Fundamentos

10 min de lectura

Evaluación de riesgos ISO 27001: Guía completa de metodología

support@ismscalculator.com|5 de marzo de 2026

Introducción

La evaluación de riesgos no es solo un requisito de ISO 27001 — es el motor que impulsa toda la norma. Cada control implementado y cada política escrita debe conectarse a un riesgo en su registro de riesgos.

Por qué la evaluación de riesgos es central en ISO 27001

La Cláusula 6.1 exige planificar acciones para abordar riesgos. La Cláusula 8.2 requiere evaluaciones en intervalos planificados.

Determina: qué controles del Anexo A aplican, qué prioridad asignar, cómo justificar decisiones y cómo demostrar mejora continua.

Paso 1: Definir la metodología de evaluación

Documente su metodología antes de evaluar. Defina:

Enfoque de identificación: Cómo identificar activos, amenazas y vulnerabilidades.

Escala de probabilidad: 1–5 con criterios definidos.

Escala de impacto: Cómo medir consecuencias.

Cálculo del nivel de riesgo: Probabilidad × Impacto.

Criterios de aceptación: Nivel aceptable sin tratamiento.

Paso 2: Identificar activos de información

Los activos incluyen:

Información: Datos de clientes, propiedad intelectual, registros financieros.

Software: Aplicaciones, bases de datos, código fuente.

Activos físicos: Servidores, portátiles, dispositivos móviles.

Servicios: Plataformas cloud, SaaS de terceros.

Paso 3: Identificar amenazas y vulnerabilidades

Para cada activo:

Amenazas: Ransomware, pérdida de datos, fallo de hardware.

Vulnerabilidades: Contraseñas débiles, software sin parches, falta de cifrado.

Fóquese en amenazas plausibles en su entorno e industria.

Paso 4: Evaluar y puntuar riesgos

1. Probabilidad (1–5) 2. Impacto (1–5) 3. Puntuación = Probabilidad × Impacto 4. Comparar con criterios de aceptación

Documente en un registro de riesgos.

Paso 5: Opciones de tratamiento de riesgos

Cuatro opciones:

Modificar (Mitigar): Implementar controles.

Retener (Aceptar): Aceptación formal para riesgos residuales bajos.

Evitar: Eliminar la actividad que genera el riesgo.

Transferir (Compartir): Mediante seguros o subcontratación.

Vincular el registro de riesgos con la SoA

La Declaración de Aplicabilidad vincula cada uno de los 93 controles con: aplicabilidad, justificación, estado de implementación y forma de implementación.

Manténgala actualizada cuando revise la evaluación de riesgos.

Puntos clave

Una evaluación de riesgos rigurosa es la inversión más valiosa. Trate el registro como un documento vivo y revíselo al menos anualmente.

¿Listo para estimar los costos de su ISO 27001?

Use nuestro calculador gratuito para obtener una estimación personalizada de costos, esfuerzo y plazos basada en su perfil empresarial.