lunes, 7 de mayo de 2018

¿CÓMO DE IMPORTANTE ES LA GESTIÓN DE RIESGOS EN SU EMPRESA?

Con diferencia de otras normas ISO, la ISO 31000 no es certificable, es una guía que opera bajo diferentes metodologías basadas en la gestión de riesgos y oportunidades en una empresa.
Si tenemos en cuenta que ISO 31000 nos ayuda a abordar la gestión de riesgos de una manera estratégica y general, se puede considerar que este estándar es un buen marco de gestión de diferente tipo de riesgos, que pueden trabajar según otras normas, incluyendo la norma ISO 27001.

Para implantar la norma ISO 27001 es necesario hacer uso de la norma ISO 31000 es cierto que la norma ISO 27001 resulta muy útil para realizar la aplicación de la segunda a pesar de que existen diferencias entre ISO 31000 e ISO 27001.

La norma ISO 31000 nos entrega directrices sobre la manera de gestionar los riegos, en las empresas, sin concentrarse en la seguridad de la información ya que además aborda la continuidad de negocio, el mercado, e incluso los riesgos operacionales.

La norma, nos facilita un glosario detallado de términos relativos a la gestión de riesgos, estableciendo un marco general que incluye un ciclo de PHVA (planificar, hacer, verificar y actuar), para la gestión de riesgo.

La ISO 31000 no proporciona metodologías específicas, ya que la gestión de riesgos aborda cualquier tipo de riesgos y no profundiza en ninguno de ellos.

La norma ISO 27001 es un estándar especializado en el tema de la seguridad de la información, lo que supone que la empresa debe establecer procesos que salvaguarden, controlen, almacenen su información gestionando cualquier riesgo que pudieses afectarla de forma eventual.

La duda surge de la ISO 27001 2013 en la que se menciona el estándar ISO 31000. Y surge de forma particular porque, la versión de 2005 de la norma no hace referencia.

Según la cláusula 4.1 la empresa deberá considerar los contextos externos e internos según la cláusula 5.3 de la norma ISO 31000.

Por su puesto, si leemos con detalle la cláusula 5.3.2 y 5.3.3 de la norma ISO 31000 entendemos que son muy útiles, ya que nos proporcionan una guía muy valiosa sobre el tema de los contextos internos y externos.

Es bueno tener en cuenta que esta mención se realiza en una nota, lo que supone que no son directrices obligatorias. Es solo un punto de referencia.

En la cláusula 6.1.3 de la norma ISO 27001 nos dice:

La gestión de la seguridad de la información, se encuentra alineada con la norma ISO 31001.

Esto no supone que un estándar se convierta en requisito esencial. Solo dice que los requisitos entre ambas normas son compatibles a pesar de las diferencias entre la ISO 31000 e ISO 27001.

Diferencias entre ISO 31000 e ISO 27001 – Las normas frente a frente

La norma ISO 31000 no suministra ninguna recomendación específica sobre el tratamiento de la seguridad de la información y la gestión de los riesgos. Por el contario, la norma ISO 27001 si lo hace y de una forma sobresaliente.

El análisis de riesgos es el corazón de la norma ISO 22301, la cual establece el análisis y la gestión de los riesgos según su predecesora la norma BS 25999.

La ISO 31000 es un estándar internacional publicado en 2009 para analizar y gestionar los riegos, se encuentra relacionada con la ISO 22301 para corroborar todas sus garantías. Si no se realiza una correcta gestión de riesgos no se puede conseguir una mejora en el impacto de cualquier evento en la continuidad del negocio.

La norma ISO 27001 establece la identificación de activos, amenazas y vulnerabilidades, pero también para evaluar todas las consecuencias de unos determinados riesgos y calcular la probabilidad de que ocurra.

No necesitamos la ISO 31000 para implementar la norma ISO 27001. Lo anterior no significa que ISO 31000 no resulta de utilidad, sobre todo para identificar contextos externos e internos y para conseguir un marco apropiado para la gestión de todo tipo de riesgos a nivel de toda la empresa.

Si tenemos en cuenta que la ISO 31001 nos ayuda a abordar la gestión de riesgos de manera estratégica y general, se puede considerar este estándar como un excelente marco de gestión de todo tipo de riesgos, que puede trabajar en conjunto.

Es muy importante que las organizaciones implanten un sistema de gestión de riesgos eficiente, que les permite consolidarse y estar preparados para situaciones adversas que puedan representar amenazas para la continuidad del negocio.

La norma busca analizar riesgos de una forma integrada bajo una metodología de gestión de riesgos imple que consta de 4 etapas:
  • Identificación de riesgos
  • Evaluación de riesgos
  • Valoración de riesgos
  • Control de riesgos
Tomado de: https://www.isotools.org/

No hay comentarios.: