Por. Ing. José Martín Figueroa Cardona
CISSP / CISA / CRISC / ITIL / ECSA / CEH / CHFI / ISO 27001/ ISO 22301 / CBCP / PCI ISA
24 de Septiembre 2020
La norma ISO 31000 es la norma internacional para la gestión del riesgo. Al proporcionar principios integrales y directivas, esta norma ayuda a las organizaciones con su análisis y evaluación de riesgos.
La norma ISO 31000 consta de unos principios para la Gestión de Riesgos, un Marco de Trabajo y el Proceso de Gestión de Riesgos. ISO 31000:2018 se basa en 8 principios que encajan con toda la estructura de la organización y que están relacionadas con las normativas de la implementación de riesgos.
Al implementar los principios y directivas de BS ISO 31000 en su organización, será capaz de mejorar la eficiencia operativa, gobernanza y confianza de las partes interesadas, a la vez que minimiza las pérdidas ante entornos volátiles, inciertos, complejos y ambiguos (VUCA).
Esta norma internacional también le ayuda a impulsar el desempeño de la seguridad, establecer un fuerte fundamento para la toma de decisiones y alentar la gestión proactiva en todas las áreas.
Existen tres cláusulas principales de ISO 31000:
- Principios – Cláusula 4
- Marco de Referencia – Cláusula 5
- Proceso – Cláusula 6
Ilustración 1. Cláusulas de principios marco y proceso
El propósito de la gestión del riesgo según la norma ISO 31000:2018 es la creación y la protección del valor. Mejora el desempeño, fomenta la innovación y contribuye al logro de objetivos.
Los principios descritos en la cláusula 4 del ISO 3100:2018 proporcionan orientación sobre las características de una gestión del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito.
Ilustración 2. Principios de gestión de riesgos
Los principios son el fundamento de la gestión del riesgo y se deberían considerar cuando se establece el marco de referencia y los procesos de la gestión del riesgo de la organización. Estos principios deberían habilitar a la organización para gestionar los efectos de la incertidumbre sobre sus objetivos.
La gestión eficaz del riesgo requiere la implementación de los principios y se puede explicar de la siguiente forma.
Integrado. La gestión de riesgos es una parte integral de todas las actividades de la empresa.
Estructurado y completo. Un enfoque estructurado e integral de la gestión de riesgos que contribuye a la coherencia y a los resultados comparables.
Personalizado. El marco y el proceso de gestión de riesgos son personalizados y proporcionales al contexto externo e interno de la empresa relacionado con sus objetivos.
Inclusivo. La participación adecuada y oportuna de los interesados permite su conocimiento, puntos de vista y percepciones a considerar. Esto se traduce en una mejor conciencia y una gestión de riesgos informada.
Dinámico. Los riesgos pueden surgir, cambiar o desaparecer a medida que cambia el contexto externo o interno de la empresa. La gestión de riesgos anticipa, detecta, reconoce y responde a los cambios y efecto de una forma apropiada y oportuna.
La mejor información disponible. Las aportaciones a la gestión de riesgos se basan en información histórica y actual, así como en expectativas a futuro. La gestión de riesgos tiene en cuenta cualquier limitación e incertidumbre asociada a la información y expectativas. La información debe ser oportuna, clara y disponible para las partes interesadas relevantes.
Factores humanos y culturales. El comportamiento humano y la cultura influyen de forma significativa en todos los aspectos de la gestión del riesgo en cada nivel o etapa.
Mejora continua. La gestión del riesgo se mejora de forma continua mediante el aprendizaje y la experiencia.
En resumen, la aplicación de los principios de riesgos aplicados tanto al marco de gestión de riesgos, como al proceso de análisis de riesgos, llevarán al cumplimiento del objetivo esperado de creación de valor y protección hacia la organización acorde a sus objetivos, incluso en los entornos actuales volátiles, inciertos, complejos y ambiguos.
José Martín, forma parte del equipo de consultores de HKMX. Tiene experiencia con más de 15 años en la definición e implementación de prácticas de seguridad y ciberseguridad apegados a marcos de referencia como COBIT, ITIL, PCI DSS, ISO 27001 e ISO 22301.
En 2008 fundó HK México. Desde entonces ha ejecutado y liderado proyectos exitosos relacionados con la gestión de riesgos, ciberseguridad, sistemas de gestión de seguridad de información, continuidad de negocio, auditoría y capacitación en diversos sectores como comercio, retail, servicios, comunicaciones, manufactura, tecnología y el financiero, abordando temas de cumplimiento regulatorio, así como de certificación en estándares internacionales de seguridad de información.
Es egresado del Instituto Tecnológico de Saltillo, donde obtuvo su grado profesional de Ingeniero Electrónico con especialidad en Sistemas Digitales. Posteriormente en ITESM curso la Maestría en Ciencias en Ingeniería Electrónica. Cuenta además con distintas certificaciones reconocidas internacionalmente relacionadas con la seguridad de información, auditoría TI/SI, hackeo ético, procesos TI/SI, continuidad de negocio y seguridad en medios de pago electrónicos.