26 de mayo de 2026 • Ciberseguridad
El análisis de riesgos no es un complemento opcional de la norma ISO 27001, sino la base sobre la que se sustenta toda la norma. Sin una comprensión estructurada de lo que puede salir mal y de la probabilidad y el impacto que ello tendría, todas las medidas de seguridad que adopte su organización se basarán en suposiciones en lugar de en datos contrastados. En este artículo se explica en qué consiste el análisis de riesgos de la norma ISO 27001, cómo abordarlo paso a paso y cómo sería un ejemplo práctico.
¿Qué es un análisis de riesgos según la norma ISO 27001?
Un análisis de riesgos según la norma ISO 27001 es un proceso estructurado en el que una organización identifica los riesgos para la seguridad de la información, evalúa su probabilidad y su posible impacto, y decide cómo abordarlos. El resultado es un registro de riesgos: una descripción general documentada de todos los riesgos identificados y las decisiones tomadas respecto a cada uno de ellos.
La norma ISO 27001 no establece un único método para llevar a cabo un análisis de riesgos. La norma exige que el método sea coherente, reproducible y que genere resultados comparables. En la práctica, la mayoría de las organizaciones utilizan una matriz de probabilidad-impacto, un sistema de puntuación cualitativa o una combinación de ambos.
El análisis de riesgos no es una tarea que se realice una sola vez. La norma ISO 27001 exige que se revise periódicamente, a intervalos planificados y siempre que se produzcan cambios significativos en la organización o en su entorno. Esto lo convierte en un documento vivo, no en un informe archivado.
Por qué el análisis de riesgos es fundamental para la norma ISO 27001
La norma ISO 27001 es una norma basada en el riesgo. Esto significa que los controles que implemente una organización deben estar determinados por el riesgo, y no por las convenciones o por lo que hagan los competidores. La cláusula 6.1.2 de la norma ISO 27001 exige específicamente a las organizaciones que definan un proceso de evaluación de riesgos, lo apliquen de manera coherente y conserven la información documentada como prueba.
Este enfoque basado en el riesgo tiene una implicación práctica: dos organizaciones del mismo sector pueden contar con sistemas de control muy diferentes, ya que sus perfiles de riesgo difieren. Un proveedor de servicios sanitarios que maneja datos confidenciales de pacientes se enfrenta a amenazas distintas y tiene una exposición diferente a la de una empresa de logística. El análisis de riesgos es lo que hace que el SGSI se adapte a la organización, y no al revés.
La norma ISO 27001 no indica qué riesgos deben priorizarse. Lo que sí exige es contar con un proceso lo suficientemente riguroso como para determinarlo por uno mismo, y documentar que así se ha hecho.
Los cuatro pasos del análisis de riesgos de la norma ISO 27001
Aunque la norma ISO 27001 permite cierta flexibilidad en cuanto a la metodología, los análisis de riesgos eficaces siguen sistemáticamente cuatro pasos fundamentales:
- Identifica los activos y las amenazas. Empieza por catalogar los activos de información que son importantes para tu organización: datos, sistemas, procesos y personas. Para cada activo, identifica las amenazas a las que se enfrenta —acceso no autorizado, pérdida de datos, fallo del sistema, error humano— y las vulnerabilidades que hacen que esas amenazas puedan materializarse.
- Evalúa la probabilidad y el impacto. Para cada riesgo identificado, puntúa la probabilidad de que se produzca y el impacto que tendría en caso de que se produjera. Una escala sencilla del 1 al 3 o del 1 al 5 resulta adecuada para la mayoría de las organizaciones. La combinación de ambas puntuaciones da como resultado un nivel de riesgo.
- Determinar el tratamiento del riesgo. Para cada riesgo, decidir una opción de tratamiento: mitigar (aplicar un control para reducir el riesgo), aceptar (documentar que el nivel de riesgo es aceptable), transferir (por ejemplo, mediante un seguro o la externalización) o evitar (modificar la actividad que genera el riesgo).
- Documentar y revisar. Anote todos los hallazgos, las decisiones sobre el tratamiento y los riesgos residuales en un registro de riesgos. Vincule cada decisión a los controles correspondientes del anexo A de la norma ISO 27001. Fije una fecha para la revisión.
Ejemplo de análisis de riesgos: cómo se aplica en la práctica
A continuación se presenta un ejemplo simplificado de análisis de riesgos para una organización con un equipo de TI reducido y una combinación de trabajadores presenciales y a distancia. Las puntuaciones se expresan en una escala del 1 al 3 (1 = bajo, 3 = alto).
| Riesgo | Probabilidad | Repercusión | Nivel de riesgo | Tratamiento |
|---|---|---|---|---|
| Un empleado hace clic en un enlace de phishing y le roban las credenciales | 3 | 3 | Alto | Mitigar — Simulación de phishing + formación en concienciación |
| Software sin parches que es objeto de ataques por parte de malware | 2 | 3 | Alto | Mitigar — política de gestión de parches |
| Ordenador portátil perdido o robado con datos sin cifrar | 2 | 2 | Medio | Mitigar: cifrado de disco completo + MDM |
| Se marcha un miembro clave del personal y se pierde su experiencia | 2 | 2 | Medio | Mitigar — documentación + proceso de transferencia de conocimientos |
| La oficina se ha inundado y no se puede acceder a la sala de servidores | 1 | 3 | Medio | Transferencia: seguro de continuidad del negocio + copia de seguridad en la nube |
| Cuenta de redes sociales comprometida | 1 | 1 | Bajo | Aceptar — supervisar; no se requieren controles adicionales |
Este ejemplo de análisis de riesgos ilustra cómo el comportamiento humano —en particular, la vulnerabilidad al phishing— se presenta sistemáticamente como un riesgo de alta prioridad. Además, es uno de los riesgos que mejor se pueden abordar mediante una formación estructurada en materia de concienciación sobre seguridad.
Formación en concienciación sobre seguridad como medida de gestión de riesgos
En casi todos los análisis de riesgos de la norma ISO 27001, el riesgo humano acaba situándose en la categoría de alta prioridad. El phishing, la ingeniería social, las contraseñas débiles y la divulgación accidental de datos son riesgos previsibles y recurrentes, y su origen son las personas, no los sistemas.
El control 6.3 del anexo A de la norma ISO 27001 exige explícitamente a las organizaciones que proporcionen a todo el personal información, formación y capacitación en materia de seguridad de la información. No se trata simplemente de completar un módulo una vez al año. El control exige una sensibilización continua que se adapte a la evolución del panorama de amenazas.
La formación en concienciación sobre seguridad ISO 27001 de Guardey se basa precisamente en esto: sesiones formativas breves y periódicas, combinadas con simulaciones de phishing, que proporcionan a las organizaciones tanto la cobertura como la documentación necesarias para satisfacer a los auditores. La entrada del registro de riesgos relativa al error humano pasa de «riesgo alto, parcialmente mitigado» a «riesgo alto, gestionado activamente», una distinción que resulta importante en una auditoría.
Eliminar el riesgo humano para cumplir con la norma ISO 27001
Crea una cultura de seguridad antes de que los auditores llamen a tu puerta.