Identificación de reporte de similitud: oid:27259:181895417

NOMBRE DEL TRABAJO AUTOR

Ensayo ISO 31000 - ISO 27005 - ISO 370 EQUIPO EQUIPO

02.docx

RECUENTO DE PALABRAS RECUENTO DE CARACTERES

2960 Words 17169 Characters

RECUENTO DE PÁGINAS TAMAÑO DEL ARCHIVO

11 Pages 34.5KB

FECHA DE ENTREGA FECHA DEL INFORME

Nov 20, 2022 10:07 AM GMT-5 Nov 20, 2022 10:08 AM GMT-5

28% de similitud general

El total combinado de todas las coincidencias, incluidas las fuentes superpuestas, para cada base d
28% Base de datos de Internet 2% Base de datos de publicaciones
Base de datos de Crossref Base de datos de contenido publicado de Crossre
17% Base de datos de trabajos entregados

Excluir del Reporte de Similitud

Material bibliográfico Material citado
Material citado Coincidencia baja (menos de 8 palabras)

Resumen
 ISOS: 31000 “norma internacional para la gestión del riesgo”, “27005 “Gestión
de Riesgos de Seguridad de la Información”, y 37002 “sistema de gestión de
denuncia de irregularidades”
Willington Huillca Callapiña1

Samuel Eliseo Llasac Ramos2

Milly Jessica Pipa Huamani3

Marlenne Pareja Castañeda4

Gulmar Dide Soca Ayquipa5

Juan Honorio Rodriguez Huaman6

Introducción

Identificar y gestionar los riesgos asociados a los activos de información para proteger su
confidencialidad, integridad y disponibilidad, utilizando procesos sistemáticos para
lograr una adecuada gestión de riesgos e implementación de controles efectivos.

1
Economista, jefe de la Unidad de Microemprendimientos, Cooperativa de Ahorro y Crédito los
Andes, [email protected], Estudiante de la Maestría de Contabilidad Mención
Finanzas Empresariales de la Universidad San Antonio Abad del Cusco (UNSAAC)
[email protected]
2
Economista, jefe de la Unidad de Auditoria, Cooperativa de Ahorro y Crédito los Andes,
[email protected], Estudiante de la Maestría de Contabilidad Mención Finanzas
Empresariales de la Universidad San Antonio Abad del Cusco (UNSAAC)
[email protected]
3
Administradora, jefe de la Unidad de Costos y Presupuestos, Cooperativa de Ahorro y Crédito
los Andes, [email protected], Estudiante de la Maestría de Contabilidad
Mención Finanzas Empresariales de la Universidad San Antonio Abad del Cusco (UNSAAC)
[email protected]
4
Contadora Publica Colegiada, jefe del Departamento de Contabilidad, Cooperativa de Ahorro y
Crédito los Andes, [email protected], Estudiante de la Maestría de
Contabilidad Mención Finanzas Empresariales de la Universidad San Antonio Abad del Cusco
(UNSAAC) [email protected]
5
Contador Público Colegiado, Sub Gerente de Servicios Financieros, Cooperativa de Ahorro y
Crédito los Andes, [email protected], Estudiante de la Maestría de Contabilidad
Mención Finanzas Empresariales de la Universidad San Antonio Abad del Cusco (UNSAAC)
[email protected]
6
Contador Público Colegiado, jefe del Departamento de Finanzas, Cooperativa de Ahorro y
Crédito los Andes, [email protected], Estudiante de la Maestría de
Contabilidad Mención Finanzas Empresariales de la Universidad San Antonio Abad del Cusco
(UNSAAC) [email protected].
Para este propósito es necesario apoyarse en la norma ISO 27005 “Gestión de Riesgos de
Seguridad de la Información”, ISO 37002 “sistema de gestión de denuncia de
irregularidades” y la ISO 31000, “norma internacional para la gestión del riesgo”

resultan importantes, ya que se alinean con el enfoque basado en el riesgo.

Normalmente las organizaciones gestionan el riesgo de alguna forma, la norma ISO

31000 establece un número de principios necesarios para conseguir una gestión de riesgos
eficaz.

ISO 31000 recomienda que las organizaciones desarrollen, implementen y mejoren de

forma continua un marco de referencia cuyo propósito sea integrar el proceso para la
gestión del riesgo en los procesos y cultura de la organización.

La gestión de riesgos puede aplicarse a todas las áreas y niveles, funciones, proyectos y
actividades de cualquier organización. Sin embargo, algunas industrias han adoptado
procesos coherentes dentro del marco de referencia que ayudan a garantizar una gestión
de riesgos eficaz y coherente.

El enfoque genérico descrito en ISO 31000 aporta los principios y directrices para
gestionar cualquier forma de riesgo, en el contexto que sea.

ISO 31000, “Norma internacional para la gestión del riesgo”

El objeto de la Norma internacional para la gestión de riesgos, proporciona

principios generales y orientación, este estándar ayuda a las organizaciones a realizar
análisis y evaluaciones de riesgos. (slideshare, 2020)

La norma ISO 31000 se encuentra dirigida a las personas que protegen el valor de la
organización utilizando la gestión de riesgos, la toma de decisiones, el establecimiento y
la consecución de objetivos, además de mejorar el rendimiento

La gestión del riesgo es iterativa y les sirven a las organizaciones para establecer su
estrategia lograr sus objetivos y tomar decisiones estando informadas.
La gestión de riesgos está basada en principios, marco de referencia y proceso de gestión
de riesgos, los cuales serán necesarios adaptarlos o mejorarlos para que la gestión de
riesgos sea eficiente, eficaz y Coherente.

Principios ISO 31000, “Norma internacional para la gestión del riesgo”

El propósito de la gestión del riesgo es la creación y la protección del valor. Mejora el

desempeño, fomenta la innovación y contribuye al logro de objetivos.

La gestión del riesgo eficaz requiere los siguientes elementos:

Integrada; La gestión del riesgo es parte integral de todas las actividades de la

organización.

Estructurada y exhaustiva; Un enfoque estructurado y exhaustivo hacia la gestión del

riesgo contribuye a resultados coherentes y comparables.

Adaptada; El marco de referencia y el proceso de la gestión del riesgo se adaptan y son

proporcionales a los contextos externo e interno de la organización relacionados con sus
objetivos.

Inclusiva; La participación apropiada y oportuna de las partes interesadas permite que se

consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor
toma de conciencia y una gestión del riesgo informada.

Dinámica; Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los
contextos externo e interno de la organización. La gestión del riesgo anticipa, detecta,
reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.

Mejor información disponible; Las entradas a la gestión del riesgo se basan en

información histórica y actualizada, así como en expectativas futuras. La gestión del
riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con
tal información y expectativas. La información debería ser oportuna, clara y disponible
para las partes interesadas pertinentes.
Factores humanos y culturales; El comportamiento humano y la cultura influyen
considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y
etapas.

Mejora continua; La gestión del riesgo mejora continuamente mediante aprendizaje y

experiencia. Escorial Bonet, Á. Escalera Alcazar, J. y Simón Quintana, S. (2019). Guía
para la aplicación de UNE-ISO 31000:2018. Madrid, AENOR - Asociación Española de
Normalización y Certificación. Recuperado de
https://elibro.net/es/ereader/unsaac/118154?page=34.

Marco de referencia ISO 31000, “Norma internacional para la gestión del riesgo”

El propósito del marco de referencia de la gestión del riesgo es asistir a la organización

en integrar la gestión del riesgo en todas sus actividades y funciones significativas.

La eficacia de la gestión del riesgo dependerá de su integración en la gobernanza de la

organización, incluyendo la toma de decisiones. Esto requiere el apoyo de las partes
interesadas, particularmente de la alta dirección. “Escorial Bonet, Á. Escalera Alcazar, J.
y Simón Quintana, S. (2019). Guía para la aplicación de UNE-ISO 31000:2018. Madrid,
AENOR - Asociación Española de Normalización y Certificación”.

Debe incluir lo siguiente

Liderazgo y compromiso; la alta dirección debe demostrar liderazgo y compromiso

asegurando que la gestión de riesgo esta integrada en todas las actividades de la
organización.

Implementando todos los componentes del marco de referencia y alinear la gestión del
riesgo con sus objetivos, estrategia y cultura.

Integración; La integración de la gestión del riesgo depende de la comprensión de las

estructuras y el contexto de la organización, por ello todos los miembros de una
organización tienen la responsabilidad de gestionar el riesgo.

Diseño; la organización debería analizar y comprender sus contextos externo e interno

cuando diseñe el marco de referencia para gestionar el riesgo, asignar roles,
responsabilidades, obligaciones de rendir cuentas, asignación de recursos y
comunicación.

Implementación; la organización debe implementar el marco de referencia mediante el

desarrollo de un plan de implementación, la identificación de quien, cuando y donde se
toman las decisiones en la organización, modificación de los procesos aplicados a la toma
de decisiones, aseguramiento de que las disposiciones de la organización para gestionar
el riesgo son claramente comprendidas y puestas en práctica.

Valoración; Para valorar la eficacia del marco de referencia de la gestión de riesgo, se

debe medir periódicamente el desempeño con relación a su propósito, sus planes de
implementación, indicadores y el comportamiento esperado.

Finalmente, Determinar si el marco de referencia permanece idóneo para apoyar el logro

de los objetivos de la organización.

Mejora; La organización debería realizar el seguimiento continuo y adaptar el marco de

referencia de la gestión del riesgo en función de los cambios externos e internos, mejorar
continuamente la idoneidad, adecuación y eficacia, y cuando se identifiquen brechas u
oportunidades de mejoras pertinentes, la organización debería desarrollar planes, tareas y
asignarlas a quienes tuviese que rendir cuentas para su implementación.

Proceso de la gestión de riesgo ISO 31000, “Norma internacional para la gestión del
riesgo”

El proceso de la gestión del riesgo implica la aplicación sistemática de políticas,

procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento
del contexto y evaluación, tratamiento, seguimiento, revisión, registro e informe del
riesgo. Escorial Bonet, Á. Escalera Alcazar, J. & Simón Quintana, S. (2019). Guía para
la aplicación de UNE-ISO 31000:2018. AENOR - Asociación Española de
Normalización y Certificación.

Puede aplicarse a nivel estratégico y operacional

Comunicación y consulta; El propósito de la comunicación y consulta es asistir a las

partes interesadas pertinentes a comprender el riesgo.
La comunicación busca promover la toma de conciencia y la comprensión del riesgo,
mientras que la consulta implica obtener retroalimentación e información para apoyar la
toma de decisiones. (Online Browsing Platform (OBP), s.f.)

Alcance, contexto y criterios; El propósito del establecimiento del alcance, contexto y

criterios es adaptar el proceso de la gestión del riesgo, para permitir una evaluación del
riesgo eficaz y un tratamiento apropiado del riesgo. El alcance, el contexto y los criterios
implican definir el alcance del proceso, y comprender los contextos externo e interno.
(SPC Consulting Group., s.f.)

Evaluación del riesgo, consiste en identificar, analizar y valorar el riesgo

Identificación del riesgo; El propósito de la identificación del riesgo es encontrar,

reconocer y describir los riesgos que pueden ayudar o impedir a una organización lograr
sus objetivos. Para la identificación de los riesgos es importante contar con información
pertinente, apropiada y actualizada. (SPC Consulting Group., s.f.)

Análisis del riesgo; El propósito del análisis del riesgo es comprender la naturaleza del
riesgo y sus características incluyendo, el nivel del riesgo. El análisis del riesgo implica
una consideración detallada de incertidumbres, fuentes de riesgo, consecuencias,
probabilidades, eventos, escenarios, controles y su eficacia. Un evento puede tener
múltiples causas y consecuencias y puede afectar a múltiples objetivos (SPC Consulting
Group., s.f.)

Valoración del riesgo; El propósito de la valoración del riesgo es apoyar a la toma de

decisiones. La valoración del riesgo implica comparar los resultados del análisis del
riesgo con los criterios del riesgo establecidos para determinar cuándo se requiere una
acción adicional. (SPC Consulting Group., s.f.)

Tratamiento del riesgo; El propósito del tratamiento del riesgo es seleccionar e

implementar opciones para abordar el riesgo.

Seguimiento y revisión; El propósito del seguimiento y la revisión es asegurar y mejorar

la calidad y la eficacia del diseño, la implementación y los resultados del proceso. El
seguimiento continuo y la revisión periódica del proceso de la gestión del riesgo y sus
resultados debería ser una parte planificada del proceso de la gestión del riesgo, con
responsabilidades claramente definidas. (SPC Consulting Group., s.f.)

Registro e informe; El proceso de la gestión del riesgo y sus resultados se deberían

documentar e informar a través de los mecanismos apropiados.

Al implementar los principios del ISO 31000 en la organización, podrá mejorar la

eficiencia operativa, el gobierno y la confianza de las partes interesadas al tiempo que
reduce las pérdidas.

ISO 27005, Tecnología de la información. Técnicas de seguridad. Gestión del riesgo

de seguridad de la información”

Esta norma describe todo el proceso necesario para la gestión del riesgo de seguridad
de la información y las actividades necesarias para la gestión de riesgos, no recomienda
ninguna metodología específica para realizar la gestión de riesgos de la seguridad de la
información bajo las directrices ya establecidas, por lo cual queda abierta la
posibilidad de elegir dicha metodología a la institución misma. (Raul, 2018)

5
El proceso de gestión de riesgos en la seguridad de la información se puede aplicar a la
organización en su totalidad, o una parte de ella, un sistema de información existente o
planificada, o a los mecanismos de protección.

7
Esta norma suministra directrices para la gestión del riesgo en la seguridad de la
información y brinda soporte a los conceptos generales que se especifican en la norma
9
ISO 27001 “gestionar la seguridad de la información en una empresa” y está diseñada
para facilitar la implementación satisfactoria de la seguridad de la información con base
en el enfoque de gestión del riesgo.

1
Se entiende por gestión de seguridad de la información el proceso por el cual define,
alcanza y mantiene unos niveles apropiados de confiabilidad, integridad, disponibilidad,
trazabilidad y autenticidad para la información que necesita operar.

11
Al implementar los principios del ISO 31000 en la organización, podrá mejorar la
eficiencia operativa, el gobierno y la confianza de las partes interesadas al tiempo que
reduce las pérdidas.
1
Aspectos principales del proceso de gestión de la seguridad de la información.

El proceso de gestión de seguridad incluye aspectos como; determinar

objetivos, estrategias y políticas de seguridad de la información,
requerimientos de seguridad de información, identificar y analizar
amenazas y vulnerabilidades de los activos de la información,
identificar y analizar los riesgos de seguridad, asegurar la
13
concienciación de todo el personal y detectar los posibles incidentes de
seguridad y realizar planes de acción frente a ellos.

1
además, es importante tener en cuenta algunos datos sobre la complejidad que puede
alcanzar el proceso de gestión de seguridad de la información en las organizaciones,
dichos datos son: crecimiento de los incidentes negativos por el personal de la
organización, volumen significativo de perdidas se debe a debilidades tecnológicas,
como robo o la perdida de soportes de información.

1
La disciplina de seguridad de la información ha experimentado un rápido desarrollo,
impulsada por la necesidad de formalizar todas las medidas de seguridad necesarias para
proteger la información.

Análisis De Riesgos

1
La variedad de posibles eventos que pueden afectar de forma negativa el cumplimiento
de los objetivos establecidos puede considerarse infinitos, estos pueden tener origen
1
interno o externo, tales como riesgos financieros, operativos, tecnológicos, de mercado,
legal de seguridad de la información y otros.

6
El análisis de riesgo es una herramienta que permite identificar, clasificar y valorar
eventos que puedan amenazar la consecución de objetivos y establecer medidas
oportunas para reducir el impacto esperable hasta un nivel tolerable.

1
Contexto de fase de establecimiento

En esta fase se definen todos los objetivos, así como el alcance y la organización de todo
el proceso dando inicio una ves que se tiene toda la información acerca del caso que se
 desea evaluar, para lograr bien esto se necesita el establecimiento de criterios como la
evaluacion de riesgos, impacto y aceptación del riesgo.

3
Metodología de aplicación, Esta norma no recomienda una metodología concreta,
puesto que dependerá de una serie de factores relativos a cada empresa que desee
implantarla como, por ejemplo: el alcance real del Sistema de Gestión de Seguridad de
la Información (SGSI) o el sector comercial de la propia industria.

No obstante, como otras normas ISO y sistemas basados en procesos, un método

considerado válido y, por lo tanto, recomendable es utilizar como base el modelo PHVA
(Planificar, Hacer, Verificar, Actuar) con la finalidad de establecer un proceso de
gestión que se enfoque en la mejora continua siguiendo el siguiente esquema:

Planificar; Se establecen los objetivos, procesos y procedimientos para el proceso de

gestión de riesgos tecnológico, con el objeto de conseguir unos resultados acordes con
las políticas y objetivos globales de la organización.

3
Hacer; Corresponde a la implementación y operación de los controles, procesos y
procedimientos e incluye la operación e implementación de las políticas definidas.

Verificar; Se trata de evaluar y medir el desempeño de los procesos contra la política y

los objetivos de seguridad e informar sobre los resultados.

Actuar; Consiste en establecer la política para la gestión de riesgos tecnológicos e

implementar los cambios requeridos para la mejora de los procesos.

12
Esta norma internacional también puede ayudar a proporcionar una base sólida para la
toma de decisiones y promover una gestión proactiva en todos los ámbitos.

10
Las recomendaciones de mejores prácticas de esta norma internacional se desarrollaron
para mejorar las técnicas de gestión y garantizar la seguridad de la seguridad de
información.

ISO 37002, Sistemas de Gestión de Denuncia de Irregularidades

Es una guía para que las organizaciones puedan establecer, implementar, mantener
y mejorar en forma continua un sistema de gestión de denuncias y tiene como objetivo,
alentar y facilitar el reporte de situaciones irregulares, apoyar y proteger a quienes
realizan estos reportes y si fuera necesario a otras partes interesadas involucradas,
asegurar que las denuncias se reciban íntegramente, y se traten de manera adecuada y
oportuna, fortalecer la cultura ética, y el buen gobierno corporativo, reducir los riesgos
de irregularidades actuando como medida preventiva y disuasoria. (Rozen, 2021)

A su vez esta norma tiene tres principios claves que están íntimamente relacionados.
8
Confianza
Es la esperanza firme que una persona tiene en que algo suceda, sea o funciones de una
manera determinada que otra persona actúe como ella desea, en materia de gestión de
denuncias se esperaría de una adecuada implementación que logre este sentimiento de
confianza.
Imparcialidad
Cuando nos referimos a un sistema de gestión de denuncias este concepto aplica a todo
el proceso. El mismo debe garantizar que valoraremos los hechos con abstracción de las
interpretaciones.
Protección
La protección se define como cuidar preventivamente a alguien o algo de que un riesgo
se materialice afectando negativamente a la persona o cosa.
2
Ciclo que Comprende la Denuncia de Irregularidades

 Identificación y denuncia de inquietudes sobre hechos ilícitos: El personal de

la organización, deberá recibir formación sobre el canal de denuncias para poder
realizar correctamente esta identificación de hechos ilícitos y denunciarlos.
 Evaluación de inquietudes por hechos ilícitos: el sistema tendrá que
especificar el procedimiento de clasificación de las comunicaciones teniendo en
cuenta, principalmente, el riesgo que puede suponer el hecho comunicado.
 Medios para abordar las inquietudes por hechos ilícitos: el sistema de canal
de denuncias tendrá que determinar cómo se pueden presentar y recibir las
denuncias teniendo en cuenta el alcance del canal.
 Cierre de casos de denuncias de irregularidades: el sistema tendrá también
que contemplar unas normas de investigación determinadas, así como medidas
 de protección y seguimiento apropiadas para el denunciante y aquellas personas
que pudieran ser sujeto del informe relacionado con la denuncia.

2
En cuanto a la aplicabilidad de la norma, las directrices que se incluyen son genéricas y
pueden aplicar perfectamente a cualquier organización, sin importar la forma jurídica
que tenga, su tamaño o las actividades que lleve a cabo. Asimismo, puede aplicar a
organizaciones de carácter público como a organizaciones de carácter privado.
(Globalsuite solucions, 2021)
Conclusiones

4
1. En el trabajo se determinó que la diferencia básica entre las normas es que ISO
31000 se enfoca en la Gestión de riesgos de manera integral y genérica, mientras
que ISO 27005 lo hace de forma específica en la Gestión de los Riesgos en la
Seguridad de la información.
4
2. Es factible integrar las normas ISO 31000 e ISO 27005 entre sí, debido a la
complementariedad y aproximación existente.
4
3. La norma ISO 27005 identifica de forma minuciosa los activos, los impactos y
las amenazas a las que estos activos están expuestos, a más de realizar el análisis
de las vulnerabilidades y de los riesgos a nivel alto y detallado.
4. Los fundamentos organizacionales, la forma de planificar y ejecutar los
proyectos y procesos son similares en ambas normas.
5.

Bibliografía
https://elibro.net/es/ereader/unsaac/118154?page=43.
https://www.youtube.com/watch?v=k5gblbzHeFI&t=297s.
https://es.slideshare.net/JoseSzarfman/iso-31000-2018-v-2020.
https://spcgroup.com.mx/iso310002018-proceso-para-la-gestion-de-riesgos/.
https://repositorio.unprg.edu.pe/bitstream/handle/20.500.12893/3331/BC-TES-TMP-
2179.pdf?sequence=1&isAllowed=y
https://es.slideshare.net/ffffffffe23/dumar-resumen-analitico-investigativo-sobre-el-
iso-27005
 Identificación de reporte de similitud: oid:27259:181895417

28% de similitud general

Principales fuentes encontradas en las siguientes bases de datos:
28% Base de datos de Internet 2% Base de datos de publicaciones
Base de datos de Crossref Base de datos de contenido publicado de Crossre
17% Base de datos de trabajos entregados

FUENTES PRINCIPALES
Las fuentes con el mayor número de coincidencias dentro de la entrega. Las fuentes superpuestas no se
mostrarán.

es.slideshare.net
1 8%
Internet

globalsuitesolutions.com
2 5%
Internet

isotools.org
3 4%
Internet

repositorio.espe.edu.ec
4 3%
Internet

hdl.handle.net
5 1%
Internet

redperifericaaqp.gob.pe
6 1%
Internet

revistacientifica.uamericana.edu.py
7 <1%
Internet

Universidad Adolfo Ibáñez on 2021-06-21

8 <1%
Submitted works

Descripción general de fuentes

 Identificación de reporte de similitud: oid:27259:181895417

bibdigital.epn.edu.ec
9 <1%
Internet

dspace.utb.edu.ec
10 <1%
Internet

repository.libertadores.edu.co
11 <1%
Internet

Instituto Madrileno de Formacion on 2020-06-24

12 <1%
Submitted works

oa.upm.es
13 <1%
Internet

Descripción general de fuentes