ISO/IEC 27005 es la norma internacional que proporciona directrices para gestionar los riesgos de seguridad de la información. No es certificable para organizaciones, pero sí lo es para personas: la credencial PECB Risk Manager te capacita para liderar la gestión del riesgo conforme a la norma. Y aquí está la clave: ISO/IEC 27005 es la pieza que une ISO 27001, NIS2 y DORA. Quien domina 27005 tiene una habilidad transversal que se valora en los tres ámbitos. En este artículo te explico qué cubre la norma, qué aprenderás en el curso y por qué es una de las inversiones más útiles en GRC.

Qué es ISO/IEC 27005 y por qué importa

ISO/IEC 27005 es la norma internacional que ofrece directrices para la gestión de riesgos de seguridad de la información. La versión vigente es ISO/IEC 27005:2022, alineada con ISO/IEC 27001:2022 y con el marco general de gestión de riesgos ISO 31000.

A diferencia de ISO/IEC 27001 (que es certificable para organizaciones) o ISO/IEC 27002 (que es un código de buenas prácticas), ISO/IEC 27005 es una norma orientada al proceso: te dice cómo hacer una gestión de riesgos rigurosa, repetible y compatible con cualquier SGSI.

Por qué es estratégicamente importante: casi todas las normas y regulaciones modernas de ciberseguridad (NIS2, DORA, AI Act, ENS) exigen una gestión de riesgos formal. ISO/IEC 27005 es la metodología más reconocida internacionalmente para hacerlo. Dominarla te habilita en todas las regulaciones, no solo en una.

Su conexión con 27001, NIS2 y DORA

Esta es la lectura clave que muchos profesionales no terminan de ver: ISO/IEC 27005 es el motor que mueve la rueda en tres frentes:

Con ISO/IEC 27001: la cláusula 6.1.2 de la norma exige una evaluación de riesgos formal. ISO 27005 proporciona la metodología detallada para hacerlo (la norma 27001 te dice qué, la 27005 te dice cómo).

Con NIS2: el artículo 21 de la directiva exige "políticas de análisis de riesgos y de seguridad de la información" como primer bloque de medidas obligatorias. Una metodología 27005 es la forma natural de cumplir esa exigencia.

Con DORA: el pilar 1 del reglamento es la gestión del riesgo TIC, con un marco de gestión de riesgos formalmente definido. ISO 27005 encaja directamente.

En consecuencia, certificarte en 27005 no te abre solo una puerta, te abre tres a la vez.

La metodología, paso a paso

ISO/IEC 27005 define un ciclo de gestión de riesgos en seis fases. Vale la pena conocerlas porque son las que estructuran el curso:

  1. Establecimiento del contexto. Criterios de evaluación, aceptación y de impacto. Sin esto, evaluar el riesgo es un ejercicio subjetivo.
  2. Identificación del riesgo. Activos, amenazas, vulnerabilidades y controles existentes.
  3. Análisis del riesgo. Estimación de probabilidad e impacto, métodos cualitativos o cuantitativos.
  4. Evaluación del riesgo. Comparación con los criterios establecidos para priorizar.
  5. Tratamiento del riesgo. Aceptación, mitigación, transferencia o evitación, con un plan de tratamiento documentado.
  6. Comunicación, supervisión y revisión. El riesgo vivo, no un informe que se queda en el cajón.

Qué cubre el curso Risk Manager

El curso PECB Certified ISO/IEC 27005 Risk Manager es una formación de tres días (categoría C de PECB). El programa cubre:

El enfoque es práctico: trabajamos con plantillas reales (registro de activos, matrices de amenazas, plan de tratamiento del riesgo, declaración de aplicabilidad). No sales solo con teoría, sales con los entregables que vas a producir en tu primer proyecto.

Risk Manager vs Lead Risk Manager: cuál elegir

PECB ofrece dos credenciales en 27005: Risk Manager (3 días) y Lead Risk Manager (5 días). La diferencia es de alcance:

Risk Manager te capacita para ejecutar la metodología en un proyecto concreto. Es la credencial natural para un consultor o profesional que va a trabajar dentro de un SGSI ya existente.

Lead Risk Manager añade liderazgo del programa de gestión de riesgos a nivel organización, integración con otros marcos (ISO 31000, COSO ERM) y gestión de equipos. Es la credencial natural para un responsable de riesgos o CRO.

Si trabajas como consultor o gestionas un proyecto, empieza por Risk Manager. Si gestionas un programa o lideras un equipo, ve directo a Lead Risk Manager.

El examen y la certificación

El examen Risk Manager dura dos horas y cubre los cinco dominios de competencia (contexto, identificación, análisis, evaluación, tratamiento). El curso otorga 21 créditos CPD y, como en el resto del catálogo PECB, el examen incluye dos intentos.

La credencial es válida para mantener el estatus de profesional certificado en CISA, CISM, CISSP, CRISC y otras certificaciones que requieren CPD.

Quien domina ISO/IEC 27005 tiene una habilidad transversal: la misma metodología sirve para ISO 27001, para NIS2 y para DORA. Es de las pocas credenciales en GRC que rinde en tres regulaciones distintas con una sola formación.

Formarse y certificarse

Si quieres dar el paso a la certificación oficial PECB, el curso ISO/IEC 27005 Risk Manager es el camino directo. Self-Study oficial PECB para avanzar a tu ritmo, o con coaching 1-a-1 hasta que estés listo para el examen en las normas donde imparto como Formador Certificado.