Scribd
Cargar
188 vistas5 páginas

Gestión de Riesgos con ISO 31000

La norma ISO 31000 establece los principios y el marco de trabajo para la gestión de riesgos. La norma ISO 27035 se enfoca en la gestión de incidentes de seguridad de la información. Ambas normas ayudan a las organizaciones a identificar, evaluar y responder a los riesgos y incidentes para proteger sus activos y cumplir con los objetivos.

Cargado por

LucitaCastillo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
188 vistas5 páginas

Gestión de Riesgos con ISO 31000

La norma ISO 31000 establece los principios y el marco de trabajo para la gestión de riesgos. La norma ISO 27035 se enfoca en la gestión de incidentes de seguridad de la información. Ambas normas ayudan a las organizaciones a identificar, evaluar y responder a los riesgos y incidentes para proteger sus activos y cumplir con los objetivos.

Cargado por

LucitaCastillo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

ISO 3100 – GESTION DE RIESGO

Riesgo: Es todo aquel efecto que puede llegar a impactar directamente el logro de
nuestros objetivos, como por ejemplo un daño de reputación de la empresa,
incumplimientos legales, perdidas de información o económicas entre otros.

Para poder gestionar estos riegos, se creó el primer estándar internacional de gestión
de riesgo que se formalizo mediante la norma ISO 31000 que promueve una dirección
para que las compañías integren la toma de decisiones basada en el riesgo en cada una
de sus etapas desde: La planeación, operación, control, seguimiento y medición en todos
los niveles de la organización

ESTRUCTURA DEL ISO 31000


La norma ISO 31000 está estructurada en 3 elementos claves para una adecuada gestión
de riesgos, estos son: PRINCIPIOS, MARCO DE TRABAJO Y PROCESO PARA LA GESTION
DE RIESGOS

Principios Para La Gestión De Riesgos


Para q la gestión de riesgo sea eficaz la organización debe cumplir con los siguientes
principios en todos los niveles:
 Deber ser parte integral de los diferentes procesos
 Debe contar con su propia estructura
 Debe adaptarse al contexto específico de la organización
 Debe promover la participación de todas las partes de la organización
 Debe responder a los cambios de riesgos de manera apropiada y oportuna
 La información debe ser clara y disponible para las partes de la organización
 Los factores humano y cultural deben ser considerados por el proceso de
gestión de riesgos
 El proceso de gestión de riesgos debe mostrar mejora en el tiempo, en eficacia
y eficiencia
Marco De Trabajo Para La Gestión De Riesgo
Brinda las bases en todos los niveles de la organización, relaciona los
componentes del marco de trabajo para la gestión de riesgos, estos son:
 Compromiso de la dirección: requiere de un compromiso sostenido por parte de
la dirección de la organización para garantizar su eficacia continua
 Diseño del marco para la gestión del riesgo: es evaluar y entender el contexto
tanto externo como interno de la organización
 Implementación de la gestión de riesgo: Implica planificar y disponer de los
recursos adecuados
 Seguimiento y revisión del marco: garantiza que la gestión de riesgo sea eficaz
 Mejora continua del marco de trabajo: con base en los resultados del
seguimiento y revisión se toma decisiones sobre posibles mejoras en la
organización.

Proceso Para La Gestión De Riesgo


Es la parte integral de la gestión y de la toma de decisión dentro de la organización, los
pasos son:
 La comunicación y consulta: Deben llevarse a cabo en todas las etapas del
proceso para comprender el riesgo y las bases con la que se toman las decisiones
 Establecimiento del contexto: El entorno externo (social, político y cultural) e
interno (estrategias y objetivos) deben ser considerados antes de identificar la
serie de riesgos estableciendo así el alcance y los criterios para el resto del
proceso.
 Evaluación del riesgo
-Identificación de riesgos: genera una lista de riesgos que puede
aumentar, prevenir, degradar, acelerar o retrasar el logro los objetivos
-Análisis de los riesgos: involucra las causas y consecuencias positivas y
negativas
-Valoración de los riesgos: facilita la toma de decisiones basada en los
resultados del análisis
 Tratamiento de los riesgos: involucra la selección de una o más opciones para
modificar los riesgos y la implementación de las mismas.
 Monitoreo y revisión: comprende todos los procesos para la gestión del riesgo
con el fin de garantizar, obtener información, mejorar la valoración del riesgo,
analizar y detectar cambios en el contexto externo e interno.
IMPLEMENTACIÓN DE LA GESTIÓN DE RIEGOS EN LA ORGANIZACIÓN

 Asegurar el compromiso por parte de la alta dirección en la gestión de riesgos,


adoptarla en cada uno de los procesos de la organización
 Revisar, apoyar y fomentar una cultura de gestión de los riesgos.
 Verificar los objetivos estratégicos de la organización e identificar todos aquellos
riesgos que de presentarse nos podrían impedir alcanzarlos.
 Trabajar en equipo, cada parte de la organización conozca su rol a tomar en caso
de presenten dichos eventos.
 Planificar todas aquellas actividades para disminuir los riesgos.

BENEFICIOS DE IMPLEMENTAR LA GESTIÓN DE RIESGOS:

 Desarrollar una estrategia para identificar y disminuir los riesgos a fin de alcanzar
los objetivos y asegurar los activos principales de la empresa.
 Al implementar la ISO las organizaciones pueden ver las oportunidades q se
pueden llegar a presentar cuando se gestionan los riesgos y analizar los efectos
negativos de llegarse a presentar dicho efecto.
 Es un apoyo para que la organización mejore sus directrices y eventualmente su
desempeño.
 Desarrollar una cultura de enfoque al riesgo, en donde los colaboradores y partes
interesadas estén conscientes de la importancia de monitorear y manejar los
riesgos.
ISO 27035 - GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

¿Qué son los incidentes de seguridad de la información?


Por lo general, las políticas de seguridad de la información o los controles por sí solos no
garantizaran una protección total para la información, sistemas de información,
servicios o redes.

GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN


Los controles de la seguridad de la información no son perfectos debido a que pueden
fallar, pueden trabajar solo parcialmente o incluso, a veces, están ausentes, es decir, no
están en funcionamiento. Debido a esto, los incidentes pasan debido que los controles
preventivos no son totalmente eficaces o fiables.

ESTRUCTURA DE LA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

ENFOQUE ESTRUCTURAL
 Identificar, comunicar y evaluar los incidentes de la seguridad de la información
 Contestar, gestionar los incidentes de la seguridad de la información
 Identificar, examinar y gestionar las vulnerabilidades de seguridad de la
información
 Aumentar la mejora de la continuidad de la seguridad de la información y de la
gestión de los incidentes, como respuesta a la gestión de incidentes de la
seguridad de la información y de las vulnerabilidades

ETAPAS CLAVES
 Preparase para enfrentarse a los incidentes.
 Reconocer los incidentes de seguridad de la información.
 Examinar los incidentes y tomar las decisiones sobre la forma en que se han
llevado a cabo las cosas.
 Dar respuesta a los incidentes, lo que quiere decir, investigarlos y resolverlos.
 Aprender de las lecciones.
BENEFICIOS
Aporta información para la organización y gestión de las actividades de respuesta ante
incidentes de seguridad de la información en la organización, brindando un enfoque
global y basado en las mejores prácticas.

 Cumplimiento El primer beneficio, sobre cualquiera de los que posteriormente


se van a comentar, es el cumplimiento de los aspectos relacionados con la
información, como es la protección o seguridad de los datos, la privacidad o el
control de la tecnología de la información (TI).
 Ventaja competitiva Evidentemente, disponer de un sistema de gestión de
seguridad de la información conforme a la norma ISO 27035 es una llave de oro
que abre nuevos mercados y clientes. Esto es, le ofrece a la empresa una gran
ventaja competitiva, con mayor éxito en aquellas organizaciones que disponen
o manejan información altamente sensible.
 Descenso de los gastos por incidentes de seguridad En este caso, se trata de un
beneficio que supone una de las primeras preocupaciones que tienen los
directivos a la hora de afrontar la implementación de la norma ISO 27035.
 Organización En cuanto a la organización, la norma ISO 27035 favorece el
establecimiento y la asignación de roles, responsabilidades y obligaciones, ya
que obliga a definirlos para su funcionamiento y buen desempeño.

También podría gustarte