Identificación y valoración de riesgos

El proceso de identificación consiste en reconocer los activos de información (datos, aplicaciones, equipos, procesos, personas), las amenazas que pueden afectarlos (ciberataques, errores humanos, fallos técnicos, desastres naturales) y las vulnerabilidades que los hacen más expuestos.

La valoración de riesgos se realiza comparando probabilidad de ocurrencia e impacto potencial.

• Probabilidad: qué tan factible es que ocurra un evento.
• Impacto: consecuencias para la organización si el riesgo se materializa (operativas, legales, reputacionales, financieras).

El resultado de esta valoración se expresa generalmente en un nivel de riesgo (alto, medio o bajo), lo que facilita priorizar acciones de mitigación.