ISO 27001 FASE 4 Planificación del SGSI

Bienvenidos a esta guía sobre ISO 27001 FASE 4 Planificación del SGSI. Comparte este articulo y síguenos para recibir más guías y cursos.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

• Facebook
• Twitter
• LinkedIn
• Telegram
• TikTok
• YouTube
• Instagram

Inventario de Activos

El primer paso en la gestión de seguridad de la información es identificar los activos que la organización posee, junto con sus amenazas y vulnerabilidades. Esto sigue la línea de lo visto en la sección de Definición del Alcance, donde se establece el marco para comprender qué elementos deben protegerse y cómo hacerlo.

A continuación, se presentan algunas directrices clave para llevar a cabo esta identificación de manera efectiva.

En primer lugar, es esencial determinar los servicios que ofrece la organización, tanto internos como externos. A partir de ahí, se debe analizar qué información es necesaria para la prestación de estos servicios y qué tipo de infraestructura los respalda. Esta infraestructura incluye desde hardware, como computadoras, servidores e impresoras, hasta dispositivos móviles y unidades de almacenamiento extraíbles como memorias USB. También abarca elementos físicos como oficinas, suministro eléctrico, aire acondicionado y otros recursos esenciales para el funcionamiento.

Otro aspecto importante es la identificación del software involucrado en estos procesos. No se trata solo de programas comerciales adquiridos, sino también de software libre y herramientas internas desarrolladas específicamente para la empresa. Además, se deben considerar las actividades que han sido subcontratadas, como servicios legales, limpieza, soluciones en la nube, correo y otros.

Es fundamental también reconocer a las personas clave dentro de la organización, ya que parte del conocimiento crítico del negocio muchas veces reside exclusivamente en la mente de ciertos empleados. Esta información no siempre está documentada y su pérdida podría representar un riesgo significativo.

Luego, se debe determinar cómo se transmite la información dentro y fuera de la organización, así como los soportes en los que se encuentra almacenada. Estos pueden ser archivos electrónicos en diversos formatos (PDF, Word, Excel, bases de datos) o documentos físicos en papel, entre otros.

Estructura recomendada para el Inventario de Activos

Para mantener un control adecuado de los activos de información, se recomienda seguir la norma ISO 27001 y estructurar el inventario de la siguiente manera:

• Nombre del proceso
• Propietario del proceso
• Nombre del activo
• Descripción del activo
• Tipo de activo y medio de almacenamiento (copia impresa, archivo digital, dispositivo extraíble, etc.)
• Contiene datos personales? (Sí/No)
• Contiene datos personales sensibles? (Sí/No)
• Nivel de confidencialidad (Alta, Media, Baja)
• Disponibilidad del activo (Alta, Media, Baja)
• Integridad del activo (Alta, Media, Baja)
• Responsable de la custodia del activo
• Periodo de retención de los datos
• Nivel de protección actual

Ejemplo de medidas de protección para copias impresas:

• Guardado en caja fuerte a prueba de fuego
• Bajo llave en todo momento
• Almacenado en un armario cerrado
• Guardado en el escritorio sin seguridad adicional

Ejemplo de medidas de protección para copias digitales:

• Archivos almacenados en unidades locales sin protección
• Archivos en PC con contraseña
• Archivos almacenados en red con o sin cifrado
• Archivos protegidos en discos duros extraíbles

Si la información se transmite a otro lugar, es importante especificar el destino y el nivel de protección en ese punto.

Valoración de Activos y Asignación de Riesgos

Una vez identificados los activos, el siguiente paso es evaluar el nivel de riesgo asociado a cada uno de ellos. Esto implica analizar el impacto potencial que tendría la pérdida de confidencialidad, disponibilidad o integridad de la información.

El riesgo puede entenderse como la probabilidad de que ocurra un evento negativo y su impacto en la organización. Para ello, se debe valorar tanto la magnitud del daño potencial como la posibilidad real de que suceda.

Para determinar el impacto, se puede utilizar la siguiente escala de cinco niveles:

5 – Impacto Extremo

• Pérdidas económicas catastróficas
• Cobertura mediática negativa a nivel internacional
• Riesgo legal con posibilidad de cárcel para directivos
• Multas significativas o demandas colectivas
• Posibles lesiones graves o muertes de empleados o clientes
• Fuga de talento clave con consecuencias irreversibles

4 – Impacto Importante

• Pérdidas económicas considerables
• Impacto mediático negativo prolongado a nivel nacional
• Pérdida significativa de cuota de mercado
• Requerimiento de intervención regulatoria
• Atención hospitalaria necesaria para empleados o clientes
• Alta rotación de empleados experimentados

3 – Impacto Moderado

• Pérdidas económicas relevantes pero manejables
• Daño reputacional en medios de alcance nacional
• Intervención regulatoria con acciones correctivas inmediatas
• Tratamiento médico ambulatorio para empleados o clientes
• Problemas de moral y desmotivación en el personal

2 – Impacto Menor

• Pérdidas económicas pequeñas
• Impacto reputacional limitado a nivel local
• Incidente regulatorio sin necesidad de seguimiento
• Sin afectaciones graves a empleados o clientes
• Aumento de la rotación del personal

1 – Impacto Incidental

• Pérdidas financieras insignificantes
• Daño reputacional breve y fácilmente mitigable
• Incidente no reportable a las autoridades
• Sin consecuencias físicas ni legales para empleados o clientes
• Baja satisfacción del personal

Evaluación del Impacto en cada Activo

Cada activo será evaluado en función de esta escala, asignando un puntaje del 0 al 5 en cada una de sus dimensiones:

• 0 – No aplica
• 1 – Incidental
• 2 – Menor
• 3 – Moderado
• 4 – Importante
• 5 – Extremo

Con este esquema se obtiene una visión clara del impacto que podría tener una brecha de seguridad en cada activo de información.

Identificación de Amenazas

El siguiente paso en la gestión de riesgos es elaborar un catálogo de amenazas. Aquí se incluyen todos los eventos o intentos que podrían comprometer la seguridad de la información, desde ataques cibernéticos hasta errores humanos o desastres naturales.

Este análisis permitirá establecer estrategias de mitigación adecuadas para proteger la información crítica de la organización.

Catálogo de Amenazas en la Seguridad de la Información

Para proteger adecuadamente la información de una organización, es fundamental identificar y analizar las amenazas que pueden comprometer la integridad, disponibilidad y confidencialidad de los activos. Esto requiere conocer tanto las fuentes de amenaza como las áreas del sistema que pueden verse afectadas.

La identificación de amenazas puede abordarse desde distintas perspectivas, ya sea considerando su origen, los agentes involucrados y sus motivaciones, o bien evaluando el impacto que podrían causar en la seguridad de la información. Para facilitar este análisis, se propone primero identificar las amenazas y luego determinar su nivel de impacto sobre cada activo en particular.

A continuación, se presenta un catálogo de amenazas genérico que puede servir como base para evaluar los riesgos dentro de una organización.

Ejemplo de Catálogo de Amenazas en la Seguridad de la Información

Amenazas Ambientales y Físicas

A1 – Incendios
El fuego puede representar un riesgo significativo en centros de procesamiento de datos (CPD), oficinas y almacenes. Es necesario evaluar la resistencia de las instalaciones, la existencia de planes de contingencia, los sistemas de detección y extinción de incendios, así como la correcta implementación de medidas preventivas.

A2 – Condiciones Climáticas Extremas
Las condiciones meteorológicas adversas pueden afectar equipos e infraestructuras críticas. Por ejemplo, las altas temperaturas pueden generar fallos en servidores o provocar la desmagnetización de soportes de almacenamiento, mientras que tormentas eléctricas pueden ocasionar cortes en el suministro eléctrico y dañar equipos sensibles.

A3 – Inundaciones
Las inundaciones pueden producirse por diversos factores:

• Fallos en el suministro de agua
• Averías en sistemas de calefacción o riego
• Activación accidental o mal funcionamiento de sistemas contra incendios
• Sabotajes intencionales (grifos abiertos, bloqueos de desagües)

Es clave evaluar la ubicación de los equipos críticos y la existencia de sistemas de drenaje y protección contra inundaciones.

A4 – Contaminación, Polvo y Corrosión
El polvo y otros contaminantes pueden afectar los equipos electrónicos y su rendimiento. Algunas fuentes de contaminación incluyen:

• Obras de construcción o remodelaciones en las instalaciones
• Acumulación de polvo por procesos industriales o de empaquetado
• Instalación de nuevos equipos sin las medidas de protección adecuadas

La correcta limpieza y mantenimiento de las salas de servidores es esencial para minimizar estos riesgos.

A5 – Desastres Naturales
Se debe evaluar la exposición de la organización a fenómenos naturales como terremotos, tormentas eléctricas o tsunamis. Estos eventos pueden comprometer la infraestructura física, las comunicaciones y la continuidad del negocio.

A6 – Desastres Ambientales
Incluyen incendios, explosiones y fugas de sustancias peligrosas, tanto dentro como en las inmediaciones de la organización. Se deben analizar factores como:

• La proximidad a empresas con actividades de riesgo
• Posibles restricciones de acceso al trabajo debido a incidentes ambientales

Amenazas Relacionadas con Infraestructura y Servicios

A7 – Obras y Manifestaciones en el Entorno
Las construcciones cercanas pueden afectar el suministro eléctrico, las redes de comunicación o incluso el acceso físico a la organización. De igual forma, protestas o disturbios públicos pueden poner en riesgo la seguridad del personal y de las instalaciones.

A8 – Interrupción del Suministro Eléctrico
Los cortes eléctricos pueden afectar gravemente las operaciones de la empresa. Se deben analizar los siguientes factores:

• Microcortes y fluctuaciones de voltaje
• Estabilidad de la red eléctrica
• Dependencia de sistemas de seguridad y ascensores
• Duración de las interrupciones y existencia de fuentes de respaldo

A9 – Fallos en Redes de Comunicación
Las interrupciones en las redes de comunicación pueden impactar en:

• La comunicación con clientes y proveedores
• Procesos internos de la empresa
• Pérdida de datos y fallos en sistemas de pedidos
• Dependencia de servicios en la nube o Internet

Se deben establecer planes de contingencia para minimizar el impacto de estas interrupciones.

A10 – Fallo en el Suministro de Servicios Básicos
El corte de servicios esenciales como agua, gas o sistemas de ventilación puede afectar la operatividad de la empresa. Es importante analizar su impacto en:

• Climatización de oficinas y centros de datos
• Sistemas contra incendios y alarmas de seguridad
• Control de accesos y videovigilancia

A11 – Fracaso o Interrupción de los Proveedores de Servicios
Las organizaciones dependen cada vez más de terceros para la prestación de servicios esenciales. Un fallo en estos proveedores puede generar:

• Interrupción total o parcial de servicios críticos
• Niveles de calidad insuficientes
• Indisponibilidad de instalaciones externas

A12 – Interferencias en Redes Inalámbricas
Las interferencias pueden afectar la conectividad y la calidad del servicio en tecnologías como:

• Redes WLAN
• Bluetooth
• GSM, UMTS y otras redes móviles

A13 – Emisiones Comprometidas
Las emisiones electromagnéticas de los dispositivos pueden ser interceptadas, permitiendo el espionaje de información sensible. Se deben tomar medidas de protección, como el blindaje de salas y la encriptación de comunicaciones.

Amenazas de Seguridad de la Información y Ciberseguridad

A14 – Espionaje
La exposición de información confidencial sobre la compañía, sus productos o servicios puede dar ventaja a la competencia o a actores malintencionados. Entre las técnicas utilizadas están:

• Escuchas ilegales
• Intercepción de señales de transmisión
• Interceptación de datos en redes públicas sin cifrado

A15 – Robo de Dispositivos y Soportes de Información
Los dispositivos de almacenamiento, ordenadores portátiles y documentos físicos pueden ser sustraídos, lo que pone en riesgo la confidencialidad de la información.

A16 – Pérdida de Dispositivos y Documentos
Casos comunes incluyen:

• Equipos portátiles olvidados en lugares públicos
• Tarjetas de memoria extraviadas
• Documentos impresos dejados en restaurantes, transporte público o reuniones externas

A17 – Mala Planificación o Falta de Adaptación
Errores en la gestión de tecnología pueden llevar a fallos de seguridad:

• Procesos de mantenimiento inadecuados
• Errores en la adquisición e implementación de nuevas tecnologías

A18 – Información o Productos de Fuentes No Confiables
La descarga de software no verificado o el uso de información sin validación pueden introducir riesgos, como:

• Malware en archivos adjuntos de correos electrónicos
• Instalación de software desconocido en sistemas críticos

A19 – Manipulación de Hardware o Software
Puede ser causada por:

• Empleados descontentos que buscan sabotear sistemas
• Actos ilícitos con fines de lucro

A20 – Manipulación de Información

• Alteración intencionada de datos en formato digital o impreso
• Falsificación de documentos y registros

A21 – Acceso No Autorizado a los Sistemas

• Accesos indebidos a aplicaciones o bases de datos
• Uso de credenciales robadas o vulnerabilidades explotadas

A22 – Destrucción de Dispositivos o Soportes de Información

• Daños intencionados a sistemas de almacenamiento
• Eliminación de información clave por negligencia o sabotaje

A23 – Fallo de Dispositivos o Sistemas
Los fallos pueden deberse a diversas razones, como:

• Errores humanos
• Defectos de fabricación
• Ataques dirigidos o sabotajes

A24 – Mal Funcionamiento de Dispositivos o Sistemas
Factores que pueden contribuir a fallos en la infraestructura:

• Falta de mantenimiento
• Exceso de uso y sobrecarga de hardware
• Defectos de diseño o fabricación

Amenazas Relacionadas con la Disponibilidad de Recursos

A25 – Falta de Recursos
La insuficiencia de recursos puede provocar:

• Cuellos de botella en procesos clave
• Falta de capacidad en sistemas informáticos
• Escasez de personal calificado

A26 – Vulnerabilidades o Errores de Software

• Errores de programación explotables por atacantes
• Fallos en navegadores y aplicaciones web

A27 – Violación de Leyes o Regulaciones
El incumplimiento de normativas puede generar sanciones legales y pérdida de confianza. Ejemplos incluyen:

• Uso indebido de datos personales
• Incumplimiento de contratos y regulaciones de seguridad

Amenazas Relacionadas con el Uso y Gestión de Sistemas

A28 – Uso No Autorizado de Dispositivos y Sistemas
El acceso a sistemas sin autorización puede derivar en fugas de datos o alteraciones en la configuración.

A29 – Uso Incorrecto de Sistemas
Errores en la gestión y administración de plataformas pueden llevar a fallos operativos y vulnerabilidades explotables.

A30 – Abuso de Autorizaciones
Usuarios con privilegios elevados pueden abusar de su acceso para manipular información o extraer datos confidenciales.

A31 – Ausencia de Personal Crítico

• Baja repentina de empleados clave
• Falta de personal capacitado en situaciones de emergencia
• Pérdida de conocimientos especializados

Amenazas de Seguridad Física y Ataques Malintencionados

A32 – Terrorismo
Los ataques dirigidos pueden incluir:

• Explosiones e incendios provocados
• Atentados con armas de fuego
• Sabotaje a infraestructuras críticas

A33 – Coerción, Extorsión o Corrupción

• Uso indebido de datos mediante amenazas o sobornos
• Acceso forzado a información confidencial

A34 – Robo de Identidad

• Uso fraudulento de información personal
• Creación de perfiles falsos con datos reales

A35 – Comportamientos Antiéticos

• Negación de recepción de información crítica
• Ocultamiento de registros o evidencias

A36 – Abuso de Datos Personales

• Recopilación ilegal de información personal
• Uso indebido de datos para fines no autorizados
• Divulgación no consentida de datos sensibles

Ciberataques y Amenazas Tecnológicas

A37 – Software Malicioso
Las amenazas incluyen:

• Virus
• Gusanos
• Troyanos
• Spyware y ransomware

A38 – Ataques de Denegación de Servicio (DoS/DDoS)

• Sobrecarga intencionada de sistemas para interrumpir su funcionamiento
• Bloqueo de accesos mediante ataques masivos

A39 – Ingeniería Social
Los ataques de ingeniería social buscan explotar la confianza humana para obtener información sensible, a través de:

• Llamadas fraudulentas solicitando credenciales
• Emails de phishing dirigidos

A40 – Reproducción de Mensajes Maliciosos

• Intercepción de transmisiones legítimas
• Inserción de datos maliciosos en la comunicación

A41 – Entrada No Autorizada a las Instalaciones
El acceso físico no autorizado puede comprometer la seguridad de servidores, documentos confidenciales y dispositivos de almacenamiento.

A42 – Pérdida de Datos
Los datos pueden perderse debido a:

• Eliminación accidental
• Corrupción por software malicioso
• Errores de hardware o ataques cibernéticos

Este catálogo cubre una amplia variedad de amenazas que pueden afectar la seguridad de la información en cualquier organización. La correcta identificación y evaluación de estos riesgos permitirá implementar medidas preventivas y de mitigación que reduzcan la probabilidad de incidentes graves, protegiendo así la continuidad del negocio y la integridad de los activos de información.

Valoración de las amenazas Para la Seguridad de la Información

Para evaluar adecuadamente el nivel de riesgo que enfrenta una organización en materia de seguridad de la información, es fundamental realizar una valoración detallada de las amenazas. Esta evaluación se basa en dos factores clave: la frecuencia o probabilidad de ocurrencia y el nivel de vulnerabilidad de la organización ante cada amenaza.

Frecuencia o Probabilidad de Ocurrencia

Determinar la probabilidad de que una amenaza se materialice es un paso esencial en la gestión de riesgos. Para ello, se puede utilizar una escala de valores que permita medir con precisión la frecuencia con la que un incidente podría presentarse.

Escala de Frecuencia de Ocurrencia

Probabilidad Mínima o Muy Baja (Valor 0):
No hay antecedentes de incidentes similares ni agresores identificados. No existen registros de eventos de esta naturaleza en el sector o área geográfica.

Probabilidad Potencial o Baja (Valor 1):
Existen reportes de incidentes en otras organizaciones del sector o en la misma área geográfica, pero no se han registrado eventos en la empresa en cuestión. Se espera que puedan ocurrir de manera esporádica.

Probabilidad Creíble o Media (Valor 2):
Se han detectado antecedentes de este tipo de amenazas tanto en la organización como en el sector. La ocurrencia de estos eventos es periódica, aunque sin una frecuencia específica.

Probabilidad Definida o Alta (Valor 3):
Existen registros frecuentes de incidentes de esta naturaleza en la organización. Se han identificado agresores o fuentes de ataque recurrentes, y los eventos ocurren con una frecuencia establecida.

Nivel de Vulnerabilidad

La vulnerabilidad mide el impacto potencial de la pérdida de información si la amenaza se concreta. No todas las amenazas afectan de la misma manera a una organización, y su impacto varía según el tipo de activo comprometido.

Por ejemplo, la pérdida de acceso a una base de datos de empleados durante unos minutos podría no tener consecuencias significativas, pero la interrupción de un sistema de control ferroviario por el mismo tiempo podría generar un desastre operativo.

Escala de Valoración de la Vulnerabilidad

Menor deterioro inexistente (Valor 0):

• No hay impacto en instalaciones ni operaciones.
• La interrupción es menor a 2 horas.
• No se registra pérdida o daño en activos importantes.

Perceptible o deterioro bajo (Valor 1):

• Se produce una interrupción menor a 8 horas.
• La organización puede seguir operando aunque con limitaciones.
• Existen daños limitados en activos, pero la mayoría de las instalaciones no se ven afectadas.

Grave o deterioro medio (Valor 2):

• Instalaciones parcialmente dañadas (fallos en climatización, filtraciones de agua, humo, incendios en zonas específicas).
• Algunos activos de información sufren daños irreparables, aunque la infraestructura principal sigue operativa.
• Es posible que toda la instalación deba cerrar temporalmente (hasta una semana) o que algunas áreas permanezcan inoperativas por hasta cuatro semanas.
• Es necesario trasladar activos críticos a ubicaciones seguras para evitar pérdidas.

Catastrófica o deterioro alto (Valor 3):

• Daños irreparables en infraestructuras críticas.
• La mayoría de los activos de información quedan destruidos o inaccesibles sin posibilidad de recuperación.
• Pérdida masiva de datos y activos esenciales para la continuidad del negocio.
• La instalación queda inutilizable o requiere una reconstrucción completa.

La combinación de la probabilidad de ocurrencia y el nivel de vulnerabilidad permite establecer una valoración de riesgo precisa para cada amenaza. Esta evaluación es clave para la toma de decisiones estratégicas en materia de seguridad de la información, priorizando las medidas de protección en función del nivel de riesgo identificado.

Con una valoración adecuada, la organización podrá implementar planes de mitigación eficaces, garantizando la integridad, disponibilidad y confidencialidad de sus activos digitales y físicos.

Análisis de Riesgos

El análisis de riesgos es un proceso fundamental para determinar la exposición de los activos de información a diferentes amenazas. Este proceso se basa en la combinación de la frecuencia o probabilidad de ocurrencia y el nivel de vulnerabilidad de cada activo.

Para realizar un análisis completo, seguimos una serie de pasos que nos permiten calcular el nivel de riesgo real al que está expuesta la organización y, con base en ello, definir estrategias de mitigación efectivas.

Paso 1: Definir Niveles de Impacto de las Amenazas

Cada amenaza genera un impacto específico en los activos de información, dependiendo de su nivel de vulnerabilidad y del daño que pueda causar en cada dimensión del activo:

• Confidencialidad: Grado de exposición de información sensible.
• Disponibilidad: Capacidad de acceso a la información cuando se necesita.
• Integridad: Precisión y fiabilidad de la información almacenada o transmitida.

Para determinar este impacto, se construye una tabla de valores de impacto, en la que se asigna un nivel de severidad a cada combinación de amenaza y activo en función de su nivel de vulnerabilidad.

Paso 2: Calcular los Valores de Impacto de Cada Activo

Con los datos recopilados previamente, podemos asignar valores a cada activo utilizando las siguientes escalas:

• Escala de valoración de amenazas (probabilidad de ocurrencia)
• Escala de valoración de activos (nivel de deterioro en confidencialidad, disponibilidad e integridad)

A partir de estas escalas, se construye una tabla de valoración de activos, que permite medir la exposición de cada uno a amenazas específicas.

Paso 3: Calcular el Nivel de Impacto

Una vez obtenidos los valores de impacto en los activos, se establece el nivel de impacto final para cada combinación de probabilidad de ocurrencia y nivel de deterioro.

Fórmula de impacto:
📌 Valor Probabilidad/Ocurrencia + Valor Deterioro = Nivel de Impacto

A partir de esta relación, se genera una matriz de impacto, que permite visualizar los activos más vulnerables y aquellos con mayor riesgo de sufrir daños graves.

Paso 4: Calcular el Nivel de Riesgo

El análisis de riesgos debe realizarse sin considerar inicialmente las medidas de mitigación existentes. Esto permite obtener una evaluación realista de los riesgos antes de aplicar soluciones y así priorizar aquellas que sean más efectivas.

El objetivo final es obtener un valor de riesgo para cada activo de información y cada amenaza a la que está expuesto. Esto servirá como base para definir estrategias de tratamiento de riesgos.

Para esto, se construye la Matriz General de Riesgos, utilizando la tabla de valores de impacto y la escala de probabilidad de ocurrencia.

Los valores de riesgo se determinan combinando:

📌 Valor Probabilidad/Ocurrencia + Nivel de Impacto = Nivel de Riesgo

Finalmente, se genera una tabla denominada Mapa de Riesgos, que proporciona una visión clara de las amenazas más críticas y los activos más vulnerables dentro de la organización.

El análisis de riesgos es una herramienta clave en la seguridad de la información, ya que permite identificar y priorizar amenazas, evaluar su impacto y definir medidas de mitigación adecuadas. Con la matriz de riesgos y el mapa de riesgos obtenidos, la organización podrá tomar decisiones estratégicas para reforzar la seguridad de sus activos y garantizar la continuidad del negocio.

Evaluación de riesgos

Evaluación de Riesgos en la Seguridad de la Información

Una vez que hemos determinado el nivel de riesgo asociado a cada amenaza que puede afectar a los activos de información, el siguiente paso es definir los criterios de aceptación del riesgo. Es decir, debemos establecer qué niveles de riesgo pueden ser asumidos por la organización y cuáles requieren medidas de mitigación.

Para ello, se utilizan niveles de clasificación del riesgo, que permiten definir estrategias de tratamiento adecuadas según la criticidad del riesgo identificado.

Clasificación y Valoración del Riesgo

En el análisis de riesgos, se establecen cuatro niveles para clasificar la gravedad del riesgo y determinar las acciones necesarias:

1️⃣ Riesgo Bajo – Riesgos que pueden ser aceptados sin necesidad de medidas adicionales.
2️⃣ Riesgo Moderado – Se recomienda monitoreo y medidas básicas de control.
3️⃣ Riesgo Alto – Se requieren acciones concretas para reducirlo.
4️⃣ Riesgo Crítico – Se deben tomar medidas urgentes para mitigarlo.

Con base en esta clasificación, se identifican los riesgos inaceptables, los cuales deberán ser tratados mediante la implementación de controles de seguridad adecuados.

Tratamiento de Riesgos

El tratamiento de riesgos es la fase en la que se establecen las estrategias para gestionar los riesgos inaceptables. Para ello, existen cuatro opciones principales:

1️⃣ Mitigar el Riesgo

Reducir el riesgo a un nivel aceptable mediante la implementación de controles de seguridad. Para esto, se aplican medidas del Anexo A de la norma ISO 27001 (también referenciado en ISO 27002).

Ejemplos de mitigación incluyen:

• Implementación de firewalls y sistemas de detección de intrusos.
• Cifrado de datos sensibles.
• Implementación de autenticación multifactor.

2️⃣ Transferir el Riesgo

Se transfiere el impacto de un riesgo a un tercero mediante un contrato o seguro.

Ejemplos de transferencia de riesgos:
✅ Adquirir pólizas de seguro para incidentes cibernéticos.
✅ Delegar la gestión de servidores a un proveedor con certificaciones de seguridad.

3️⃣ Evitar el Riesgo

En algunos casos, la mejor estrategia es evitar completamente el riesgo eliminando la actividad que lo origina.

Ejemplos de evitar el riesgo:
✅ No almacenar datos sensibles si no es estrictamente necesario.
✅ Descontinuar el uso de software obsoleto con vulnerabilidades conocidas.

4️⃣ Aceptar el Riesgo

Cuando el costo de mitigación supera el impacto del riesgo, la organización puede optar por aceptarlo.

Ejemplos de aceptación del riesgo:
✅ Mantener sistemas con riesgos menores bajo monitoreo sin aplicar medidas adicionales.
✅ Asumir el riesgo de interrupciones menores en servicios no críticos.

La evaluación de riesgos permite tomar decisiones estratégicas para la seguridad de la información. Al clasificar y tratar los riesgos según su criticidad, la organización puede optimizar sus recursos y garantizar la protección efectiva de sus activos más valiosos.

El siguiente paso en la gestión de riesgos será la implementación de controles específicos y la supervisión continua de la efectividad de las medidas adoptadas.

Gestión de Responsables del Riesgo y Aplicación de Controles de Seguridad

El siguiente paso en la gestión de riesgos es definir qué estrategia se implementará para tratar cada uno de los riesgos identificados y asignar un responsable que tomará las decisiones necesarias sobre su tratamiento.

Cada riesgo debe tener un propietario del riesgo, quien se encargará de evaluar la amenaza y determinar la acción más adecuada para mitigar, transferir, evitar o aceptar el riesgo.

Documentación del Análisis de Riesgos

Para garantizar un proceso estructurado y bien fundamentado, la documentación del análisis de riesgos debe incluir:

• Criterios utilizados en la valoración de los riesgos: Explicación detallada de la metodología aplicada para evaluar los impactos y asignar niveles de riesgo.
• Valoraciones individuales de cada riesgo: Detalle del impacto de cada amenaza en los activos de información.
• Inventario de activos de información: Relación de los activos junto con sus respectivos propietarios y características relevantes.
• Definición de los riesgos asumibles: Determinar qué riesgos pueden aceptarse sin medidas adicionales y cuáles requieren tratamiento.

Con esta información consolidada, se procederá a definir el tratamiento de cada riesgo y documentar la decisión tomada en cada caso.

Selección de controles: Declaración de Aplicabilidad

Una vez identificados los riesgos que requieren mitigación, el siguiente paso es seleccionar los controles de seguridad que se aplicarán a los activos expuestos.

Para una selección adecuada de controles, es recomendable disponer de una tabla que refleje las características de cada activo, incluyendo:

• Clasificación de la información (nivel de confidencialidad, datos personales, etc.)
• Necesidad de establecer controles de acceso
• Incorporación en procesos de copia de seguridad
• Soportes donde se encuentra almacenada la información
• Necesidad de transmitir la información a terceros

A partir de esta información, se seleccionarán los controles técnicos y organizativos necesarios para proteger cada activo frente a las amenazas identificadas.

Gestión de Responsables del Riesgo y Aplicación de Controles de Seguridad

El siguiente paso en la gestión de riesgos es definir qué estrategia se implementará para tratar cada uno de los riesgos identificados y asignar un responsable que tomará las decisiones necesarias sobre su tratamiento.

Cada riesgo debe tener un propietario del riesgo, quien se encargará de evaluar la amenaza y determinar la acción más adecuada para mitigar, transferir, evitar o aceptar el riesgo.

---

Documentación del Análisis de Riesgos

Para garantizar un proceso estructurado y bien fundamentado, la documentación del análisis de riesgos debe incluir:

• Criterios utilizados en la valoración de los riesgos: Explicación detallada de la metodología aplicada para evaluar los impactos y asignar niveles de riesgo.
• Valoraciones individuales de cada riesgo: Detalle del impacto de cada amenaza en los activos de información.
• Inventario de activos de información: Relación de los activos junto con sus respectivos propietarios y características relevantes.
• Definición de los riesgos asumibles: Determinar qué riesgos pueden aceptarse sin medidas adicionales y cuáles requieren tratamiento.

Con esta información consolidada, se procederá a definir el tratamiento de cada riesgo y documentar la decisión tomada en cada caso.

---

Selección de Controles: Declaración de Aplicabilidad

Una vez identificados los riesgos que requieren mitigación, el siguiente paso es seleccionar los controles de seguridad que se aplicarán a los activos expuestos.

Para una selección adecuada de controles, es recomendable disponer de una tabla que refleje las características de cada activo, incluyendo:

• Clasificación de la información (nivel de confidencialidad, datos personales, etc.)
• Necesidad de establecer controles de acceso
• Incorporación en procesos de copia de seguridad
• Soportes donde se encuentra almacenada la información
• Necesidad de transmitir la información a terceros

A partir de esta información, se seleccionarán los controles técnicos y organizativos necesarios para proteger cada activo frente a las amenazas identificadas.

---

Análisis de Aplicabilidad y Declaración de Aplicabilidad

Finalmente, se debe realizar un análisis de aplicabilidad para garantizar que se han considerado todos los controles del Anexo A de la norma ISO 27001 y verificar que ningún control relevante ha sido omitido.

📌 Puntos clave del análisis de aplicabilidad:

• Se deben aplicar todos los controles obligatorios de la norma, como la asignación de responsabilidades o la política de privacidad.
• Se deben documentar las razones por las cuales un control ha sido seleccionado o descartado para un activo en particular.
• La Declaración de Aplicabilidad se convertirá en un documento formal que respaldará la estrategia de seguridad de la organización.

Con la asignación de responsables del riesgo y la definición de los controles de seguridad, la organización establece una estructura sólida para gestionar amenazas de manera eficiente. La Declaración de Aplicabilidad servirá como un pilar fundamental para garantizar la protección de los activos de información y el cumplimiento de los requisitos normativos de ISO 27001.

No te detengas, sigue avanzando

Aquí tienes un propósito para este 2025 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera! El mundo necesita más hackers…

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Hemos creado una ruta de 0 a 100. Un plan de desarrollo que va desde las bases: cómo aprender hacking, qué aprender, en qué orden; pasando por las areas técnicas necesarias como Linux, Redes, Programación y los conocimientos necesarios en ciber seguridad, hacking, pentesting hasta la práctica y el inicio laboral: Crear tu propio laboratorio, certificaciones, adquirir experiencia e iniciarse laboralmente.

Hacker de 0 a 100 desde las bases hasta conseguir empleo

Este es un mega post. Una guía con más de 400 artículos que te llevaran por el camino del hacker. Esta guía es gratuita y esta creada gracias al esfuerzo y al trabajo combinado de Alvaro Chirou y mío (Laprovittera Carlos).

Creamos esta guía: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 y curso: Cómo iniciarse en Hacking y Ciberseguridad para que puedas iniciarte en este mundo. Puedes arrancar ahora, GRATIS, solo necesitas un PC, conexión a internet y paciencia (Ser hacker NO ES un camino de la noche a la mañana).

El Hacking y la ciberseguridad es una carrera divertida, emocionante y gratificante que te recompensará y desafiará por igual. Sin embargo, para quienes buscan adentrarse en este campo en auge y en constante evolución, puede resultar difícil saber por dónde empezar. ¡Ahí es donde entra en juego nuestra guía en ciberseguridad!

Esta es la hoja de ruta hacia el trabajo de ciberseguridad de tus sueños. Te ayudará a entender qué conocimientos, habilidades y certificados son necesarios para alcanzar tus metas profesionales y tener una carrera próspera. Si quieres ser consultor de ciberseguridad, analista de malware, evaluador de penetración, analista de SOC o cualquier otro puesto de ciberseguridad, esta guía es lo que necesitas.

Esta guía va a tener una actualización constante durante todo el año. Para no hacer de esta guía un post maratónicamente largo voy a dividirlo en varios capítulos que van desde como iniciar en hacking y ciberseguridad, pasando por conocimientos básicos como Redes, Linux, Programación, Hasta como obtener certificaciones y trabajo. Cada capítulo contiene links a otros posts en donde desarrollo mejor cada tema y a webs externas que complementan este material.

Lo que vas a aprender en esta guía de Hacking y Ciberseguridad

Esta es la guía completa de Cómo Iniciarse en Hacking y Ciberseguridad en 2025:

• La mejor forma de Aprender Hacking y Ciberseguridad en 2025
• Lo que tienes que saber antes de empezar tu vida de hacker
• Habilidades y Competencias que debe tener un Hacker Profesional
• El Camino del Hacker – Las 3 etapas de una carrera exitosa
• Inicia tu carrera como Hacker – GENERAL CYBER SECURITY
• Qué es Realmente el Hacking y Cómo Puedo Trabajar Legalmente
• Tipos de Hackers y Teams
• Cómo Iniciarse en Hacking y Redes en 2025
• Hardware para Hacking de Redes
• Cómo Iniciarse en Hacking y Linux en 2025
• Cómo Iniciarse en Hacking y Programación en 2025
• Python para hackers en 2025
• Cómo Aprender Inglés para Hackers: Guía Definitiva 2025
• Arma tu PC ideal para Hacking en 2025
• Cómo crear un Laboratorio de Hacking en 2025
• Las 500 Mejores Herramientas para Hackers
• Cómo obtener Práctica como Hacker en 2025
• Cómo Iniciarse en CTF en 2025 y Aprender a Hackear practicando
• Mas de 100 Webs de CTF para Practicar hacking en 2025
• Cómo Obtener tus Primeras Certificaciones en 2025
• Las 10 Mejores Certificaciones de Hacking en 2025
• IA y Hacking en 2025
• OSINT en 2025 Guía Definitiva
• Hardware para Hackers en 2025
• Guia Definitiva de Flipper Zero
• Cómo Iniciarse como Pentester en 2025
• Iniciarse como Pentester en 2025 – Reconocimiento y Enumeración
• Cómo Identificar Sistemas Vulnerables y Recopilar información
• Explotación de Vulnerabilidades con Metasploit
• Post Explotación, Pivoting y Movimiento Lateral
• Reporte del Pentest, Remediación y Seguimiento
• Inicia en hacking y ciberseguridad como analista SOC en 2025
• Cómo Conseguir Trabajo de Hacker en 2025
• Como Iniciarse en Bug Bounty en 2025
• Cómo Aumentar tu Salario Pasando de Hacker Jr a Sr
• Cómo Avanzar en tu Carrera de Hacker y llegar a ser CISO
• SIGUE APRENDIENDO EN NUESTRO BLOG
  

Aprende con nuestros más de 100 cursos que tenemos disponibles para vos

Todos los Cursos

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 2.000.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes seguirme en mis redes:

• Facebook
• Twitter
• LinkedIn
• Telegram
• TikTok
• YouTube
• Instagram

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes seguirme en mis redes:

• LinkedIn
• Twitter
• Telegram
• Instagram

Compartimos estos recursos para ayudar a la comunidad de hacking y ciberseguridad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.