Cómo realizar la evaluación de riesgos de ISO 27001 utilizando IA
Descripción general
Aprenderá a aprovechar la IA para realizar una evaluación de riesgos exhaustiva de la norma ISO 27001, desde la identificación de los activos de información hasta el cálculo de las puntuaciones de riesgo y el desarrollo de planes de tratamiento que se correspondan directamente con los controles del Anexo A.
A quién va dirigido
Esta guía es para:
Profesionales de seguridad que realizan su primera evaluación de riesgos ISO 27001
Gestores de riesgos en transición de otros marcos a ISO 27001
Consultores que gestionan evaluaciones de riesgos para múltiples clientes
Organizaciones que luchan con la complejidad de la evaluación de riesgos tradicional
Requisitos previos
Antes de comenzar, asegúrese de haber:
Completado la guía Guía de inicio para la implementación de ISO 27001 usando IA
Definido el alcance del SGSI y la metodología de riesgos
Creado su espacio de trabajo de ISO 27001 en ISMS Copilot
Identificado a las partes interesadas clave y a los propietarios de riesgos en todos los departamentos
Acceso a la documentación del sistema, diagramas de red y mapas de flujo de datos
Antes de empezar
Asigne tiempo suficiente para la evaluación de riesgos:
Organizaciones pequeñas (20-50 empleados): 2-3 semanas
Organizaciones medianas (100-500 empleados): 4-6 semanas
Grandes organizaciones (más de 500 empleados): 8-12 semanas
Requisito crítico: La cláusula 6.1.2 de la norma ISO 27001 exige la evaluación de riesgos antes de la selección de controles. Los auditores verificarán que su metodología de evaluación de riesgos se documentó primero y se aplicó de forma coherente para producir resultados repetibles y comparables.
Comprensión de los requisitos de evaluación de riesgos de ISO 27001
¿Qué hace que la evaluación de riesgos de ISO 27001 sea única?
A diferencia de otros marcos de seguridad, la norma ISO 27001 requiere un enfoque basado en el riesgo donde:
Los controles se justifican por los riesgos: No se pueden implementar simplemente los 93 controles del Anexo A; cada uno debe abordar los riesgos identificados
El apetito de riesgo impulsa las decisiones: Su organización define qué nivel de riesgo es aceptable
Enfoque centrado en los activos: Los riesgos se evalúan en función de las amenazas a activos de información específicos
Proceso continuo: La evaluación de riesgos debe repetirse regularmente, no solo para la certificación
Los cinco componentes básicos
Componente | Propósito | Resultado clave |
|---|---|---|
Identificación de activos | Catalogar lo que necesita protección | Inventario de activos de información |
Análisis de amenazas | Identificar qué podría salir mal | Catálogo de amenazas |
Evaluación de vulnerabilidades | Encontrar debilidades que las amenazas aprovechan | Registro de vulnerabilidades |
Cálculo de riesgo | Determinar probabilidad e impacto | Registro de riesgos con puntuaciones |
Tratamiento de riesgos | Decidir cómo abordar cada riesgo | Plan de tratamiento de riesgos |
Ventaja de la IA: Las evaluaciones de riesgo tradicionales requieren semanas de entrevistas con las partes interesadas y documentación manual. Con ISMS Copilot, puede generar escenarios de riesgo integrales, catálogos de amenazas y plantillas de evaluación en cuestión de horas, y luego personalizarlos para su entorno específico.
Paso 1: Construya su inventario de activos de información
Por qué la identificación de activos es lo primero
No se pueden evaluar los riesgos sin saber qué se está protegiendo. La norma ISO 27001 exige identificar y documentar todos los activos de información dentro del alcance de su SGSI, incluyendo:
Activos de información: Datos de clientes, registros de empleados, propiedad intelectual, datos financieros, contratos
Activos de software: Aplicaciones, bases de datos, sistemas operativos, herramientas de seguridad, servicios en la nube
Activos físicos: Servidores, estaciones de trabajo, equipos de red, dispositivos de almacenamiento, dispositivos móviles
Servicios: Infraestructura en la nube, servicios gestionados, conectividad a Internet, plataformas de terceros
Personas: Empleados, contratistas, administradores con acceso privilegiado
Uso de IA para acelerar el descubrimiento de activos
En su espacio de trabajo ISO 27001:
Genere categorías de activos para su industria:
"Cree una plantilla de inventario de activos de información para una empresa de [industria] con [descripción]. Incluya categorías para: activos de datos, sistemas de aplicaciones, infraestructura, servicios de terceros y personal. Para cada categoría, proporcione ejemplos relevantes".
Cargue la documentación existente: Si tiene diagramas de red, documentos de arquitectura del sistema o mapas de flujo de datos, cárguelos y pregunte:
"Analice este diagrama de arquitectura e identifique todos los activos de información que deben incluirse en nuestro inventario de activos ISO 27001. Para cada activo, sugiera un propietario y un nivel de clasificación".
Identifique a los propietarios de los activos:
"Para cada tipo de activo en una [descripción de la empresa], ¿quién debería ser el propietario del activo? Defina los criterios para asignar la propiedad en función de la función empresarial, la responsabilidad técnica y la rendición de cuentas por la seguridad".
Cree criterios de clasificación:
"Defina los niveles de clasificación de la información (Pública, Interna, Confidencial, Restringida) para ISO 27001. Para cada nivel, proporcione: definición, ejemplos, requisitos de manejo y consecuencias de la divulgación no autorizada".
Consejo profesional: Empiece por los procesos empresariales críticos (por ejemplo, incorporación de clientes, procesamiento de pagos, desarrollo de productos) y trabaje hacia atrás para identificar los activos de soporte. Esto garantiza que capture lo que realmente importa para la continuidad del negocio.
Estructura del inventario de activos
Pida a ISMS Copilot que cree una plantilla completa:
"Genere una estructura de hoja de cálculo de inventario de activos con columnas para: ID de activo, Nombre del activo, Tipo de activo, Descripción, Propietario, Ubicación, Clasificación, Dependencias, Calificación de criticidad. Incluya 10 entradas de muestra para una plataforma SaaS".
Estructura esperada:
ID de activo | Nombre del activo | Tipo | Propietario | Clasificación | Criticidad |
|---|---|---|---|---|---|
DATA-001 | Base de datos de clientes | Datos | CTO | Restringido | Crítico |
APP-001 | Aplicación web de producción | Software | Líder de Ingeniería | Confidencial | Crítico |
INFRA-001 | Entorno de producción de AWS | Infraestructura | Gerente de DevOps | Confidencial | Crítico |
SVC-001 | Servicio de correo (Google Workspace) | Terceros | Gerente de TI | Interno | Alto |
Paso 2: Identificar amenazas y vulnerabilidades
Entender el panorama de amenazas
Para cada activo, debe identificar amenazas realistas y vulnerabilidades explotables. Las categorías comunes de amenazas incluyen:
Ciberamenazas: Malware, ransomware, phishing, ataques DDoS, inyección SQL
Error humano: Eliminación accidental, configuración incorrecta, concesión de acceso inadecuado
Amenazas internas: Empleados malintencionados, abuso de privilegios, robo de datos
Fallos del sistema: Fallos de hardware, errores de software, cortes de red
Riesgos de terceros: Brechas en proveedores, ataques a la cadena de suministro, interrupciones del servicio
Amenazas físicas: Robo, desastres naturales, acceso no autorizado a las instalaciones
Error común: Las listas genéricas de amenazas de las plantillas no reflejan su entorno específico. Los auditores esperan un análisis de amenazas adaptado a su pila tecnológica, industria y ubicación geográfica.
Uso de IA para el análisis de amenazas y vulnerabilidades
Genere escenarios de amenazas por activo:
"Para una base de datos de clientes que contenga PII en una aplicación SaaS alojada en la nube, identifique amenazas realistas considerando: ciberataques, amenazas internas, fallos del sistema, riesgos de terceros y cumplimiento normativo. Para cada amenaza, describa el escenario y el impacto potencial".
Identifique vulnerabilidades específicas de la tecnología:
"¿Cuáles son las vulnerabilidades comunes en [su pila tecnológica, por ejemplo, 'bases de datos PostgreSQL alojadas en AWS con front-end de aplicación web']? Incluya: debilidades de configuración, brechas en el control de acceso, problemas de cifrado y desafíos en la gestión de parches".
Analice las amenazas específicas del sector:
"¿Qué amenazas a la seguridad de la información son más relevantes para [su sector, por ejemplo, 'empresas de tecnología financiera que procesan datos de pago']? Incluya riesgos regulatorios, recopilación de inteligencia de la competencia y patrones de ataque específicos del sector".
Evalúe los riesgos de terceros:
"Cree una evaluación de riesgos de terceros para nuestros proveedores clave: [lista de proveedores y servicios]. Para cada uno, identifique los riesgos relacionados con: el acceso a los datos, la disponibilidad del servicio, los incidentes de seguridad y los fallos de cumplimiento".
Paso 3: Calcular las puntuaciones de riesgo
Aplicación de su metodología de riesgo
Utilizando la metodología que definió en la guía de inicio, ahora calculará las puntuaciones de riesgo para cada par amenaza-vulnerabilidad.
La fórmula estándar:
Puntuación de Riesgo = Probabilidad × Impacto
Donde ambos factores se califican en su escala definida (típicamente 1-5 o 1-10).
Definición de la probabilidad con IA
Pida a ISMS Copilot que evalúe la probabilidad:
"Para la amenaza '[amenaza específica]' que explota '[vulnerabilidad específica]' en nuestro [descripción del activo], evalúe la probabilidad en una escala de 1 a 5 considerando: nuestros controles existentes (enumérelos), las capacidades del actor de la amenaza, los incidentes históricos en nuestra industria y la postura de seguridad actual".
Ejemplo de prompt:
"Para la amenaza 'ataque de ransomware a través de correo electrónico de phishing' que explota 'conciencia de seguridad insuficiente de los empleados' en nuestra empresa SaaS de 50 personas, evalúe la probabilidad (1-5) considerando: que tenemos filtrado de correo básico, sin capacitación en seguridad, y empleados que trabajan desde casa. El sector salud ha visto un aumento del 40% en los ataques de ransomware".
Evaluación del impacto con IA
Pida a ISMS Copilot que evalúe las consecuencias:
"Para el riesgo '[amenaza] sobre [activo]', evalúe el impacto en una escala de 1 a 5 considerando: pérdida financiera (ingresos, multas, costos de recuperación), interrupción operativa (tiempo de inactividad, degradación del servicio), consecuencias regulatorias (sanciones del RGPD) y daño a la reputación (confianza del cliente, posición en el mercado)".
Consejo profesional: Para cada cálculo de riesgo, pida a la IA que "muestre su razonamiento" para que pueda documentar la justificación en su informe de evaluación de riesgos. Los auditores aprecian las evaluaciones de riesgo transparentes y bien justificadas frente a las puntuaciones arbitrarias.
Categorización de los niveles de riesgo
Genere su matriz de riesgos:
"Cree una matriz de riesgo 5x5 para ISO 27001 donde la Probabilidad y el Impacto se califiquen del 1 al 5. Codifique las celdas por colores como: Bajo (verde, puntuaciones 1-6), Medio (amarillo, puntuaciones 8-12), Alto (naranja, puntuaciones 15-20), Crítico (rojo, puntuación 25). Muestre qué riesgos requieren tratamiento inmediato frente a monitorización".
Umbrales típicos:
Crítico (20-25): Se requiere tratamiento inmediato, escalada ejecutiva
Alto (15-19): Plan de tratamiento en un plazo de 30 días
Medio (8-14): Plan de tratamiento en un plazo de 90 días o aceptarlo con justificación
Bajo (1-7): Aceptar o monitorear, documentar la decisión
Paso 4: Desarrollar planes de tratamiento de riesgos
Las cuatro opciones de tratamiento
Para cada riesgo, la norma ISO 27001 exige seleccionar una de las cuatro opciones de tratamiento:
Mitigar: Implementar controles para reducir la probabilidad o el impacto (lo más común)
Evitar: Eliminar la actividad que causa el riesgo
Transferir: Compartir el riesgo a través de seguros o subcontratación
Aceptar: Reconocer y monitorear (requiere la aprobación de la dirección)
Requisito de cumplimiento: La aceptación de los riesgos debe ser aprobada explícitamente por los propietarios de los mismos y estar documentada. Los auditores verificarán que los riesgos aceptados estén dentro de su apetito de riesgo declarado y cuenten con la aprobación de los ejecutivos.
Uso de IA para diseñar estrategias de tratamiento
Genere opciones de mitigación:
"Para el riesgo '[descripción del riesgo]' con puntuación [X], sugiera controles del Anexo A de la norma ISO 27001 que mitigarían eficazmente este riesgo. Para cada control, explique: cómo reduce la probabilidad o el impacto, el enfoque de implementación, el costo/esfuerzo estimado y el riesgo residual esperado".
Evalúe la rentabilidad de los controles:
"Compare las opciones de tratamiento para '[riesgo]': Opción A - implementar MFA y SIEM ($50k), Opción B - capacitación mejorada para empleados ($10k), Opción C - seguro de ciberseguridad ($20k anuales). Recomiende el enfoque más rentable considerando nuestro apetito de riesgo y las limitaciones presupuestarias".
Cree planes de tratamiento:
"Genere una plantilla de plan de tratamiento de riesgos para ISO 27001 con columnas para: ID de riesgo, Descripción del riesgo, Puntuación actual, Opción de tratamiento, Controles seleccionados, Propietario de la implementación, Fecha objetivo, Riesgo residual esperado, Estado de aprobación. Incluya 5 entradas de muestra".
Paso 5: Mapeo de riesgos con los controles del Anexo A
Por qué es importante el mapeo de controles
Su Declaración de Aplicabilidad (SoA) debe demostrar que los controles seleccionados están justificados por los riesgos identificados. Esto crea la pista de auditoría:
Activo → Amenaza → Vulnerabilidad → Riesgo → Tratamiento → Control(es)
Uso de IA para el mapeo de controles
Para cada riesgo alto o crítico:
"¿Qué controles del Anexo A de ISO 27001:2022 abordan el riesgo '[descripción del riesgo]'? Para cada control relevante, explique: el objetivo específico del control, cómo mitiga el riesgo, los requisitos de implementación y la evidencia necesaria para demostrar el cumplimiento".
Ejemplo:
Riesgo: Acceso no autorizado a la base de datos de clientes (Puntuación: 20 - Crítico)
La respuesta de la IA lo asignará a controles como:
A.5.15 Control de acceso: Implementar acceso basado en roles con el mínimo privilegio
A.5.16 Gestión de la identidad: Autenticación centralizada y aprovisionamiento de usuarios
A.5.17 Información de autenticación: Políticas de contraseñas sólidas y MFA
A.8.2 Derechos de acceso privilegiado: Acceso de administrador restringido con monitorización
A.8.5 Autenticación segura: Autenticación de múltiples factores para todos los accesos a bases de datos
Ventaja de la IA: En lugar de cruzar manualmente 93 controles del Anexo A, ISMS Copilot identifica instantáneamente los controles relevantes y explica su aplicabilidad a su escenario de riesgo específico.
Creación de su matriz de selección de controles
"Genere una matriz de selección de controles que muestre qué controles del Anexo A abordan qué riesgos. Estructure como: ID de riesgo, Descripción del riesgo, Puntuación del riesgo, Controles seleccionados (con números de control), Justificación. Muestre las relaciones para nuestros 10 riesgos principales".
Paso 6: Documentar su evaluación de riesgos
Documentación requerida
Los auditores de ISO 27001 solicitarán:
Metodología de evaluación de riesgos: Cómo identifica y evalúa los riesgos
Inventario de activos: Todos los activos de información dentro del alcance
Registro de riesgos: Lista completa de riesgos identificados con puntuaciones
Plan de tratamiento de riesgos: Cómo se abordará cada riesgo
Mapeo de controles: Qué controles mitigan qué riesgos
Aprobaciones de aceptación de riesgos: Aprobaciones firmadas para los riesgos aceptados
Uso de IA para crear documentación completa
Genere un resumen ejecutivo:
"Cree un resumen ejecutivo de nuestra evaluación de riesgos ISO 27001 para que se presente a la dirección. Incluya: total de activos evaluados, número de riesgos identificados por categoría, distribución de las puntuaciones de riesgo, hallazgos clave, acciones prioritarias recomendadas y requisitos presupuestarios. Público objetivo: ejecutivos no técnicos".
Documente la metodología:
"Escriba un documento de metodología de evaluación de riesgos completo para ISO 27001 que incluya: alcance y objetivos, proceso de identificación de activos, enfoque de análisis de amenazas y vulnerabilidades, escalas de probabilidad e impacto con ejemplos, fórmula de cálculo de riesgos, criterios de aceptación de riesgos, funciones y responsabilidades, y frecuencia de la evaluación. Formato para entrega de auditoría".
Cree informes listos para auditoría:
"Genere una estructura de informe de evaluación de riesgos que cumpla con los requisitos de la cláusula 6.1.2 de la norma ISO 27001. Incluya secciones para: metodología, resumen del inventario de activos, riesgos identificados por categoría, decisiones de tratamiento de riesgos, justificación de la selección de controles y firmas de aprobación".
Consejo profesional: Cargue su borrador de evaluación de riesgos a ISMS Copilot y pregunte: "Revise esta evaluación de riesgos según los requisitos de ISO 27001:2022. Identifique cualquier laguna, elemento faltante o área que deba reforzarse para estar lista para la auditoría". Esto proporciona un control de calidad antes de la revisión formal.
Paso 7: Validar con las partes interesadas
Por qué es crítica la revisión de las partes interesadas
La evaluación de riesgos no es una actividad individual. La norma ISO 27001 requiere la aportación de los propietarios de los riesgos, los propietarios de los activos y la dirección para garantizar que:
Las evaluaciones de riesgos reflejen la realidad operativa
Las decisiones de tratamiento se alineen con las prioridades empresariales
Los compromisos de recursos sean realistas
La aceptación del riesgo tenga la autoridad adecuada
Realización de sesiones de revisión asistidas por IA
Prepare los materiales de revisión:
"Cree una presentación para una reunión de revisión de la evaluación de riesgos con los jefes de departamento. Incluya: visión general de la metodología, resumen de los riesgos en su departamento, planes de tratamiento propuestos, acciones requeridas de su equipo e implicaciones presupuestarias. Presentación de 30 minutos de duración".
Genere temas de debate:
"Cree una lista de preguntas para hacer a los jefes de departamento al validar las evaluaciones de riesgos: integridad de los activos, realismo de las amenazas, viabilidad de los controles, disponibilidad de recursos y precisión del impacto empresarial".
Paso 8: Planificar la gestión continua de riesgos
Requisitos de la evaluación continua de riesgos
La cláusula 6.1.3 de la norma ISO 27001 exige la reevaluación de los riesgos cuando:
Se producen cambios significativos (nuevos sistemas, procesos empresariales, amenazas)
Se detectan incidentes de seguridad
Cambia la eficacia de los controles
En intervalos planificados (normalmente una vez al año o durante la revisión por la dirección)
Configuración del seguimiento con IA
Cree activadores de reevaluación:
"Defina desencadenantes específicos que obligarían a reevaluar los riesgos de seguridad de la información según ISO 27001. Incluya: cambios tecnológicos, expansión del negocio, actualizaciones regulatorias, incidentes de seguridad, fallos de control y actividad de fusiones y adquisiciones. Para cada desencadenante, especifique quién inicia la reevaluación y el cronograma".
Diseñe procesos de seguimiento:
"Cree un proceso de revisión trimestral de riesgos para ISO 27001 que incluya: métricas a seguir, indicadores clave de riesgo, agenda de la reunión de revisión, plantillas de informes y criterios para escalar los riesgos que hayan aumentado".
Cree flujos de trabajo de reevaluación:
"Diseñe un flujo de trabajo para actualizar la evaluación de riesgos de ISO 27001 cuando [ocurre un cambio específico, por ejemplo, 'el lanzamiento de un nuevo servicio en la nube']. Incluya: quién realiza la evaluación, qué activos/riesgos revisar, los requisitos de aprobación y las actualizaciones de la documentación".
Dificultades comunes y cómo ayuda la IA a evitarlas
Dificultad 1: Evaluaciones de riesgo genéricas El uso de riesgos de plantilla sin personalización crea alarmas en la auditoría. Solución de IA: Pida a ISMS Copilot que analice su pila tecnológica específica, su modelo de negocio y su industria para generar riesgos contextuales.
Dificultad 2: Puntuación de riesgo inconsistente Diferentes evaluadores aplicando diferentes criterios producen resultados no comparables. Solución de IA: Utilice la IA para aplicar su metodología de forma coherente, pidiéndole que "utilice los mismos criterios de probabilidad e impacto" para todas las evaluaciones.
Dificultad 3: Vinculación débil entre riesgos y controles Selección de controles sin una justificación clara de la evaluación de riesgos. Solución de IA: Para cada control, pregunte a la IA: "¿Qué riesgos específicos mitiga este control y cuál es la reducción de riesgo esperada?"
Dificultad 4: Planes de tratamiento poco realistas Proponer controles sin considerar la viabilidad de la implementación o el costo. Solución de IA: Pregunte: "Evalúe la viabilidad de implementar [control] considerando nuestras [limitaciones]. Sugiera una implementación por fases o enfoques alternativos".
Próximos pasos en su proceso de implementación
Ya ha completado la base de la evaluación de riesgos:
✓ Activos de información identificados y clasificados
✓ Amenazas y vulnerabilidades analizadas
✓ Puntuaciones de riesgo calculadas con una metodología coherente
✓ Planes de tratamiento desarrollados y mapeados a los controles
✓ Documentación preparada para la auditoría
Continúe su viaje con la siguiente guía: Cómo crear políticas y procedimientos de ISO 27001 utilizando IA (próximamente)
En la próxima guía, aprenderá a:
Generar políticas de seguridad listas para auditoría
Crear procedimientos operativos para los controles del Anexo A
Construir su Declaración de Aplicabilidad (SoA)
Personalizar plantillas para su organización
Garantizar la coherencia de la política en todo el SGSI
Obtener ayuda
Para recibir apoyo continuo con la evaluación de riesgos:
Haga preguntas específicas: Utilice su espacio de trabajo para obtener orientación detallada sobre riesgos individuales
Cargue evaluaciones existentes: Obtenga un análisis de brechas sobre su documentación de riesgos actual
Verifique la metodología: Revise las prácticas de uso responsable de la IA para la evaluación de riesgos
Conozca las características del espacio de trabajo: Optimice la organización de su espacio de trabajo para evaluaciones complejas
¿Listo para comenzar su evaluación de riesgos? Abra su espacio de trabajo de ISO 27001 en chat.ismscopilot.com y comience a identificar sus primeros activos de información hoy mismo.