La evaluación de riesgos es el pilar de todo SGSI certificado bajo ISO 27001. Sin embargo, muchas organizaciones luchan con la parte práctica: ¿cómo estructuro el proceso? ¿Qué escalas uso? ¿Cómo documento los resultados? Esta guía te lleva paso a paso por una metodología basada en ISO 27005 que puedes aplicar directamente.
¿Necesitas orientación experta? Solicita un diagnóstico ISO 27005 para que evaluemos tu proceso actual de gestión de riesgos.
Paso 1: Establecer el contexto
Antes de identificar riesgos, define el marco de referencia. Documenta:
- Alcance de la evaluación: ¿qué sistemas, procesos y activos incluyes?
- Criterios de impacto: define una escala de impacto con al menos 4 niveles.
- Criterios de probabilidad: define una escala de probabilidad con al menos 4 niveles.
- Nivel de riesgo aceptable: establece el umbral por debajo del cual un riesgo no requiere tratamiento.
- Partes interesadas: identifica quién participa en la evaluación y quién aprueba los resultados.
Escala de impacto recomendada
| Nivel | Valor | Descripción |
|---|---|---|
| Bajo | 1 | Impacto menor, recuperable en horas. Sin afectación a clientes. |
| Medio | 2 | Impacto moderado, recuperable en días. Afectación parcial a servicios. |
| Alto | 3 | Impacto significativo. Pérdida financiera considerable, afectación a clientes. |
| Crítico | 4 | Impacto severo. Interrupción prolongada, sanciones regulatorias, daño reputacional grave. |
Escala de probabilidad recomendada
| Nivel | Valor | Descripción |
|---|---|---|
| Rara vez | 1 | Podría ocurrir en circunstancias excepcionales (menos de 1 vez cada 5 años). |
| Posible | 2 | Podría ocurrir en algún momento (1 vez cada 1-5 años). |
| Probable | 3 | Es probable que ocurra (1 vez al año o más). |
| Casi seguro | 4 | Se espera que ocurra frecuentemente (varias veces al año). |
Paso 2: Identificar riesgos
Para cada activo dentro del alcance, identifica los escenarios de riesgo usando la fórmula:
Riesgo = Amenaza + Vulnerabilidad + Activo + Consecuencia
Checklist de identificación:
- Listar activos de información (bases de datos, servidores, aplicaciones, documentos, personal clave).
- Asignar propietario a cada activo.
- Identificar amenazas relevantes para cada activo (malware, phishing, fallas de hardware, errores humanos, desastres naturales).
- Identificar vulnerabilidades existentes (software sin parches, configuraciones inseguras, falta de respaldos, personal sin capacitación).
- Describir la consecuencia potencial si el riesgo se materializa.
Paso 3: Analizar riesgos
Califica cada riesgo identificado con las escalas definidas en el Paso 1:
Nivel de riesgo = Probabilidad x Impacto
Matriz de riesgos 4x4
| Probabilidad / Impacto | Bajo (1) | Medio (2) | Alto (3) | Crítico (4) |
|---|---|---|---|---|
| Casi seguro (4) | 4 - Medio | 8 - Alto | 12 - Muy alto | 16 - Extremo |
| Probable (3) | 3 - Bajo | 6 - Medio | 9 - Alto | 12 - Muy alto |
| Posible (2) | 2 - Bajo | 4 - Medio | 6 - Medio | 8 - Alto |
| Rara vez (1) | 1 - Bajo | 2 - Bajo | 3 - Bajo | 4 - Medio |
Criterios de aceptación sugeridos
| Nivel de riesgo | Rango | Acción requerida |
|---|---|---|
| Bajo | 1-3 | Aceptar. Monitorear sin acción inmediata. |
| Medio | 4-6 | Plan de tratamiento a mediano plazo (3-6 meses). |
| Alto | 8-9 | Tratamiento prioritario. Plan de acción inmediato. |
| Muy alto / Extremo | 12-16 | Tratamiento urgente. Escalamiento a dirección. |
Certifica tus competencias: la certificación PECB ISO 27005 Risk Manager te prepara para liderar evaluaciones de riesgos profesionales.
Paso 4: Evaluar y priorizar
Ordena todos los riesgos por su nivel de criticidad y compáralos con los criterios de aceptación. El resultado es una lista priorizada que indica:
- Qué riesgos requieren tratamiento inmediato.
- Qué riesgos pueden aceptarse con monitoreo.
- Qué riesgos necesitan análisis adicional.
Presenta esta lista a la alta dirección para aprobación. La dirección debe autorizar formalmente tanto los riesgos que se tratarán como los que se aceptarán.
Paso 5: Definir el tratamiento
Para cada riesgo que excede el nivel aceptable, selecciona una opción de tratamiento y documenta:
- Opción seleccionada: mitigar, transferir, evitar o aceptar (con justificación).
- Controles a implementar: referencia los controles del Anexo A de ISO 27001:2022 aplicables.
- Responsable: quién implementará y supervisará el control.
- Plazo: fecha límite para la implementación.
- Riesgo residual: nivel de riesgo esperado después de implementar el control.
- Recursos necesarios: presupuesto, herramientas, capacitación.
Este documento se convierte en tu Plan de Tratamiento de Riesgos, un entregable clave para la auditoría ISO 27001.
Paso 6: Monitorear y revisar
Establece un ciclo de revisión con estas actividades:
- Revisión trimestral: verificar el avance del plan de tratamiento de riesgos.
- Revisión anual completa: reevaluar todos los riesgos con las escalas actualizadas.
- Revisión por evento: reevaluar cuando ocurra un incidente, un cambio organizacional significativo o una nueva amenaza relevante.
- Indicadores de monitoreo: definir KRIs (Key Risk Indicators) para los riesgos más críticos.
Integración con ISO 27001
Los resultados de esta metodología alimentan directamente tres documentos clave de tu SGSI:
- Registro de riesgos: el inventario completo de riesgos identificados, analizados y evaluados.
- Plan de tratamiento de riesgos: las acciones definidas para tratar los riesgos que exceden el umbral de aceptación.
- Declaración de Aplicabilidad (SoA): la lista de controles del Anexo A seleccionados (o excluidos, con justificación) basándose en los resultados de la evaluación de riesgos.
Si necesitas evaluar tu nivel de preparación para la certificación ISO 27001, consulta también nuestro diagnóstico ISO 27001.
Da el siguiente paso
Identifica brechas y oportunidades de mejora con un diagnóstico profesional de nuestro equipo de auditores.