Cuando una organización decide formalizar su gestión de riesgos, inevitablemente surge la pregunta: ¿debo usar ISO 27005 o ISO 31000? La respuesta corta es que depende de qué tipo de riesgos necesitas gestionar. La respuesta larga es este artículo, donde comparamos ambos estándares en detalle para que tomes la decisión correcta.
Puntos clave
- ISO 31000 es un marco general para gestionar cualquier tipo de riesgo organizacional.
- ISO 27005 es una guía específica para riesgos de seguridad de la información.
- No son excluyentes: ISO 27005 puede funcionar dentro del marco de ISO 31000.
- Si implementas ISO 27001, ISO 27005 es la opción más directamente alineada.
¿Necesitas orientación sobre gestión de riesgos? Solicita un diagnóstico ISO 27005 o un diagnóstico ISO 31000 para evaluar tu situación.
Visión general de cada estándar
ISO 31000:2018 - Gestión del riesgo
ISO 31000 es el estándar internacional de referencia para la gestión del riesgo a nivel organizacional. Publicada por primera vez en 2009 y actualizada en 2018, establece principios, un marco de trabajo y un proceso aplicable a cualquier tipo de riesgo: estratégico, financiero, operativo, de cumplimiento, de reputación, ambiental o de seguridad.
Su fortaleza es la universalidad. No importa el tamaño, sector o tipo de organización: ISO 31000 proporciona un lenguaje común y una estructura para gestionar la incertidumbre de forma sistemática.
ISO 27005:2022 - Gestión de riesgos de seguridad de la información
ISO 27005 es una guía especializada que proporciona directrices para gestionar riesgos específicamente en el ámbito de la seguridad de la información. Forma parte de la familia ISO 27000 y está diseñada para alimentar directamente el proceso de evaluación de riesgos que exige ISO 27001.
Su fortaleza es la especificidad: incluye ejemplos de amenazas cibernéticas, vulnerabilidades técnicas, criterios de impacto sobre confidencialidad, integridad y disponibilidad, y conexión directa con los controles del Anexo A de ISO 27001.
Tabla comparativa
| Aspecto | ISO 31000:2018 | ISO 27005:2022 |
|---|---|---|
| Alcance | Todos los tipos de riesgo organizacional | Riesgos de seguridad de la información |
| Tipo de norma | Guía (no certificable) | Guía (no certificable) |
| Estructura | Principios + Marco + Proceso | Proceso detallado con ejemplos técnicos |
| Nivel de detalle | Alto nivel, principios generales | Detallado, con ejemplos de amenazas y vulnerabilidades |
| Relación con certificación | Independiente de cualquier sistema de gestión certificable | Diseñada para alimentar ISO 27001 (SGSI) |
| Tipos de riesgo cubiertos | Estratégico, financiero, operativo, legal, reputacional, etc. | Confidencialidad, integridad, disponibilidad de la información |
| Ejemplos técnicos | No incluye ejemplos sectoriales | Incluye catálogos de amenazas, vulnerabilidades y controles |
| Opciones de tratamiento | Modificar, compartir, retener, evitar | Mitigar, transferir, aceptar, evitar (con referencia a controles ISO 27001) |
| Público objetivo | Alta dirección, gestores de riesgos empresariales | CISOs, equipos de seguridad, auditores de SGSI |
| Certificación profesional | ISO 31000 Risk Manager | ISO 27005 Risk Manager / Lead Risk Manager |
Las diferencias fundamentales
1. Generalista vs. especialista
La diferencia más importante es el alcance. ISO 31000 es como un médico general: ve el panorama completo de la salud organizacional. ISO 27005 es como un cardiólogo: se especializa en un área crítica (seguridad de la información) y tiene las herramientas específicas para abordarla con profundidad.
2. Principios vs. proceso detallado
ISO 31000 te dice por qué gestionar riesgos y qué elementos debe tener tu proceso. ISO 27005 te dice cómo hacerlo paso a paso en el contexto de seguridad de la información, con ejemplos concretos de amenazas como ransomware, phishing, fuga de datos o desastres en centros de datos.
3. Independiente vs. integrada
ISO 31000 no se vincula con ningún sistema de gestión certificable. Funciona sola. ISO 27005, en cambio, fue diseñada específicamente para integrarse con ISO 27001 y alimentar la Declaración de Aplicabilidad (SoA) del SGSI.
4. Lenguaje empresarial vs. lenguaje técnico
ISO 31000 habla en términos de oportunidades, partes interesadas, contexto organizacional y toma de decisiones ejecutivas. ISO 27005 habla en términos de activos de información, vectores de ataque, controles de seguridad y niveles de impacto sobre la tríada CIA.
¿Quieres formar a tu equipo? Conoce las opciones de certificación PECB en ISO 27005 para profesionales de seguridad de la información.
¿Cuándo usar cada norma?
Usa ISO 31000 si:
- Necesitas un marco de gestión de riesgos para toda la organización (no solo seguridad de la información).
- Quieres establecer una cultura de gestión de riesgos a nivel ejecutivo.
- Tu organización enfrenta riesgos diversos: financieros, estratégicos, operativos, de cumplimiento.
- Quieres un lenguaje común para que todas las áreas hablen de riesgos de la misma manera.
Usa ISO 27005 si:
- Implementas o planeas implementar un SGSI conforme a ISO 27001.
- Tu principal preocupación son los riesgos de seguridad de la información y ciberseguridad.
- Necesitas una metodología detallada con ejemplos técnicos de amenazas y vulnerabilidades.
- Quieres conectar tu evaluación de riesgos directamente con los controles del Anexo A de ISO 27001.
Usa ambas si:
- Tu organización tiene un programa de gestión de riesgos empresarial (ERM) y también un SGSI.
- Quieres que los riesgos de seguridad de la información se reporten y gestionen dentro del marco general de riesgos corporativos.
- La alta dirección necesita visibilidad de todos los riesgos, y el equipo de seguridad necesita profundidad técnica.
Cómo se complementan
La forma más efectiva de usar ambas normas es establecer una jerarquía:
- ISO 31000 como marco corporativo: define los principios, la gobernanza y el proceso general de gestión de riesgos para toda la organización.
- ISO 27005 como metodología especializada: dentro del marco de ISO 31000, aplica la guía específica de ISO 27005 para los riesgos de seguridad de la información.
- Reportes integrados: los resultados de la evaluación ISO 27005 alimentan el mapa de riesgos corporativo gestionado bajo ISO 31000.
Este enfoque permite que la alta dirección tenga visibilidad de los riesgos de ciberseguridad junto con los demás riesgos organizacionales, mientras el equipo de seguridad mantiene la profundidad técnica necesaria para gestionar sus riesgos específicos.
Preguntas frecuentes
¿ISO 31000 e ISO 27005 son certificables?
Ninguna de las dos es certificable a nivel organizacional. Ambas son normas guía. Sin embargo, existen certificaciones profesionales para personas: ISO 31000 Risk Manager y ISO 27005 Risk Manager, que validan la competencia individual en cada disciplina.
¿Puedo usar ISO 31000 para cumplir con ISO 27001?
ISO 31000 proporciona principios generales de gestión de riesgos, pero no tiene el detalle específico para seguridad de la información que exige ISO 27001. Puedes usar los principios de ISO 31000 como marco general, pero necesitarás complementarlos con la guía específica de ISO 27005 o una metodología equivalente.
¿Necesito implementar ambas normas?
Depende de tu organización. Si gestionas riesgos a nivel empresarial (estratégicos, operativos, financieros) y también necesitas un SGSI, puedes usar ISO 31000 como marco general e ISO 27005 para los riesgos de seguridad de la información. No son excluyentes; son complementarias.
¿Cuál norma debo usar si mi empresa es tech?
Si tu principal preocupación son los riesgos de seguridad de la información (ciberataques, fugas de datos, indisponibilidad de sistemas), ISO 27005 es más directamente aplicable. Si además necesitas gestionar riesgos estratégicos, de mercado o regulatorios de forma integral, agrega ISO 31000 como marco superior.
¿ISO 27005 reemplaza a ISO 31000?
No. ISO 27005 es una aplicación sectorial del concepto de gestión de riesgos, enfocada exclusivamente en seguridad de la información. ISO 31000 es el marco general que cubre todos los tipos de riesgos organizacionales. Tienen alcances diferentes y pueden coexistir.
Da el siguiente paso
Identifica brechas y oportunidades de mejora con un diagnóstico profesional de nuestro equipo de auditores.