Estos son los 10 puntos que cubre este artículo sobre cómo crear una evaluación de riesgos según ISO 27001:

  1. Qué exige ISO 27001 en evaluación de riesgos (cláusula 6.1.2)
  2. Metodología recomendada: ISO 27005 y buenas prácticas
  3. Matriz de riesgos: enfoque cualitativo y cuantitativo
  4. Proceso paso a paso para crear la evaluación
  5. Cómo documentar y mantener la evaluación
  6. Cuándo reevaluar y novedades ISO 27001:2022
  7. Errores que te pueden frenar
  8. Cómo puede ayudarte PrivaLex
  9. Preguntas frecuentes
  10. Siguiente paso

Crear una evaluación de riesgos según ISO 27001 es uno de los cimientos de un sistema de gestión de seguridad de la información (SGSI) sólido. La norma no prescribe un método único, pero sí exige que el proceso sea consistente, documentado y revisado periódicamente.

Esta guía explica cómo crear una evaluación de riesgos según ISO 27001 de forma práctica: qué pide la cláusula 6.1.2, qué metodología usar y cómo documentarla.

En PrivaLex Partners ayudamos a empresas a diseñar e implementar el proceso de evaluación de riesgos con eficiencia, desde la metodología hasta el tratamiento de riesgos y la documentación requerida para la certificación. Si estás preparando tu obtener la certificación ISO 27001 o quieres alinear tu SGSI con la norma, esta guía te da la hoja de ruta.

Qué exige ISO 27001 en evaluación de riesgos (cláusula 6.1.2)

Requisitos de la cláusula 6.1.2

La cláusula 6.1.2 de ISO 27001 exige que la organización identifique, evalúe y trate los riesgos de seguridad de la información de forma sistemática. No basta con listar amenazas: hay que definir criterios de evaluación y aceptación del riesgo, garantizar que las evaluaciones sean consistentes y comparables en el tiempo, y asignar responsables.

Qué debe cubrir la evaluación

La norma requiere que identifiques los riesgos que amenazan la confidencialidad, integridad y disponibilidad de la información dentro del alcance del SGSI; que evalúes consecuencias, probabilidad y nivel de riesgo; y que priorices según los criterios definidos. Una evaluación de riesgos coherente es la brújula de tu seguridad: sin ella, navegas a ciegas.

Las normas ISO y un sistemas de gestión de seguridad (SGSI) bien diseñado se apoyan en este proceso.

Metodología recomendada: ISO 27005 y buenas prácticas

El ciclo ISO 27005

Aunque ISO 27001 establece qué hay que lograr, ISO 27005 ofrece una guía más concreta del cómo. Este estándar propone un ciclo continuo con etapas claras: establecer el contexto del riesgo, identificar riesgos, analizar y evaluar (probabilidad e impacto), tratar riesgos (mitigar, transferir, aceptar, evitar), aceptar riesgos residuales de forma documentada, y comunicar, revisar y monitorizar.

Aplicación práctica

ISO 27005 convierte la teoría de riesgo de ISO 27001 en acción real. Puedes adaptar las escalas y criterios a tu tamaño y sector; lo importante es que la metodología quede documentada y se aplique de forma uniforme. La ciberseguridad y la gestión del riesgo son la base sobre la que se construyen el resto de controles del Anexo A

Proceso paso a paso para crear la evaluación

Aunque el enfoque debe adaptarse a tu empresa, este proceso sirve como guía general para crear una evaluación de riesgos según ISO 27001:

Definir metodología y contexto

  1. Define la metodología: criterios de evaluación y aceptación, escalas de probabilidad e impacto, roles (quién evalúa, quién aprueba), periodicidad de revisiones. Documenta todo en un procedimiento o guía interna.
  2. Identifica activos clave dentro del alcance del SGSI y combina con amenazas y vulnerabilidades relevantes para tu contexto.

Evaluar, priorizar y tratar

  1. Evalúa la probabilidad y el impacto de cada riesgo (por activo o por proceso, según tu enfoque).
  2. Calcula el nivel de riesgo (por ejemplo, probabilidad × impacto) y prioriza según tu tolerancia al riesgo.
  3. Elabora un plan de tratamiento: qué controles implementar, quién es responsable y plazos. Los controles pueden venir del Anexo A de ISO 27001 o de buenas prácticas sectoriales.

Documentar y revisar

  1. Documenta todo en el informe de evaluación de riesgos y vincula los resultados a la Declaración de Aplicabilidad (SoA).
  2. Revisa periódicamente y actualiza la evaluación ante cambios (nuevos sistemas, incidentes, cambios normativos o de negocio).

Cómo documentar y mantener la evaluación

Contenido del informe de evaluación

La evaluación de riesgos debe quedar registrada en un informe (o conjunto de documentos) que incluya: alcance, metodología utilizada, criterios de evaluación y aceptación, lista de riesgos identificados con nivel y tratamiento, plan de tratamiento con responsables y fechas, y aprobación de la dirección o del responsable del SGSI.

La Declaración de Aplicabilidad refleja qué controles del Anexo A aplicas y por qué (en función de los riesgos); debe estar alineada con el informe de riesgos.

Propietario de riesgo y opciones de tratamiento

ISO 27001 exige que cada riesgo tenga un propietario (risk owner): la persona que aprueba el tratamiento, acepta el riesgo residual y da seguimiento a las acciones. No confundas al propietario del riesgo con el responsable del SGSI: el primero decide sobre un riesgo concreto; el segundo coordina el sistema global.

Para cada riesgo priorizado, el plan de tratamiento debe registrar una de las cuatro opciones que describe la norma:

  • Modificar / reducir: aplicar controles del Anexo A u otras medidas que disminuyan probabilidad o impacto.
  • Evitar: eliminar la actividad, el activo o el proceso que genera el riesgo.
  • Transferir: compartir el riesgo (seguro, subcontratación con cláusulas contractuales, etc.).
  • Aceptar: asumir el riesgo residual cuando está dentro del umbral definido y queda documentada la aprobación del propietario.

Informe de evaluación vs resumen de riesgos

Ante una auditoría de certificación, conviene distinguir dos entregables:

  • Informe de evaluación de riesgos: describe el proceso completo (alcance, metodología, activos evaluados, puntuaciones de probabilidad e impacto, tratamiento elegido por riesgo).
  • Resumen de riesgos / registro de riesgos: vista operativa con los riesgos que quedan abiertos tras el tratamiento, su nivel residual y el propietario responsable del seguimiento.

Ambos documentos deben ser coherentes con la SoA: cada control aplicado debe poder trazarse a un riesgo tratado o a un requisito legal explícito.

Mantenimiento y revisiones

Mantener la evaluación implica revisarla al menos de forma anual o ante cambios significativos (nuevos proyectos, incidentes, cambios regulatorios). Sin revisiones periódicas, el SGSI se desactualiza y la certificación o la auditoría interna pueden detectar desviaciones.

La evaluación de riesgos bajo ISO 27001 no es un fin, sino una herramienta estratégica que permite anticipar, responder y fortalecerte frente a vulnerabilidades reales.

Errores que te pueden frenar

No definir criterios ni metodología por escrito

No definir criterios ni metodología por escrito. Si cada evaluación usa escalas o criterios distintos, los resultados no son comparables y la auditoría detectará incoherencias. Documenta la metodología y úsala de forma consistente.

Evaluar una sola vez y no revisar

Evaluar una sola vez y no revisar. ISO 27001 exige que la evaluación se mantenga actualizada. No revisar ante cambios o no programar revisiones periódicas debilita el SGSI y puede generar no conformidades.

No vincular riesgos al plan de tratamiento y a la SoA

No vincular riesgos al plan de tratamiento y a la SoA. Los riesgos identificados deben traducirse en controles (Anexo A o equivalentes) y en la Declaración de Aplicabilidad. Si el informe de riesgos y la SoA no están alineados, el auditor lo detectará.

Improvisar sin responsabilidad asignada

Improvisar sin responsabilidad asignada. Asigna responsables de la evaluación, de la aprobación del riesgo residual y del seguimiento del plan de tratamiento. Sin dueño claro, el proceso se diluye.

Cómo puede ayudarte PrivaLex a crear una evaluación de riesgos según ISO 27001

Qué hacemos

En PrivaLex Partners ayudamos a empresas a diseñar e implementar el proceso de evaluación de riesgos con eficiencia y rigor. Te apoyamos en la metodología (criterios, escalas, uso de ISO 27005), en la identificación y valoración de riesgos, en el plan de tratamiento y en la documentación necesaria para el SGSI y la certificación.

Por qué PrivaLex

Con experiencia en NIS2 y en proyectos de auditoria GDPR y ciberseguridad, integramos la evaluación de riesgos en un marco más amplio cuando tu empresa combina varios marcos de cumplimiento. No vendemos software: aportamos criterio, experiencia y acompañamiento directo para que tu seguridad no sea compleja, sino efectiva.

Agenda una sesión estratégica con PrivaLex y diseña tu evaluación de riesgos ISO 27001 con claridad.

Preguntas Frecuentes (FAQs)

Define una metodología documentada (criterios, escalas, roles, periodicidad); identifica activos, amenazas y vulnerabilidades en el alcance del SGSI; evalúa probabilidad e impacto y calcula el nivel de riesgo; prioriza y elabora un plan de tratamiento; documenta todo en un informe y vincula a la Declaración de Aplicabilidad; revisa periódicamente y ante cambios.

ISO 27005 es una guía útil para el proceso.

No. ISO 27001 exige que la evaluación sea sistemática y documentada (cláusula 6.1.2), pero no impone una metodología concreta. ISO 27005 es un estándar de recomendación que muchas organizaciones usan por su alineación con la norma. Puedes usar otra metodología siempre que cumpla los requisitos de 6.1.2 y quede documentada.

La norma exige que la evaluación se mantenga y actualice cuando haya cambios relevantes (tecnológicos, organizativos, regulatorios o de negocio). En la práctica, es habitual revisarla al menos una vez al año y siempre que ocurra un incidente grave o un cambio que afecte al alcance o a los riesgos.

La auditoría de certificación comprobará que existe un proceso de revisión definido y aplicado.

La SoA indica qué controles del Anexo A de ISO 27001 aplicas y por qué (o por qué no aplicas alguno). Debe estar justificada por los riesgos identificados en la evaluación: los riesgos priorizados se tratan con controles concretos, y la SoA refleja esa decisión.

Informe de riesgos y SoA deben estar alineados y ser coherentes ante una auditoría.

Es una herramienta que cruza probabilidad e impacto para priorizar riesgos. Suele representarse como una tabla o cuadrícula (por ejemplo 5×5) donde cada riesgo recibe una puntuación según tu metodología documentada. La matriz ayuda a decidir qué riesgos tratar primero y cuáles pueden aceptarse dentro del umbral definido.

La versión 2022 actualiza el Anexo A y refuerza el análisis de contexto, incluyendo factores externos relevantes. En la práctica, muchas organizaciones revisan si amenazas como el cambio climático o la dependencia de proveedores críticos deben figurar en el registro de riesgos cuando pueden afectar a la disponibilidad o continuidad de la información.

Sí. PrivaLex te ayuda a diseñar la metodología (criterios, escalas, uso de ISO 27005), a realizar la identificación y valoración de riesgos, a elaborar el plan de tratamiento y a documentar el informe y la vinculación con la SoA.

Te acompañamos desde el diseño del proceso hasta la documentación lista para auditoría o certificación.

Siguiente paso

Tu próximo paso

Saber cómo crear una evaluación de riesgos según ISO 27001 es el primer paso para tener un SGSI sólido y orientado al riesgo. El siguiente es definir tu metodología, ejecutar la evaluación y documentarla de forma que resistan una auditoría.

Agenda una sesión estratégica con PrivaLex y convirtamos la evaluación de riesgos en la base de tu seguridad.


Checklist gratuita
¿Sabes qué te falta para certificarte en ISO 27001?
Descarga nuestra checklist de readiness y descubre en qué controles estás bien y dónde tienes brechas reales antes de iniciar el proceso.
Descargar Checklist Gratuita