Análisis de riesgos ISO 27005: metodología práctica con enfoque basado en sucesos

Analisis Riesgos ISO 2700- Sucesos

Análisis de riesgos ISO 27005: metodología práctica con enfoque basado en sucesos

 

El análisis de riesgos ISO 27005 es una pieza clave para cualquier organización que quiera proteger su información, mejorar su seguridad y avanzar hacia un Sistema de Gestión de Seguridad de la Información conforme a ISO/IEC 27001. No se trata únicamente de elaborar una matriz de riesgos, sino de comprender qué podría ocurrir, cómo afectaría al negocio, qué controles existen, qué medidas deben implantarse y qué riesgo residual puede aceptarse de forma justificada.

En un contexto donde las empresas dependen de sistemas cloud, proveedores externos, correo electrónico, herramientas colaborativas, datos personales y procesos digitales, resulta cada vez más importante analizar los riesgos de seguridad de la información desde una visión práctica y orientada a consecuencias reales.

1. Qué es ISO/IEC 27005 y por qué es importante

ISO/IEC 27005:2022 proporciona orientación para la gestión de riesgos de seguridad de la información. Su utilidad principal consiste en ayudar a identificar, analizar, evaluar y tratar los riesgos que pueden afectar a la confidencialidad, integridad y disponibilidad de la información.

Dentro de un SGSI ISO 27001, la evaluación de riesgos no debe verse como un trámite documental. Es la base para decidir qué controles son necesarios, qué riesgos son prioritarios, qué recursos deben asignarse y qué decisiones deben elevarse a dirección.

Un buen análisis permite responder preguntas como:

  • ¿Qué procesos no pueden detenerse?
  • ¿Qué información causaría mayor daño si se divulgara?
  • ¿Qué datos deben mantenerse íntegros para tomar decisiones correctas?
  • ¿Qué proveedores pueden afectar a la continuidad del servicio?
  • ¿Qué incidentes podrían tener impacto legal, económico o reputacional?

2. El análisis de riesgos como parte esencial de ISO 27001

El análisis de riesgos no debe entenderse como una actividad independiente, sino como una parte estructural de la implantación de ISO 27001. Dentro de un Sistema de Gestión de Seguridad de la Información, la organización debe identificar sus riesgos, evaluarlos, definir un tratamiento adecuado, seleccionar controles y revisar periódicamente si las medidas implantadas siguen siendo eficaces.

Por ello, una metodología basada en ISO 27005 permite dar solidez al SGSI ISO 27001, ya que ayuda a justificar qué controles se aplican, por qué se consideran necesarios y qué riesgo residual permanece después del tratamiento. De esta forma, el análisis de riesgos se convierte en una herramienta práctica para la toma de decisiones, la mejora continua y la preparación de auditorías internas o procesos de certificación.

3. ISO 27005 análisis de riesgos: del enfoque técnico al enfoque de negocio

Tradicionalmente, muchas organizaciones han realizado el análisis de riesgos partiendo de activos: servidores, aplicaciones, bases de datos, dispositivos, redes, documentos o proveedores. Este enfoque basado en activos sigue siendo útil porque permite identificar amenazas, vulnerabilidades y controles específicos.

Sin embargo, puede generar un problema habitual: listados muy extensos de riesgos técnicos que no siempre muestran con claridad la consecuencia real para el negocio.

El ISO 27005 enfoque basado en sucesos propone mirar el riesgo desde otra perspectiva. En lugar de empezar solo por el activo, se parte de un evento no deseado y de sus consecuencias. La lógica sería:

objetivo afectado → suceso no deseado → escenario de riesgo → consecuencias → fuentes de riesgo → activos, amenazas, vulnerabilidades y controles.

Por ejemplo, en lugar de registrar únicamente “servidor sin parchear”, se formularía un escenario más completo:

“Una vulnerabilidad no corregida en un servidor expuesto permite el acceso no autorizado a información de clientes, provocando pérdida de confidencialidad, posible interrupción del servicio, investigación interna y daño reputacional”.

Esta redacción facilita que dirección, responsables de procesos, responsables técnicos y consultores puedan entender el riesgo con una visión común.

ISO 27001

4. Metodología ISO 27005 con enfoque basado en sucesos

Una metodología ISO 27005 práctica debería seguir una secuencia clara. Primero se define el contexto de la evaluación: alcance, procesos incluidos, información tratada, sistemas relevantes, proveedores, partes interesadas, requisitos legales y responsables.

Después se identifican los objetivos y consecuencias críticas. Se debe analizar qué procesos no pueden detenerse, qué datos son sensibles, qué información debe mantenerse exacta y qué incumplimientos serían más graves.

El siguiente paso consiste en identificar sucesos no deseados. Algunos ejemplos habituales son:

  • Ransomware que cifra sistemas críticos.
  • Acceso no autorizado a datos personales.
  • Caída de un proveedor cloud o SaaS.
  • Envío indebido de información sensible.
  • Alteración de datos financieros o contables.
  • Fraude por suplantación de identidad.
  • Pérdida de trazabilidad.
  • Fallo de copias de seguridad.
  • Error en una migración de datos.

Una vez identificado el suceso, se construye el escenario de riesgo. Para ello se recomienda describir la fuente de riesgo, el evento inicial, la cadena de eventos, el proceso afectado, la pérdida de confidencialidad, integridad o disponibilidad, y la consecuencia de negocio.

5. Evaluación de riesgos ISO 27001: probabilidad, consecuencia y nivel de riesgo

La evaluación de riesgos ISO 27001 debe apoyarse en criterios homogéneos. Normalmente se valoran dos elementos principales: probabilidad y consecuencia.

La consecuencia debe considerar dimensiones como impacto operativo, económico, legal, contractual, reputacional, privacidad, continuidad, afectación a terceros o daño a personas.

La probabilidad debe justificarse teniendo en cuenta factores como exposición, historial de incidentes, frecuencia del proceso, errores humanos, vulnerabilidades conocidas, eficacia de controles existentes, dependencia de terceros y facilidad de explotación.

Después se determina el nivel de riesgo combinando probabilidad y consecuencia. El resultado puede clasificarse, por ejemplo, como bajo, medio, alto o muy alto. Esta clasificación permite decidir si el riesgo puede aceptarse, si requiere mejoras razonables, si debe tratarse obligatoriamente o si debe escalarse a dirección.

ISO 27005

6. El papel del CISO externo en el análisis de riesgos ISO 27005

En muchas pymes y organizaciones en crecimiento, no existe una figura interna dedicada de forma exclusiva a la seguridad de la información. En estos casos, contar con un CISO externo puede ser especialmente útil para coordinar el análisis de riesgos, interpretar los resultados de la evaluación, priorizar los escenarios más críticos y traducirlos en decisiones comprensibles para la dirección.

El CISO externo puede ayudar a definir criterios de probabilidad e impacto, revisar si los controles existentes son suficientes, identificar riesgos residuales relevantes y acompañar a la organización en la implantación de medidas alineadas con ISO/IEC 27001. De este modo, el análisis de riesgos ISO 27005 deja de ser un documento aislado y se convierte en una herramienta real de gobierno, cumplimiento y mejora continua de la seguridad.

7. Tratamiento de riesgos de seguridad de la información

El tratamiento de riesgos de seguridad de la información convierte la evaluación en acciones concretas. Las opciones habituales son reducir, evitar, compartir o aceptar el riesgo.

En la práctica, reducir el riesgo suele requerir una combinación de controles:

7.1. Controles preventivos

Reducen la probabilidad de que ocurra el suceso. Por ejemplo, autenticación multifactor, mínimos privilegios, formación frente a phishing, revisión de accesos, segmentación de red o gestión de vulnerabilidades.

7.2. Controles detectivos

Permiten identificar señales tempranas o incidentes. Por ejemplo, monitorización de accesos anómalos, revisión de logs, alertas de seguridad, DLP o seguimiento de disponibilidad.

7.3. Controles correctivos

Reducen las consecuencias y facilitan la recuperación. Por ejemplo, copias de seguridad probadas, plan de respuesta a incidentes, plan de continuidad, restauración de sistemas o comunicación de crisis.

Tras definir el tratamiento, se debe estimar el riesgo residual. No se debe asumir que un control elimina el riesgo. Debe documentarse qué riesgo permanece, quién lo acepta, bajo qué condiciones y cuándo se revisará.

8. Beneficios del enfoque basado en sucesos ISO 27005

El enfoque basado en sucesos aporta varias ventajas para empresas que quieren implantar o mejorar su SGSI:

  • Permite conectar seguridad de la información con procesos de negocio.
  • Facilita la comunicación con dirección.
  • Ayuda a priorizar riesgos según consecuencias reales.
  • Evita que el análisis sea solo una lista técnica de activos.
  • Permite integrar amenazas, vulnerabilidades y controles dentro de escenarios comprensibles.
  • Mejora la trazabilidad entre riesgos, controles, tratamiento y riesgo residual.
  • Facilita el trabajo de consultores, responsables de seguridad y servicios de CISO externo.

Este enfoque resulta especialmente útil para pymes y organizaciones que necesitan una metodología clara, defendible y adaptable a su contexto.

ISO 27005

9. Errores frecuentes al realizar un análisis de riesgos ISO 27005

Uno de los errores más habituales es confundir amenaza con riesgo. “Phishing” o “ransomware” no son, por sí solos, un análisis completo. Es necesario explicar qué ocurre, qué activo o proceso se ve afectado y qué consecuencia se produce.

También es frecuente confundir vulnerabilidad con riesgo. Por ejemplo, “no tener MFA” es una debilidad o ausencia de control, pero el riesgo debe formularse como un escenario: una cuenta comprometida permite acceso no autorizado a información crítica.

Otros errores habituales son:

  • Redactar riesgos demasiado genéricos.
  • Empezar por controles sin entender el escenario.
  • No justificar la probabilidad.
  • No justificar la consecuencia.
  • No diferenciar controles preventivos, detectivos y correctivos.
  • No documentar el riesgo residual.
  • Asignar propietarios sin autoridad real.
  • No revisar los escenarios cuando cambia el contexto.
  • No considerar proveedores, errores humanos o dependencias externas.

10. Conclusiones

Un análisis de riesgos ISO 27005 bien diseñado permite tomar decisiones razonables, justificadas y comparables sobre los riesgos de seguridad de la información. El objetivo no es crear una matriz perfecta, sino comprender qué sucesos pueden afectar al negocio, qué consecuencias tendrían, qué controles son necesarios y qué riesgo residual puede aceptarse.

El enfoque basado en sucesos ayuda a transformar el análisis de riesgos en una herramienta útil para dirección, responsables de procesos, responsables técnicos y consultores. Además, permite integrar de forma natural la gestión de riesgos dentro de un SGSI ISO 27001, conectando evaluación, tratamiento, controles, evidencias, auditoría interna y mejora continua.

Conoce mas Sobre la ISO 27001 o ENS
Gestión de configuración segura: ISO 27001 y ENS (OPEX2/3)

Sueca. CP 46410 València
96 203 41 21
Contactar