La norma ISO 27005 es el estándar internacional que establece directrices para gestionar los riesgos de seguridad de la información en una organización. Forma parte de la familia ISO 27000, y aunque no es certificable por sí misma, se integra de manera directa con la ISO 27001, que sí es certificable. La ISO 27005 tiene como misión dar a los responsables de seguridad una metodología clara para identificar, analizar, evaluar y tratar riesgos, asegurando que las decisiones se fundamenten en un marco sistemático y repetible.
A diferencia de la ISO 27001, que fija los requisitos del Sistema de Gestión de Seguridad de la Información (SGSI), la norma ISO 27005 es la herramienta metodológica que explica cómo llevar a cabo el análisis de riesgos que exige la certificación. Se convierte así en un documento de referencia indispensable para auditores, responsables de TI, CISOs y cualquier organización que busque madurez en su modelo de seguridad.
Objetivos de la norma ISO 27005
La ISO 27005 persigue garantizar que la gestión de riesgos sea coherente, documentada y esté alineada con las necesidades del negocio. Sus objetivos principales incluyen:
- Definir un proceso de riesgo reproducible: permite que diferentes analistas lleguen a conclusiones consistentes.
- Conectar el riesgo con la estrategia: asegura que las medidas de seguridad estén alineadas con los objetivos de la organización.
- Facilitar la toma de decisiones: da soporte a la dirección para priorizar inversiones en controles de seguridad.
- Establecer trazabilidad: cada decisión sobre riesgos queda documentada y justificada.
Principios básicos de la norma ISO 27005:2022
- Enfoque integral: el riesgo se analiza desde una perspectiva que abarca procesos, personas, tecnología y proveedores.
- Basado en activos: los activos de información se identifican, clasifican y valoran en función de su importancia para el negocio.
- Ciclo de vida continuo: el análisis de riesgos se revisa periódicamente y se actualiza tras cambios relevantes o incidentes.
- Contexto organizacional: los riesgos se evalúan teniendo en cuenta regulaciones, contratos y requisitos de partes interesadas.
Relación entre ISO 27001, 27002 y 27005
El papel de la norma ISO 27005 se entiende mejor al analizar su relación con las otras normas clave del SGSI:
- ISO 27001: establece el marco de gestión y exige que se realice un análisis de riesgos documentado como base del SGSI.
- ISO 27002: ofrece el catálogo de controles de seguridad que se aplicarán según el resultado del análisis de riesgos.
- ISO 27005: proporciona la metodología para identificar, analizar y evaluar esos riesgos que luego determinarán qué controles se aplican.
En conjunto, 27001 define el qué, 27002 ofrece el con qué y 27005 explica el cómo.
El proceso de gestión de riesgos en ISO27005
La norma ISO 27005 describe un ciclo completo de gestión de riesgos que incluye:
1. Establecer el contexto
Se definen los criterios de riesgo, el alcance del SGSI, los activos críticos y el apetito de riesgo de la organización.
2. Identificación de riesgos
Incluye la creación de un inventario de activos, la identificación de amenazas y vulnerabilidades, y la definición de escenarios de riesgo.
3. Análisis de riesgos
Se estima la probabilidad y el impacto de los escenarios identificados. Puede hacerse con metodologías cualitativas, semicuantitativas o cuantitativas.
4. Evaluación de riesgos
Los resultados se comparan con los criterios de aceptación establecidos, lo que permite priorizar riesgos en función de su gravedad.
5. Tratamiento de riesgos
Se definen estrategias para cada riesgo: reducir, evitar, transferir o aceptar. Estas estrategias se documentan y se vinculan con controles específicos.
6. Aceptación de riesgos
La dirección debe aprobar formalmente los riesgos que se decidan aceptar, documentando las justificaciones.
7. Comunicación y consulta
La gestión de riesgos no es un proceso aislado: debe involucrar a propietarios de activos, usuarios, TI y alta dirección.
8. Monitorización y revisión
Se establece un ciclo de revisión continua para garantizar que el perfil de riesgo se mantiene actualizado frente a incidentes y cambios de contexto.
Evidencias y documentación
ISO 27005 recomienda mantener artefactos como:
- Inventario de activos con propietarios y criticidad.
- Registro de riesgos con niveles inherentes y residuales.
- Criterios de evaluación documentados (probabilidad/impacto).
- Planes de tratamiento con responsables y fechas.
- Informes ejecutivos para la dirección.
¿Para qué sirve la norma ISO 27005 en una organización?
La norma ISO 27005 es mucho más que un documento metodológico: se convierte en una herramienta de gestión estratégica para la empresa. Su aplicación permite que la seguridad de la información deje de basarse en intuiciones o en medidas aisladas, y pase a ser una función corporativa con objetivos claros, prioridades y métricas de eficacia.
Selección de controles y Declaración de Aplicabilidad
Uno de los principales usos prácticos de ISO 27005 es la justificación de controles en la Declaración de Aplicabilidad. Cada decisión de aplicar o no un control de la ISO 27002 debe basarse en un riesgo identificado, analizado y evaluado según la 27005. De este modo, las organizaciones pueden demostrar a auditores y a la dirección que no se aplican controles por moda o por presión externa, sino porque responden a amenazas y vulnerabilidades reales.
Beneficios generales para la empresa
- Optimización de recursos: evita invertir en controles innecesarios y concentra el presupuesto en medidas que tratan los riesgos más críticos.
- Mayor confianza: clientes y socios perciben que la gestión de la seguridad se basa en estándares internacionales.
- Mejor cumplimiento normativo: la trazabilidad de decisiones facilita demostrar conformidad ante reguladores y auditores.
- Visión global de la seguridad: al analizar riesgos en todos los ámbitos (personas, procesos, tecnología, proveedores) se obtiene una cobertura completa.
Beneficios específicos para TI y seguridad de la información
- Prioridad clara en proyectos: los responsables de TI saben qué iniciativas abordar primero en función del riesgo.
- Soporte a la gestión de vulnerabilidades: los resultados del análisis de riesgos alimentan procesos de gestión de vulnerabilidades, mejorando los planes de parcheo y monitorización.
- Gestión estructurada de incidentes: ISO 27005 refuerza procesos de gestión de incidentes de seguridad al identificar escenarios probables y sus consecuencias.
- Mayor resiliencia: la integración con planes de continuidad y contingencia asegura que TI esté preparado para responder y recuperar operaciones críticas.
- Mejor comunicación con dirección: al traducir riesgos técnicos en impactos de negocio, se facilita la aprobación de inversiones en seguridad.
Integración con la mejora continua
Un valor clave de la norma ISO 27005 es que convierte el riesgo en un ciclo vivo. Tras cada auditoría, incidente o cambio tecnológico, el análisis de riesgos se actualiza y ajusta controles. Esto permite:
- Detectar brechas: corregir debilidades antes de que se materialicen en incidentes graves.
- Priorizar inversiones: orientar presupuestos hacia medidas que realmente reducen exposición.
- Madurar el SGSI: incrementar la capacidad de la organización para anticiparse a amenazas.
ISO 27005 como herramienta de dirección
Más allá de los equipos técnicos, la ISO 27005 es un instrumento para la dirección. Permite visualizar en un lenguaje claro cómo los riesgos de seguridad impactan en procesos críticos, clientes y reputación. Con esta información, los directivos pueden asumir riesgos residuales de forma consciente o aprobar inversiones para mitigarlos. Así, la gestión de riesgos deja de ser un ejercicio técnico y se convierte en un mecanismo de gobernanza corporativa.
The post ¿Qué es y para que sirve la norma ISO 27005? appeared first on PMG SSI – ISO 27001.
