Análisis sobre la gestión de riesgos abordado desde las normas ISO 31000 y el ISO 27005, entendidas como un complemento, no como competencia.
por Gigi Agassini, CPP*
Como profesional de seguridad considero que constantemente estamos enfrentado riesgos, aprendiendo cómo gestionarlos, tomando las mejores decisiones, hablando de riesgos, documentándonos sobre cómo evolucionan; conocer tendencias sobre lo que traerá este 2023 en adelante y mucho más. Te pregunto amigo lector: ¿realmente estamos tomando las decisiones más inteligentes para gestionar de manera eficiente los riesgos de nuestras empresas?
Los riesgos tienen impacto financieramente significativo en las compañías, así como daño reputacional. Analizar y gestionar riesgos de manera efectiva nos permite prevenir los problemas antes de que ocurran, ayudándonos a ahorrar tiempo y dinero. En un mundo tan incierto y acelerado como el de hoy, el analizar, evaluar y gestionar riesgos puede ahorrar mucho a la corporación.
Gestionar riesgos es parte fundamental del “Governance” y del liderazgo, ya que tiene trazabilidad en todos los niveles de la organización, desde identificar las actividades asociadas a riesgos hasta la interacción constante con los ejecutivos. La gestión de riesgos debe considerar el contexto externo e interno de la organización, incluyendo el comportamiento humano y factores culturales.
Existen varios “frameworks” y estándares para la gestión de riesgos y probablemente la pregunta obligada es ¿cuál es la correcta?
En esta ocasión me gustaría conversar sobre las normas ISO 31000 y el ISO 27005, ya que ambas se especializan en gestión de riesgos, pero en ocasiones se presentan confusiones sobre cómo y dónde aplicarlas.
Es importante resaltar que no son iguales y que una no sustituye a la otra. En los estándares no hay “competencia” para ver cuál gana, como si estuviéramos en un ring viendo luchar a dos oponentes entre los técnicos y los rudos en un “mascara vs. cabellera”, como la gran mayoría de los estándares se complementan.
Si partimos del principio de que existe un mundo físico y un mundo digital que hoy es uno mismo, no perdemos de vista que cada uno tiene retos, riesgos y dinamismos diferentes y, aunque convergen, se cuidan distinto.
Sumemos a lo anterior otros factores relevantes como son el tipo de negocio que tenemos, la locación o locaciones geográficas, el tamaño del negocio, la estrategia corporativa, los objetivos, la visión, la cultura, el apetito de riesgo, por mencionar algunos. Todo esto nos llevará a elegir el o los estándares que deberán implementarse y complementarse.
El ISO 31000
Es un estándar internacional de gestión de riesgos que proporciona principios, un marco y un proceso para la gestión de riesgos y puede ser utilizado por cualquier organización independientemente de su tamaño, actividad o sector.
Su uso puede ayudar a las organizaciones a alcanzar los objetivos, mejorar la identificación de oportunidades y amenazas y asignar y utilizar de manera efectiva los recursos para el tratamiento de riesgos.
Sin embargo, no puede usarse con fines de certificación, pero proporciona orientación para los programas de auditoria interna y/o externa. También proporciona principios sólidos para una gestión y para un gobierno corporativo efectivo para aquellas organizaciones que lo implementan. También cuenta con una guía sobre cómo aplicar técnicas de evaluación de riesgos (el ISO/IEC 31010), lo que le permite a las organizaciones gestionar mejor los riesgos y aumentar su valor continuamente de manera sistemática y estructurada1 .
El ISO 27005
Es un estándar internacional de gestión de riesgos, específicamente evaluación y tratamiento de riesgos de seguridad de la información, orienta sobre la implementación de los requisitos de riesgo de seguridad de la información especificados en el ISO/IEC 27001 y es aplicable a todas las organizaciones independientemente de su tipo, tamaño o sector.
Este estándar está destinado a ser utilizado por organizaciones que tienen la intención de establecer e implementar un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con el ISO/IEC 27001. Va dirigido a las personas involucradas en la gestión de riesgos de seguridad de la información y a las organizaciones que tienen la intención de mejorar su proceso de gestión relacionado.
Establece que las mejores prácticas de gestión de riesgos deben definirse de acuerdo con las características de la organización, teniendo en cuenta el alcance de su SGSI, el contexto de gestión de riesgos, así como su industria. Así mismo, provee orientación sobre la implementación de la guía de gestión de riesgos del ISO 31000 en el contexto de la seguridad de la información. El estándar contiene una guía detallada sobre la gestión de riesgos y complementa la guía del ISO/ICE 270032.
Para hablar de riesgos, lo primero que debes hacer es tomar el riesgo en serio.
Aunque la gestión de riesgos debería ser un elemento central de cualquier estrategia de seguridad de la información, hoy en día no es una disciplina bien entendida ni ampliamente empleada, aunque la conciencia de su importancia esta comenzando a incrementar, seguimos lejos.
Es muy común que los registros de riesgos se ponen en lenguaje complejo y no conciso, es importante colocarlos en el lenguaje del negocio y no en lenguaje técnico, así como señalar propiamente los impactos potenciales en las operaciones comerciales del negocio. No perdamos de vista que todo negocio tiene dos medidas: la venta y la pérdida.
Las mejores prácticas de gestión de riesgos se han desarrollado a lo largo del tiempo para satisfacer necesidades específicas en varias industrias mediante el uso de distintas metodologías, y el ISO 31000 es la norma matriz que proporciona los lineamientos y principios generales para gestionar cualquier tipo de riesgo de manera sistemática, transparente y confiable, mientras que el ISO 27005 es la norma especializada que complementa a la matriz proporcionando las mejores practicas para gestionar riesgos relacionados con la seguridad de la información.
Te dejo esta gran reflexión de Nassim Nicholas Taleb de su libro de riesgo, “The Black Swan” donde escribió: “Nuestro problema no es solo que no conocemos el futuro, tampoco sabemos mucho del pasado”.
La gestión de nuevos riesgos y debilidades es, o debería ser, el objetivo de la gestión de riesgos.
¡Hasta la próxima! 
* Gigi Agassini, CPP
Consultora Internacional de Seguridad
GA Advisory
[email protected]
Deje su comentario