INTRODUCCIÓN
Todas las actividades de una
organización están sometidas de forma permanente a una serie de amenazas, lo
cual las hace altamente vulnerables, comprometiendo su estabilidad. Accidentes
operacionales, enfermedades, incendios u otras catástrofes naturales, son una
muestra de este panorama, sin olvidar las amenazas propias de su negocio.
Tradicionalmente, las organizaciones
han tratado estos riesgos mediantes estrategias de reacción y soluciones
puntuales. No obstante, la experiencia ha demostrado que los elementos que
conforman los riesgos y los factores que determinan el impacto de sus
consecuencias sobre un sistema, son los mismos que intervienen para todos los
riesgos en una organización.
La existencia de una multiplicidad
de estándares sectoriales y generales, voluntarios y obligatorios motivo a la
ISO a desarrollar una norma única para la gestión de riesgos. Se trata de la
ISO 31000 de 2009 llamada “Gestión de Riesgos Principios y Orientaciones”.
La ISO 31000 es aplicable para todo
riesgo, incluyendo tanto los eventos deseables como los indeseables y a
cualquier tipo de organización.
Puesto que no propone una
metodología para gestionar un riesgo sino un sistema para la gestión de
cualquier riesgo empresarial. A esto se le llama ERM (Enterprise Risk
Management).
A
continuación se realizara una exploración de los principales aspectos de la
norma y como se aplica dentro de las organizaciones específicamente en el área
de TI.
Definición
de ISO 31000
ISO 31000 señala una familia de normas sobre
Gestión del riesgo en normas codificadas por la organización International
Organization for Standardization. El propósito de la norma ISO 31000:2009 es
proporcionar principios y directrices para la gestión de riesgos y el proceso
implementado en el nivel estratégico y operativo.
En la actualidad, la familia ISO
31000 incluye:
- ISO
31000:2009 - gestión de riesgos - principios y directrices
- ISO/IEC
31010 - gestión de riesgos - evaluación del riesgo evaluación técnicas del
riesgo
- ISO
Guide 73:2009 - gestión de riesgos--vocabulario Gestión
(Fuente: Wikipedia.org).
La ISO 31000 ofrece principios y
directrices genéricas sobre gestión de riesgos. La norma no es específica de
ninguna industria o sector y puede ser utilizada por cualquier organización
pública o privada y aplicarse a cualquier tipo de riesgo en una amplia serie de
actividades y operaciones. ISO 31000 es la referencia mundial en sistemas de
gestión de riesgos, y elegirla le pondrá a la vanguardia del mercado; además sus
clientes confiarán en su toma de decisiones estratégicas.
El sistema de gestión de riesgo que
propone la ISO 31000 se esquematiza de la siguiente manera:
Figura Nº 2 esquema
norma ISO 31000
El punto crítico de este sistema
está en la identificación y evaluación de los riesgos. Esta debe ser lo
suficiente mente completa para no pasar por alto ningún riesgo que se deba tener
en cuenta, pero igualmente debe permitir identificar los riesgo que por su
naturaleza o probabilidad pueden despreciarse de manera que la organización no
se vea obligada a dedicar recursos a gestionar una gran cantidad de riesgos.
Para la identificación de los
riesgos se han desarrollado otras normas que facilitan la identificación y evaluación de los riesgos
como son:
NS 5814:1991 “Requierements for risk
assessment”, es un estandar noruego publicado en 1991 para la identificación y
análisis de riesgos la cual solo considera como riesgo los eventos con
consecuencias negativas.
ISO 31010:2009
“Gestión de
riesgos, técnicas de evaluación de riesgos” la cual complementa la norma
31000 y provee una serie de técnicas
para la identificación y evaluación de riesgos teniendo en cuenta los eventos
tanto positivos como negativos.
Norma
ISO 31000 aplicada al departamento de TI
El riesgo de TI se define como un
riesgo del negocio; específicamente, es el riesgo de negocio asociado al uso,
propiedad, operación, involucramiento, influencia y adopción de las TI en una
empresa. Comprende eventos y condiciones relacionados con TI que puede afectar
potencialmente al negocio. Puede tener una magnitud y frecuencia incierta y
crea retos en el establecimiento de metas y objetivos estratégicos.
Según Economist Intelligence Unit of
The Economist, “el riesgo de TI es una de las amenazas más importantes para las
operaciones comerciales de empresas de carácter global”.
Por tanto un modelo para la
aplicación eficiente de la norma de gestión de riesgos podría ser de la
siguiente manera:
Figura
Nº 2 esquema norma ISO 31000 para TI
Donde:
Establecimiento del contexto:
En este proceso se busca
contextualizar la organización dentro de lo que será el proceso de gestión de
riesgos de tecnología que se implementará en la empresa.
El director del área de T.I. deberá
de manera concisa definir el alcance, los objetivos y beneficios que la gestión
de riesgos de tecnología traerá a la organización, enmarcado en los objetivos
estratégicos de la misma. Posteriormente, deberá presentar la propuesta de
implementación de la gestión de riesgos de T.I. al comité directivo de la institución,
con el objetivo de socializarlo y obtener su aprobación.
Este proceso tiene como objetivo
identificar aquellos riesgos relacionados con T.I. que, al afectar los
servicios prestados por T.I., puedan degradar o retardar la consecución de los
objetivos de la organización.
Este proceso busca identificar y
evaluar los controles existentes frente a los riesgos identificados en el
proceso anterior. De igual manera, determinar el impacto y la probabilidad de
los riesgos, derivando de estos valores su prioridad.
Este proceso busca tomar decisiones
sobre el grado y la naturaleza de los tratamientos requeridos y sus prioridades
como también desarrollar e implementar planes de respuesta eficaces en términos
de costos, con el objetivo de reducir las pérdidas potenciales y/o incrementar
los beneficios.
Este proceso busca evaluar la
eficacia del proceso de gestión de riesgo de T.I., con miras a que cumpla con
los objetivos establecidos y se adapte de acuerdo a los cambios del entorno. El
objetivo es aplicar una mejora continua sobre el proceso, teniendo en cuenta
las lecciones aprendidas con cada iteración del mismo en la institución y las
propuestas de cambio que surjan dentro del grupo.
El proceso de comunicación del
riesgo de T.I. propuesto por esta metodología es un proceso transversal a todos
los procesos de la misma. Tiene como objetivo mantener una comunicación
adecuada y efectiva entre los interesados del proceso de gestión de riesgos de
T.I., y así poder cumplir con las actividades propuestas en la metodología. Este
componente está inmerso a lo largo de los otros procesos de la guía propuesta
de gestión de riesgos de T.I. Un punto importante de este proceso es
concienciar a la gerencia que la gestión de los riesgos de T.I. es un proceso
importante de la organización y no debe ser considerado como un esfuerzo menor
y aislado del área de tecnología, sino un componente estratégico que permitirá
apoyar la consecución de los objetivos de la institución.
Las normas ISO permiten tener una
guía de buenas prácticas para implementar las normas necesarias para tener y
aplicar control sobre los procesos críticos de los procesos en las
organizaciones, en este caso hemos analizado la norma que rige las buenas
prácticas en el análisis de riesgos dentro de los procesos de las empresas y
particularmente en el área de TI.
Por tanto:
· La
norma ISO 31000 presenta un esquema que permite abordar los riesgos de manera
eficiente y con un orden para el análisis y gestión de los riesgos en las
organizaciones.
· La
norma cuenta con complementos como la ISO 31010 la cual es una forma de
gestionar, evaluar y aplicar técnicas de análisis de riesgos.
La aplicación de esta norma
en un ambiente productivo, muestra la gran utilidad
que proporciona a la organización tanto para la calidad en la prestación de los
servicios como en la generación de confianza en los clientes a la hora de
gestionar los recursos de gestión documental y manejo de sus bases de datos.