Metodología de Evaluación de Riesgos
ISMS Copilot utiliza una metodología de evaluación de riesgos estructurada y repetible para identificar, valorar, evaluar y tratar los riesgos de seguridad de la información. Esta metodología cumple con los requisitos de la norma ISO 27001 (cláusulas 6.1.1, 6.1.2, 6.1.3, 8.2, 8.3) y produce resultados consistentes y comparables a lo largo de los ciclos de evaluación.
Esta página describe nuestra metodología de evaluación de riesgos: cómo identificamos, puntuamos y tratamos los riesgos. El contenido real del registro de riesgos es confidencial y se mantiene en nuestro repositorio seguro.
Categorías de Riesgo
Evaluamos los riesgos en cuatro categorías que cubren todo el espectro de amenazas para nuestra plataforma y usuarios:
Riesgos de Seguridad — Acceso no autorizado, filtraciones de datos, compromiso de credenciales, manipulación del sistema
Riesgos Operativos — Disponibilidad del servicio, dependencias de terceros, continuidad del negocio, capacidad
Riesgos de Cumplimiento — Violaciones regulatorias, incumplimientos contractuales, brechas de certificación, hallazgos de auditoría
Riesgos Específicos de IA — Alucinaciones de LLM, inyección de prompts, manejo de datos de IA, sesgo del modelo, gobernanza de proveedores
Proceso de Evaluación de Riesgos
Nuestra evaluación de riesgos sigue un proceso de cinco pasos:
Revisión del Contexto — Revisar el contexto organizacional, la inteligencia de amenazas, el historial de incidentes y los cambios en la plataforma (Cláusula 4)
Identificación de Riesgos — Identificar los activos en riesgo, las amenazas, las vulnerabilidades y las posibles consecuencias (Cláusula 6.1.2)
Análisis de Riesgos — Puntuar cada riesgo según su probabilidad e impacto utilizando las escalas a continuación (Cláusula 6.1.2)
Evaluación de Riesgos — Calcular la puntuación de riesgo y clasificar la gravedad (Cláusula 6.1.2)
Tratamiento de Riesgos — Seleccionar la opción de tratamiento e implementar controles (Cláusula 6.1.3)
Escala de Probabilidad
Puntuación | Nivel | Definición | Frecuencia Indicativa |
|---|---|---|---|
1 | Raro | Podría ocurrir solo en circunstancias excepcionales | Menos de una vez cada 5 años |
2 | Improbable | Podría ocurrir pero no se espera | Una vez cada 1 a 5 años |
3 | Posible | Podría ocurrir en algún momento | Una vez al año |
4 | Probable | Se espera que ocurra en la mayoría de las circunstancias | Varias veces al año |
5 | Casi Seguro | Se espera que ocurra con frecuencia o ya está ocurriendo | Mensualmente o con mayor frecuencia |
Factores considerados: Si el vector de amenaza es explotado activamente en plataformas similares, controles existentes que reducen la probabilidad, datos históricos de incidentes, motivación y capacidad del atacante.
Escala de Impacto
Puntuación | Nivel | Definición | Ejemplos |
|---|---|---|---|
1 | Insignificante | Impacto mínimo o nulo | Problema cosmético, inconveniente para un solo usuario durante minutos |
2 | Menor | Impacto limitado; recuperable rápidamente | Breve degradación del servicio, inconsistencia menor de datos (sin filtración) |
3 | Moderado | Impacto notable; requiere esfuerzo para resolver | Interrupción parcial durante horas, pérdida de una funcionalidad no crítica |
4 | Mayor | Impacto significativo en las operaciones, los datos o la reputación | Interrupción prolongada, filtración de datos que afecta a múltiples usuarios, se requiere notificación regulatoria |
5 | Catastrófico | Impacto severo que amenaza la viabilidad del negocio | Filtración masiva de datos, pérdida total del servicio, acciones de cumplimiento regulatorio |
Factores considerados: Número de usuarios o registros de datos afectados, exposición de datos confidenciales o restringidos, obligaciones de notificación regulatoria, tiempo y coste de recuperación, impacto en la confianza del cliente.
Matriz de Puntuación de Riesgos
Puntuación de Riesgo = Probabilidad x Impacto (escala de 1-25)
Rango de Puntuación | Nivel de Riesgo | Acción Requerida |
|---|---|---|
20-25 | Crítico | Mitigación inmediata requerida; aprobación del CEO para cualquier retraso |
15-19 | Alto | Abordar en un plazo de 48 horas; se requiere un plan de tratamiento |
8-14 | Medio | Abordar en 1-2 semanas; programar para el próximo sprint |
1-7 | Bajo | Monitorear y revisar; abordar de manera oportunista |
Las puntuaciones de riesgo se calculan automáticamente a partir de nuestras definiciones de riesgo estructuradas, lo que reduce los errores manuales y garantiza la consistencia en los ciclos de evaluación.
Opciones de Tratamiento de Riesgos
Para cada riesgo por encima del umbral aceptable, seleccionamos una de las cuatro opciones de tratamiento:
Tratamiento | Definición | Cuándo se utiliza |
|---|---|---|
Mitigar | Implementar controles para reducir la probabilidad y/o el impacto | Opción por defecto; la mayoría de los riesgos se tratan así |
Aceptar | Reconocer el riesgo y monitorear sin controles adicionales | Cuando el coste de mitigación supera el impacto potencial, o el riesgo residual está dentro de la tolerancia |
Transferir | Trasladar el riesgo a un tercero | Cuando un proveedor está en mejor posición para gestionar el riesgo |
Evitar | Eliminar el riesgo eliminando la actividad o el activo | Cuando el riesgo es inaceptable y no puede mitigarse adecuadamente |
Criterios de Aceptación de Riesgos
Los riesgos bajos (1-7) pueden ser aceptados por el Responsable de Ingeniería
Los riesgos medios (8-14) requieren que el CEO esté al tanto; pueden aceptarse con una justificación documentada
Los riesgos altos y críticos (15+) requieren aprobación explícita del CEO con justificación documentada, controles compensatorios y una fecha de revisión
Estructura del Registro de Riesgos
Todos los riesgos se documentan como archivos de datos estructurados organizados por categoría (Seguridad, Operativo, Cumplimiento, Específico de IA). Cada entrada de riesgo captura:
Identificador único, categoría y activo afectado
Descripción del riesgo y vector de amenaza
Puntuaciones de probabilidad e impacto
Propietario del riesgo asignado
Estrategia de mitigación y controles implementados
Fecha de revisión y estado
Alineación con marcos de trabajo (ISO 27001, SOC 2)
El contenido del registro de riesgos (incluidos los riesgos específicos identificados, las puntuaciones y los detalles del tratamiento) es confidencial. Esta página describe nuestra metodología; el registro real se mantiene en nuestro repositorio seguro con control de versiones y acceso restringido.
Cadencia de Revisión de Riesgos
Actividad | Frecuencia |
|---|---|
Validación del registro de riesgos | Semanal (automatizada) |
Revisión de riesgos altos/críticos | Quincenal |
Revisión completa del registro de riesgos | Trimestral |
Evaluación basada en desencadenantes | Evento específico (incidente, nueva funcionalidad, cambio de arquitectura, cambio regulatorio) |
Riesgo Residual
Después de aplicar los controles, cada riesgo tiene un nivel de riesgo residual puntuado con la misma metodología pero reflejando el estado posterior al control. El riesgo residual se documenta en el registro de riesgos, se informa en la revisión por la dirección y cualquier riesgo residual por encima de Medio requiere una aceptación documentada con fecha de revisión.
Alineación con la Gravedad de Incidentes
Nuestra puntuación de riesgos se alinea con nuestra clasificación de gravedad de incidentes para garantizar una respuesta consistente:
Puntuación de Riesgo | Nivel de Riesgo | Gravedad del Incidente | SLA de Respuesta |
|---|---|---|---|
20-25 | Crítico | S0 | Contención + mitigación el mismo día |
15-19 | Alto | S1 | Mitigación en 48 horas |
8-14 | Medio | S2 | 1-2 semanas |
1-7 | Bajo | S3 | Backlog / monitoreo |