La evaluación y tratamiento de riesgos en ISO 27001 es un punto imprescindible para implantar un sistema de gestión de seguridad de la información. Forma parte del corazón de este estándar internacional, pero conseguir que esa tarea sea efectiva requiere conocer y aplicar correctamente el proceso.
Tanto la evaluación como el plan de respuesta a riesgos se deben revisar periódicamente. Esto es debido a que la gestión de riesgos es una tarea siempre vigente porque estos son dinámicos. Siempre tenemos que estar alerta ante la aparición de nuevos riesgos, al cambio de algunos de ellos, y, algunas veces, a la extinción de otros.
En este proceso cíclico, el plan de respuesta a riesgos debe atender a los resultados de la evaluación, que, a su vez, se fundamentan en la identificación precedente. Y reaccionar en consecuencia de modo proporcionado.
Comprender y definir el contexto para la gestión de riesgos en ISO 9001 es una de las modificaciones más importantes promovidas por la revisión 2015 de la norma. Esto supone que el sistema de gestión de la calidad tome en consideración, para la gestión de riesgos, el contexto en el que la organización está insertada.
Además de establecer ese contexto, la organización debe demostrar haberlo hecho. Contar con algunas pautas, como las que ofrecemos a continuación, puede facilitar llevar a cabo este proceso.
El concepto de riesgo residual en ISO 27001 es el mismo que se conoce en el área de gestión de riesgos aplicada a cualquier otro estándar, o en cualquier área de la organización. El término es utilizado con frecuencia, pero generalmente no se entiende ni la importancia ni el significado real que tiene, especialmente para la seguridad de la información.
Su definición es sencilla: el riesgo residual en ISO 27001 es aquel que persiste, aun después de tomar las medidas necesarias para tratar los riesgos identificados. A continuación, nos acercamos un poco más a esta cuestión explicando cómo funciona y se gestiona el riesgo residual en ISO 27001 y cómo saber qué nivel del mismo es aceptable para la organización.
Los gestores responsables del área de riesgos necesitan mantener un ambiente de operación seguro y libre de incertidumbre. Para ello puede ser de gran utilidad conocer las diferencias entre incidentes y problemas, pues esta cuestión resulta altamente recurrente en la gestión de riesgos.
Lo cierto es que la gestión de incidentes y la gestión de problemas, son parte esencial de cualquier buen programa de gestión de riesgos. Por este motivo, hoy abordaremos la diferencia entre ambos, lo que puede evitar la toma de ciertas decisiones erróneas a algunos profesionales de la gestión de riesgos.
La norma ISO 31000 en su nueva versión proporciona una visión más holística y estratégica a los profesionales de la gestión de riesgos. Se incorpora, por tanto, una nueva perspectiva y además constituye un estándar más claro y objetivo para sus usuarios en todo el mundo. Por ello, resulta interesante resaltar algunas cuestiones importantes de ISO 31000:2018 con respecto a su versión anterior de 2009.
Las organizaciones deben implementar una metodología para el análisis de riesgos según ISO 9001, no porque la norma lo exija, sino porque es la forma apropiada para identificar riesgos y tomar decisiones sobre cómo gestionarlos o eliminarlos.
El propósito de una metodología para el análisis de riesgos según ISO 9001 es encontrar problemas potenciales que, eventualmente, pueden surgir durante la elaboración de un producto o en la ejecución de un proceso específico. Así, será posible jerarquizar el riesgo y realizar alguna acción al respecto.
Propietarios de riesgos es un concepto novedoso que incorporó la edición 2013 de la norma ISO 27001. Novedoso y a la vez polémico, ya que generó confusión entre los profesionales de la seguridad de la información, pues parece que reemplaza al antiguo “propietarios de activos” y persiste la duda sobre si este último sigue siendo válido o no.
¿Quiénes son los propietarios de riesgos en ISO 27001:2013?, ¿reemplazan a los “propietarios de activos” presentes en la revisión 2005 de la norma? Estas son las preguntas que respondemos en nuestra entrada de hoy.
¿Por qué debemos preocuparnos por mejorar la ejecución y las pruebas de control interno? Porque, en la búsqueda de la eficiencia, la transparencia y en la gestión empresarial, los controles internos protegen los activos, garantizan la exactitud de la información, impulsan la eficiencia operativa, y fomentan la adhesión a las políticas, normas, reglamentos y leyes. En definitiva, porque resultan fundamentales en la gestión de riesgos dentro del entorno organizacional.
Para garantizar todo lo anterior, es preciso mejorar la ejecución y las pruebas de control interno, y para ello debemos tener muy claro qué es el control interno y que este puede mejorarse a través de las pruebas de control interno y el monitoreo continuo.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
