Evaluación de riesgos
¿Qué es Evaluación de riesgos?
Evaluación de riesgosActividad estructurada dentro de la gestión de riesgos que identifica amenazas, vulnerabilidades e impactos sobre activos concretos y valora el riesgo resultante para decidir su tratamiento.
Una evaluación de riesgos combina la identificación, el análisis y la valoración del riesgo para un alcance definido, como un sistema, un proceso de negocio, un proveedor o un nuevo proyecto. Quienes evalúan recopilan inteligencia de amenazas, mapean vulnerabilidades, estiman probabilidad e impacto y producen una lista priorizada de riesgos según los criterios de la organización. Los métodos van desde mapas de calor cualitativos hasta técnicas cuantitativas como FAIR o simulaciones de Monte Carlo, y sus resultados alimentan el registro de riesgos y los planes de tratamiento. Es además una exigencia regulatoria en marcos como NIST SP 800-30, ISO/IEC 27005, las EIPD del RGPD o la Security Rule de HIPAA.
● Ejemplos
- 01
Evaluación tipo NIST SP 800-30 para una nueva plataforma SaaS de nóminas.
- 02
Evaluación anual ISO 27005 que soporta la auditoría de certificación ISO 27001.
● Preguntas frecuentes
¿Qué es Evaluación de riesgos?
Actividad estructurada dentro de la gestión de riesgos que identifica amenazas, vulnerabilidades e impactos sobre activos concretos y valora el riesgo resultante para decidir su tratamiento. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Evaluación de riesgos?
Actividad estructurada dentro de la gestión de riesgos que identifica amenazas, vulnerabilidades e impactos sobre activos concretos y valora el riesgo resultante para decidir su tratamiento.
¿Cómo funciona Evaluación de riesgos?
Una evaluación de riesgos combina la identificación, el análisis y la valoración del riesgo para un alcance definido, como un sistema, un proceso de negocio, un proveedor o un nuevo proyecto. Quienes evalúan recopilan inteligencia de amenazas, mapean vulnerabilidades, estiman probabilidad e impacto y producen una lista priorizada de riesgos según los criterios de la organización. Los métodos van desde mapas de calor cualitativos hasta técnicas cuantitativas como FAIR o simulaciones de Monte Carlo, y sus resultados alimentan el registro de riesgos y los planes de tratamiento. Es además una exigencia regulatoria en marcos como NIST SP 800-30, ISO/IEC 27005, las EIPD del RGPD o la Security Rule de HIPAA.
¿Cómo defenderse de Evaluación de riesgos?
Las defensas contra Evaluación de riesgos combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Evaluación de riesgos?
Nombres alternativos comunes: Evaluación de ciberriesgos, Análisis de riesgos.
● Términos relacionados
- compliance№ 936
Gestión de riesgos
Proceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.
- compliance№ 937
Registro de riesgos
Inventario vivo de los riesgos identificados con su descripción, responsable, puntuaciones, tratamiento y estado, usado para seguir la exposición de la organización a lo largo del tiempo.
- compliance№ 888
Análisis cualitativo de riesgos
Enfoque de análisis que valora probabilidad e impacto con escalas descriptivas (bajo/medio/alto o 1-5) en lugar de valores monetarios o probabilísticos.
- compliance№ 889
Análisis cuantitativo de riesgos
Enfoque de análisis que expresa probabilidad e impacto en cifras, generalmente como probabilidades y distribuciones de pérdida monetaria, para sustentar decisiones basadas en datos.
- compliance№ 282
Evaluación de Impacto relativa a la Protección de Datos (DPIA)
Evaluación estructurada, exigida por el artículo 35 del RGPD, que identifica y mitiga los riesgos para los derechos y libertades de las personas antes de iniciar un tratamiento de alto riesgo.
- appsec№ 1150
Modelado de amenazas
Análisis estructurado que identifica activos, amenazas, vulnerabilidades y mitigaciones de un sistema para diseñar la seguridad desde el inicio, no añadirla al final.