La gestión de riesgos es el corazón de cualquier sistema de gestión de seguridad de la información. Sin embargo, muchas organizaciones luchan con la pregunta práctica: ¿cómo identifico, evalúo y trato mis riesgos de seguridad de forma sistemática? Ahí es donde entra ISO 27005, el estándar internacional que proporciona la guía metodológica para responder exactamente esa pregunta.
Puntos clave
- ISO 27005 es la guía de referencia para gestión de riesgos de seguridad de la información.
- Proporciona la metodología que ISO 27001 exige pero no prescribe.
- La versión 2022 se alinea con ISO 27001:2022 y sus 93 controles del Anexo A.
- No es certificable a nivel organizacional, pero existen certificaciones profesionales.
¿Quieres evaluar tu gestión de riesgos? Solicita un diagnóstico especializado o realiza el autodiagnóstico en línea.
Qué es ISO 27005
ISO/IEC 27005:2022 es un estándar internacional publicado por ISO que proporciona directrices para la gestión de riesgos de seguridad de la información. A diferencia de ISO 27001, que establece qué debe hacerse, ISO 27005 explica cómo hacerlo.
La norma ofrece un marco estructurado para todo el ciclo de gestión de riesgos: desde el establecimiento del contexto hasta el monitoreo y la revisión. Está diseñada para integrarse directamente con un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a ISO 27001, aunque puede utilizarse de forma independiente.
La versión 2022 reemplazó a la edición 2018 y se actualizó para alinearse con ISO 27001:2022, incorporando referencias a los nuevos controles del Anexo A y modernizando los ejemplos de amenazas y vulnerabilidades.
Relación con ISO 27001
Para entender ISO 27005, es esencial comprender su relación con ISO 27001. La cláusula 6.1.2 de ISO 27001 exige que las organizaciones:
- Definan e implementen un proceso de evaluación de riesgos de seguridad de la información.
- Identifiquen riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad.
- Analicen y evalúen esos riesgos.
- Seleccionen opciones de tratamiento de riesgos.
ISO 27001 exige todo lo anterior, pero no dice cómo hacerlo. No prescribe una metodología específica. ISO 27005 llena ese vacío proporcionando un proceso detallado y ejemplos prácticos que cumplen directamente con estos requisitos.
Piensa en ISO 27001 como el "qué" y ISO 27005 como el "cómo" de la gestión de riesgos en seguridad de la información.
El ciclo de gestión de riesgos
ISO 27005 define un proceso iterativo compuesto por las siguientes fases:
1. Establecimiento del contexto
Antes de evaluar riesgos, necesitas definir el marco de trabajo. Esto incluye:
- Contexto externo: entorno regulatorio, amenazas del sector, expectativas de partes interesadas.
- Contexto interno: estructura organizacional, políticas existentes, cultura de seguridad.
- Alcance: qué activos, procesos y sistemas están dentro del ámbito de la evaluación.
- Criterios de riesgo: cómo se medirá el impacto, la probabilidad y qué nivel de riesgo es aceptable.
2. Identificación de riesgos
Esta fase responde a la pregunta: ¿qué puede salir mal? Se identifican:
- Activos de información: datos, sistemas, infraestructura, personas, procesos.
- Amenazas: factores que pueden explotar vulnerabilidades (ciberataques, errores humanos, desastres naturales, fallas técnicas).
- Vulnerabilidades: debilidades en los activos que las amenazas pueden explotar (software sin parches, falta de capacitación, configuraciones inseguras).
- Consecuencias: el impacto potencial si el riesgo se materializa (pérdida financiera, daño reputacional, incumplimiento legal).
3. Análisis de riesgos
Se evalúa cada riesgo identificado en dos dimensiones:
- Probabilidad: qué tan factible es que la amenaza explote la vulnerabilidad.
- Impacto: cuáles serían las consecuencias si el riesgo se materializa.
El análisis puede ser cualitativo (escalas de alto/medio/bajo), cuantitativo (valores monetarios y frecuencias estadísticas) o semicuantitativo (escalas numéricas predefinidas). ISO 27005 proporciona ejemplos de las tres aproximaciones.
4. Evaluación de riesgos
Los riesgos analizados se comparan contra los criterios de aceptación definidos en el contexto. El resultado es una lista priorizada de riesgos que requieren tratamiento, ordenados por su nivel de criticidad.
5. Tratamiento de riesgos
Para cada riesgo que excede el nivel aceptable, se selecciona una opción de tratamiento:
| Opción | Descripción | Ejemplo |
|---|---|---|
| Mitigar | Reducir la probabilidad o el impacto mediante controles | Implementar cifrado, firewall, capacitación |
| Transferir | Compartir el riesgo con un tercero | Contratar un seguro cibernético, subcontratar un SOC |
| Evitar | Eliminar la actividad que genera el riesgo | Dejar de almacenar cierto tipo de datos sensibles |
| Aceptar | Asumir el riesgo de forma informada | Riesgo bajo que no justifica el costo de un control |
Cuando la opción es mitigar, ISO 27005 se conecta directamente con el Anexo A de ISO 27001:2022 y sus 93 controles como referencia para seleccionar las medidas de seguridad apropiadas.
6. Monitoreo y revisión
La gestión de riesgos no es un ejercicio puntual. ISO 27005 exige un monitoreo continuo para detectar cambios en el contexto, nuevas amenazas, la efectividad de los controles implementados y la aparición de nuevos riesgos. La revisión debe ser periódica (al menos anual) y también reactiva ante incidentes o cambios significativos.
Forma a tu equipo en gestión de riesgos: la certificación PECB ISO 27005 valida las competencias de tus profesionales como Risk Manager o Lead Risk Manager.
Metodologías complementarias
Aunque ISO 27005 es la guía más alineada con ISO 27001, no es la única opción. Estas son las metodologías más utilizadas y cómo se comparan:
| Metodología | Origen | Enfoque | Mejor para |
|---|---|---|---|
| ISO 27005 | ISO | Proceso iterativo basado en activos | Organizaciones que implementan ISO 27001 |
| OCTAVE | Carnegie Mellon (USA) | Basado en operaciones y activos críticos | Organizaciones grandes con equipos internos |
| FAIR | The Open Group | Cuantitativo, basado en valor monetario | Justificación financiera de inversiones en seguridad |
| NIST SP 800-30 | NIST (USA) | Proceso detallado de evaluación de riesgos | Organizaciones alineadas con NIST CSF |
| EBIOS RM | ANSSI (Francia) | Basado en escenarios de ataque | Análisis de amenazas avanzadas |
La ventaja de ISO 27005 sobre las demás es su integración nativa con la familia ISO 27000. Si tu objetivo es certificar tu SGSI bajo ISO 27001, usar ISO 27005 como metodología de riesgos simplifica la alineación y reduce esfuerzos.
Aplicación práctica en tu organización
Para implementar ISO 27005 de forma efectiva, sigue estas recomendaciones:
- Empieza por el contexto: no saltes directamente a identificar riesgos. Define primero los criterios de evaluación y aceptación. Esto evita subjetividad posterior.
- Inventaría tus activos: no puedes proteger lo que no conoces. Crea un inventario completo de activos de información con sus propietarios.
- Usa escalas consistentes: define escalas de probabilidad e impacto antes de evaluar. Documéntalas. Asegúrate de que todos los evaluadores las interpreten igual.
- Involucra a los dueños de procesos: la evaluación de riesgos no es solo del equipo de TI. Los responsables de cada proceso conocen mejor las amenazas y vulnerabilidades de su área.
- Documenta las decisiones: cada riesgo aceptado, transferido o mitigado debe tener una justificación documentada y aprobada por la dirección.
- Conecta con el Anexo A: al seleccionar controles para mitigar riesgos, referencia los controles del Anexo A de ISO 27001:2022. Esto facilita la Declaración de Aplicabilidad (SoA).
- Revisa periódicamente: programa revisiones al menos anuales. Los riesgos de hoy no son los de mañana.
Preguntas frecuentes
¿ISO 27005 es certificable?
No. ISO 27005 es una norma guía, no certificable a nivel de organización. Sin embargo, los profesionales pueden obtener certificaciones individuales como ISO 27005 Risk Manager o Lead Risk Manager que validan su competencia en gestión de riesgos de seguridad de la información.
¿Cuál es la relación entre ISO 27005 e ISO 27001?
ISO 27001 exige que las organizaciones realicen una evaluación de riesgos de seguridad de la información, pero no prescribe una metodología específica. ISO 27005 proporciona esa metodología detallada, siendo la guía más directamente alineada con los requisitos de ISO 27001.
¿Con qué frecuencia debo revisar mi evaluación de riesgos?
ISO 27005 recomienda revisiones periódicas (al menos anuales) y también ante cambios significativos: nuevos sistemas, incidentes de seguridad, cambios organizacionales, nuevas amenazas identificadas o cambios en el contexto legal o regulatorio.
¿Puedo usar otra metodología en lugar de ISO 27005 para ISO 27001?
Sí. ISO 27001 no exige una metodología específica. Puedes usar OCTAVE, FAIR, NIST SP 800-30 u otra metodología, siempre que cumpla con los requisitos de la cláusula 6.1.2 de ISO 27001. Sin embargo, ISO 27005 es la más alineada naturalmente con la familia ISO 27000.
Da el siguiente paso
Identifica brechas y oportunidades de mejora con un diagnóstico profesional de nuestro equipo de auditores.