lunes, 16 de febrero de 2015

Aplicación de la Norma ISO 31000

INTRODUCCIÓN

Todas las actividades de una organización están sometidas de forma permanente a una serie de amenazas, lo cual las hace altamente vulnerables, comprometiendo su estabilidad. Accidentes operacionales, enfermedades, incendios u otras catástrofes naturales, son una muestra de este panorama, sin olvidar las amenazas propias de su negocio.
Tradicionalmente, las organizaciones han tratado estos riesgos mediantes estrategias de reacción y soluciones puntuales. No obstante, la experiencia ha demostrado que los elementos que conforman los riesgos y los factores que determinan el impacto de sus consecuencias sobre un sistema, son los mismos que intervienen para todos los riesgos en una organización.
La existencia de una multiplicidad de estándares sectoriales y generales, voluntarios y obligatorios motivo a la ISO a desarrollar una norma única para la gestión de riesgos. Se trata de la ISO 31000 de 2009 llamada “Gestión de Riesgos Principios y Orientaciones”.
La ISO 31000 es aplicable para todo riesgo, incluyendo tanto los eventos deseables como los indeseables y a cualquier tipo de organización.
Puesto que no propone una metodología para gestionar un riesgo sino un sistema para la gestión de cualquier riesgo empresarial. A esto se le llama ERM (Enterprise Risk Management).
A continuación se realizara una exploración de los principales aspectos de la norma y como se aplica dentro de las organizaciones específicamente en el área de TI.

Definición de ISO 31000

ISO 31000 señala una familia de normas sobre Gestión del riesgo en normas codificadas por la organización International Organization for Standardization. El propósito de la norma ISO 31000:2009 es proporcionar principios y directrices para la gestión de riesgos y el proceso implementado en el nivel estratégico y operativo.
En la actualidad, la familia ISO 31000 incluye:
  • ISO 31000:2009 - gestión de riesgos - principios y directrices
  • ISO/IEC 31010 - gestión de riesgos - evaluación del riesgo evaluación técnicas del riesgo
  • ISO Guide 73:2009 - gestión de riesgos--vocabulario Gestión
(Fuente: Wikipedia.org).
La ISO 31000 ofrece principios y directrices genéricas sobre gestión de riesgos. La norma no es específica de ninguna industria o sector y puede ser utilizada por cualquier organización pública o privada y aplicarse a cualquier tipo de riesgo en una amplia serie de actividades y operaciones. ISO 31000 es la referencia mundial en sistemas de gestión de riesgos, y elegirla le pondrá a la vanguardia del mercado; además sus clientes confiarán en su toma de decisiones estratégicas.

El sistema de gestión de riesgo que propone la ISO 31000 se esquematiza de la siguiente manera:

Figura Nº 2 esquema norma ISO 31000

El punto crítico de este sistema está en la identificación y evaluación de los riesgos. Esta debe ser lo suficiente mente completa para no pasar por alto ningún riesgo que se deba tener en cuenta, pero igualmente debe permitir identificar los riesgo que por su naturaleza o probabilidad pueden despreciarse de manera que la organización no se vea obligada a dedicar recursos a gestionar una gran cantidad de riesgos.

Para la identificación de los riesgos se han desarrollado otras normas que facilitan  la identificación y evaluación de los riesgos como son:

NS 5814:1991 “Requierements for risk assessment”, es un estandar noruego publicado en 1991 para la identificación y análisis de riesgos la cual solo considera como riesgo los eventos con consecuencias negativas.

ISO 31010:2009 “Gestión de riesgos, técnicas de evaluación de riesgos” la cual complementa la norma 31000  y provee una serie de técnicas para la identificación y evaluación de riesgos teniendo en cuenta los eventos tanto positivos como negativos.

Norma ISO 31000 aplicada al departamento de TI

El riesgo de TI se define como un riesgo del negocio; específicamente, es el riesgo de negocio asociado al uso, propiedad, operación, involucramiento, influencia y adopción de las TI en una empresa. Comprende eventos y condiciones relacionados con TI que puede afectar potencialmente al negocio. Puede tener una magnitud y frecuencia incierta y crea retos en el establecimiento de metas y objetivos estratégicos.
Según Economist Intelligence Unit of The Economist, “el riesgo de TI es una de las amenazas más importantes para las operaciones comerciales de empresas de carácter global”.
Por tanto un modelo para la aplicación eficiente de la norma de gestión de riesgos podría ser de la siguiente manera:

Figura Nº 2 esquema norma ISO 31000 para TI
Donde:

Establecimiento del contexto:

En este proceso se busca contextualizar la organización dentro de lo que será el proceso de gestión de riesgos de tecnología que se implementará en la empresa.
El director del área de T.I. deberá de manera concisa definir el alcance, los objetivos y beneficios que la gestión de riesgos de tecnología traerá a la organización, enmarcado en los objetivos estratégicos de la misma. Posteriormente, deberá presentar la propuesta de implementación de la gestión de riesgos de T.I. al comité directivo de la institución, con el objetivo de socializarlo y obtener su aprobación.

Este proceso tiene como objetivo identificar aquellos riesgos relacionados con T.I. que, al afectar los servicios prestados por T.I., puedan degradar o retardar la consecución de los objetivos de la organización.

Este proceso busca identificar y evaluar los controles existentes frente a los riesgos identificados en el proceso anterior. De igual manera, determinar el impacto y la probabilidad de los riesgos, derivando de estos valores su prioridad.

Este proceso busca tomar decisiones sobre el grado y la naturaleza de los tratamientos requeridos y sus prioridades como también desarrollar e implementar planes de respuesta eficaces en términos de costos, con el objetivo de reducir las pérdidas potenciales y/o incrementar los beneficios.

Este proceso busca evaluar la eficacia del proceso de gestión de riesgo de T.I., con miras a que cumpla con los objetivos establecidos y se adapte de acuerdo a los cambios del entorno. El objetivo es aplicar una mejora continua sobre el proceso, teniendo en cuenta las lecciones aprendidas con cada iteración del mismo en la institución y las propuestas de cambio que surjan dentro del grupo.

El proceso de comunicación del riesgo de T.I. propuesto por esta metodología es un proceso transversal a todos los procesos de la misma. Tiene como objetivo mantener una comunicación adecuada y efectiva entre los interesados del proceso de gestión de riesgos de T.I., y así poder cumplir con las actividades propuestas en la metodología. Este componente está inmerso a lo largo de los otros procesos de la guía propuesta de gestión de riesgos de T.I. Un punto importante de este proceso es concienciar a la gerencia que la gestión de los riesgos de T.I. es un proceso importante de la organización y no debe ser considerado como un esfuerzo menor y aislado del área de tecnología, sino un componente estratégico que permitirá apoyar la consecución de los objetivos de la institución.


Las normas ISO permiten tener una guía de buenas prácticas para implementar las normas necesarias para tener y aplicar control sobre los procesos críticos de los procesos en las organizaciones, en este caso hemos analizado la norma que rige las buenas prácticas en el análisis de riesgos dentro de los procesos de las empresas y particularmente en el área de TI.
Por tanto:

·   La norma ISO 31000 presenta un esquema que permite abordar los riesgos de manera eficiente y con un orden para el análisis y gestión de los riesgos en las organizaciones.

·     La norma cuenta con complementos como la ISO 31010 la cual es una forma de gestionar, evaluar y aplicar técnicas de análisis de riesgos.

La aplicación de esta norma en un ambiente productivo, muestra la gran utilidad que proporciona a la organización tanto para la calidad en la prestación de los servicios como en la generación de confianza en los clientes a la hora de gestionar los recursos de gestión documental y manejo de sus bases de datos.