Proceso de evaluaciĂłn de riesgos de seguridad de la informaciĂłn: GestiĂłn de riesgos de seguridad de la informaciĂłn Paso #3

Posted in GestiĂłn de riesgos on junio 4, 2026
Security Risk Assessment Process

El proceso de evaluación de riesgos de seguridad es uno de los pasos más importantes de las actividades generales de gestión de riesgos de seguridad de la información de una organización.

Una vez que se identifican los riesgos de seguridad de la información a partir de diferentes fuentes de riesgo, se evalúa la probabilidad de que ocurra la seguridad de la información. La evaluación de la probabilidad es subjetiva porque los datos o la información relevante no están disponibles para la organización que predice con precisión la probabilidad de un riesgo de seguridad de la información en particular.

Proceso de evaluaciĂłn de riesgos de seguridad de la informaciĂłn

Para evaluar la probabilidad de riesgos de seguridad de la información, la organización puede considerar varios factores, como incidentes pasados, la prevalencia del riesgo de seguridad de la información en la industria, el entorno de control interno, los recursos disponibles para abordar el fraude de datos, los esfuerzos de prevención del fraude de datos por parte de la gerencia, los estándares éticos seguidos, las pérdidas inexplicables, las quejas de los clientes, etc.

Una vez que se evalĂşa la probabilidad de riesgos de seguridad de la informaciĂłn, se evalĂşa la frecuencia de ocurrencia de los incidentes de seguridad de la informaciĂłn. La frecuencia se evalĂşa en funciĂłn de la disponibilidad de informaciĂłn pasada o histĂłrica sobre los incidentes de seguridad de la informaciĂłn.

Proceso de evaluaciĂłn de riesgos de seguridad

Las frecuencias de ocurrencia de fraudes o incidentes de datos o informaciĂłn pueden definirse de la siguiente manera:

  • Muy frecuente significa que se espera que el riesgo de seguridad de la informaciĂłn ocurra diariamente o varias veces al dĂ­a. Tales riesgos pueden no tener un impacto alto, pero debido a un gran nĂşmero de ocurrencias, el impacto puede ser alto durante un perĂ­odo particular. Un ejemplo puede incluir una gran cantidad de datos crĂ­ticos de clientes a los que acceden empleados no autorizados varias veces a la semana.
  • Frecuente significa que se espera que el riesgo de seguridad de la informaciĂłn ocurra con frecuencia, que puede ser una vez al dĂ­a, cada dos dĂ­as o semanalmente. Tales riesgos de seguridad de la informaciĂłn tambiĂ©n pueden no tener un impacto alto, pero debido a un gran nĂşmero de ocurrencias, el impacto acumulativo puede ser alto durante un perĂ­odo particular. Un ejemplo puede incluir una pequeña cantidad de datos crĂ­ticos de clientes a los que accede un empleado no autorizado varias veces al mes.
  • Razonablemente frecuente significa que se espera que el riesgo de seguridad de la informaciĂłn ocurra cada semana o mes. Estos riesgos de fraude pueden tener un alto impacto debido a un menor nĂşmero de incidentes de fraude durante un perĂ­odo determinado. Un ejemplo puede incluir una pequeña cantidad de datos crĂ­ticos de clientes a los que accede un empleado no autorizado más de una vez en un perĂ­odo de seis meses.
  • Ocasional significa que los incidentes de riesgo de seguridad de la informaciĂłn no ocurren con frecuencia, pero el estafador realiza fraude en ciertas ocasiones. Tales tipos de fraude pueden tener un alto impacto porque pueden estar respaldados por una planificaciĂłn adecuada por parte de los estafadores para obtener tantos beneficios personales como sea posible. Un ejemplo puede incluir una pequeña cantidad de datos crĂ­ticos de clientes a los que se accede solo una vez cada varios años.
  • Raro significa que el incidente de seguridad de la informaciĂłn ocurre una vez a lo largo de los años, pero tiene un alto impacto tanto en tĂ©rminos de pĂ©rdidas de reputaciĂłn como financieras para la organizaciĂłn. Tales tipos de incidentes de seguridad de la informaciĂłn generalmente involucran a un gran nĂşmero de estafadores, que pueden estar dispersos en diferentes jurisdicciones y ubicaciones. Los ejemplos pueden incluir ataques cibernĂ©ticos a grandes organizaciones nacionales para obtener y usar informaciĂłn confidencial.

Del mismo modo, para la ocurrencia de riesgos de seguridad de la informaciĂłn, la organizaciĂłn realiza las definiciones, como las siguientes:

  • Casi seguro significa que las posibilidades de ocurrencia de riesgo son muy altas, lo que puede ser más del 90 por ciento de probabilidad.
  • Probablemente significa que las posibilidades de ocurrencia de riesgo oscilan entre el 65 y el 90 por ciento.
  • Razonablemente posible significa que las posibilidades de ocurrencia del riesgo oscilan entre el 35 y el 65 por ciento.
  • Improbable significa que las posibilidades de ocurrencia del riesgo oscilan entre el 10 y el 35 por ciento.
  • Remoto significa que las posibilidades de ocurrencia del riesgo son inferiores al 10 por ciento.
Proceso de evaluaciĂłn de riesgos de seguridad

Reflexiones finales

Sobre la base de la evaluación general y la utilización de la información disponible, el evaluador de riesgos de seguridad de la información desarrolla o diseña los controles preventivos y de detección en diversos procesos y actividades de la organización. Los controles preventivos y detectives se implementan principalmente en procesos de alto riesgo, donde las posibilidades de ocurrencia de incidentes de seguridad de la información son altas. Dichos procesos incluyen servidores, redes, sistemas, aplicaciones, canales de prestación de servicios en línea, etc.