Contenido

    Estos son los 7 puntos que cubre este artículo sobre la gestión de riesgos:

    1. Qué significa risk assessment en un SGSI (y por qué no es solo listar amenazas)
    2. Qué pide ISO 27001 sobre criterios y consistencia del proceso
    3. Qué implica el enfoque de riesgo bajo NIS2 (continuidad y evidencia)
    4. Cómo definir metodología, escalas y tolerancia
    5. Cómo ejecutar la evaluación con activos, amenazas y vulnerabilidades
    6. Cómo convertir resultados en tratamiento y documentación
    7. Errores que te pueden frenar y cómo evitarlos

    El risk assessment es el lugar donde tu seguridad deja de ser “opinión”. Se convierte en un proceso que puedes explicar.

    Y sobre todo, en un proceso que puedes probar.

    Qué es risk assessment y qué problema resuelve

    Una buena gestión de riesgos responde a una pregunta operativa. ¿Qué riesgos son prioritarios para proteger el alcance de tu sistema?

    Eso implica más que “hay amenazas”. Implica criterios para valorar probabilidad y consecuencias. Implica un método que sea coherente en el tiempo.

    El output no es una “lista”. Es un conjunto de decisiones documentadas que el auditor puede seguir:

    • criterios y escalas usadas,
    • riesgos identificados con valoración,
    • tratamientos propuestos o decisiones de aceptación,
    • y el vínculo a la documentación del SGSI.

    Si el output no permite reconstruir el hilo, el riesgo se vuelve un documento sin control.

    Seguridad e IT lo ejecutan con datos. Dirección lo valida con criterios de tolerancia. Legal y privacidad entran cuando hay implicaciones sobre datos o obligaciones.

    Compras y producto conectan el riesgo con proveedores y cambios.

    En auditoría, lo importante es que puedas responder:

    • cómo definiste criterios,
    • por qué asignaste ciertos niveles,
    • cómo decidiste tratamiento o aceptación,
    • y qué evidencia demuestra que el plan se ejecutó.

    ISO 27001: por qué el proceso debe ser consistente y documentado

    ISO 27001 exige que definas y mantengas criterios claros para evaluar y aceptar el riesgo. También exige que las evaluaciones sean consistentes, válidas y comparables.

    El estándar pide identificar riesgos para confidencialidad, integridad y disponibilidad dentro del alcance. Y pedir responsables del proceso.

    Los criterios convierten una evaluación en un proceso repetible. Incluyen escalas de probabilidad e impacto, reglas de cálculo y umbrales de aceptación.

    Sin criterios, dos evaluadores pueden asignar niveles distintos al mismo escenario. Eso rompe la coherencia del SGSI.

    Riesgo residual: cómo se justifica que “aceptas”

    Aceptar no significa ignorar. Significa que el riesgo residual entra dentro de la tolerancia definida y queda documentado con racional.

    En una auditoría, el auditor buscará por qué el riesgo residual se considera aceptable. Y qué evidencia usaste para llegar a esa conclusión.

    Trazabilidad entre riesgo, tratamiento y SoA

    ISO 27001 espera una lógica clara:

    • los riesgos se evalúan con criterios,
    • los tratamientos se deciden para controlar riesgos,
    • y la Declaración de Aplicabilidad (SoA), en el contexto de ISO 27001, refleja qué controles aplicas y por qué. En NIS2, la lógica es equivalente: documentar qué medidas aplicas, qué queda fuera y con qué justificación.

    Cuando esa cadena se rompe, el auditor detecta un gap entre papel y proceso.

    Si quieres alinear el método con tu camino de certificación, revisa obtener la certificación ISO 27001.

    Además, entender qué son las normas iso como concepto ayuda a contextualizar el tipo de disciplina que espera un auditor: normas iso.

    NIS2: por qué risk assessment debe mantenerse y no guardarse

    NIS2 obliga a gestionar el riesgo de ciberseguridad de forma continua. No basta con tener una evaluación “del pasado”.

    En risk assessment bajo NIS2, la evidencia suele buscar trazabilidad entre:

    • registro de riesgos,
    • medidas,
    • incidentes o near-misses,
    • y cambios de contexto (sistemas, proveedores, servicios externalizados).

    Esa es la diferencia entre cumplimiento que se archiva y cumplimiento que se demuestra.

    Cómo se conecta risk assessment con incidentes

    NIS2 no quiere solo “haber hecho una evaluación”. Quiere ver que aprendiste y que la evaluación se mantiene activa. Por eso, tu risk assessment debe recibir señales:

    • incidentes, near-misses y patrones repetidos,
    • cambios relevantes en sistemas o dependencias,
    • y resultados de pruebas o revisiones internas.

    Cuando esas señales aparecen, actualizas riesgo y ajustas tratamiento.

    Proveedores y riesgo externo

    Tu evaluación de riesgos no termina en tus fronteras tecnológicas. Incluye servicios externalizados y proveedores que afectan a tu continuidad.

    En la práctica, eso significa que tu risk assessment identifica:

    • qué depende de terceros,
    • qué puede fallar en ese vínculo,
    • y qué evidencia demuestra que supervisas activamente.

    Como referencia de contexto de seguridad, puedes empezar por ciberseguridad.

    Cómo definir metodología, escalas y tolerancia

    Antes de evaluar, define “cómo evalúas” y “qué significa aprobar o aceptar”. Un proceso práctico incluye:

    • criterios y escalas para probabilidad e impacto,
    • roles (quién evalúa, quién aprueba, quién revisa),
    • frecuencia de revisiones,
    • y criterios de aceptación del riesgo.

    Sin estas piezas, tu risk assessment se vuelve una colección de hojas sin coherencia.

    Cómo definir tolerancia sin convertirla en un número único

    La tolerancia al riesgo determina qué haces con cada nivel. Pero no es solo “si es alto, mitigamos”. Debes definir umbrales por tipo de decisión: aceptar, mitigar, transferir o evitar, según tu contexto y riesgo residual.

    Si no defines esto, cada evaluación termina en debate y el proceso pierde velocidad.

    RACI de risk assessment: velocidad sin caos

    Un proceso audit-ready necesita claridad de roles:

    • quién propone criterios y escenarios,
    • quién evalúa con datos,
    • quién valida coherencia,
    • y quién aprueba decisiones de tratamiento o aceptación.

    Con ese RACI, reduces el riesgo de “cada uno decide lo suyo”.

    La evaluación casi nunca usa “datos perfectos”. Por eso, documenta supuestos y fuentes: qué evidencia se usó, qué se asumió y qué incertidumbre existe.

    Esa trazabilidad evita que la auditoría vea el resultado como opinión.

    Cómo ejecutar la evaluación: activos, amenazas y vulnerabilidades

    Una ejecución razonable del risk assessment parte de activos dentro del alcance. Luego los combina con amenazas y vulnerabilidades relevantes a tu contexto.

    Evalúa probabilidad y consecuencias según tus criterios. Priorizas con base en tolerancia al riesgo. Y preparas tratamiento: qué controles implementar y cómo justificas la decisión.

    De activos a escenarios: el puente que evita riesgos genéricos

    Una ejecución sólida no parte de “amenazas sueltas”. Parte de activos dentro del alcance y los convierte en escenarios.

    Un escenario es una combinación concreta de:

    qué puede pasar, qué activos afecta, y qué condiciones lo habilitan. Con esa lógica, las evaluaciones comparan “lo mismo” entre rondas.

    Cómo incorporar amenazas y vulnerabilidades con trazabilidad

    Para no inventar, usa evidencias:

    • datos de monitoreo,
    • resultados de pruebas,
    • información de cambios,
    • y conocimiento de diseño del sistema.

    Luego vincula la evidencia al escenario. Así, cuando el auditor pregunta “por qué este riesgo tiene ese nivel”, tienes una respuesta sustentada.

    Incertidumbre: cómo evaluarla sin romper la coherencia

    En la práctica habrá huecos: datos incompletos o pruebas no realizadas. En vez de “rellenar con intuición”, registra:

    • qué evidencia falta,
    • qué supuestos usaste,
    • y cómo planeas reducir la incertidumbre (por ejemplo, pruebas adicionales o revisión posterior).

    Ese enfoque mantiene la evaluación honesta y operativa.

    Cómo convertir resultados en tratamiento y documentación

    El resultado debe alimentar decisiones. Por eso, el risk assessment debe aterrizar en:

    • un plan de tratamiento con responsables y fechas,
    • un rastro documental para justificar por qué eliges ciertos controles,
    • y un mecanismo de seguimiento.

    Plan de tratamiento: qué debe quedar escrito para que sirva

    El plan de tratamiento no es “una lista de controles”. Debe convertir el resultado de risk assessment en ejecución. Un plan útil incluye:

    • riesgo (escenario) al que afecta,
    • decisión (mitigar/aceptar/transferir/evitar),
    • controles seleccionados y racional,
    • responsable y equipo,
    • fecha objetivo,
    • criterio de verificación (qué evidencia demuestra eficacia),
    • y una fecha de revisión.

    Con esos campos, el auditor puede seguir decisiones sin depender de conversaciones.

    Cuando aplicas controles, queda un riesgo residual. El riesgo residual debe:

    • entrar dentro de la tolerancia definida,
    • quedar documentado,
    • y conectarse con una revisión futura.

    Así evitas que el riesgo se “acepte” de forma genérica y sin hilo.

    Trazabilidad para evitar brechas entre documentos

    La trazabilidad es lo que mantiene alineados:

    • registro de riesgos,
    • decisiones de tratamiento,
    • SoA (o equivalente),
    • y evidencia de ejecución.

    Cuando un documento se actualiza y otro no, aparece el gap. Por eso, define un ciclo de revisión donde actualizas el conjunto, no piezas aisladas.

    Evidencia de efectividad: cómo demostrar que el control funciona

    No basta con implementar un control. Debes poder demostrar que:

    • reduce el riesgo,
    • se ejecuta de forma repetible,
    • y se revisa según cambios o aprendizajes.

    En la práctica, la evidencia suele incluir:

    • registros de ejecución,
    • resultados de pruebas o evaluaciones,
    • lecciones de incidentes o near-misses,
    • y ajustes al tratamiento cuando la efectividad cambia.

    Cadencia de revisión: anual + triggers operativos

    En la práctica, la revisión debe combinar:

    • una revisión formal (por ejemplo, anual) para consolidar criterios y resultados,
    • y triggers operativos para evitar que la evaluación se quede “antigua”.

    Triggers útiles suelen ser cambios de arquitectura, cambios de proveedores, incidentes y resultados de pruebas o ejercicios.

    La evidencia de esos triggers muestra que el proceso es continuo y no un evento aislado. ISO 27001 espera que los resultados se documenten y se vinculen a la arquitectura de tu SGSI.

    En NIS2, ese mismo principio se ve en la necesidad de mantener el registro y evidenciar que los controles se revisan y funcionan en la práctica.

    Errores que te pueden frenar

    No definir criterios y escalas en un procedimiento

    Si cada evaluación usa una escala diferente, los resultados dejan de ser comparables. El auditor detecta el problema porque la coherencia se rompe.

    Hacer el risk assessment una vez y no revisarlo

    El riesgo cambia con sistemas, cambios operativos e incidentes. Sin revisión periódica, la evaluación se vuelve obsoleta.

    No vincular riesgos a controles y evidencia

    Un registro sin tratamiento no guía decisiones. Y sin evidencia de ejecución, el control pierde credibilidad.

    Improvisar sin responsables claros

    Si nadie “posee” el proceso, se diluye. El método deja de sostenerse en el tiempo.

    Cómo puede ayudarte PrivaLex con risk assessment

    En PrivaLex diseñamos el proceso para que el risk assessment sea:

    • coherente con el alcance,
    • documentable para auditoría,
    • y conectado al plan de tratamiento.

    Además, traducimos el resultado en un plan ejecutable: definimos campos del registro, estructura del informe y lógica de trazabilidad para que el equipo pueda mantenerlo en el tiempo. Cuando conectas riesgo con tratamiento, el sistema deja de ser reactivo y se convierte en un control que aprende.

    Agenda una sesión estratégica con PrivaLex y revisamos tu punto de partida.

    Preguntas Frecuentes (FAQs)

    Significa evaluar riesgos con criterios y método, priorizar y convertir resultados en tratamiento y evidencia. No es solo listar amenazas.

    En un SGSI, el risk assessment conecta el análisis con las decisiones que aparecen en el resto del sistema. Eso es lo que permite auditoría sin conversación eterna.

    Además, convierte el riesgo en un registro que el equipo puede consultar para priorizar trabajo, no solo para “cerrar” un trámite.

    Escalas de probabilidad e impacto, criterios de aceptación, roles, frecuencia de revisión y un mecanismo para documentar resultados. También debe incluir reglas de cálculo y una forma de registrar supuestos e incertidumbre.

    Sin reglas, la metodología no es comparable entre equipos. También conviene definir un formato mínimo del registro: qué campos incluís y cómo se mantiene la versión.

    Usa el enfoque de continuidad: revisa el registro cuando cambia el contexto y conserva trazabilidad entre riesgos, controles e incidentes o near-misses. La conexión se ve cuando puedes explicar por qué actualizaste el riesgo y qué tratamiento cambió como consecuencia.

    Eso convierte “riesgo continuo” en evidencia.

    Procedimiento, criterios, resultados documentados, plan de tratamiento con responsables y evidencias de revisión. Si el auditor pregunta “qué hizo que este riesgo subiera o bajara”, debes poder mostrar el rastro entre evidencia, decisión y actualización.

    Sin ese rastro, el registro pierde credibilidad. Ese rastro se sostiene mejor cuando el proceso de riesgo está conectado a la gestión de controles y a la revisión de proveedores.

    Según tu planificación y siempre que haya cambios relevantes o aprendizaje de incidentes. Como mínimo, define una periodicidad formal.

    Y añade revisiones por triggers: incidentes, near-misses, cambios de arquitectura o cambios de proveedores.

    La brecha aparece en inspección: la evidencia no encaja. Por eso, el proceso debe validarse en práctica y mantenerse vivo.

    Cuando el riesgo “no coincide”, vuelve al origen: ¿falló la evidencia, el criterio o la actualización? Esa corrección es parte del loop de mejora.

    Luego documenten el cambio: qué se ajustó y cómo se evita repetir el mismo desajuste.

    Webinar gratuito el 20 de mayo: prepárate para la auditoría con NIS2, ISO 27001 y ENS, con PrivaLex y Factorial IT.

    Ver webinar