información documentada obligatoria (cláusula 6.1.3). Sus resultados también deben documentarse (cláusula 8.3). Los auditores verifican la trazabilidad completa: riesgo → opción de tratamiento → control → implementación → riesgo residual aceptado.

Crea tu plan de tratamiento con GRC360

GRC360 vincula cada riesgo con su plan de tratamiento, controles seleccionados y evidencia de implementación. Seguimiento automatizado de plazos y responsables.

Crear Cuenta Gratis

Complementa con evaluación de riesgos, SoA y criterios de aceptación.

SGSI Controles Gestión de Riesgos
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis