🚨 La NIS2 ya está en vigor. La sensibilización en materia de seguridad es ahora una obligación legal en la UE.

Comprobar el cumplimiento
Comience su prueba gratuita
Volver al Centro de recursos

Análisis de riesgos de la norma ISO 27001: qué es y cómo abordarlo

El análisis de riesgos no es un complemento opcional de la norma ISO 27001, sino la base sobre la que se sustenta toda la norma. Sin una comprensión estructurada de lo que puede salir mal y de la probabilidad y el impacto que ello tendría, todas las medidas de seguridad que adopte su organización se basarán en suposiciones en lugar de en datos contrastados. En este artículo se explica en qué consiste el análisis de riesgos de la norma ISO 27001, cómo abordarlo paso a paso y cómo sería un ejemplo práctico.

¿Qué es un análisis de riesgos según la norma ISO 27001?

Un análisis de riesgos según la norma ISO 27001 es un proceso estructurado en el que una organización identifica los riesgos para la seguridad de la información, evalúa su probabilidad y su posible impacto, y decide cómo abordarlos. El resultado es un registro de riesgos: una descripción general documentada de todos los riesgos identificados y las decisiones tomadas respecto a cada uno de ellos.

La norma ISO 27001 no establece un único método para llevar a cabo un análisis de riesgos. La norma exige que el método sea coherente, reproducible y que genere resultados comparables. En la práctica, la mayoría de las organizaciones utilizan una matriz de probabilidad-impacto, un sistema de puntuación cualitativa o una combinación de ambos.

El análisis de riesgos no es una tarea que se realice una sola vez. La norma ISO 27001 exige que se revise periódicamente, a intervalos planificados y siempre que se produzcan cambios significativos en la organización o en su entorno. Esto lo convierte en un documento vivo, no en un informe archivado.

Por qué el análisis de riesgos es fundamental para la norma ISO 27001

La norma ISO 27001 es una norma basada en el riesgo. Esto significa que los controles que implemente una organización deben estar determinados por el riesgo, y no por las convenciones o por lo que hagan los competidores. La cláusula 6.1.2 de la norma ISO 27001 exige específicamente a las organizaciones que definan un proceso de evaluación de riesgos, lo apliquen de manera coherente y conserven la información documentada como prueba.

Este enfoque basado en el riesgo tiene una implicación práctica: dos organizaciones del mismo sector pueden contar con sistemas de control muy diferentes, ya que sus perfiles de riesgo difieren. Un proveedor de servicios sanitarios que maneja datos confidenciales de pacientes se enfrenta a amenazas distintas y tiene una exposición diferente a la de una empresa de logística. El análisis de riesgos es lo que hace que el SGSI se adapte a la organización, y no al revés.

La norma ISO 27001 no indica qué riesgos deben priorizarse. Lo que sí exige es contar con un proceso lo suficientemente riguroso como para determinarlo por uno mismo, y documentar que así se ha hecho.

Los cuatro pasos del análisis de riesgos de la norma ISO 27001

Aunque la norma ISO 27001 permite cierta flexibilidad en cuanto a la metodología, los análisis de riesgos eficaces siguen sistemáticamente cuatro pasos fundamentales:

  1. Identifica los activos y las amenazas. Empieza por catalogar los activos de información que son importantes para tu organización: datos, sistemas, procesos y personas. Para cada activo, identifica las amenazas a las que se enfrenta —acceso no autorizado, pérdida de datos, fallo del sistema, error humano— y las vulnerabilidades que hacen que esas amenazas puedan materializarse.
  2. Evalúa la probabilidad y el impacto. Para cada riesgo identificado, puntúa la probabilidad de que se produzca y el impacto que tendría en caso de que se produjera. Una escala sencilla del 1 al 3 o del 1 al 5 resulta adecuada para la mayoría de las organizaciones. La combinación de ambas puntuaciones da como resultado un nivel de riesgo.
  3. Determinar el tratamiento del riesgo. Para cada riesgo, decidir una opción de tratamiento: mitigar (aplicar un control para reducir el riesgo), aceptar (documentar que el nivel de riesgo es aceptable), transferir (por ejemplo, mediante un seguro o la externalización) o evitar (modificar la actividad que genera el riesgo).
  4. Documentar y revisar. Anote todos los hallazgos, las decisiones sobre el tratamiento y los riesgos residuales en un registro de riesgos. Vincule cada decisión a los controles correspondientes del anexo A de la norma ISO 27001. Fije una fecha para la revisión.

Ejemplo de análisis de riesgos: cómo se aplica en la práctica

A continuación se presenta un ejemplo simplificado de análisis de riesgos para una organización con un equipo de TI reducido y una combinación de trabajadores presenciales y a distancia. Las puntuaciones se expresan en una escala del 1 al 3 (1 = bajo, 3 = alto).

Riesgo Probabilidad Repercusión Nivel de riesgo Tratamiento
Un empleado hace clic en un enlace de phishing y le roban las credenciales 3 3 Alto Mitigar — Simulación de phishing + formación en concienciación
Software sin parches que es objeto de ataques por parte de malware 2 3 Alto Mitigar — política de gestión de parches
Ordenador portátil perdido o robado con datos sin cifrar 2 2 Medio Mitigar: cifrado de disco completo + MDM
Se marcha un miembro clave del personal y se pierde su experiencia 2 2 Medio Mitigar — documentación + proceso de transferencia de conocimientos
La oficina se ha inundado y no se puede acceder a la sala de servidores 1 3 Medio Transferencia: seguro de continuidad del negocio + copia de seguridad en la nube
Cuenta de redes sociales comprometida 1 1 Bajo Aceptar — supervisar; no se requieren controles adicionales

Este ejemplo de análisis de riesgos ilustra cómo el comportamiento humano —en particular, la vulnerabilidad al phishing— se presenta sistemáticamente como un riesgo de alta prioridad. Además, es uno de los riesgos que mejor se pueden abordar mediante una formación estructurada en materia de concienciación sobre seguridad.

Formación en concienciación sobre seguridad como medida de gestión de riesgos

En casi todos los análisis de riesgos de la norma ISO 27001, el riesgo humano acaba situándose en la categoría de alta prioridad. El phishing, la ingeniería social, las contraseñas débiles y la divulgación accidental de datos son riesgos previsibles y recurrentes, y su origen son las personas, no los sistemas.

El control 6.3 del anexo A de la norma ISO 27001 exige explícitamente a las organizaciones que proporcionen a todo el personal información, formación y capacitación en materia de seguridad de la información. No se trata simplemente de completar un módulo una vez al año. El control exige una sensibilización continua que se adapte a la evolución del panorama de amenazas.

La formación en concienciación sobre seguridad ISO 27001 de Guardey se basa precisamente en esto: sesiones formativas breves y periódicas, combinadas con simulaciones de phishing, que proporcionan a las organizaciones tanto la cobertura como la documentación necesarias para satisfacer a los auditores. La entrada del registro de riesgos relativa al error humano pasa de «riesgo alto, parcialmente mitigado» a «riesgo alto, gestionado activamente», una distinción que resulta importante en una auditoría.

Eliminar el riesgo humano para cumplir con la norma ISO 27001

Crea una cultura de seguridad antes de que los auditores llamen a tu puerta.

Solicitar una demostración
Dinela Lokvancic
Dinela Lokvancic Especialista en marketing Dinela se encarga de mantener actualizada la presencia online de Guardey. Crea contenidos que hacen accesibles temas complejos relacionados con la ciberseguridad y ayuda a las organizaciones a comprender por qué la formación en materia de seguridad es importante para sus equipos.
¿LISTO PARA EMPEZAR?

Únete a las más de 500 empresas que ya protegen a sus equipos con Guardey

Empieza tu prueba gratuita de 14 días
14 días gratis · Sin tarjeta de crédito · Acceso completo · Configuración en 5 minutos
O bien, solicita una demostración personalizada