Crear cuenta gratis
Crear cuenta gratis
Crear cuenta gratis
Seguridad de la informacion

¿Cómo gestionar riesgos con la metodología ISO 27005?

Esteban Guarin
Por Esteban Guarin
9 min de lectura
Creado el:   marzo 15, 2025
Actualizado el:   marzo 17, 2025
¿Cómo gestionar riesgos con la metodología ISO 27005?
17:27

Según datos del Foro Económico Mundial y organizaciones de ciberseguridad, nueve de cada diez empresas sufrieron al menos un ataque cibernético en el 2024. Además, se estima que los costos por la materialización de la ciberdelincuencia podrían alcanzar los 10,5 billones de dólares anuales para 2025.

Ante este panorama, la seguridad de la información se ha convertido en un pilar clave para las organizaciones. La norma ISO 27005 proporciona una guía detallada para identificar, evaluar y gestionar riesgos, permitiendo proteger los activos más valiosos y garantizar la continuidad del negocio.

En este artículo, veremos  los principales cambios en la ISO 27005:2022, su enfoque metodológico para la gestión de riesgos, los beneficios que aporta, las últimas actualizaciones de este estándar, cómo comenzar a implementarlo en tu empresay el impacto de la automatización en este proceso.

iso-27005-gestion-de-riesgos-en-seguridad-de-informacion

Cambios principales de la ISO 27005:2022

La ISO 27005:2022 se actualizó para mejorar la gestión de riesgos en seguridad de la información, dando mayor importancia al análisis del contexto organizacional e incorporando tanto factores internos como externos que pueden influir en la toma de decisiones.

 

También se alinea con la ISO 27001:2022, lo que facilita su implementación conjunta y garantiza coherencia con los requisitos actualizados del Sistema de Gestión de Seguridad de la Información (SGSI).

Entre los principales cambios se encuentran:

iso-27005-2022-cambios-principales

Nueva llamada a la acción

Enfoque de la ISO 27005 para la gestión de riesgos

La ISO/IEC 27005 establece un marco metodológico que guía a las organizaciones en la gestión de riesgos de seguridad de la información de manera sistemática y estructurada.

Este enfoque se divide en etapas claramente definidas, que permiten a las organizaciones identificar, evaluar, tratar y monitorear los riesgos asociados a sus activos de información de manera eficiente.

A continuación, te explicamos las 6  etapas más importantes:

1. Establecimiento del contexto
2. Identificación de riesgos
3. Análisis de riesgos
4. Evaluación de riesgos
5. Tratamiento de los riesgos
6. Comunicación y consulta
 

1. Establecimiento del contexto

El primer paso en la gestión de riesgos según la ISO 27005 es definir el contexto en el que se llevará a cabo el proceso. Esto implica:

  • Contexto organizacional: Comprender los objetivos, la estructura, los procesos y el entorno de la organización. Esto incluye identificar las partes interesadas internas y externas, así como sus expectativas y requisitos.

  • Contexto de seguridad de la información: Definir los requisitos legales, regulatorios, contractuales y de negocio relacionados con la seguridad de la información.

  • Criterios de riesgo: Establecer los parámetros para evaluar y priorizar los riesgos, como el nivel de impacto aceptable y la probabilidad de ocurrencia.

Este paso asegura que la gestión de riesgos esté alineada con los objetivos estratégicos de la organización y su entorno operativo. Recuerda que establecer el contexto es la base para que tenga éxito este marco metodológico en tu organización.

2. Identificación de riesgos

En esta etapa, la organización debe identificar los riesgos que podrían afectar la confidencialidad, integridad y disponibilidad de la información. Esto implica:

  • Identificación de activos: Listar todos los activos de información, como bases de datos, sistemas, aplicaciones, hardware y recursos humanos.

  • Identificación de amenazas: Reconocer las posibles fuentes de riesgo, como ciberataques, errores humanos, desastres naturales o fallos técnicos.

  • Identificación de vulnerabilidades: Detectar las debilidades en los sistemas, procesos o controles que podrían ser explotadas por las amenazas.

  • Identificación de impactos: Evaluar las consecuencias potenciales de un riesgo materializado, como pérdida financiera, daño a la reputación o interrupción del negocio.

Esta etapa proporciona una visión completa de los riesgos potenciales y sus causas.

3. Análisis de riesgos

Una vez identificados los riesgos, el siguiente paso es analizarlos para comprender su naturaleza y magnitud. Esto incluye:

  • Evaluación del impacto: Determinar las consecuencias que tendría la materialización de un riesgo sobre los activos de información y los procesos de negocio.

  • Evaluación de la probabilidad: Estimar la posibilidad de que ocurra un riesgo, basándose en datos históricos, tendencias del sector o análisis cualitativo.

  • Cálculo del nivel de riesgo: Combinar el impacto y la probabilidad para determinar el nivel de riesgo. Esto puede hacerse mediante métodos cualitativos (bajo, medio, alto) o cuantitativos (valores numéricos).

El análisis de riesgos permite a la organización priorizar los riesgos y enfocar sus esfuerzos en aquellos que representan una mayor amenaza.

4. Evaluación de riesgos

En esta etapa, los riesgos analizados se comparan con los criterios de riesgo establecidos en la fase de contexto. El objetivo es determinar si los riesgos son aceptables o si requieren tratamiento. Para esto se debe:

  • Comparar con umbrales de riesgo: Evaluar si el nivel de riesgo está dentro de los límites aceptables definidos por la organización.

  • Priorizar de riesgos: Clasificar los riesgos en función de su gravedad y urgencia, lo que ayuda a asignar recursos de manera eficiente.

Esta etapa consiste en comparar los riesgos identificados con los criterios definidos en la fase de contexto para determinar si son aceptables o requieren tratamiento.

Primero, se analiza si el nivel de riesgo está dentro de los umbrales establecidos por la organización, considerando factores como impacto financiero, legal, operativo y reputacional.

Luego, se clasifican y priorizan los riesgos según su gravedad y urgencia, utilizando matrices de riesgo o análisis cuantitativo para enfocar los recursos en las amenazas más críticas.

Finalmente, se decide el tratamiento adecuado para cada riesgo, ya sea mitigándolo, transfiriéndolo, aceptándolo o eliminándolo, basándose en la relación costo-beneficio de las medidas de control.

Una evaluación de riesgos bien estructurada permite tomar decisiones informadas y optimizar la gestión de la seguridad de la información.

5. Tratamiento de los riesgos

El tratamiento de riesgos implica seleccionar e implementar medidas para gestionar los riesgos identificados. Las opciones de tratamiento incluyen:

  • Evitar el riesgo: Eliminar la causa del riesgo, por ejemplo, descontinuando un proceso inseguro.

  • Mitigar el riesgo: Implementar controles de seguridad para reducir la probabilidad o el impacto del riesgo.

  • Transferir el riesgo: Compartir el riesgo con terceros, como mediante seguros o acuerdos de outsourcing.

  • Aceptar el riesgo: Decidir no tomar medidas adicionales si el riesgo está dentro de los niveles aceptables.

El tratamiento de riesgos debe ser documentado en un plan de acción que especifique las medidas a tomar, los responsables y los plazos.

Esta etapa asegura que la organización esté preparada para responder a nuevos riesgos y cambios en el entorno de seguridad.

6. Comunicación y consulta

La comunicación efectiva es esencial para el éxito de la gestión de riesgos. Esto incluye:

  • Intercambio de información: Mantener a las partes interesadas informadas sobre los riesgos y controles. En Pirani, esto se facilita con reportes y la asignación de roles antes del registro.

  • Consulta con expertos: Es clave para una gestión de riesgos efectiva. Los especialistas en seguridad de la información ayudan a identificar riesgos ocultos y aseguran que los controles 

  • Documentación: Registrar los resultados del proceso de gestión de riesgos para su revisión y auditoría.

La comunicación y consulta garantizan que todas las partes interesadas estén alineadas y comprometidas con la gestión de riesgos.

Podcast-06-Un-mundo-con-cultura-de-riesgos

6 beneficios de ISO 27005 para la gestión de riesgos de seguridad de la información

La implementación de la ISO 27005 no solo fortalece la postura de seguridad de la organización, sino que también contribuye a la mejora de procesos, la toma de decisiones y el cumplimiento normativo. Estos son los principales beneficios que vemos en su implementación:

  1. Protección de activos críticos
  2. Cumplimiento normativo y legal
  3. Mejora la toma de decisiones
  4. Reducción en la toma de decisiones
  5. Cumplimiento de la norma ISO 27001
  6. Integración con otros estándares

1. Protección de activos críticos

La ISO 27005 ayuda a las organizaciones a identificar y proteger sus activos de información más valiosos, como datos de sus clientes, propiedad intelectual y sistemas críticos.

Al seguir un enfoque estructurado para la gestión de riesgos, las organizaciones pueden implementar controles de seguridad adecuados para mitigar amenazas y reducir el impacto de posibles incidentes.

2. Cumplimiento normativo y legal

Uno de los mayores beneficios de la ISO/IEC 27005 es su capacidad para ayudar a las organizaciones a cumplir con regulaciones y estándares internacionales, como el GDPR, HIPAA, PCI-DSS y otros marcos legales. Al alinearse con estos requisitos, las organizaciones no solo evitan sanciones y multas, sino que también demuestran un compromiso con la protección de la información y la privacidad.

3. Mejora en la toma de decisiones

La metodología de la ISO 27005 proporciona una base sólida para la toma de decisiones informadas. Al contar con un análisis detallado de los riesgos y su impacto potencial, las organizaciones pueden priorizar sus esfuerzos y recursos en las áreas que representan un mayor riesgo.

4. Reducción de costos

La gestión proactiva de riesgos permite a las organizaciones evitar gastos innecesarios asociados con incidentes de seguridad, como pérdidas financieras, multas regulatorias o costos de recuperación. Además, al implementar controles de seguridad proporcionales al nivel de riesgo, se evita la inversión excesiva en medidas de seguridad que podrían no ser necesarias.

5. Cumplimiento de la norma ISO 27001

La ISO 27005 ofrece un marco sólido para gestionar riesgos y garantizar que los controles de un SGSI se basen en el riesgo, tal como exigen las directrices ISO. Seguir esta norma no solo facilita la aplicación de la gestión de riesgos, sino que también ayuda a superar con éxito las auditorías de certificación ISO.

6. Integración con otros estándares

La ISO 27005 está diseñada para integrarse perfectamente con otros estándares de seguridad, como la ISO 27001 (SGSI) y la ISO 27002 (controles de seguridad). Esta integración facilita la implementación de un sistema de gestión de seguridad de la información (SGSI) completo y coherente, lo que simplifica los procesos y mejora la eficiencia.

Nueva llamada a la acción

Desafíos de la implementación de la ISO 27005

Los principales obstáculos son la complejidad de los procesos, ya que requiere una identificación detallada de activos, amenazas y vulnerabilidades, lo que puede ser abrumador para organizaciones con infraestructuras complejas o grandes volúmenes de datos.

Además, muchas organizaciones enfrentan la falta de conocimiento y experiencia interna en gestión de riesgos, lo que puede llevar a interpretaciones incorrectas de los requisitos o a una implementación ineficaz. Otro desafío es la asignación de recursos, ya que el proceso demanda tiempo, personal capacitado y herramientas especializadas, lo que puede ser costoso para pequeñas y medianas empresas.

La integración con otros sistemas y estándares también puede ser complicada, especialmente si la organización ya tiene implementados otros marcos de seguridad.

Finalmente, mantener un enfoque dinámico y adaptativo frente a un entorno de amenazas en constante evolución requiere un esfuerzo continuo, lo que puede ser difícil de sostener a largo plazo sin un compromiso firme de la alta dirección. Estos desafíos, aunque significativos, pueden superarse con una planificación adecuada, capacitación y el uso de herramientas de apoyo.

Con Pirani, identifica, evalúa y mitigar amenazas de manera sencilla para proteger la seguridad de tu información y garantizar la continuidad del negocio.

 

Alineación de la ISO 27005 con la ISO 27001

La ISO 27005 está diseñada para complementar y apoyar la implementación de un sistema de gestión de seguridad de la información (SGSI) basado en la ISO 27001.

Mientras que la ISO 27001 establece los requisitos para establecer, implementar, mantener y mejorar un SGSI, la ISO 27005 proporciona directrices específicas para la gestión de riesgos de seguridad de la información, que es un componente clave del sistema de gestión de seguridad de la información.

La alineación entre ambas normas se logra a través de varios aspectos: en primer lugar, la ISO 27005 ayuda a las organizaciones a cumplir con el requisito de la cláusula 6.1.2 de la ISO  27001, que exige la identificación, análisis y evaluación de riesgos para determinar los controles necesarios. Además, la ISO 27005 ofrece un enfoque estructurado y detallado para el proceso de gestión de riesgos, lo que facilita la selección e implementación de controles de seguridad (Anexo A de la ISO 27001).

Ambas normas comparten un enfoque basado en el contexto organizacional, la mejora continua y la participación de la alta dirección, lo que asegura que la gestión de riesgos esté integrada en la estrategia general de seguridad de la organización.

En resumen, la ISO 27005 actúa como una guía práctica para implementar el componente de gestión de riesgos dentro de un SGSI conforme a la ISO 27001, asegurando coherencia y eficacia en la protección de la información.

¿Cómo Pirani ayuda a las organizaciones a cumplir con esta norma?

El sistema de gestión de seguridad de la información de Pirani permite a las empresas fortalecer su gestión mediante buenas prácticas, facilitando la documentación de activos y la identificación de su nivel de criticidad.

Además, ayuda a registrar riesgos, amenazas y vulnerabilidades, gestionar incidentes y ejecutar planes de acción. Con esta solución, las organizaciones pueden preservar la confidencialidad, integridad y disponibilidad de la información, relacionar activos con procesos y responsables, y generar reportes de forma ágil para los entes reguladores.

Crea tu cuenta gratis ahora o agenda una reunión con uno de nuestros expertos para resolver todas tus dudas sobre seguridad de la información con Pirani.

Preguntas frecuentes

¿Cuál es el primer paso para gestionar riesgos con la ISO 27005?

El primer paso es establecer el contexto de la gestión de riesgos. Esto implica definir el alcance, identificar los activos de información clave, comprender el entorno interno y externo de la organización, y establecer los criterios para evaluar y priorizar riesgos. Este paso asegura que la gestión de riesgos esté alineada con los objetivos y necesidades específicas de la organización.

¿Cómo se identifican y evalúan los riesgos según la ISO 27005?

La identificación de riesgos implica listar los activos de información, reconocer las amenazas y vulnerabilidades asociadas, y evaluar los impactos potenciales. Luego, se analiza la probabilidad de que ocurran estos riesgos y se calcula su nivel de riesgo (combinando impacto y probabilidad). Finalmente, se comparan los riesgos con los criterios establecidos para determinar si son aceptables o requieren tratamiento.

¿Qué opciones de tratamiento de riesgos ofrece la ISO 27005?

La norma sugiere cuatro opciones principales para tratar los riesgos:

  1. Evitar: Eliminar la causa del riesgo.

  2. Mitigar: Implementar controles para reducir la probabilidad o el impacto.

  3. Transferir: Compartir el riesgo con terceros (por ejemplo, mediante seguros).

  4. Aceptar: No tomar medidas adicionales si el riesgo está dentro de los niveles aceptables.

Nueva llamada a la acción
Temas: Seguridad de la informacion

¿A qué correo te mandamos el Estudio de Riesgos 2025?
Artículo anterior
← 13 claves para elegir el mejor software de gestión de riesgos
Artículo siguiente
5 reportes esenciales en gestión de riesgos y cómo optimizarlos →
Principales cambios de la norma ISO 27001:2022
principales-cambios-norma-iso-27001-2022
Seguridad de la informacion

Principales cambios de la norma ISO 27001:2022

noviembre 23, 2023 3 min de lectura
Conoce la ISO/IEC 27701 de gestión de privacidad de la información
iso-27701-privacidad-de-la-informacion
Seguridad de la informacion

Conoce la ISO/IEC 27701 de gestión de privacidad de la información

febrero 22, 2024 4 min de lectura
Rol de la alta dirección en la seguridad de la información
Importancia de la alta dirección en la seguridad de la información
Seguridad de la informacion

Rol de la alta dirección en la seguridad de la información

abril 06, 2022 3 min de lectura
Gestiona los activos de información y sus riesgos
gestion-activos-informacion-y-riesgos-norma-ISO-27001
Seguridad de la informacion

Gestiona los activos de información y sus riesgos

febrero 02, 2023 4 min de lectura
Declaración de aplicabilidad de la norma ISO/IEC 27001
soa-declaracion-aplicabilidad-iso-27001

Declaración de aplicabilidad de la norma ISO/IEC 27001

mayo 10, 2023 3 min de lectura
ISO 27001: ¿Cuántos controles necesitas para cumplir la norma?
ISO27001-Controles-que-tiene-la-norma-ISO-27001
Seguridad de la informacion

ISO 27001: ¿Cuántos controles necesitas para cumplir la norma?

octubre 13, 2022 2 min de lectura

Aún no hay comentarios

Danos tu opinión