Proceso sistemático de identificación, análisis y evaluación de riesgos cibernéticos para determinar la probabilidad, el impacto y la prioridad de tratamiento de las amenazas. Incluye metodologías cualitativas y cuantitativas, análisis de activos críticos, evaluación de vulnerabilidades, estimación del riesgo residual y definición de estrategias de mitigación conformes a marcos como ISO 27005, NIST RMF y estándares sectoriales.