Unidad 2 – Aporte a la Identificación de estándares de seguridad informática

Johanna Polania Martínez

Universidad Nacional Abierta y a Distancia.

Especialización en Seguridad Informática

Modelos y Estándares en Seguridad Informática

Bogotá, Noviembre del 2019

 Aporte – Estándar ISO 31000 SI

Actividades a desarrollar
1. Historia y Asociación que la apoya o patrocina a la ISO 31000
La Gestión de Riesgos en las empresas nace en la década de los 60. Ante la tecnificación y modernización de
ciertos procesos que hasta ese momento se habían desarrollado de forma manual, en muchos sectores se puso
de manifiesto la necesidad de realizar un mejor control de las actividades. La tecnología supuso mayor agilidad
y calidad, pero a la vez nuevos retos de control y seguimiento. A partir de esos años se publicó la primera
literatura al respecto. Los sectores que más contribuyeron a la consolidación del concepto fueron el asegurador,
el tecnológico, el militar y el de la ingeniería náutica y nuclear.

Sin embargo, sólo en la segunda mitad de los años 70 la Gestión de Riesgos entró de lleno a las empresas. Esto
se debió a la aparición de las primeras normas y estándares internacionales. Quizá el más significativo fue el
código de seguridad nuclear que hizo público la US Nuclear Regulatory Comission, el cual intentaba minimizar
los riesgos a los que estaba expuesto el sector nuclear estadounidense.

La asimilación del término acabó de completarse gracias la difusión de otras normas al respecto, como por
ejemplo el COSO, código emitido por el Comité de Organizaciones Sponsor en 1991 y que incluía prácticas para
la gestión interna del riesgo. Dos años más tarde, Australia y Nueva Zelanda publicaron la norma AS/NZ 4360
sobre el riesgo en sus empresas públicas, mientras en 2002 el Insti- 4 Norma ISO 31000: el valor de la gestión de
riesgos en las organizaciones tuto Británico de Gestión de Riesgos hizo público el estándar IRM. Por otro lado, en
el año 2002 con la finalidad de evitar fraudes y riesgo de bancarrota nace en Estados Unidos la Ley Sarbanes
Oxley con el fin de monitorear a las empresas que cotizan en bolsa de valores, evitando que las valorizaciones
de las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor.

2. Estructura de la norma ISO 31000

La variedad y complejidad de los riesgos es muy diversa por lo que éste estándar internacional desarrollado por
la ISO (nternational Organization for Standardization) no está pensado para un sistema particular de gestión, más
bien es una guía de buenas prácticas para las actividades relacionadas con la gestión de riesgos.

El diseño y la implantación de la gestión de riesgos dependerán de las diversas necesidades de cada organización,
de sus objetivos concretos, contexto, estructura, operaciones, procesos actividades, servicios, etc.

El estándar ISO 31000:2009 está estructurado en tres elementos claves para una efectiva gestión de riesgos:

 Los principios para la gestión de riesgos: para una mayor eficacia, la gestión del riesgo en una
organización.
 La estructura de soporte o marco de trabajo. El objetivo de este elemento es integrar el proceso
de gestión de riesgos con la dirección, para que esta adquiera un fuerte compromiso con la
implantación de la Gestión del Riesgo.
En este caso la norma establece una serie de órdenes que debe cumplir la gerencia para asegurar
la efectividad de la gestión de riesgos.
  El proceso de gestión de riesgos: este proceso consta de tres etapas: establecimiento del contexto,
valoración de riesgos y tratamiento de los mismos.

Fuente: Norma ISO 3100

Los principios para la Gestión de Riesgos: Según la norma ISO 31000, los principios para la gestión de
riesgos son los siguientes:
 Crear y proteger el valor, contribuye a la consecución de objetivos, así como la mejora de
ciertos aspectos tales como la seguridad y salud laboral, cumplimiento de los requisitos
legales, protección ambiental, etc.
 Estar integrada en los procesos de una organización, no debe ser entendida como una
actividad aislada sino como parte de las actividades y procesos principales de una
organización.
 Formar parte de la toma de decisiones, la gestión del riesgo ayuda a la toma de decisiones
evaluando la información sobre las distintas alternativas.
 Tratar explícitamente la incertidumbre, la gestión del riesgo trata aquellos aspectos de la
toma de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede
tratarse.
 Tratar explícitamente la incertidumbre, la gestión del riesgo trata aquellos aspectos de la
toma de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede
tratarse.
  Basarse en la mejor información disponible, los inputs del proceso de gestión del riesgo
están basados en fuentes de información como la propia experiencia, la observación y la
opinión de expertos.
 Estar hecha a la medida, la gestión del riesgo está alineada con el contexto externo e interno
de la organización y con su perfil de riesgo.
 Tener en cuenta factores humanos y culturales, reconoce la capacidad y percepción de los
empleados y personas interesadas, esto puede facilitar o dificultar la consecución de los
objetivos de la organización.
 Ser transparente e inclusiva, la apropiada y oportuna participación de los grupos de interés
(stakeholders) y, en particular, de los responsables a todos los niveles, asegura que la gestión
del riesgo permanece relevante y actualizada.
 Ser dinámica, iterativa y sensible al cambio, la organización debe velar para que la gestión
del riesgo detecte y responda a los cambios de la empresa y de su entorno.
 Facilitar la mejora continua de la organización, las organizaciones deberían desarrollar e
implementar estrategias para mejorar continuamente, tanto en la gestión del riesgo como en
cualquier otro aspecto de la organización.

3. Requerimientos de certificación de la ISO 31000

 Crea valor e integra la gestión de riesgos en los procesos de la organización.

 Evaluar el riesgo es parte integrante de la toma de decisiones
 Trata explícitamente la incertidumbre
 Es sistematice, estructurada y adecuada
 Está basada en la mejor información disponible
 Está hecha a la medida
 Tiene en cuenta factores humanos y culturales
 Es transparente e inclusiva
 Es dinámica, iterativa y sensible al cambio
 Facilita la mejora continua de la organización
4. Valores de certificación e implementación en Colombia
La norma ISO 31000, puede ser implementada en cualquier organización, tanto al inicio de sus
actividades como en una organización ya consolidada. Por otro lado, la gestión del riesgo puede ser
aplicada a distintas actividades dentro de la empresa:
 Estrategias en la toma de decisiones
 Área de operaciones
 Definición de procesos
 Definición de funciones
 Ejecución de proyectos
 Desarrollo de productos y/o servicios
 Estrategias sobre activos

5. Estadísticas de implementación en la ISO 31000 a nivel internacional y Colombia

 BIBLIOGRAFIA

Castro, Mauricio. “El Nuevo Estándar ISO para la Gestión de Riesgos”. Surlatina
Consultores. Accedido 22 de noviembre del 2017.
https://capacitacion.gestionderiesgos.gob.ec/courses/40/files/3782/download

Cubillos, Myrian et al. 2011. Guía para la Administración de Riesgo, cuarta edición,
Bogotá DC, 25.

Ealde, Business School. Gestión de Riesgo y Control del Riesgo. Accedido 5 de

noviembre del 2017, 6. https://es.scribd.com/document/343222999/White-PaperGestion-de-Riesgos-y-
Control-Interno-0916