La seguridad de la información no se logra únicamente instalando herramientas tecnológicas. Para proteger datos, sistemas, procesos y activos críticos, las empresas necesitan una forma estructurada de identificar riesgos, evaluarlos, tratarlos y mejorar continuamente sus controles.
En ese contexto, dos normas son especialmente importantes: ISO/IEC 27001 e ISO/IEC 27005.
Aunque están relacionadas, no cumplen la misma función. ISO 27001 establece los requisitos para implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información, conocido como SGSI o ISMS. ISO 27005, en cambio, proporciona una guía específica para gestionar riesgos de seguridad de la información y apoyar la implementación de un SGSI basado en ISO 27001.
En otras palabras: ISO 27001 define el sistema de gestión; ISO 27005 ayuda a gestionar los riesgos que alimentan ese sistema.
¿Qué es ISO 27001?
ISO/IEC 27001 es una norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información. También incluye requisitos para evaluar y tratar riesgos de seguridad de la información de acuerdo con las necesidades de cada organización.
Un SGSI basado en ISO 27001 permite que la empresa gestione la seguridad de la información de forma organizada, documentada y medible. Su objetivo no es solo proteger sistemas, sino también proteger la confidencialidad, integridad y disponibilidad de la información.
Esto significa que ISO 27001 ayuda a responder preguntas como:
- ¿Qué información crítica necesita proteger la empresa?
- ¿Qué riesgos pueden afectar esa información?
- ¿Qué controles deben aplicarse?
- ¿Quién es responsable de gestionar la seguridad?
- ¿Cómo se mide la eficacia del SGSI?
- ¿Cómo se corrigen fallas y se mejora el sistema?
ISO 27001 puede aplicarse a organizaciones de cualquier tamaño, sector o nivel de complejidad, ya que sus requisitos son genéricos y adaptables al contexto de cada empresa.
¿Qué es ISO 27005?
ISO/IEC 27005 es una norma que proporciona orientación para gestionar riesgos de seguridad de la información. Su propósito es apoyar la implementación de un SGSI basado en ISO 27001 mediante un enfoque estructurado para identificar, analizar, evaluar y tratar riesgos.
Mientras ISO 27001 establece que la organización debe gestionar riesgos, ISO 27005 ayuda a entender cómo hacerlo de manera más detallada.
Por ejemplo, ISO 27005 puede orientar a una empresa para:
- Identificar activos de información.
- Detectar amenazas y vulnerabilidades.
- Analizar el impacto de un riesgo.
- Evaluar la probabilidad de ocurrencia.
- Determinar niveles de riesgo.
- Definir opciones de tratamiento.
- Monitorear riesgos de forma continua.
- Alinear la gestión de riesgos con los objetivos del SGSI.
Dicho de forma sencilla: ISO 27005 es una guía práctica para gestionar riesgos de seguridad de la información dentro del marco de ISO 27001.
ISO 27001 vs. ISO 27005: diferencias principales
| Aspecto | ISO 27001 | ISO 27005 |
|---|---|---|
| Propósito | Establece los requisitos para crear, implementar, mantener y mejorar un SGSI. | Proporciona orientación para gestionar riesgos de seguridad de la información. |
| Enfoque principal | Sistema de gestión de seguridad de la información. | Gestión de riesgos de seguridad de la información. |
| Pregunta que responde | ¿Qué debe cumplir mi organización para gestionar formalmente la seguridad de la información? | ¿Cómo identifico, analizo, evalúo, trato y monitoreo los riesgos? |
| Uso dentro de la empresa | Crear una estructura formal de seguridad, con políticas, procesos, controles, auditoría y mejora continua. | Definir una metodología más clara para evaluar y tratar riesgos. |
| Certificación | Puede utilizarse como base para la certificación de una organización. | No suele ser una norma de certificación organizacional; funciona como guía de apoyo. |
| Relación con controles | Exige seleccionar controles adecuados con base en riesgos. | Ayuda a entender y gestionar el proceso de riesgo que justifica esos controles. |
| Resultado esperado | Un SGSI documentado, operado, auditado y mejorado continuamente. | Un proceso de gestión de riesgos más sólido, trazable y alineado al SGSI. |
Entonces, ¿cuál necesita mi empresa?
La respuesta más práctica es: ambas se complementan.
Una empresa que desea proteger su información de forma estructurada necesita ISO 27001 porque le permite construir el sistema de gestión. Pero también puede apoyarse en ISO 27005 para fortalecer uno de los elementos más importantes de ese sistema: la gestión de riesgos.
Una forma sencilla de entenderlo es la siguiente:
ISO 27001 es el marco general.
Define los requisitos del SGSI, el contexto de la organización, el liderazgo, la planificación, los objetivos, la operación, la evaluación del desempeño y la mejora continua.
ISO 27005 es la guía de gestión de riesgos.
Ayuda a profundizar en cómo identificar, analizar, evaluar, tratar y monitorear riesgos relacionados con la seguridad de la información.
Por eso, la pregunta no debería ser “¿ISO 27001 o ISO 27005?”, sino “cómo usar ISO 27001 e ISO 27005 juntas para reducir riesgos y fortalecer la seguridad de la información”.
¿Cómo se complementan ISO 27001 e ISO 27005?
La relación entre ambas normas se vuelve más clara cuando una organización inicia un proyecto de SGSI.
Primero, con ISO 27001, la empresa define el contexto: qué áreas forman parte del alcance, qué información necesita proteger, qué partes interesadas existen, qué requisitos legales o contractuales debe considerar y qué objetivos de seguridad quiere alcanzar.
Después, debe realizar una evaluación de riesgos para determinar qué amenazas pueden afectar la información, qué vulnerabilidades existen, qué impactos podrían generarse y qué controles son necesarios.
Aquí es donde ISO 27005 aporta valor, porque ofrece una guía más detallada para gestionar ese proceso de riesgo. ISO 27001 establece la necesidad; ISO 27005 ayuda a desarrollarla con mayor profundidad.
| Etapa del SGSI | Cómo apoya ISO 27001 | Cómo apoya ISO 27005 |
|---|---|---|
| Definición del contexto | Ayuda a determinar el alcance del SGSI y las necesidades de la organización. | Apoya la comprensión del contexto desde la perspectiva del riesgo. |
| Identificación de riesgos | Exige identificar riesgos de seguridad de la información. | Orienta sobre cómo identificar activos, amenazas, vulnerabilidades y escenarios de riesgo. |
| Análisis de riesgos | Requiere evaluar los riesgos para tomar decisiones. | Ayuda a analizar impacto, probabilidad y nivel de riesgo. |
| Evaluación de riesgos | Permite priorizar riesgos según criterios definidos. | Proporciona guía para comparar riesgos contra criterios de aceptación. |
| Tratamiento de riesgos | Exige definir acciones para tratar riesgos. | Orienta sobre opciones de tratamiento, como reducir, evitar, transferir o aceptar riesgos. |
| Selección de controles | Permite seleccionar controles con base en los riesgos identificados. | Ayuda a justificar los controles desde el análisis de riesgo. |
| Monitoreo y mejora | Requiere evaluación del desempeño y mejora continua. | Refuerza el seguimiento continuo de los riesgos y cambios en el entorno. |
¿Por qué la gestión de riesgos es tan importante en ISO 27001?
La gestión de riesgos es uno de los pilares de ISO 27001. Sin una evaluación de riesgos adecuada, la organización puede cometer errores como:
- Implementar controles innecesarios.
- Ignorar riesgos críticos.
- Asignar presupuesto a prioridades incorrectas.
- Documentar controles que no reflejan la realidad operativa.
- Prepararse mal para auditorías.
- No justificar por qué se aplican o no ciertos controles.
- Tratar la seguridad como un tema técnico y no como una decisión de negocio.
ISO 27001 exige que la seguridad de la información se gestione con base en riesgos. ISO 27005 ayuda a que ese proceso sea más claro, consistente y defendible.
Por ejemplo, una empresa puede identificar que el acceso no autorizado a información de clientes representa un riesgo alto. Con ISO 27001, ese riesgo debe tratarse dentro del SGSI. Con ISO 27005, la organización puede estructurar mejor el análisis del riesgo, valorar su impacto, definir criterios y justificar las decisiones de tratamiento.
Ejemplo práctico: cómo se usan juntas ISO 27001 e ISO 27005
Imaginemos una empresa que almacena información confidencial de clientes en sistemas internos y aplicaciones en la nube.
Durante la implementación de ISO 27001, la organización define que esa información forma parte del alcance del SGSI. También establece políticas, responsables, procesos de monitoreo, objetivos de seguridad y controles generales.
Después, al evaluar riesgos, detecta escenarios como:
| Riesgo identificado | Posible impacto | Apoyo de ISO 27001 | Apoyo de ISO 27005 |
|---|---|---|---|
| Acceso no autorizado a datos de clientes | Pérdida de confidencialidad, sanciones, daño reputacional. | Exige tratar el riesgo y aplicar controles adecuados. | Ayuda a analizar probabilidad, impacto y nivel de riesgo. |
| Pérdida de información por fallas en respaldos | Interrupción operativa y pérdida de disponibilidad. | Integra el riesgo al SGSI y a la mejora continua. | Orienta sobre evaluación y tratamiento del riesgo. |
| Uso indebido de privilegios internos | Exposición de información sensible. | Requiere responsabilidades, controles y seguimiento. | Ayuda a definir escenarios y criterios de riesgo. |
| Incidente de seguridad no detectado a tiempo | Mayor impacto operativo y reputacional. | Exige seguimiento, medición y mejora. | Apoya el monitoreo continuo del riesgo. |
Este ejemplo muestra que ISO 27001 no trabaja de forma aislada. Su eficacia depende de una buena comprensión de los riesgos, y ahí ISO 27005 se convierte en una referencia muy valiosa.
ISO 27001, ISO 27005 y la toma de decisiones empresariales
Uno de los mayores beneficios de integrar ISO 27001 e ISO 27005 es que la seguridad deja de ser una lista de controles técnicos y se convierte en un proceso de toma de decisiones.
La empresa puede decidir:
- Qué riesgos son aceptables.
- Qué riesgos requieren tratamiento inmediato.
- Qué controles tienen mayor prioridad.
- Qué inversión se justifica.
- Qué procesos necesitan cambios.
- Qué responsabilidades deben asignarse.
- Qué indicadores deben revisarse.
- Qué acciones correctivas deben aplicarse.
Esto permite que la seguridad de la información esté alineada con el negocio, no solo con el área de TI.
Beneficios de usar ISO 27001 e ISO 27005 en conjunto
| Beneficio | Impacto para la empresa |
|---|---|
| Mejor identificación de riesgos | Permite reconocer amenazas, vulnerabilidades y escenarios que pueden afectar la información. |
| Priorización más clara | Ayuda a enfocar recursos en los riesgos más relevantes para el negocio. |
| Decisiones mejor justificadas | Facilita explicar por qué se aceptan, reducen, transfieren o evitan ciertos riesgos. |
| SGSI más sólido | Fortalece la base de riesgos que sostiene el sistema de gestión. |
| Mejor preparación para auditorías | Permite contar con evidencia más clara sobre evaluación y tratamiento de riesgos. |
| Controles más adecuados | Evita aplicar controles solo por cumplir y permite seleccionarlos con base en necesidades reales. |
| Mayor alineación con el negocio | Conecta seguridad, continuidad, cumplimiento, clientes y objetivos organizacionales. |
| Mejora continua | Ayuda a monitorear riesgos y ajustar decisiones conforme cambia el entorno. |
Errores comunes al gestionar riesgos sin una metodología clara
Muchas organizaciones dicen gestionar riesgos, pero lo hacen de manera informal o incompleta. Esto puede afectar la implementación de ISO 27001.
Algunos errores frecuentes son:
1. Confundir activos con riesgos
Un activo puede ser una base de datos, un sistema, una aplicación, un servidor, un contrato o información de clientes. El riesgo es el escenario que podría afectar ese activo, por ejemplo, acceso no autorizado, pérdida de disponibilidad o modificación indebida.
2. Evaluar riesgos solo desde TI
La seguridad de la información no es solo responsabilidad del área técnica. También involucra procesos, personas, proveedores, cumplimiento, dirección y áreas operativas.
3. No definir criterios de aceptación
Si la empresa no define qué nivel de riesgo está dispuesta a aceptar, será difícil decidir qué riesgos requieren tratamiento.
4. Aplicar controles sin análisis previo
Implementar controles sin evaluar riesgos puede generar costos innecesarios o dejar amenazas importantes sin atender.
5. No actualizar la evaluación de riesgos
Los riesgos cambian cuando la empresa adopta nuevas tecnologías, modifica procesos, incorpora proveedores, migra a la nube o enfrenta nuevas amenazas.
ISO 27005 ayuda precisamente a evitar estos errores, porque orienta a la organización hacia una gestión de riesgos más estructurada y alineada con ISO 27001.
¿Quién debería aprender sobre ISO 27001 e ISO 27005?
Este conocimiento es útil para profesionales y equipos que participan en la protección, gestión, auditoría o toma de decisiones relacionadas con información crítica.
Entre los perfiles que más se benefician están:
- Responsables de seguridad de la información.
- Equipos de TI y ciberseguridad.
- Oficiales de cumplimiento.
- Responsables de privacidad o protección de datos.
- Auditores internos.
- Consultores.
- Líderes de procesos.
- Responsables de gestión de riesgos.
- Directivos involucrados en gobierno corporativo.
- Empresas que buscan prepararse para implementar o certificar un SGSI.
También es recomendable para organizaciones que manejan información sensible, atienden clientes corporativos, deben cumplir requisitos contractuales o desean reducir riesgos operativos y reputacionales.
Preguntas frecuentes sobre ISO 27001 e ISO 27005
¿ISO 27001 e ISO 27005 son lo mismo?
No. ISO 27001 establece los requisitos para implementar y mejorar un Sistema de Gestión de Seguridad de la Información. ISO 27005 proporciona orientación específica para gestionar riesgos de seguridad de la información y apoyar la implementación de un SGSI basado en ISO 27001.
¿ISO 27005 sirve para certificar a una empresa?
Generalmente, la certificación organizacional se realiza contra ISO 27001. ISO 27005 funciona como una guía para fortalecer la gestión de riesgos dentro del SGSI.
¿ISO 27005 es obligatoria para implementar ISO 27001?
No debe verse como una norma obligatoria de certificación, pero sí como una referencia muy útil para gestionar riesgos de seguridad de la información de forma más clara y estructurada.
¿Qué norma debe estudiarse primero?
Lo más recomendable es comenzar con ISO 27001 para entender el sistema de gestión y sus requisitos generales. Después, ISO 27005 permite profundizar en la gestión de riesgos, que es uno de los componentes centrales del SGSI.
¿ISO 27005 reemplaza a ISO 27001?
No. ISO 27005 no reemplaza a ISO 27001. La complementa, porque ofrece orientación para gestionar los riesgos que ISO 27001 exige identificar, evaluar y tratar.
ISO 27001 define el sistema; ISO 27005 fortalece la gestión de riesgos
ISO 27001 e ISO 27005 no compiten entre sí. Al contrario, se complementan.
ISO 27001 permite crear un Sistema de Gestión de Seguridad de la Información con enfoque estratégico, documentado y orientado a la mejora continua. ISO 27005 ayuda a profundizar en la identificación, análisis, evaluación, tratamiento y monitoreo de los riesgos de seguridad de la información.
Para una empresa, entender ambas normas puede marcar la diferencia entre aplicar controles de forma aislada y gestionar la seguridad con base en riesgos reales del negocio.
Si tu organización busca fortalecer su seguridad de la información, preparar a su equipo o iniciar el camino hacia un SGSI, el curso ISO/IEC 27001:2022 Fundamentos de ExecuTrain ayuda a comprender la estructura de la norma, el enfoque basado en riesgos, la selección de controles, la auditoría interna, la mejora continua y la relación con normas complementarias como ISO 27005.
