Indicadores para la evaluación de riesgos ISO 27001

Descripción general

Descubrirás indicaciones para copiar y pegar que te permitirán realizar evaluaciones de riesgo ISO 27001 completas usando ISMS Copilot, desde la creación de inventarios de activos hasta el cálculo de puntuaciones de riesgo y el desarrollo de planes de tratamiento alineados con los controles del Anexo A.

Para quién es esto

Estas indicaciones están diseñadas para:

• Profesionales de seguridad que realizan evaluaciones de riesgo ISO 27001

• Gerentes de riesgo que implementan selección de controles basada en riesgos

• Consultores que realizan evaluaciones de riesgo para múltiples clientes

• Organizaciones que se preparan para auditorías de certificación ISO 27001

Antes de comenzar

Indicaciones para identificación de activos

Genera un inventario de activos completo

"Crea una plantilla de inventario de activos de información para una empresa de [industria] con [número] empleados que [descripción del negocio]. Incluye categorías para: activos de datos, sistemas de aplicación, infraestructura, servicios de terceros y personal. Para cada categoría, proporciona de 10 a 15 ejemplos relevantes específicos para nuestra industria y operaciones."

Ejemplo: "Crea una plantilla de inventario de activos de información para una empresa SaaS del sector salud con 75 empleados que provee plataformas de compromiso de pacientes a consultorios médicos. Incluye categorías para: activos de datos, sistemas de aplicación, infraestructura, servicios de terceros y personal. Para cada categoría, proporciona de 10 a 15 ejemplos relevantes específicos para nuestra industria y operaciones."

Analiza la arquitectura para descubrir activos

"Analiza este [diagrama de arquitectura/mapa de red/documentación del sistema] e identifica todos los activos de información que deberían incluirse en nuestro inventario de activos ISO 27001. Para cada activo, sugiere un propietario adecuado basado en la función de negocio y la responsabilidad en seguridad."

Define criterios para clasificación de activos

"Define niveles de clasificación de la información (Público, Interno, Confidencial, Restringido) para ISO 27001:2022. Para cada nivel, proporciona: definición clara, 5 ejemplos específicos relevantes para [tu industria], requisitos de manejo, requisitos de almacenamiento, controles de acceso y consecuencias de divulgación no autorizada."

Identifica propietarios de activos y sus responsabilidades

"Para cada tipo de activo en una organización de [tamaño de empresa y descripción], ¿quién debería ser el propietario del activo? Define criterios para asignar propiedad basados en función de negocio, responsabilidad técnica, responsabilidad en seguridad y autoridad de toma de decisiones."

Crea mapeo de activos basado en procesos

"Para el proceso de negocio '[nombre del proceso, p.ej., incorporación de clientes]', identifica todos los activos de información involucrados incluyendo: datos creados/procesados, sistemas usados, dependencias de infraestructura, servicios de terceros y roles del personal. Preséntalo como un flujo de proceso con los activos asignados a cada paso."

Indicaciones para análisis de amenazas y vulnerabilidades

Genera escenarios de amenazas específicas para activos

"Para [nombre y tipo de activo] que contiene [descripción de datos] en un [entorno de alojamiento], identifica amenazas realistas considerando: ataques cibernéticos (ransomware, phishing, DDoS), amenazas internas (empleados maliciosos, abuso de privilegios), fallas del sistema (hardware, software, red), riesgos de terceros (brechas de proveedores, ataques a la cadena de suministro) y amenazas físicas (robos, desastres). Para cada amenaza, describe el escenario del ataque y el posible impacto en el negocio."

Ejemplo: "Para nuestra base de datos de clientes que contiene PII y datos de tarjetas de pago en un entorno PostgreSQL hospedado en AWS, identifica amenazas realistas considerando: ataques cibernéticos, amenazas internas, fallas del sistema, riesgos de terceros y amenazas físicas. Para cada amenaza, describe el escenario del ataque y el posible impacto en el negocio."

Identifica vulnerabilidades específicas de la tecnología

"¿Cuáles son las vulnerabilidades comunes en [tu pila tecnológica] que podrían ser explotadas por atacantes? Incluye: debilidades de configuración (ajustes por defecto, faltas de endurecimiento), brechas en controles de acceso (autenticación, autorización), problemas de cifrado (datos en reposo, en tránsito), desafíos en gestión de parches e integraciones inseguras."

Analiza el panorama de amenazas de la industria

"¿Qué amenazas de seguridad de la información son más relevantes para empresas de [tu industria] en [región]? Incluye: riesgos regulatorios y de cumplimiento, recopilación de inteligencia por competidores, patrones de ataque específicos del sector, vulnerabilidades en la cadena de suministro y amenazas emergentes basadas en incidentes recientes de la industria."

Evalúa riesgos de proveedores terceros

"Crea una evaluación de riesgos para nuestros proveedores clave: [lista de nombres de proveedores y servicios que brindan]. Para cada proveedor, identifica riesgos relacionados con: acceso y procesamiento de datos, disponibilidad y continuidad del servicio, incidentes de seguridad y notificación de brechas, incumplimientos regulatorios (GDPR, SOC 2) y escenarios de terminación de contrato."

Evalúa vulnerabilidades relacionadas con factores humanos

"Identifica vulnerabilidades por factores humanos en nuestra organización considerando: nivel de concienciación en seguridad de los empleados ([estado actual]), modalidades de trabajo remoto ([porcentaje remoto]), acceso a datos sensibles ([número de usuarios]), frecuencia de capacitación en seguridad ([frecuencia actual]) y susceptibilidad a phishing. Sugiere escenarios específicos de vulnerabilidades que podrían ser explotadas."

Indicaciones para cálculo de riesgos

Evalúa probabilidad de amenaza

"Para la amenaza '[amenaza específica]' que explota '[vulnerabilidad específica]' en nuestro [descripción del activo], evalúa la probabilidad en una escala del 1 al 5 donde 1=rara, 2=improbable, 3=posible, 4=probable, 5=casi segura. Considera: controles existentes ([lista controles actuales]), capacidades y motivación del actor de amenaza, incidentes históricos en nuestra industria, postura de seguridad actual y factores compensatorios. Muestra tu razonamiento para la puntuación."

Ejemplo: "Para la amenaza 'ataque ransomware vía correo de phishing' que explota 'insuficiente capacitación en conciencia de seguridad de empleados' en nuestra empresa SaaS de 50 personas, evalúa la probabilidad en una escala del 1 al 5. Considera: tenemos filtrado básico de correo pero sin protección avanzada, no hay programa de formación en seguridad, 80% de empleados trabajan desde casa y el sector salud ha tenido un aumento del 40% en ataques ransomware anual. Muestra tu razonamiento para la puntuación."

Evalúa impacto en el negocio

"Para el riesgo '[amenaza] al [activo]', evalúa el impacto en una escala del 1 al 5 donde 1=negligible, 2=menor, 3=moderado, 4=mayor, 5=severo. Considera: pérdida financiera (impacto en ingresos, multas regulatorias, costos de recuperación), interrupción operacional (duración del tiempo fuera de servicio, degradación de servicios, pérdida de productividad), consecuencias regulatorias (penalizaciones GDPR, incumplimientos, requerimientos de reporte), daño reputacional (confianza del cliente, cobertura mediática, posición en el mercado) y responsabilidad legal. Muestra tu razonamiento para la puntuación."

Genera matriz de riesgo y umbrales

"Crea una matriz de riesgo 5x5 para ISO 27001 donde Probabilidad (1-5) e Impacto (1-5) produzcan puntuaciones de riesgo. Define niveles de riesgo: Bajo (puntuaciones 1-6, verde), Medio (puntuaciones 8-12, amarillo), Alto (puntuaciones 15-20, naranja), Crítico (puntuación 25, rojo). Para cada nivel, especifica: plazo requerido para tratamiento, autoridad de aprobación, rango aceptable de riesgo residual y frecuencia de monitoreo."

Calcula riesgo residual tras controles

"Para el riesgo '[descripción de riesgo]' con puntuación inicial [X], si implementamos controles '[lista controles]', ¿cuál sería la puntuación de riesgo residual? Explica cómo cada control reduce probabilidad o impacto, estima las nuevas puntuaciones de probabilidad e impacto, calcula el riesgo residual y confirma si está dentro de límites aceptables."

Indicaciones para tratamiento de riesgos

Genera recomendaciones de controles

"Para el riesgo '[descripción de riesgo]' con puntuación [X], sugiere controles del Anexo A ISO 27001:2022 que mitigarían eficazmente este riesgo. Para cada control recomendado: cita número y nombre del control, explica cómo reduce probabilidad o impacto, describe el enfoque de implementación, estima costo y esfuerzo (bajo/medio/alto), proporciona puntuación esperada de riesgo residual y lista evidencias necesarias para demostrar efectividad."

Compara opciones de tratamiento costo-efectivas

"Compara opciones de tratamiento para el riesgo '[descripción de riesgo]' con puntuación actual [X]: Opción A - [enfoque de control con costo estimado], Opción B - [alternativa con costo estimado], Opción C - [tercera opción con costo estimado]. Para cada opción, evalúa: efectividad en reducción de riesgo, complejidad de implementación, carga de mantenimiento continuo, compatibilidad con controles existentes y retorno de inversión en seguridad. Recomienda el enfoque más costo-efectivo considerando nuestro apetito de riesgo es [declaración de apetito de riesgo]."

Ejemplo: "Compara opciones de tratamiento para 'acceso no autorizado a base de datos de clientes' con puntuación actual 20: Opción A - implementar MFA, RBAC y monitoreo SIEM ($50k), Opción B - cifrado mejorado y registro de accesos ($25k), Opción C - migrar a servicio gestionado con seguridad incorporada ($30k anuales). Recomienda el enfoque más costo-efectivo considerando nuestro apetito de riesgo es 'no tolerar riesgo residual mayor a 12 para activos críticos'."

Crea plan integral de tratamiento

"Genera un plan de tratamiento de riesgos para el riesgo '[descripción de riesgo]'. Incluye: ID y descripción del riesgo, puntuación actual (probabilidad × impacto), opción de tratamiento seleccionada (mitigar/evitar/transferir/aceptar), controles específicos a implementar con referencias del Anexo A, responsable de implementación y ejecutivo accountable, fecha objetivo de finalización, presupuesto y recursos requeridos, puntuación esperada de riesgo residual, enfoque de monitoreo y verificación, y estado de aprobación. Formatea como plan listo para auditoría."

Desarrolla justificación para aceptación de riesgo

"Crea una justificación para aceptación de riesgo de '[descripción riesgo]' con puntuación [X] que planeamos aceptar en lugar de tratar. Incluye: razón comercial para la aceptación (análisis costo-beneficio), confirmación que la puntuación está dentro de nuestro apetito de riesgo de [umbral], controles compensatorios o monitoreo implementados, condiciones que desencadenarían una reevaluación, requisitos de aprobación (quiénes ejecutivos deben autorizar) y documentación para trazabilidad en auditoría."

Indicaciones para mapeo de controles

Relaciona riesgos con controles del Anexo A

"¿Qué controles del Anexo A ISO 27001:2022 abordan el riesgo '[descripción de riesgo]'? Para cada control relevante: cita número y nombre, explica objetivo específico del control, describe cómo mitiga este riesgo particular (reduce probabilidad o impacto), detalla requisitos de implementación, lista evidencias necesarias para demostrar conformidad y anota dependencias con otros controles."

Crea matriz de selección de controles

"Genera una matriz de selección de controles que muestre qué controles del Anexo A abordan qué riesgos en nuestro registro de riesgos. Estructura como tabla con columnas: ID de riesgo, descripción de riesgo, puntuación de riesgo, controles seleccionados (con números), estado de implementación del control y justificación para selección del control. Muestra relaciones para nuestros 15 riesgos principales organizados por puntuación (mayor a menor)."

Justifica exclusiones de controles

"Para el control del Anexo A [número y nombre del control], explica por qué podríamos excluirlo de nuestra Declaración de Aplicabilidad. Considera: ¿es relevante para riesgos identificados? ¿Nuestro modelo de negocio o tecnología lo hace no aplicable? ¿Existen controles alternativos que logran el mismo objetivo? Proporciona justificación lista para auditoría si se recomienda exclusión."

Indicaciones para documentación

Genera resumen ejecutivo de riesgos

"Crea un resumen ejecutivo de nuestra evaluación de riesgos ISO 27001 para presentar a la dirección. Incluye: número total de activos evaluados por categoría, número de riesgos identificados organizados por nivel de severidad (crítico/alto/medio/bajo), distribución de puntuaciones de riesgo entre unidades de negocio, hallazgos clave y vulnerabilidades críticas, los 5 riesgos prioritarios que requieren acción inmediata, enfoque recomendado para tratamiento y requerimientos de presupuesto, cronograma para mitigación de riesgos y estatus esperado de cumplimiento tras tratamiento. Audiencia objetivo: ejecutivos no técnicos. Formatea como informe ejecutivo de 2 páginas."

Documenta la metodología de evaluación de riesgos

"Redacta un documento completo de metodología para evaluación de riesgos conforme a ISO 27001:2022. Incluye secciones para: alcance y objetivos (qué se evalúa y por qué), proceso de identificación de activos (cómo descubrimos y catalogamos activos), enfoque para análisis de amenazas y vulnerabilidades (fuentes y métodos), escala de probabilidad con definiciones y ejemplos, escala de impacto con definiciones en múltiples dimensiones (financiero, operacional, regulatorio, reputacional), fórmula y matriz de cálculo de riesgo, criterios y umbrales de aceptación de riesgos, roles y responsabilidades (quién hace qué), frecuencia de evaluación y desencadenantes para reevaluación y requisitos de documentación. Formato para presentación en auditoría con referencias correctas a cláusulas ISO."

Crea registro de riesgos listo para auditoría

"Genera una plantilla completa de registro de riesgos conforme a ISO 27001:2022 Cláusula 6.1.2. Incluye columnas para: ID de riesgo (identificador único), activo afectado, descripción de amenaza, vulnerabilidad explotada, controles existentes, puntuación de probabilidad (1-5 con justificación), puntuación de impacto (1-5 con justificación), puntuación de riesgo inherente (P×I), opción de tratamiento (mitigar/evitar/transferir/aceptar), controles seleccionados (referencias Anexo A), estado de implementación, puntuación de riesgo residual, propietario del riesgo, fecha de revisión y estado de aprobación. Proporciona 10 entradas de ejemplo para una organización de [tu industria]."

Construye base para Declaración de Aplicabilidad

"Usando los resultados de nuestra evaluación de riesgos, crea un borrador de Declaración de Aplicabilidad (SoA) para ISO 27001:2022. Para cada uno de los 93 controles del Anexo A: lista número y nombre del control, indica aplicabilidad (Sí/No/Parcial), referencia qué riesgos justifican la selección del control, describe nuestro enfoque de implementación, anota estado de implementación (Implementado/En progreso/Planificado) e identifica brechas o justificaciones para exclusión. Organiza por temas del Anexo A (organizacional, personas, físico, tecnológico)."

Indicaciones para validación con partes interesadas

Prepara materiales para reunión de revisión

"Crea una presentación para una reunión de revisión de evaluación de riesgos con jefes de departamento. Incluye diapositivas para: descripción general de la metodología de evaluación de riesgos ISO 27001, resumen de riesgos identificados en su departamento específico, planes de tratamiento propuestos que afectan a su equipo, acciones requeridas y compromisos de recursos de su departamento, implicaciones presupuestarias y asignación de costos, cronograma y hitos y requisitos de aprobación. Presentación de 30 minutos con oportunidades para discusión."

Genera preguntas para validación

"Crea una lista de preguntas de validación para hacer a jefes de departamento al revisar evaluaciones de riesgos en sus áreas. Organiza por tema: Integridad del activo (¿hemos identificado todos los activos críticos?), Realismo de amenazas (¿son estas amenazas realistas dado nuestro entorno?), Precisión de vulnerabilidades (¿existen realmente estas debilidades?), Evaluación de impacto (¿se evaluó correctamente el impacto en el negocio?), Viabilidad de controles (¿podemos implementar estos controles realmente?), Disponibilidad de recursos (¿tienen presupuesto y personal?), y Razonabilidad del cronograma (¿son realizables los plazos?)."

Indicaciones para gestión continua de riesgos

Define desencadenantes para reevaluación

"Define desencadenantes específicos que requieran reevaluar los riesgos de seguridad de la información según ISO 27001:2022 Cláusula 6.1.3. Incluye: cambios tecnológicos (nuevos sistemas, migraciones a nube, actualizaciones de arquitectura), cambios de negocio (expansión, nuevos productos, fusiones y adquisiciones), actualizaciones regulatorias (nuevos requerimientos de cumplimiento, acciones de ejecución), incidentes de seguridad (brechas, casi incidentes, fallos de controles), cambios en el panorama de amenazas (nuevas vectores de ataque, incidentes en la industria), cambios organizativos (reestructuración, cambios en liderazgo), y cambios en efectividad de controles (hallazgos de auditoría, resultados de pruebas). Para cada desencadenante, especifica quién inicia la reevaluación, requisitos de tiempo y alcance de revisión."

Crea proceso trimestral de revisión de riesgos

"Diseña un proceso trimestral de revisión de riesgos para ISO 27001 que incluya: indicadores clave de riesgo para monitorear (métricas de tendencia), actualizaciones requeridas del registro de riesgos, cambios en el panorama de amenazas a considerar, validación de efectividad de controles, nuevos riesgos a evaluar, agenda de reunión con asignación de tiempos, plantillas de reporte para revisión gerencial, criterios para escalar riesgos incrementados y requisitos de documentación para trazabilidad de auditoría."

Construye flujo de trabajo para reevaluación basada en cambios

"Diseña un flujo de trabajo para actualizar la evaluación de riesgos ISO 27001 cuando ocurre [cambio específico, p.ej., 'lanzamiento de una nueva aplicación para clientes']. Incluye: proceso de notificación y aprobación de cambios, quién realiza la evaluación de riesgos (roles y responsabilidades), qué activos y riesgos específicos revisar, requisitos para análisis de amenazas y vulnerabilidades, puntuación de riesgos y decisiones de tratamiento, actualizaciones necesarias al registro de riesgos y SoA, aprobación y firmas necesarias y documentación a mantener para evidencias de auditoría."

Indicaciones para aseguramiento de calidad

Revisa evaluación de riesgo para integridad

"Revisa esta evaluación de riesgos contra los requisitos de ISO 27001:2022 Cláusula 6.1.2. Verifica: ¿Se identificaron todos los activos de información en alcance? ¿Son las amenazas y vulnerabilidades comprensivas y realistas? ¿Se aplicó la metodología de puntuación consistentemente? ¿Se tratan todos los riesgos altos y críticos con planes de tratamiento? ¿Se justifica la selección de controles con riesgos específicos? ¿Las decisiones de aceptación de riesgos están debidamente aprobadas? ¿La documentación y evidencias son suficientes para auditoría? Identifica brechas, elementos faltantes o áreas para reforzar."

Valida consistencia entre evaluaciones

"Compara estas dos evaluaciones de riesgos [para activos o escenarios similares] y verifica consistencia en: puntuación de probabilidad (¿amenazas similares tienen puntuaciones similares?), evaluación de impacto (¿consecuencias similares calificadas de forma comparable?), selección de controles (¿riesgos equivalentes tratados con controles similares?), decisiones de aceptación de riesgos (¿se aplica uniformemente el apetito de riesgo?). Identifica inconsistencias que deban resolverse antes de auditoría."

Consejos para usar estas indicaciones eficazmente

Bibliotecas de indicaciones relacionadas

Amplía tu implementación ISO 27001 con estas colecciones relacionadas:

• Indicaciones para políticas y procedimientos ISO 27001 (próximamente)

• Indicaciones para preparación de auditoría ISO 27001 (próximamente)

• Indicaciones para análisis de brechas ISO 27001 (próximamente)

• Biblioteca de indicaciones SOC 2

Obtén ayuda

Para soporte con indicaciones de evaluación de riesgos:

• Aprende las mejores prácticas: Revisa nuestra guía sobre Cómo realizar evaluación de riesgos ISO 27001 usando IA

• Entiende limitaciones de IA: Lee Cómo usar ISMS Copilot responsablemente

• Optimiza tu flujo de trabajo: Consulta Cómo gestionar proyectos de cumplimiento para múltiples clientes usando espacios de trabajo