Norma NTC-ISO 27005

 

La norma ISO/IEC 27005 proporciona una serie de recomendaciones y directrices generales para la gestión de riesgos en los Sistemas de Gestión de Seguridad de la Información (SGSI). Su objetivo principal es ayudar a las organizaciones a identificar, analizar y evaluar los riesgos asociados con la seguridad de la información, permitiéndoles implementar controles adecuados para mitigarlos.

Esta norma es completamente compatible con los principios y requisitos establecidos en la ISO/IEC 27001, ya que ambas forman parte de la familia de estándares ISO 27000, diseñados para garantizar la protección de la información en diversos entornos. En este sentido, la ISO 27005 sirve como guía de apoyo para aplicar con éxito un SGSI, adoptando un enfoque estructurado basado en la gestión del riesgo.

La ISO/IEC 27005 reemplaza a la norma ISO 13335-2, titulada “Gestión de Seguridad de la Información y la Tecnología de las Comunicaciones”, ampliando y mejorando sus lineamientos. Fue publicada por primera vez en junio de 2008, y posteriormente revisada en 2011, introduciendo mejoras en su metodología y alineándola mejor con las actualizaciones de la ISO 27001.

El cumplimiento de esta norma permite a las organizaciones fortalecer su estrategia de seguridad de la información, reduciendo vulnerabilidades y garantizando la confidencialidad, integridad y disponibilidad de los datos en un entorno cada vez más digitalizado y expuesto a amenazas cibernéticas.