Evaluación de riesgos
¿Qué es Evaluación de riesgos?
Evaluación de riesgosActividad estructurada dentro de la gestión de riesgos que identifica amenazas, vulnerabilidades e impactos sobre activos concretos y valora el riesgo resultante para decidir su tratamiento.
Una evaluación de riesgos combina la identificación, el análisis y la valoración del riesgo para un alcance definido, como un sistema, un proceso de negocio, un proveedor o un nuevo proyecto. Quienes evalúan recopilan inteligencia de amenazas, mapean vulnerabilidades, estiman probabilidad e impacto y producen una lista priorizada de riesgos según los criterios de la organización. Los métodos van desde mapas de calor cualitativos hasta técnicas cuantitativas como FAIR o simulaciones de Monte Carlo, y sus resultados alimentan el registro de riesgos y los planes de tratamiento. Es además una exigencia regulatoria en marcos como NIST SP 800-30, ISO/IEC 27005, las EIPD del RGPD o la Security Rule de HIPAA.
● Ejemplos
- 01
Evaluación tipo NIST SP 800-30 para una nueva plataforma SaaS de nóminas.
- 02
Evaluación anual ISO 27005 que soporta la auditoría de certificación ISO 27001.
● Preguntas frecuentes
¿Qué es Evaluación de riesgos?
Actividad estructurada dentro de la gestión de riesgos que identifica amenazas, vulnerabilidades e impactos sobre activos concretos y valora el riesgo resultante para decidir su tratamiento. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Evaluación de riesgos?
Actividad estructurada dentro de la gestión de riesgos que identifica amenazas, vulnerabilidades e impactos sobre activos concretos y valora el riesgo resultante para decidir su tratamiento.
¿Cómo defenderse de Evaluación de riesgos?
Las defensas contra Evaluación de riesgos combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Evaluación de riesgos?
Nombres alternativos comunes: Evaluación de ciberriesgos, Análisis de riesgos.