Upload
luz-prado
View
35
Download
1
Embed Size (px)
DESCRIPTION
ISO - RIESGOS
Citation preview
ISO 31000 aplicada a la Gestión de Riesgos e integrada en la
gerencia empresarial
Ing. Gerardo E. Salazar Lara
Gerente de Servicios de Capacitación y Tecnologías
KNOWLEDGE PROCESS
2
Definiciones importantes
Definiciones importantes
GRC (Governance- Risk Management – Compliance): Son los tres pilares
de una organización que trabajan en conjunto para lograr el cumplimiento
de los objetivos de la organización.
RIESGO: De acuerdo a la ISO 31000:2009, Risk management –
Principles and guidelines se define como el “Efecto de la incertidumbre
sobre los objetivos”.
3
Definiciones importantes
¿Qué dicen las demás normas sobre el Riesgo?
ISO 9001:2015 define el “pensamiento basado en el riesgo”. El concepto
de pensamiento basado en el riesgo siempre ha estado implícito en la
norma ISO-9001, aunque en esta nueva versión se fortalece y se
incorpora a todo el Sistema de Gestión de la Calidad. En la versión 2015
de ISO9001 este concepto reforzado se incorpora en los requisitos de
establecimiento, implementación, mantenimiento y mejora del Sistema de
Gestión de la Calidad.
Además en la ISO/ DIS 9000:2015 de fundamentos y vocabulario (3.7.4)
la definición de riesgo coincide con la de la ISO 31000.
4
Definiciones importantes
5
Definiciones importantes
¿Qué dicen las demás normas sobre el Riesgo?
ISO 20000-1:2011 coincide con la misma definición de la ISO 31000, pero
está orientada a los servicios de TI.
BS ISO/IEC 27005:2008 Information Security risk management : La
probabilidad de que una amenaza explote una vulnerabilidad de un activo
o grupo de activos (item 3: Term and definitions).
¿En qué normas se apoya ISO 31000:2009?
ISO 31000 aplicada a la Gestión de riesgos e integrada en la gerencia empresarial 6
Definiciones importantes
ISO GUIDE 73:2009, Risk Management
Vocabulary.
ISO 31010:2009, Risk Management – Risk
Assessment Techniques (proporciona
orientación sobre la selección y aplicación
de técnicas sistemáticas para la
apreciación del riesgo)
ISO 31000 aplicada a la Gestión de riesgos e integrada en la gerencia empresarial 7
Procesos de la Gestión de Riesgos y su aplicación en la gestión empresarial
Principios de la ISO 31000 (cláusula 3)
1. La Gestión del Riesgo crea y protege el Valor.
2. La Gestión del Riesgo es una parte integral de todos los procesos de la
organización.
3. La Gestión del Riesgo es parte de la toma de decisiones.
4. La Gestión del Riesgo trata explícitamente las la incertidumbre.
5. La Gestión del Riesgo es sistemática, estructurada y oportuna.
6. La Gestión del Riesgo se basa en la mejor información disponible.
7. La Gestión del Riesgo se adapta.
8. La Gestión del Riesgo integra los factores humanos y culturales.
9. La Gestión del Riesgo es transparente e inclusiva.
10. La Gestión del Riesgo es dinámica, iterativa y responde a los cambios.
11. La Gestión del Riesgo facilita la mejora continua de la organización.
8
Software ISO, BSC y BPM
9
Software ISO, BSC y BPM
¿Cómo empiezo?
En primer lugar debe elaborarse el Marco de Trabajo en base a los 11
principios de la Gestión del riesgo, esto significa que debe desarrollarse
un MANDATO Y COMPROMISO (cláusula 4.2), luego debe DISEÑARSE
EL MARCO DE TRABAJO DE LA GESTIÓN DEL RIESGO (cláusula
4.3), IMPLEMENTAR LA GESTIÓN DEL RIESGO (cláusula 4.4), realizar
el SEGUIMIENTO Y REVISIÓN DE DEL MARCO DE TRABAJO
(cláusula 4.5) y definir la MEJORA CONTINUA DEL MARCO DE
TRABAJO (cláusula 4.6); todo esto como paso previo al desarrollo de los
PROCESOS de la Gestión del Riesgo.
10
Software ISO, BSC y BPM
Sobre el marco del trabajo
Conjunto de elementos que proporcionan los fundamentos y las disposiciones
de la organización para el diseño, la implementación, el seguimiento, la revisión
y la mejora continua de la gestión del riesgo en toda la organización.
Los fundamentos incluyen la política, los objetivos, el mandato y el
compromiso para gestionar el riesgo.
Las disposiciones de la organización incluyen los planes, las relaciones, la
obligación de rendir cuentas, los recursos, los procesos y las actividades.
El marco de trabajo de la gestión del riesgo es parte integrante de las
políticas y prácticas estratégicas y operacionales generales de la
organización.
11
Software ISO, BSC y BPM
Sobre el marco del trabajo
Primeros pasos
Comprender la organización: Identificar el sistema global que se ha de
evaluar y situarlo en su entorno interno y externo. La dificultad de esta
actividad es comprender con precisión cómo está estructurada la
organización.
12
Software ISO, BSC y BPM
Proceso de la Gestión del Riesgo de la ISO 31000
ISO 31000 aplicada a la Gestión de riesgos e integrada en la gerencia empresarial 13
Software ISO, BSC y BPM
Apreciación del riesgo
Relación entre los Principios, Marco de Trabajo y los Procesos
ISO 31000 aplicada a la Gestión de riesgos e integrada en la gerencia empresarial 14
Software ISO, BSC y BPM
Establecimiento del Contexto (Cláusula 5.3)
Mediante el establecimiento del contexto, la
organización articula sus objetivos, define
los parámetros externos e internos a tener
en cuenta en la gestión del riesgo, y
establece el alcance y los criterios de
riesgo para el proceso restante.
15
Software ISO, BSC y BPM
Lista de Actividades
1. Misión, objetivos, valores y estrategias (cláusula 4.2).
2. Establecimiento del contexto externo (cláusulas 2.1 y 5.3.2).
3. Establecimiento del contexto interno (cláusulas 2.11 y 5.3.3).
4. Identificación y análisis de las partes interesadas (cláusulas 5.3.2 y 5.3.3).
5. Identificación y análisis de requisitos (cláusula 4.3.1).
6. Determinación de los objetivos (cláusula 5.3.4).
7. Determinación de los criterios básicos (definición, aceptación y
umbrales)(cláusulas 5.3.5 y 7.2.4).
8. Definir el alcance y límites (cláusula 5.3.4).
El resultado de aplicar esta lista nos llevará al siguiente paso que es la
Identificación del riesgo.
ISO 31000 aplicada a la Gestión de riesgos e integrada en la gerencia empresarial 16
Software ISO, BSC y BPM
Identificación del Riesgo
(ISO 31000 Cláusula 5.4.2 e ISO 31010 Cláusula 5.2 )
La organización deberá identificar los
orígenes del riesgo (que estén bajo el
control o no de la organización), las áreas
de impacto, los sucesos, las cusas y
consecuencias potenciales.
El objetivo es generar la LISTA DE
RIESGOS (Catálogo de Riesgos o Lista de
Peligros) exhaustivos.
17
Software ISO, BSC y BPM
Lista de Actividades
1. Detectar el riesgo.
2. Identificar los controles existentes (características del diseño, personas, procesos y sistemas).
3. Identificar las causas y fuentes del riesgo (situaciones, sucesos o circunstancias).
4. Identificar las consecuencias.
El anexo C de la ISO 27005 proporciona una tipología para la clasificación de las amenazas que podemos tener.
La cláusula 8.2.6 de la ISO 27005 nos lista algunas consecuencias.
El resultado de aplicar esta lista nos llevará al siguiente paso que es el Análisis del riesgo.
18
Software ISO, BSC y BPM
Análisis del Riesgo
(ISO 31000 Cláusula 5.4.3 e ISO 31010 Cláusula 5.3.1)
Implica desarrollar una comprensión del
riesgo y proporciona elementos de
entrada para la evaluación del riesgo y
´para tomar decisiones acerca de si es
necesario tratar los riesgos, así como
sobre las estrategias y los métodos de
tratamiento más apropiados.
19
Software ISO, BSC y BPM
Análisis del Riesgo
(ISO 31000 Cláusula 5.4.3 e ISO 31010 Cláusula 5.3.1)
• En este proceso se hallarán la
Probabilidad, el impacto y su
combinación matemática sin dar
sentido aún al nivel del riesgo.
• En esta fase ya se debe tener
los controles identificados y la
efectividad de estos.
20
Software ISO, BSC y BPM
Lista de Actividades
1. Evaluar las consecuencias.
2. Evaluación de la probabilidad de los incidentes.
3. Determinar el nivel de riesgo.
El entregable de este proceso es el NIVEL DEL RIESGO.
El resultado de aplicar esta lista nos llevará al siguiente paso que es la Evaluación
del riesgo.
21
Software ISO, BSC y BPM
¿Cómo se evalúa la Probabilidad de un incidente?
22
Software ISO, BSC y BPM
Nivel Escala cualitativa Probabilidad
0 Muy rara Menos de una vez cada 100 años
1 Rara Una vez cada 10 años
2 Posible Una vez cada 3 años
3 Muy posible Una vez al año
4 Probable Varias veces al año
5 Casi común Varias veces por mes
6 Común Varias veces por semana
7 Muy común Varias veces por día
Evaluación del Riesgo
(ISO 31000 Cláusula 5.4.4 e ISO 31010 Cláusula 5.4)
23
Software ISO, BSC y BPM
Matriz de Priorización:
Comunicación y Consulta del Riesgo
(ISO 31000 Cláusula 4.3 e ISO 31010 Cláusula 4.3.2 )
Es una actividad destinada a llegar a
un acuerdo sobre cómo gestionar el
riesgo a través de un intercambio y/o
uso compartido de a información sobre
el riesgo entre los que toman las
decisiones y otras partes interesadas.
24
Software ISO, BSC y BPM
Seguimiento y Revisión del Riesgo
(ISO 31000 Cláusulas 5.6 y 5.7)
Se debe establecer la
responsabilidad de supervisar y
realizar las revisiones.
25
Software ISO, BSC y BPM
Mejoramiento continuo de la Gestión de Riesgos
El mejoramiento continuo es un
proceso de aumento de la eficacia y
la eficiencia de la organización para
cumplir sus políticas y objetivos.
26
Software ISO, BSC y BPM
¿Por qué usar la ISO 31000?
Aumenta la probabilidad de alcanzar los objetivos.
Estimula una gestión proactiva.
Nos hace conscientes de la necesidad de identificar y tratar el riesgo en toda organización.
Mejora la identificación de oportunidades y amenazas.
Nos hace cumplir los requisitos legales y reglamentarios pertinentes y las normas internacionales.
Mejora la redacción de informes obligatorios y voluntarios.
Mejora el gobierno.
Mejora la seguridad y la confianza de las partes interesadas.
Establece una base fiable para la toma de decisiones y para la planificación.
Mejora los controles.
Asigna y utiliza de manera eficaz los recursos para el tratamiento del riesgo.
…
Permite a una organización asegurar que sabe y entiende los riesgos que le afecta, prevenir o reducir la ocurrencia de incidentes, y a identificar los riesgos y oportunidades.
27
Software ISO, BSC y BPM