ISO 27001

ISO 27005: guía de gestión de riesgos de seguridad de la información

Por Equipo GRC360 24 de March, 2026 11 min de lectura
ISO 27005 gestión de riesgos de seguridad de la información

ISO 27001 exige una evaluación de riesgos pero no prescribe la metodología. ISO 27005:2022 llena ese vacío: es la norma de la familia ISO 27000 que proporciona directrices específicas para la gestión de riesgos de seguridad de la información, alineada con ISO 31000 (gestión de riesgos genérica) y diseñada para soportar los requisitos de evaluación y tratamiento de riesgos de ISO 27001.

ISO 27005 vs ISO 31000

AspectoISO 27005ISO 31000
EnfoqueRiesgos de seguridad de la informaciónCualquier tipo de riesgo
Relación con ISO 27001Directamente alineada, diseñada para soportarlaMarco general, aplicable a ISO 27001 pero no específica
Nivel de detalleGuía específica con ejemplos de amenazas y vulnerabilidadesPrincipios y marco genérico
CertificableNoNo

Proceso de gestión de riesgos según ISO 27005

ISO 27005 define un proceso cíclico que incluye el establecimiento del contexto (alcance, criterios, organización), la identificación de riesgos (activos, amenazas, vulnerabilidades, controles existentes, consecuencias), el análisis de riesgos (estimación de probabilidad e impacto), la evaluación de riesgos (comparación contra criterios, priorización), el tratamiento de riesgos (selección de opciones y controles), la aceptación del riesgo residual, y la comunicación, monitoreo y revisión continua.

Enfoques de análisis

ISO 27005 describe dos enfoques principales: el análisis cualitativo (escalas descriptivas como bajo, medio, alto; más rápido y subjetivo) y el análisis cuantitativo (valores numéricos y financieros; más preciso pero requiere más datos). La mayoría de las organizaciones usa un enfoque cualitativo o semicuantitativo para la evaluación de riesgos de ISO 27001.

Recomendación: Si estás implementando ISO 27001 por primera vez, ISO 27005 es la mejor metodología de referencia porque está directamente alineada con los requisitos de la norma. Puedes complementarla con elementos de otras metodologías como FAIR para análisis cuantitativo cuando necesites mayor precisión en riesgos específicos.

Aplica ISO 27005 con GRC360

La metodología de gestión de riesgos de GRC360 está alineada con ISO 27005 e ISO 31000, facilitando la evaluación y el tratamiento de riesgos conforme a ISO 27001.

Crear Cuenta Gratis

Complementa con evaluación de riesgos paso a paso, plan de tratamiento y ISO 31000.

SGSI Gestión de Riesgos ISO 27005
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis