El Enfoque ISO 27005 para la Gestión de Riesgos de Seguridad de la Información: Explicación de las Actualizaciones de 2022
ISO 27005 es uno de los enfoques de gestión de riesgos de seguridad de la información más conocidos y respetados.
¿Cómo funciona el estándar? ¿Para quién está diseñado? ¿Cómo se compara con otras metodologías de gestión de riesgos?
En términos simples, ISO 27005 establece el proceso para completar una evaluación de riesgos de seguridad de la información que cumple con los requisitos de ISO 27001. Sigue leyendo para conocer todo lo que necesitas saber sobre ISO 27005 y las últimas actualizaciones de 2022 del estándar.
¿Qué es la gestión de riesgos de seguridad de la información?
Antes de profundizar en ISO 27005, retrocedamos y definamos la gestión de riesgos de seguridad de la información.
La gestión de riesgos de seguridad de la información es el proceso de entender qué eventos podrían ocurrir y afectar tus activos de información, y cuáles podrían ser las consecuencias. Al igual que con todos los demás tipos de riesgos, conocer las amenazas a tus activos de información te ayuda a crear una estrategia efectiva para protegerlos.
Es importante señalar que la gestión de riesgos de seguridad de la información no se trata de eliminar completamente todos los riesgos de seguridad de la información. Nada en los negocios (ni en la vida) está completamente libre de riesgos; de hecho, eliminar todos los riesgos a menudo significa eliminar también todas las oportunidades.
En cambio, la gestión de riesgos se trata de entender y definir una tolerancia al riesgo que sea adecuada para tu negocio y luego crear una estrategia para abordar el riesgo para que puedas lograr y mantener el equilibrio adecuado.
Lecturas recomendadas
Cómo Hacer una Evaluación de Riesgos de ISO 27001
El enfoque ISO 27005 para la gestión de riesgos
ISO 27005 es parte de la familia de estándares ISO 27000, creada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Ayuda a las organizaciones a crear, monitorear y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI).
ISO 27005 se centra específicamente en la gestión de riesgos de seguridad de la información. El estándar internacional proporciona un enfoque organizado y sistemático para identificar, evaluar y gestionar los riesgos relacionados con la seguridad de la información.
- ISO 27001: Establece los requisitos para construir, monitorear y mejorar un SGSI
- ISO 27002: Especifica controles de seguridad para salvaguardar el SGSI
- ISO 27005: Proporciona un marco de gestión de riesgos para el SGSI
El cumplimiento de ISO 27005 no es un requisito legal o regulatorio. Sin embargo, es un enfoque muy respetado para la gestión de riesgos que se puede aplicar en todas las industrias, lo que lo convierte en una opción popular para las organizaciones que buscan una metodología formal de gestión de riesgos.
Para las empresas que utilizan ISO 27001 para gestionar un SGSI, ISO 27005 es una elección clara para abordar el componente de gestión de riesgos. Pero incluso las organizaciones que no están certificadas en ISO 27001 todavía se benefician de utilizar la norma de gestión de riesgos. Los CISOs, responsables de cumplimiento, profesionales de tecnología de la información y otros ejecutivos dependen de ISO 27005 para guiar sus actividades de gestión de riesgos y tomar decisiones informadas sobre amenazas y vulnerabilidades.
Framework | Purpose | Governing Body | Process | Pros Method | Cons |
---|---|---|---|---|---|
ISO 27005 | Provides guidelines for creating, implementing, maintaining, and improving information security risk management in support of an Information Security Management System (ISMS) | International Organization for Standardization (ISO) and International Electrotechnical Organization (IEC) | Context establishment, risk identification, risk analysis, risk evaluation, and risk treatment | Flexible, repeatable process; integration with ISO 27001 | No specific ISO 27005 certification |
NIST 800-53 | Offers a systematic process for understanding vulnerabilities and threats to IT systems | National Institute of Standards and Technology (NIST)a | Threat and vulnerability identification, likelihood and impact determination, risk determination, control analysis | Detailed guidance; integration with NIST RMF | Certain guidelines may be too specific to US federal agencies |
OCTAVE | Focuses on risk-based information security strategies tailored to an organization's specific business needs and environment | Software Engineering Institute (SEI) at Carnegie Mellon University | Identify goals, key assets, and threats; evaluate vulnerabilities against threats; develop risk mitigation plan and information protection strategy based on identified risks | Takes a holistic view of both organizational and technological risk | May need specific training in OCTAVE method |
Beneficios de ISO/IEC 27005 para la gestión de riesgos de seguridad de la información
¿Por qué las organizaciones eligen ISO 27005 sobre otras metodologías de gestión de riesgos?
- Flexibilidad: ISO 27005 permite a las organizaciones definir su propio enfoque basado en sus necesidades y objetivos comerciales únicos.
- Proceso claro y repetible: ISO 27005 establece cinco pasos para identificar y gestionar el riesgo de seguridad de la información. Es un proceso exhaustivo que asegura que las organizaciones aborden completamente su panorama de amenazas, y dado que es un proceso repetible, asegura que las organizaciones pueden mantenerse al tanto de las amenazas emergentes a medida que el panorama evoluciona.
- Cumplimiento: Si estás buscando o necesitas mantener la certificación ISO 27001, seguir ISO 27005 asegura que cumplas con los requisitos de gestión de riesgos.
ISO/IEC 27005:2022: Las últimas actualizaciones del estándar
En octubre de 2022, ISO publicó una versión actualizada del estándar: ISO 27005:2022. Esta actualización reemplaza la versión anterior, ISO 27005:2018.
ISO 27005:2022 introduce varios cambios nuevos para alinear mejor la terminología y la estructura del estándar con las últimas actualizaciones de ISO 27001:2022.
Aquí hay un resumen de los cambios más significativos:
- ISO 27005:2022 consolida las 12 cláusulas y seis anexos de la versión 2018 en diez cláusulas y un anexo.
- Establece un nuevo proceso de gestión de riesgos con cinco pasos: establecimiento del contexto, identificación de riesgos, análisis de riesgos, evaluación de riesgos y tratamiento de riesgos. (La etapa de aceptación de riesgos ha sido eliminada y se ha introducido una nueva cláusula: 8.6.3. Aceptación del riesgo residual de seguridad de la información. La aceptación de riesgos ahora se decide después del tratamiento de riesgos.)
- Introduce un nuevo proceso para identificar riesgos de seguridad de la información. La actualización de 2022 describe dos enfoques:
- Enfoque basado en eventos: Implica identificar fuentes de riesgo y centrarse en el panorama general de amenazas para definir la consecuencia y gravedad de cada escenario de riesgo dado.
- Enfoque basado en activos: Implica identificar amenazas y vulnerabilidades específicas de los activos, determinar su probabilidad y definir opciones específicas de tratamiento de riesgos.
Cómo empezar: Cómo gestionar el riesgo de seguridad de la información con ISO 27005:2022
ISO 27005 establece cinco pasos para identificar, evaluar y abordar los riesgos de seguridad de la información.
Paso 1: Establecimiento del contexto
Este paso se trata de establecer los objetivos y criterios para la gestión de riesgos de seguridad de la información. Necesitarás reunir a las partes interesadas clave y responder preguntas como:
- ¿Cuáles son tus objetivos en materia de seguridad de la información y cómo se alinean con tus objetivos comerciales generales?
- ¿Qué requisitos contractuales, regulatorios y de cumplimiento deben tenerse en cuenta?
- ¿Qué otros enfoques de gestión de riesgos existen dentro de la organización, y cómo se alineará el proceso de gestión de riesgos de seguridad de la información con ellos para garantizar la consistencia?
- ¿Cómo decidirá tu organización qué riesgos de seguridad de la información aceptar y cuáles mitigar?
Paso 2: Identificación de riesgos
ISO 27005:2022 establece dos enfoques complementarios para identificar riesgos: basado en eventos y basado en activos. Las organizaciones pueden optar por ejecutar un enfoque de manera independiente o utilizarlos ambos juntos.
- Enfoque basado en eventos: ¿Cuáles son los principales eventos o escenarios que introducen riesgos? Este enfoque se centra en el panorama general de amenazas de la organización.
- Enfoque basado en activos: ¿Cuáles son los principales riesgos y vulnerabilidades asociados con cada activo de información? Este enfoque es más granular y se centra en los activos y la arquitectura específicos de la organización.
Paso 3: Análisis de riesgos
El paso de análisis de riesgos se trata de reducir cuáles sistemas, servicios y datos están en riesgo y qué tan severo es cada riesgo o vulnerabilidad.
Mientras que las versiones anteriores de ISO 27005 utilizaban un enfoque de análisis de riesgos cualitativo y cuantitativo, las actualizaciones de 2022 añaden un análisis de riesgos semicuantitativo.
- Enfoque cualitativo: Considera diferentes escenarios y responde preguntas del tipo “¿qué pasaría si?” para identificar riesgos.
- Enfoque cuantitativo: Usa datos y números para definir niveles de riesgo.
- Enfoque semicuantitativo: Algunos aspectos (como la probabilidad) se cuantifican usando métodos estadísticos, y otros (como el impacto) se definen usando métodos subjetivos como opiniones de expertos.
Paso 4: Evaluación de riesgos
Una vez que se han analizado los riesgos, las organizaciones deben decidir cómo responder a cada uno de ellos. Necesitarás comparar cada riesgo con los criterios de apetito o tolerancia al riesgo definidos en el primer paso. ¿Qué riesgos caen dentro de los niveles aceptables y cuáles necesitan ser tratados? Este proceso te ayuda a priorizar los riesgos para que puedas tratarlos sistemáticamente.
Paso 5: Tratamiento de riesgos
Aunque ISO 27005:2022 no especifica opciones de tratamiento de riesgos, el estándar anterior de 2018 detallaba cuatro posibilidades:
- Mitigación de riesgos: Implementar controles de seguridad de la información para reducir la probabilidad o impacto del riesgo.
- Evitar riesgos: Evitar el riesgo al prevenir las circunstancias donde podría ocurrir.
- Transferencia de riesgos: Compartir o transferir el riesgo a un tercero, es decir, comprando un seguro.
- Aceptación de riesgos: Aceptar el riesgo porque el costo de abordarlo supera el daño potencial.
ISO 27005:2022 en su lugar enfatiza la responsabilidad que tienen los propietarios de riesgos en la creación y aprobación del plan de tratamiento de riesgos y en aceptar cualquier riesgo residual. Los propietarios de riesgos deben estar involucrados en decidir qué controles se implementarán para tratar los riesgos.
Además, la actualización de 2022 relaciona más estrechamente la ISO/IEC 27005 con la ISO/IEC 27001 y ISO/IEC 27002 al introducir la Declaración de Aplicabilidad. Como parte del proceso de tratamiento de riesgos, todos los controles de seguridad utilizados para modificar riesgos deben compararse con los listados en ISO 27001 Anexo A.
Lecturas recomendadas
¿Cuáles son los controles ISO 27001? Una guía del Anexo A
Automatización del proceso de gestión de riesgos de seguridad de la información ISO 27005
La solución de gestión de riesgos de Secureframe se construyó sobre el estándar ISO 27005, simplificando el cumplimiento de ISO y facilitando la identificación de escenarios de riesgo basados en eventos y activos para su organización.
- Flujo de trabajo de evaluación de riesgos impulsado por IA: Comply AI for Risk automatiza el proceso de evaluación de riesgos utilizando inteligencia artificial. Obtenga información instantánea sobre cada riesgo según la información de su organización y empresa, incluido el impacto potencial, la probabilidad y el tratamiento recomendado.
- Biblioteca de riesgos: Seleccione entre riesgos preconstruidos para identificar rápidamente amenazas a su organización y activos, incluidas las categorías de riesgos de TI, legales y financieros.
- Registro e historial de riesgos: Documente y supervise fácilmente todos sus riesgos en una vista de tabla, incluyendo la descripción del riesgo, categoría, propietario asignado, puntuación de riesgo, tratamiento, puntuación de riesgo residual y estado. Vea el historial de riesgos para mostrar fácilmente a los auditores y partes interesadas las mejoras que ha realizado para reducir la exposición al riesgo.
- Vinculación de controles: Mapee controles de seguridad mitigadores a riesgos específicos para alinear sin problemas sus programas de cumplimiento y gestión de riesgos e identificar rápidamente las brechas.
Descubra por qué Secureframe es la plataforma líder en automatización de seguridad y cumplimiento — programe una demostración con un experto en productos hoy mismo.