ISO/IEC 27001 es una norma técnica y su implementación puede ser un tanto compleja. Incluye 93 controles, ¡casi una centena! Dado ese volumen, puede ser algo genérica. En sus menos de 50 páginas apunta requisitos que no siempre las personas saben interpretar. Por eso la Organización Internacional de Normalización (ISO) juzga conveniente publicar junto con este estándar una guía para que nos acerquemos a la 27001 y descifremos el asunto crucial por el que implementamos un sistema de gestión de seguridad de la información: los riesgos. La guía en cuestión es ISO/IEC 27005 – Seguridad de la información, ciberseguridad y protección de la privacidad: orientación sobre la gestión de riesgos de seguridad de la información.

Publicada en 2022, ISO/IEC 27005 proporciona directrices detalladas sobre cómo identificar, analizar, valorar y tratar los riesgos que amenazan la confidencialidad, integridad y disponibilidad de los activos de información. Su misión es ayudar a gestionar los riesgos de seguridad de la información para cumplir con los requisitos de ISO/IEC 27001. ¿De qué va la gestión de riesgos exactamente? De comprender qué amenazas podrían materializarse, prevenirlas para que no causen daños significativos y, en caso de que ocurran, atenderlas a tiempo para que las consecuencias sean menores. Las claves son la prevención, identificación, análisis, evaluación, priorización y tratamiento.

Una de las grandes utilidades de la ISO/IEC 27005 es la biblioteca de amenazas y vulnerabilidades que contiene, que ayuda a identificar los riesgos y, con esto, cumplir con requisitos del apartado 6.1.2 de la ISO/IEC 27001. En general, gracias a esa guía se puede desarrollar un método de gestión de riesgos adecuado a las características de las normas ISO. Sin embargo, al no contener requisitos, no es certificable. 

¿Se puede implementar ISO/IEC 27001 sin tomar en cuenta la ISO/IEC 27005?

Se puede, pero ¿por qué elegimos el camino difícil? No queremos conducir un automóvil sin saber por dónde estamos transitando. Es preferible contar con el apoyo del GPS o de un guía que conozca la zona. La 27005 despoja de la incertidumbre a la 27001.  Ambas se complementan porque:

• ISO/IEC 27005 es un marco estructurado que indica qué hacer paso a paso desde que se identifica un riesgo.  
• Ambas ayudan a las organizaciones a priorizar los riesgos y a asignar los recursos necesarios para su gestión.

• Al identificar y gestionar los riesgos de forma proactiva, las organizaciones aumentan su capacidad para resistir y recuperarse de incidentes de seguridad de la información, así se vuelven resilientes. 
• La implementación de la ISO/IEC 27005 demuestra a clientes, socios, reguladores y a todas partes interesadas que la organización toma en serio la protección de la información.

Al interior de ISO/IEC 27005

10 capítulos y 1 anexo fue lo que necesitaron la ISO y la Comisión Electrotécnica Internacional (IEC) para enseñarnos a gestionar los riesgos. La estructura de la guía cuenta con:

Capítulo 5. Gestión de riesgos de seguridad de la información

Capítulo 6. Análisis del contexto

Capítulo 7. Proceso de apreciación de riesgos de seguridad de la información

Capítulo 8. Proceso de Tratamiento de riesgos.

Capítulo 9. Operación

Capítulo 10. Apalancamiento de los procesos del SGSI

La guía es clara cuando establece que la evaluación y el tratamiento de riesgos requieren actualizarse periódicamente y en función de los cambios.  Esto debe aplicarse a toda la evaluación de riesgos y las actualizaciones se pueden dividir en dos ciclos de gestión de riesgos: 

• Ciclo estratégico
• Ciclo operacional

También ofrece 2 enfoques, uno basado en eventos (nos lleva a identificar fuentes de riesgo y centrarse en el panorama general de amenazas para definir la consecuencia y gravedad de cada escenario de riesgo dado) y el enfoque basado en activos, en el que debemos identificar amenazas y vulnerabilidades específicas de los activos, determinar su probabilidad y definir opciones específicas de tratamiento de riesgos).

¿Buscas alcanzar niveles de confidencialidad, integridad y disponibilidad? Seguro que sí, pues las organizaciones enfrentan el desafío diario de proteger sus activos críticos y garantizar la continuidad del negocio. Usar la guía 27005 contribuye con el cumplimiento de la 27001 y puede emplearse incluso sin tener un sistema de gestión de seguridad de la información, puesto que lo tengas o no, toda organización se enfrenta a riesgos y debe gestionarlos. Al incluir monitoreo continuo, ISO/IEC 27005 ayuda a adaptarse a los contextos empresariales cambiantes.