Norma ISO 31000 y la Gestión eficaz de Riesgos

 

Fuente: Rodríguez, I. (20 de 09 de 2018). AUDITOOL. (Rodríguez, 2018)

Las organizaciones que gestionan sus riesgos de forma eficaz tienen más posibilidades de protegerse y tener éxito en el crecimiento de sus negocios. El desafío para cualquier empresa es integrar las buenas prácticas en sus operaciones diarias y aplicarlas al máximo número de aspectos de su práctica organizativa. (bsi) Es por ello que en el año 2018, la Organización Internacional de Normalización (ISO) desarrolló la norma ISO 31000 Gestión del riesgo — Directrices.

La citada norma nace por la necesidad de que todas las empresas, en mayor o en menor medida, llevan a cabo prácticas para la gestión de los riesgos. Si bien todas las organizaciones gestionan el riesgo de cierta medida, la norma ISO 31000 establece una serie de principios que deben ser satisfechos para hacer una gestión eficaz del riesgo y exhorta a las organizaciones a que desarrollen, implementen y mejoren continuamente.  (EALDE, 2020)

¿Cómo se desarrolló la ISO 31000?

ISO creó un grupo de trabajo, compuesto por expertos nominados de 28 países y de muchas otras organizaciones especializadas para guiar el desarrollo de la norma y el vocabulario asociado. Si bien los expertos poseen una amplia gama de experiencia en gestión de riesgos adquirida en muchos sectores y aplicaciones, su función principal ha sido representar los puntos de vista de sus respectivos comités espejo nacional y organizaciones.

A través de estos comités espejo, una red de cientos de especialistas en gestión de riesgos y sus participantes de todo el mundo han ayudado a crear, revisar y dar forma a la eventual ISO 31000 y la Guía 73. Por lo tanto, estos documentos, no son solo las conclusiones de un pequeño comité, ya que representan los puntos de vista y la experiencia de cientos de personas conocedoras involucradas a través de comités espejo en todos los aspectos de la administración del riesgo a nivel global.

¿Qué es ISO 31000 y de qué trata?

ISO 31000 es la norma internacional para la Gestión de Riesgos, dentro de este documento se proporciona principios y guías exhaustivos, esta norma ayuda a las organizaciones en sus análisis y evaluaciones de riesgos. Tanto si trabaja en una empresa pública, privada o comunitaria, independiente de su tamaño, puede beneficiarse de la norma ISO 31000 puesto que se aplica a la mayoría de las actividades empresariales, incluyendo la planificación, operaciones de gestión y procesos de comunicación (ISO, 2018).

Por otro lado, la norma ISO 31000 se puede aplicar a cualquier tipo de riesgos, cualquiera que sea su naturaleza, causa u origen, tanto que sus consecuencias sean positivas como negativas para la organización.

Mediante la implementación de los principios y guía de la norma ISO 31000 en una organización, se podrá mejorar su eficacia operativa, su gobernanza y la confianza de las partes interesadas, al mismo tiempo que minimiza cualquier posible pérdida durante los procesos productivos  (ISO, 2018).

Importancia de contar con un sistema de gestión de riesgos

Mientras que las personas que trabajan en las diferentes formas de gestión de riesgos siempre tienen el mismo objetivo de proporcionar una base sólida para las decisiones sobre si los riesgos son aceptables y, si es necesario, se obtiene información sobre cómo tratarlos, hay muchas definiciones diferentes de riesgo y de los elementos del proceso de gestión de riesgos y muchas versiones diferentes del proceso a seguir.

Estos tienen todo desarrollado por bases históricas, pero los individuos y organizaciones, se enfocan en ser lucrativas o no, regulado o regulador, es necesario asegurarse de que decisiones equilibradas sobre todos los riesgos que deben afrontar, de manera consistente y confiable.

Este sistema brinda las herramientas necesarias para tener una gestión de riesgos adecuada y se puede aplicar desde el inicio en cualquier escenario: estrategias, decisiones, procesos, funciones, proyectos, servicios y activos. (Arévalo, 2020)

Tener un sistema de gestión de riesgos basados en ISO 31000 es la mejor forma para anticiparse a lo que puede ocurrir y crear estrategias que permitirán abordar las amenazas para así evitar consecuencias fatales.

¿Qué ventajas tiene el uso de ISO 31000? (bsi)

·         Mejorar de forma proactiva la eficacia operativa y la gobernanza.

·         Generar confianza entre las partes interesadas con el uso de técnicas de riesgos.

·         Aplicar controles de sistemas de gestión para analizar riesgos y minimizar posibles pérdidas.

·         Mejorar el desempeño y resiliencia de los sistemas de gestión.

·         Responder a los cambios de forma eficaz y proteger su empresa mientras crece.

En resumen, durante los últimos 15 o más años y a través de tres revisiones y actualizaciones, ISO 31000 se ha convertido en la norma más utilizada para la gestión de riesgos en las organizaciones. Además, el capítulo 4 de la norma sobre la implementación a través de la integración se basó en un en el ciclo de mejora organizacional de PHVA. 

Las nuevas versiones de normas basadas en la estructura de alto nivel por su naturaleza, restablecen los objetivos y formas de pensar y, sin duda, la publicación de ISO 31000 requiere que todos los profesionales de la gestión de riesgos examinen sus formas actuales de trabajo y el idioma que utilizan para que sus clientes, quienes se enfrentan a la toma de decisiones, cuenten con información simple, coherente, útil e inequívoca. Con lo que se genera una mayor coherencia en las definiciones y el proceso solo puede conducir a una mayor confianza en la decisión toma de decisiones y, en última instancia, la ejecución mejores decisiones.

Bibliografía

Arévalo, M. C. (13 de 10 de 2020). OPIRANI. Recuperado el 15 de 01 de 2021, de Todo lo que debe saber sobre la norma ISO 31000: https://www.piranirisk.com/es/blog/todo-lo-que-debe-saber-sobre-la-norma-iso-31000

bsi. (s.f.). Norma ISO 31000 - Gestión de Riesgos. Recuperado el 15 de 01 de 2021, de https://www.bsigroup.com/es-ES/ISO-31000-Gestion-de-Riesgos/

EALDE. (25 de 06 de 2020). Qué es la norma ISO 31000 y para qué sirve. Recuperado el 15 de 01 de 2021, de https://www.ealde.es/iso-31000-para-que-sirve/

ISO. (02 de 2018). NTE INEN-ISO Gestión del riesgo —Directrices. 2018. Giniebra.

Rodríguez, I. (20 de 09 de 2018). AUDITOOL. Recuperado el 15 de 01 de 2021, de La gestión de riesgos en la empresa y la auditoría: https://www.auditool.org/blog/auditoria-externa/6192-la-gestion-de-riesgos-en-la-empresa-y-la-auditoria

El impacto de las tecnologías en la privacidad

 

A raíz de la evolución de las tendencias sociales, se obtienen hábitos con respecto a la privacidad, incluyendo un cambio cultural entre generaciones. Sin embargo, la amenaza potencial que la tecnología ha generado con respecto a la privacidad ha llevado a reflexionar en una gran variedad de temáticas. Por ejemplo, en debates sobre las reglamentaciones y regulaciones que protegen al ciudadano y que establecen normas a las empresas de distintos tamaños que manejan nuestros datos que es una información sensible en todo su ámbito; cómo lograr una concienciación en la sociedad sobre las implicaciones de usar este tipo de medios; sobre todo, cómo lograr que cada ciudadano tenga un mayor conocimiento sobre las tecnologías que usa y sus riesgos al ser aplicados los mismos.

Con los avances tecnológicos, los mismos que son utilizados en varios dispositivos electrónicos en ámbitos recreativos, personales y profesionales, ya que mediante opiniones diferentes de varias empresas que analizaron aspectos relacionados con la adopción tecnológica en negocios ecuatorianos que son claves para el desarrollo global de la información personal del individuo y que de manera general con las técnicas actuales de tratamiento de datos, dan acceso a un sin número de usos.

Por la pandemia y todo lo que implica en la protección de la privacidad con el uso de la tecnología ha sido necesario el implementar de una manera drástica la adopción de soluciones TIC en las organizaciones con la finalidad de permitir trabajar de manera remota. Con este antecedente, se han generado diferentes riesgos de todo tipo en los sistemas de información, estos no deben ser afectados por lo que deberían ser manipulados y gestionados para mantener la seguridad y la privacidad.

Tomando en cuenta estos riesgos en seguridad de la información y privacidad, el Servicio Ecuatoriano de Normalización, INEN, se encuentra en proceso de adopción como norma nacional de la NTE INEN-ISO/IEC 27001, Técnicas de seguridad ─ Extensión a ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la información de privacidad ─ Requisitos y directrices (ISO/IEC 27701:2019, IDT), que tiene como objeto este documento especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de la Información de Privacidad (SGIP) en forma de una extensión a ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la privacidad en el contexto de la organización.

Una organización que cumpla con los requisitos de este documento generará evidencia documental de cómo maneja el tratamiento de PII. Dicha evidencia se puede utilizar para facilitar acuerdos con socios comerciales donde el tratamiento de PII es mutuamente relevante. Esto también puede ayudar en las relaciones con otras partes interesadas. El uso de este documento junto con ISO/IEC 27001 puede, si se desea, proporcionar una verificación independiente de esta evidencia. Este documento permite a una organización alinear o integrar sus SGIP con los requisitos de otras normas del Sistema de Gestión. (NTE INEN-ISO/IEC 27701:2019).

El 28 de julio de 2020. AENOR ha entregado a GMV Secure e-Solutions la primera certificación con base a la ISO/IEC 27701 de Gestión de Información de Privacidad, una extensión para la gestión de la privacidad que toma como base las normas ISO/IEC 27001, de Gestión de la Seguridad de la Información, e ISO/IEC 27002, de Controles de Seguridad.

En conclusión, casi todas las organizaciones procesan Información Personal Identificable (PII). También, la cantidad y los tipos de PII procesados se encuentran incrementando cada vez, al igual que el número de ambientes en las que una organización necesita cooperar con otras organizaciones con respecto al tratamiento de Información Personal Identificable. La protección de la privacidad es una necesidad social, así como el tema de legislación y/o regulación especializadas por todo el mundo.

Bibliografía

· ISO/IEC 27701:2019, Tecnologías de la información — Técnicas de seguridad — Sistemas de gestión de seguridad de la información – Requisitos (ISO/IEC 27701:2019, IDT).

· AENOR, 2020, AENOR Emite la primera certificación de privacidad ISO 27701 en España.

Disponible en: https://www.aenor.com/conocenos/sala-de-informacion-aenor/notas-de-prensa/aenor-emite-la-primera-certificacion-de-privacidad-iso-27701-en-Espania.

ENTER.CO, 2018, https://www.enter.co/empresas/la-necesidad-de-la-seguridad-de-la-informacion-y-la-privacidad-en-las-pymes/