📉 Análisis y gestión de riesgos

Proyectos centrados en identificar activos, amenazas, vulnerabilidades y escenarios de riesgo, priorizar su impacto y definir planes de tratamiento alineados con buenas prácticas como ISO 27005, ISO 27001 o NIST.

⬅ Volver al portfolio · Gobierno, riesgo y cultura de seguridad

Esta sección reúne trabajos enfocados en entender el riesgo de forma estructurada, conectando activos, amenazas, vulnerabilidades, impacto y decisiones de tratamiento.

El valor de estos proyectos está en demostrar que sé aterrizar el riesgo a escenarios comprensibles, priorizar con criterio, documentar decisiones y conectar el análisis con controles, responsables y seguimiento posterior.

Inventario de activos y análisis de contexto Activos CIA Contexto Valoración

Identificación y clasificación de activos de negocio y tecnológicos, valoración de impacto en confidencialidad, integridad y disponibilidad, y definición del contexto organizativo previo al análisis de riesgos.

Objetivo

Construir una base clara antes de analizar riesgos, entendiendo qué se protege, por qué es importante y qué impacto tendría su afectación.

Qué se trabaja

Inventario de activos, propietarios, clasificación, impacto CIA, dependencias, contexto de negocio, criticidad y alcance del análisis.

Evidencias / entregables

Inventario estructurado, documento de contexto, clasificación de activos, criterios de criticidad y base para escenarios de riesgo.

Valor en entrevista

Muy útil para mostrar que entiendes que el riesgo no empieza en la amenaza, sino en conocer bien qué activos importan y por qué.

  • 📄 Documento
    Inventario de activos y contexto (PDF)
  • 🧩 Ideas útiles
    Aquí encajan muy bien un inventario simple de activos críticos, mapa de dependencias, valoración CIA o una mini definición de alcance para SGSI.
Muy útil para entrevistas: explica cómo priorizarías activos si una organización pequeña no puede analizar todo a la vez.
Matriz de riesgos y metodología de valoración ISO 27005 Probabilidad Impacto Priorización

Definición de criterios de valoración, escalas de probabilidad e impacto y construcción de una matriz de riesgos para priorizar escenarios sobre los activos más relevantes.

Objetivo

Crear una metodología razonable, repetible y defendible para valorar riesgos sin depender de intuiciones poco consistentes.

Qué se trabaja

Escalas, criterios, fórmulas simples, riesgo inherente, riesgo residual, niveles de criticidad, apetito de riesgo y priorización.

Evidencias / entregables

Matriz en Excel, documento metodológico, criterios de valoración, ejemplos de cálculo y justificación de las escalas elegidas.

Valor en entrevista

Este bloque te ayuda mucho a demostrar criterio y capacidad para traducir conceptos de riesgo a algo operativo y entendible.

Muy útil para entrevistas: queda muy bien explicar cómo evitarías que una matriz se convierta en algo arbitrario o puramente “de papel”.
Escenarios de riesgo y caso práctico aplicado Pyme Escenarios Riesgo inherente / residual Informe ejecutivo

Aplicación de la metodología a una organización ficticia o caso realista: identificación de escenarios, valoración del riesgo, análisis antes y después de controles y priorización de recomendaciones.

Objetivo

Demostrar que la metodología puede aplicarse a un contexto concreto y generar decisiones útiles más allá de la teoría.

Qué se trabaja

Escenarios activo-amenaza-vulnerabilidad-impacto, riesgo inherente, controles existentes, riesgo residual, priorización y resumen ejecutivo.

Evidencias / entregables

Informe de análisis, fichas de riesgo, resumen para dirección, valoración antes/después y recomendaciones ordenadas por prioridad.

Valor en entrevista

Muy útil para explicar un caso “de principio a fin” y enseñar cómo conviertes metodología en decisiones concretas.

Muy útil para entrevistas: este tipo de caso práctico te puede servir muchísimo para contar una historia completa y muy defendible.
Plan de tratamiento y seguimiento de riesgos Tratamiento Controles Responsables Seguimiento

Diseño del plan de tratamiento posterior al análisis: evitar, reducir, transferir o aceptar, asignando responsables, fechas objetivo, controles propuestos y seguimiento de avance.

Objetivo

Aterrizar el análisis en acciones concretas para que el riesgo no quede solo documentado, sino gestionado.

Qué se trabaja

Opciones de tratamiento, priorización, responsables, fechas, acciones, relación con controles y revisión periódica del riesgo.

Evidencias / entregables

Plan de tratamiento, registro de acciones, responsables, estado, métricas de seguimiento y documentación de decisiones.

Valor en entrevista

Este bloque es muy importante porque demuestra que entiendes que el análisis solo tiene sentido si termina en decisiones y seguimiento real.

  • 📄 Plan
    Plan de tratamiento de riesgos (PDF)
  • 📊 Dashboard
    Pendiente de subir ejemplo de dashboard de seguimiento.
  • 🧩 Ideas útiles
    Aquí te vendría genial un registro de acciones de tratamiento, estado de avance, fecha objetivo, control asociado y evidencia de cierre.
Muy útil para entrevistas: puedes lucirte explicando por qué no todo riesgo se mitiga igual y cómo decidir entre reducir, aceptar o transferir.
Vinculación entre riesgos, controles y SGSI ISO 27001 Controles SoA Trazabilidad

Relación entre escenarios de riesgo, controles aplicables y documentación del SGSI para reforzar la trazabilidad entre análisis, tratamiento y evidencias de cumplimiento.

Objetivo

Conectar el análisis de riesgos con decisiones reales de control y con la documentación exigida en un SGSI.

Qué se trabaja

Riesgos, controles, SoA, políticas, procedimientos, evidencias, justificación de aplicabilidad y trazabilidad documental.

Evidencias / entregables

Mapeo riesgo-control, tabla de trazabilidad, relación con controles ISO 27001 y soporte para revisión o auditoría interna.

Valor en entrevista

Este bloque te diferencia muchísimo porque conecta tu parte GRC con tu parte técnica y documental.

Muy útil para entrevistas: esta sección puede ser de las más potentes de todo tu portfolio para puestos de GRC, ISO 27001 o seguridad corporativa.