viernes, 1 de mayo de 2020

CÓMO SE RELACIONAN ISO 27001 E ISO 31000

Debido al evidente propósito de ISO 27001 de protegerse ante el riesgo, muchos profesionales piensan que es esencial implementar ISO 31000 para poder obtener la certificación en ISO 27001. 

Aunque no es realmente imprescindible, es preciso entender que entre ISO 27001 e ISO 31000 existe una estrecha vinculación.

Esto significa que una puede ser muy útil en la implementación de la otra, ya que comparten directrices sobre la gestión de riesgos comunes, pero también porque a nivel estratégico tienen evidentes afinidades. Hoy hablaremos de los elementos en común entre ISO 27001 e ISO 31000, pero también de aquellos puntos que las separan.

¿Qué hacen ISO 27001 e ISO 31000?
ISO 31000 nos entrega directrices sobre cómo abordar la gestión de riesgos en la organización, sin especializarse en un área específica. Aborda cualquier tipo de riesgo, entre ellos, por supuesto, los vinculados a la seguridad de la información, pero también, los referentes a la continuidad del negocio, los riesgos operacionales, los riesgos ambientales, etc.

Y hace algo más que eso. También nos da a conocer un glosario detallado sobre la gestión de riesgos, explica los conceptos básicos sobre la cuestión y proporciona un marco general definido por el ciclo PDCA. Sin embargo, al tratarse de un estándar de aplicación general, no profundiza en una metodología especifica para atender un determinado sector o un área concreta, como si lo hace ISO 27001.

Si queremos establecer una diferencia entre ISO 27001 e ISO 31000 podemos empezar por definir a la primera (ISO 27001), como la ISO 31000 de la seguridad informática. ISO 27001, se basa en los principios de administración y gestión de riesgos propuestos por ISO 31000, pero restringe su alcance al área de la seguridad de la información.

¿Cómo se relacionan ISO 27001 e ISO 31000?
La relación es evidente. Pero resulta mucho más práctico y pedagógico enseñarla según las menciones que se hacen desde ISO 27001 sobre ISO 31000:

Cláusula 4.1: en este apartado, ISO 27001 nos indica que podemos considerar los contextos internos y externos de la organización, de acuerdo a cómo se describe tal acción en la cláusula 5.3 de ISO 31000. De hecho, los puntos 5.3.2 y 5.3.3 de ISO 31000 resultan bastante útiles a la hora de definir contextos internos y externos con el fin de identificar riesgos y oportunidades en ISO 27001.

Cláusula 6.1.3: ISO 27001 declara que la gestión de la seguridad de la información se alinea con lo propuesto en ISO 31000. Así, aunque no indica que se deba implementar la evaluación de riesgos de acuerdo a ISO 31000, si esta ya se ha implementado, el punto de evaluación de riesgos estará resuelto.

Por tanto, aunque no sea absolutamente necesario, contar con ISO 31000 puede ser muy beneficioso a la hora de implantar ISO 27001.

Las diferencias entre ISO 27001 e ISO 31000
Estamos ante dos estándares que tienen la misma función: definir un marco apropiado para la identificación, evaluación y gestión de riesgos y oportunidades. ISO 31000 lo hace de forma general e ISO 27001 se especializa en la seguridad de la información.

De este modo, podríamos pensar que las organizaciones que han implementado ISO 31000 y la aplican en el campo de la seguridad de la información con éxito, no tendrían por qué implementar ISO 27001. Pero, hay que tener en cuenta que ISO 27001 es una norma certificable, en tanto que ISO 31000 constituye, en cierto modo, una guía de buenas prácticas, un conjunto de directrices a seguir.

En conclusión, ISO 31000 ayuda a las organizaciones a crear un marco para la gestión de riesgos, que resultará muy útil para implementar otros sistemas que aborden la gestión de riesgos, como ISO 9001, ISO 14001, ISO 45001, y por supuesto, ISO 27001.

Tomado de: https://www.escuelaeuropeaexcelencia.com/