Debido a la amplitud de las posibilidades de existencia de riesgos en una organización, definirlos y gestionarlos se ha convertido en una tarea compleja, pero indispensable, en la que una checklist para la Gestión del Riesgo ISO 31000 se convierte en una herramienta que, más que útil, resulta esencial.
Sin embargo, una checklist para la Gestión del Riesgo ISO 31000 implica considerar más que unos riesgos evidentes, o algunos de escasa probabilidad de ocurrencia, y hacer unas preguntas para confirmar que esos riesgos existen.
Según ISO 31000, el riesgo es el impacto negativo o positivo generado por una vulnerabilidad u oportunidad, considerando tanto la probabilidad como el impacto de la ocurrencia. Es decir, el riesgo es la función que relaciona la probabilidad de una determinada amenaza/ventaja para explotar una vulnerabilidad/oportunidad potencial y el impacto resultante de este evento adverso sobre la organización.
Checklist para la Gestión del Riesgo ISO 31000 – Conceptos de Gestión de Riesgos
La Gestión de Riesgos es el proceso de identificación de riesgos, evaluación de ellos, y toma de medidas con respecto a su impacto – tratamiento del riesgo -, para reducir el riesgo a un nivel aceptable.
El objetivo de la Gestión de Riesgos es permitir que la organización pueda realizar sus tareas – mantener activos sus procesos de negocio -, con niveles de seguridad aceptables. De ahí la importancia de una checklist para la Gestión del Riesgo ISO 31000. Pero ¿Qué debe contener esta lista de comprobación? Veamos:
Checklist para la Gestión del Riesgo ISO 31000 – ¿Qué debe contener?
La lista de verificación debe contemplar los patrones básicos de seguridad que se pueden utilizar para permitir que, de forma sistemática, se puedan evaluar e identificar las vulnerabilidades/oportunidades de los activos, procedimientos no automatizados, procedimientos automatizados y procesos de transmisión de información.
Para ello, es importante considerar la verificación de la seguridad existente por áreas así:
Criterios de seguridad por área para elaborar una checklist para la Gestión del Riesgo ISO 31000
Alta Dirección
- Asignación de responsabilidades.
- Soporte para la continuidad del negocio.
- Competencias para la respuesta a incidentes.
- Revisión periódica de los controles de seguridad.
- Análisis de riesgos.
- Entrenamiento técnico y de seguridad.
- Segregación de servicios.
- Plan de Seguridad.
Operaciones
Algunos ejemplos pueden ser:
- Control de la contaminación del aire.
- Control para garantizar la calidad de la energía eléctrica.
- Acceso y uso de los medios de datos.
- Control de humedad y temperatura.
- Control de equipos informáticos, como ordenadores portátiles, o de escritorio.
- Control de máquinas y equipos destinados a la producción.
Técnica
Algunos ejemplos pueden ser:
- Comunicaciones.
- Criptografía.
- Controles de accesos.
- Identificaciones y autenticaciones.
- Detección de intrusos.
- Auditorías del sistema.
¿Para qué sirve una checklist para la Gestión del Riesgo ISO 31000?
Con base en una lista de verificación, elaborada de acuerdo con los criterios propuestos, podemos determinar el impacto negativo o positivo resultante de la ocurrencia de un evento generador de riesgo. Sin embargo, para que el análisis de impacto pueda ser realizado, se requiere información adicional.
Esta información puede ser obtenida a través de documentación ya existente, tal como el informe de análisis de impacto o informe de la evaluación de criticidad de los riesgos.
Una checklist, puede ser utilizada en varias etapas de la Gestión del Riesgo, en un sistema implementado con base en la norma ISO 31000, incluso, durante las auditorías internas del sistema.
No obstante, las listas de comprobación deben seguir los protocolos en cuanto a registro y documentación, ya que es muy importante conocer las anteriores, antes de elaborar una que, tenga por propósito, por ejemplo, validar la eficiencia y eficacia del sistema de Gestión del Riesgo.
Finalmente, en nuestra sección Oferta Formativa podrá encontrar información acerca de nuestros talleres y cursos relacionados con las normas ISO, y en especial con la Gestión del Riesgo según ISO 31000. Como el nuevo Curso ISO 31000 Gestión de Riesgos, totalmente actualizado a las últimas actualizaciones de la norma.