Estos son los 8 puntos que cubre este artículo sobre cómo crear una evaluación de riesgos según ISO 27001:
- Qué exige ISO 27001 en evaluación de riesgos (cláusula 6.1.2)
- Metodología recomendada: ISO 27005 y buenas prácticas
- Proceso paso a paso para crear la evaluación
- Cómo documentar y mantener la evaluación
- Errores que te pueden frenar
- Cómo puede ayudarte PrivaLex
- Preguntas frecuentes
- Siguiente paso
Crear una evaluación de riesgos según ISO 27001 es uno de los cimientos de un sistema de gestión de seguridad de la información (SGSI) sólido. La norma no prescribe un método único, pero sí exige que el proceso sea consistente, documentado y revisado periódicamente.
Esta guía explica cómo crear una evaluación de riesgos según ISO 27001 de forma práctica: qué pide la cláusula 6.1.2, qué metodología usar y cómo documentarla.
En PrivaLex Partners ayudamos a empresas a diseñar e implementar el proceso de evaluación de riesgos con eficiencia, desde la metodología hasta el tratamiento de riesgos y la documentación requerida para la certificación. Si estás preparando tu obtener la certificación ISO 27001 o quieres alinear tu SGSI con la norma, esta guía te da la hoja de ruta.
Qué exige ISO 27001 en evaluación de riesgos (cláusula 6.1.2)
Requisitos de la cláusula 6.1.2
La cláusula 6.1.2 de ISO 27001 exige que la organización identifique, evalúe y trate los riesgos de seguridad de la información de forma sistemática. No basta con listar amenazas: hay que definir criterios de evaluación y aceptación del riesgo, garantizar que las evaluaciones sean consistentes y comparables en el tiempo, y asignar responsables.
Qué debe cubrir la evaluación
La norma requiere que identifiques los riesgos que amenazan la confidencialidad, integridad y disponibilidad de la información dentro del alcance del SGSI; que evalúes consecuencias, probabilidad y nivel de riesgo; y que priorices según los criterios definidos. Una evaluación de riesgos coherente es la brújula de tu seguridad: sin ella, navegas a ciegas.
Las normas iso y un sistemas de gestión de seguridad (SGSI) bien diseñado se apoyan en este proceso.
Metodología recomendada: ISO 27005 y buenas prácticas
El ciclo ISO 27005
Aunque ISO 27001 establece qué hay que lograr, ISO 27005 ofrece una guía más concreta del cómo. Este estándar propone un ciclo continuo con etapas claras: establecer el contexto del riesgo, identificar riesgos, analizar y evaluar (probabilidad e impacto), tratar riesgos (mitigar, transferir, aceptar, evitar), aceptar riesgos residuales de forma documentada, y comunicar, revisar y monitorizar.
Aplicación práctica
ISO 27005 convierte la teoría de riesgo de ISO 27001 en acción real. Puedes adaptar las escalas y criterios a tu tamaño y sector; lo importante es que la metodología quede documentada y se aplique de forma uniforme. La ciberseguridad y la gestión del riesgo son la base sobre la que se construyen el resto de controles del Anexo A
Proceso paso a paso para crear la evaluación
Aunque el enfoque debe adaptarse a tu empresa, este proceso sirve como guía general para crear una evaluación de riesgos según ISO 27001:
Definir metodología y contexto
- Define la metodología: criterios de evaluación y aceptación, escalas de probabilidad e impacto, roles (quién evalúa, quién aprueba), periodicidad de revisiones. Documenta todo en un procedimiento o guía interna.
- Identifica activos clave dentro del alcance del SGSI y combina con amenazas y vulnerabilidades relevantes para tu contexto.
Evaluar, priorizar y tratar
- Evalúa la probabilidad y el impacto de cada riesgo (por activo o por proceso, según tu enfoque).
- Calcula el nivel de riesgo (por ejemplo, probabilidad × impacto) y prioriza según tu tolerancia al riesgo.
- Elabora un plan de tratamiento: qué controles implementar, quién es responsable y plazos. Los controles pueden venir del Anexo A de ISO 27001 o de buenas prácticas sectoriales.
Documentar y revisar
- Documenta todo en el informe de evaluación de riesgos y vincula los resultados a la Declaración de Aplicabilidad (SoA).
- Revisa periódicamente y actualiza la evaluación ante cambios (nuevos sistemas, incidentes, cambios normativos o de negocio).
Cómo documentar y mantener la evaluación
Contenido del informe de evaluación
La evaluación de riesgos debe quedar registrada en un informe (o conjunto de documentos) que incluya: alcance, metodología utilizada, criterios de evaluación y aceptación, lista de riesgos identificados con nivel y tratamiento, plan de tratamiento con responsables y fechas, y aprobación de la dirección o del responsable del SGSI.
La Declaración de Aplicabilidad refleja qué controles del Anexo A aplicas y por qué (en función de los riesgos); debe estar alineada con el informe de riesgos.
Mantenimiento y revisiones
Mantener la evaluación implica revisarla al menos de forma anual o ante cambios significativos (nuevos proyectos, incidentes, cambios regulatorios). Sin revisiones periódicas, el SGSI se desactualiza y la certificación o la auditoría interna pueden detectar desviaciones.
La evaluación de riesgos bajo ISO 27001 no es un fin, sino una herramienta estratégica que permite anticipar, responder y fortalecerte frente a vulnerabilidades reales.
Errores que te pueden frenar
No definir criterios ni metodología por escrito
No definir criterios ni metodología por escrito. Si cada evaluación usa escalas o criterios distintos, los resultados no son comparables y la auditoría detectará incoherencias. Documenta la metodología y úsala de forma consistente.
Evaluar una sola vez y no revisar
Evaluar una sola vez y no revisar. ISO 27001 exige que la evaluación se mantenga actualizada. No revisar ante cambios o no programar revisiones periódicas debilita el SGSI y puede generar no conformidades.
No vincular riesgos al plan de tratamiento y a la SoA
No vincular riesgos al plan de tratamiento y a la SoA. Los riesgos identificados deben traducirse en controles (Anexo A o equivalentes) y en la Declaración de Aplicabilidad. Si el informe de riesgos y la SoA no están alineados, el auditor lo detectará.
Improvisar sin responsabilidad asignada
Improvisar sin responsabilidad asignada. Asigna responsables de la evaluación, de la aprobación del riesgo residual y del seguimiento del plan de tratamiento. Sin dueño claro, el proceso se diluye.
Cómo puede ayudarte PrivaLex a crear una evaluación de riesgos según ISO 27001
Qué hacemos
En PrivaLex Partners ayudamos a empresas a diseñar e implementar el proceso de evaluación de riesgos con eficiencia y rigor. Te apoyamos en la metodología (criterios, escalas, uso de ISO 27005), en la identificación y valoración de riesgos, en el plan de tratamiento y en la documentación necesaria para el SGSI y la certificación.
Por qué PrivaLex
Con experiencia en NIS2 y en proyectos de auditoria GDPR y ciberseguridad, integramos la evaluación de riesgos en un marco más amplio cuando tu empresa combina varios marcos de cumplimiento. No vendemos software: aportamos criterio, experiencia y acompañamiento directo para que tu seguridad no sea compleja, sino efectiva.
Agenda una sesión estratégica con PrivaLex y diseña tu evaluación de riesgos ISO 27001 con claridad.
Preguntas Frecuentes (FAQs)
¿Cómo crear una evaluación de riesgos según ISO 27001 en la práctica?
Define una metodología documentada (criterios, escalas, roles, periodicidad); identifica activos, amenazas y vulnerabilidades en el alcance del SGSI; evalúa probabilidad e impacto y calcula el nivel de riesgo; prioriza y elabora un plan de tratamiento; documenta todo en un informe y vincula a la Declaración de Aplicabilidad; revisa periódicamente y ante cambios.
ISO 27005 es una guía útil para el proceso.
¿Es obligatorio usar ISO 27005 para la evaluación de riesgos en ISO 27001?
No. ISO 27001 exige que la evaluación sea sistemática y documentada (cláusula 6.1.2), pero no impone una metodología concreta. ISO 27005 es un estándar de recomendación que muchas organizaciones usan por su alineación con la norma. Puedes usar otra metodología siempre que cumpla los requisitos de 6.1.2 y quede documentada.
¿Con qué frecuencia debo revisar la evaluación de riesgos ISO 27001?
La norma exige que la evaluación se mantenga y actualice cuando haya cambios relevantes (tecnológicos, organizativos, regulatorios o de negocio). En la práctica, es habitual revisarla al menos una vez al año y siempre que ocurra un incidente grave o un cambio que afecte al alcance o a los riesgos.
La auditoría de certificación comprobará que existe un proceso de revisión definido y aplicado.
¿Qué relación tiene la evaluación de riesgos con la Declaración de Aplicabilidad (SoA)?
La SoA indica qué controles del Anexo A de ISO 27001 aplicas y por qué (o por qué no aplicas alguno). Debe estar justificada por los riesgos identificados en la evaluación: los riesgos priorizados se tratan con controles concretos, y la SoA refleja esa decisión.
Informe de riesgos y SoA deben estar alineados y ser coherentes ante una auditoría.
¿PrivaLex puede ayudarme a crear y documentar mi evaluación de riesgos ISO 27001?
Sí. PrivaLex te ayuda a diseñar la metodología (criterios, escalas, uso de ISO 27005), a realizar la identificación y valoración de riesgos, a elaborar el plan de tratamiento y a documentar el informe y la vinculación con la SoA.
Te acompañamos desde el diseño del proceso hasta la documentación lista para auditoría o certificación.
Siguiente paso
Tu próximo paso
Saber cómo crear una evaluación de riesgos según ISO 27001 es el primer paso para tener un SGSI sólido y orientado al riesgo. El siguiente es definir tu metodología, ejecutar la evaluación y documentarla de forma que resistan una auditoría.
Agenda una sesión estratégica con PrivaLex y convirtamos la evaluación de riesgos en la base de tu seguridad.
