GESTIÓN DE RIESGOS – ISO

31000
U3 Normas y estándares de la Gestión del Riesgo

S5 Normalización Nacional e Internacional de la Gestión del

Riesgo a nivel Empresarial
 S5| Normalización Nacional e Internacional de
la Gestión del Riesgo a nivel Empresarial

ÍNDICE

►NORMAS, LEYES Y ESTÁNDARES SOBRE GESTIÓN DE RIESGOS

EMPRESARIAL 3
►PRL PREVENCIÓN DE RIESGOS LABORALES 3
►NORMA TÉCNICA COLOMBIANA NTC-31010. GESTIÓN DE RIESGOS.
TÉCNICAS DE VALORACIÓN DEL RIESGO 4
►LOS ACUERDOS DE BASILEA 10
►SISTEMA DE GESTIÓN DE CONTINUIDAD DE NEGOCIO (SGCN) – ISO
22301 12
►ISO 27001 – SEGURIDAD DE LA INFORMACIÓN 14
►ISO 20000 – CERTIFICACIÓN DE TECNOLOGÍA DE LA INFORMACIÓN 16
►NORMA TECNICA COLOMBIANA NTC 5254 17
►GUÍA PARA LA ADMINISTRACIÓN DEL RIESGO. DEPARTAMENTO ADMINIS-
TRATIVO DE LA FUNCIÓN PÚBLICA (DAFP) 18
Índice S5| Normalización Nacional e Internacional de
la Gestión del Riesgo a nivel Empresarial

NORMAS, LEYES Y ESTÁNDARES SOBRE

GESTIÓN DE RIESGOS EMPRESARIAL

PRL PREVENCIÓN DE RIESGOS LABORALES

La PRL tradicionalmente se ha enten- con el fin de perfeccionar de manera

dido como una serie de medidas o continua las actividades de identifica-
actuaciones para evitar que se volvieran ción, evaluación y control de los riesgos
a producir, en el trabajo, los accidentes que no se hayan podido evitar y los nive-
laborales que ya habían tenido lugar. Hacia les de protección existentes y dispondrá
el 2003 se concreta que la prevención lo necesario para la adaptación de las
de riesgos laborales deberá integrarse medidas de prevención a las modifica-
en el sistema general de gestión de la ciones de las circunstancias que incidan
empresa. La prevención de riesgos labo- en la realización del trabajo”.
rales, como actuación a desarrollar en el
seno de la empresa, deberá integrarse El modelo PRL implica entre otros
en el conjunto de sus actividades y deci- aspectos los siguientes:
siones, tanto en los procesos técnicos,
en la organización del trabajo y en las ► Abarcar el conjunto de actividades y
condiciones en que éste se preste, como decisiones: procesos técnicos, orga-
en la línea jerárquica de la empresa, nización y condiciones de trabajo.
incluidos todos los niveles de la misma.
Todo ello implica la obligación de incluir ► Reflejarse en todos los niveles jerár-
la prevención de riesgos en cualquier quicos de forma que dirección, niveles
actividad que se realicen o se ordenen y intermedios y simples trabajadores
en todas las decisiones que se adopten. han de participar en ella.
Además, se concreta que “El empresario
desarrollará una acción permanente de ► Obligación de incluir la dimensión pre-
seguimiento de la actividad preventiva ventiva en que cualquier actividad que
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

se realice, órdenes que se impartan y ► Con ocasión de la elección de los

decisiones que se adopten. equipos de trabajo, de las sustan-
cias o preparados químicos y del
► Implicación de los afectados en el acondicionamiento de los lugares
diseño, adopción y cumplimiento de de trabajo.
las medidas preventivas.
► La evaluación inicial tendrá en cuenta
Evaluación de riesgos PRL. aquellas otras actuaciones que deban
desarrollarse de conformidad con
Se debe realizar una evaluación inicial lo dispuesto en la normativa sobre
de los riesgos para la seguridad y salud protección de riesgos específicos y
de los trabajadores, teniendo en cuenta, actividades de especial peligrosidad.
con carácter general:
► La evaluación será actualizada
► La naturaleza de la actividad. cuando cambien las condiciones de
trabajo y, en todo caso, se someterá
► Las características de los puestos de a consideración y se revisará, si fuera
trabajo existentes y de los trabajado- necesario, con ocasión de los daños
res que deban desempeñarlos. para la salud que se hayan producido.

NORMA TÉCNICA COLOMBIANA NTC-

31010. GESTIÓN DE RIESGOS. TÉCNICAS DE
VALORACIÓN DEL RIESGO

La Norma ISO 31010 especifica las relativas fortalezas y limitaciones. Su

técnicas y Herramientas sistemáticas estructura es:
para la Evaluación de riesgo en un pro-
ceso de Gestión de riesgo que pueden ► Introducción.
ser usadas dependiendo de la necesidad
de la organización, las técnicas descritas ► Alcance.
en la norma pueden ser clasificadas de
diferentes maneras con el fin de facilitar ► Referencias Normativas.
la comprensión de sus aplicaciones, ele-
mentos de entrada, procesos, resultados, ► Términos y definiciones.
4
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

► Conceptos sobre la valoración de ► Selección de las técnicas.

riesgos. ► Disponibilidad de recursos.
► La naturaleza y el grado de incer-
► Propósitos y beneficios. tidumbre.
► Valoración del riesgo y marco de ► Complejidad.
referencia para la gestión de los ► Aplicación de la Valoración del
riesgos. riesgo durante las fases del ciclo
► Valoración del riesgo y proceso de de duración.
gestión de riesgos. ► Tipos de técnicas para valoración
del riesgo.
Proceso de valoración del Riesgo.
La Norma ISO 31010 especifica las
► Información General. técnicas y Herramientas de Evaluación de
► Identificación del riesgo. riesgo en un proceso de Gestión de riesgo
► Análisis del riesgo. que pueden ser usadas dependiendo de
► Evaluación del riesgo. la necesidad de la organización, las téc-
► Documentación. nicas descritas en la norma pueden ser
► Monitoreo y valoración de la revi- clasificadas de diferentes maneras con
sión del riesgo. el fin de facilitar la comprensión de sus
► Aplicación de la Valoración del aplicaciones, elementos de entrada, pro-
riesgo durante las fases del ciclo cesos, resultados, relativas fortalezas y
de duración. limitaciones. La norma Lista 31 técnicas
para la evaluación de Riesgo proporciona
Selección de las técnicas de una Guía para la selección y aplicación
Valoración de riesgo. de cada una de estas Técnicas en las
etapas de Identificación, Análisis y Eva-
► Generalidades. luación del riesgo.

Proceso de evaluación del riesgo

IDENTIFICA- ANÁLISIS DEL RIESGO
EVALUACIÓN
CO VARIABLES CIÓN DEL NIVEL DE
CONSECUENCIA PROBABILIDAD DEL RIESGO
RIESGO RIESGO
Tormenta de Ideas FA NA NA NA NA
Entrevistas estructuradas
FA NA NA NA NA
o semiestructuradas
Lista Verificación FA NA NA NA NA
Análisis preliminar de
FA NA NA NA NA
Riesgos (HAZOP)
5
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

Análisis de riesgos y
puntos de control críticos FA FA NA NA FA
(HACCP)
Valoración de riesgo
FA FA FA FA FA
medioambiental
Qué pasaría si ( What if) FA FA FA FA FA

Análisis de escenario FA FA A A A
Análisis del impacto en el
A FA A A A
negocio
Análisis de Causa NA FA FA FA FA
Análisis modal de fallos
potenciales y sus efectos FA FA FA FA FA
(FMEA)
Análisis de árbol de fallas A NA FA A A
Análisis de árbol de
A FA A A A
sucesos
Análisis de causa conse-
A FA FA A A
cuencia
Análisis de Causa Efecto FA FA NA NA NA
Análisis de niveles de
A FA A A NA
protección
Árbol de Decisión NA FA FA A A
Análisis de fiabilidad
FA FA FA FA A
humana
Análisis de pajarita NA A FA FA A
Mantenimiento centrado
FA FA FA FA FA
en la confiabilidad
Análisis de errores de
A NA NA NA NA
diseño (SNEAK)
Análisis de Markov A FA NA NA NA
Simulación de Monte
NA NA NA A FA
Carlo
Estadística y redes
NA FA NA NA FA
Bayesianas
Curvas FN A FA FA A FA

Índices de riesgos A FA FA A FA
6
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

Matriz de consecuencia /
FA FA FA FA A
probabilidad
Análisis Coste/ Beneficio A FA A A A
Análisis de decisión
A FA A FA A
multicriterio.

El método Delphi (nombre tomado del gico a lo largo de todos los procesos de
oráculo de Delphos) es una técnica de la cadena de producción, estableciendo
comunicación estructurada, desarrollada medidas preventivas y correctivas para su
como un método sistemático e interactivo control tendentes a asegurar la inocuidad.
de predicción, que se basa en un panel
de expertos. Es una técnica prospectiva El análisis de escenarios es una
utilizada para obtener información esen- metodología que permite estudiar situa-
cialmente cualitativa, pero relativamente ciones de riesgo o incertidumbre. Esto,
precisa, acerca del futuro. El HAZOP al momento de tomar decisiones de
(Hazard and operability), en castellano inversión. Para el análisis de escenarios,
AFO – Análisis Funcional de Operatividad, se debe calcular el valor de la inversión
es una metodología con la finalidad de en distintas circunstancias. Es decir, se
detectar las situaciones de inseguridad proyectan las ganancias y pérdidas del
en plantas industriales debida a la opera- negocio asignando distintos valores posi-
ción o los procesos productivos de estas. bles a las variables de referencia. Estas
Fue desarrollado por la Imperial Chemical pueden ser el precio de las divisas, la
Industries (ICI) en 1963 para su aplicación inflación, los tipos de interés, entre otros.
en el diseño de plantas para la fabricación Análisis del impacto del negocio: Proceso
de pesticidas. del análisis de actividades y el efecto que
una interrupción del negocio podría tener
El Análisis de Peligros y Puntos Críticos sobre ellas.
de Control (APPCC o HACCP, por sus
siglas en inglés) es un proceso sistemático El árbol de sucesos o análisis de
preventivo para garantizar la inocuidad secuencias de sucesos es un método
alimentaria,1 de forma lógica y objetiva. inductivo que describe la evolución de un
Es de aplicación en industria alimentaria, suceso iniciador sobre la base de la res-
aunque también se aplica en la indus- puesta de distintos sistemas tecnológicos
tria farmacéutica, cosmética y también o condiciones externas.
en todo tipo de industrias que fabriquen
materiales en contacto con los alimentos. Análisis de Fiabilidad humana: Es una
En él se identifican, evalúan y previenen disciplina que forma parte del campo de
todos los riesgos de contaminación de los la fiabilidad de sistemas, en la medida en
productos a nivel físico, químico y bioló- que el hombre puede ser considerado
7
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

como parte integrante de un sistema. Se internos de la cadena del desarrollo de los

considera que el componente humano es proyectos; no obstante, son probabilida-
de una complejidad mucho mayor que des que se evalúan y que pueden influir en
cualquier otro componente y, por tanto, decisiones o casos.
las técnicas aplicables al estudio de la
fiabilidad humana o, complementaria- Análisis de Markov: La cadena de
mente, del error humano son específicos Markov, también conocida como modelo
e integran aspectos psicológicos y orga- de Markov o proceso de Markov, es un
nizacionales a las habituales técnicas concepto desarrollado dentro de la teo-
matemáticas. ría de la probabilidad y la estadística que
establece una fuerte dependencia entre
Análisis de pajarita: Este análisis se un evento y otro suceso anterior.
caracteriza por poner el acento sobre
la representación gráfica de las causas Simulación de Monte Carlo: es un
y consecuencias de un riesgo. El riesgo método no determinista o estadístico
se escribe en la posición central del numérico, usado para aproximar expresio-
esquema definitivo. A la izquierda se rea- nes matemáticas complejas y costosas de
liza un árbol de causalidad similar al del evaluar con exactitud. El método se llamó
análisis en árbol. así en referencia al Casino de Montecarlo
(Mónaco) por ser “la capital del juego de
Mantenimiento centrado en la confiabi- azar”, al ser la ruleta un generador sim-
lidad: es una técnica más dentro de las ple de números aleatorios. El nombre y el
posibles para elaborar un plan de man- desarrollo sistemático de los métodos de
tenimiento en una planta industrial y que Montecarlo datan aproximadamente de
presenta algunas ventajas importantes 1944 y se mejoraron enormemente con el
sobre otras técnicas. Inicialmente fue desarrollo de la computadora. El uso de los
desarrollada para el sector de aviación, métodos de Montecarlo como herramienta
donde los altos costes derivados de la de investigación proviene del trabajo reali-
sustitución sistemática de piezas ame- zado en el desarrollo de la bomba atómica
nazaban la rentabilidad de las compañías durante la Segunda Guerra Mundial en el
aéreas. Posteriormente fue trasladada al Laboratorio Nacional de Los Álamos en EE.
campo industrial, después de compro- UU. Este trabajo conllevaba la simulación de
barse los excelentes resultados que había problemas probabilísticos de hidrodinámica
dado en el campo aeronáutico. concernientes a la difusión de neutrones en
el material de fisión. Esta difusión posee un
Análisis de errores de diseño (SNEAK): comportamiento eminentemente aleatorio.
El enfoque principal del análisis Sneak En la actualidad es parte fundamental de los
hace referencia a la identificación del algoritmos de raytracing para la generación
riesgo de fallo en puntos mucho más de imágenes 3D.
8
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

Estadística y redes Bayesianas: Una El análisis coste-beneficio: es un tér-

Red Bayesiana es un modelo probabilís- mino que se refiere tanto a una disciplina
tico que relaciona un conjunto de variables formal (técnica) a utilizarse para evaluar,
aleatorias mediante un grafo dirigido, son o ayudar a evaluar, en el caso de un pro-
redes graficas sin ciclos en el que se yecto o propuesta, que en sí es un proceso
representan variables aleatorias y las rela- conocido como evaluación de proyectos;
ciones de probabilidad que existan entre o un planteamiento informal para tomar
ellas que permiten conseguir soluciones decisiones de algún tipo, por inteligen-
a problemas de decisión en casos de cia inherente a toda acción humana. Se
incertidumbre. Una red bayesiana es una usa para determinar las opciones que
representación ilustrada de dependencias proveen la mejor forma de conseguir
para razonamiento probabilístico, en la beneficios manteniendo los ahorros. Bajo
cual los nodos representan variables alea- ambas definiciones, el proceso involucra,
torias y los arcos simbolizan relaciones de ya sea explícita o implícitamente, un peso
dependencia directa entre las variables. total de los gastos previstos en contra del
total de los beneficios previstos de una o
Curvas FN: son una representación más acciones con el fin de seleccionar
gráfica de la probabilidad de que sucedan la mejor opción o la más rentable. Muy
eventos que causen efectos indeseados relacionado, pero ligeramente diferentes,
a una determinada población. La repre- están las técnicas formales que incluyen
sentación de las curvas FN se apoya en análisis costo-eficacia y análisis de la efi-
el concepto de curva ALARP, también lla- cacia del beneficio.
mada “zanahoria ALARP” por la forma que
tiene el diagrama modelo. Las siglas ALARP Análisis de decisión multicriterio: es
corresponden a los términos “As Low As un instrumento que se utiliza para eva-
Razonable Practicable” o en español “todo luar diversas posibles soluciones a un
lo bajo que sea razonablemente factible”. determinado problema, considerando
Las curvas FN han sido tradicionalmente un número variable de criterios, se utiliza
utilizadas en ámbitos que tienen relación para apoyar la toma de decisiones en
con riesgos susceptibles de producir daños la selección de la solución más conve-
a las personas. Su desarrollo inicial se pro- niente. Por ejemplo, centrándonos en
dujo en relación a la seguridad e higiene en tema de los recursos hídricos vinculados
el trabajo. Por este motivo, a menudo los a un conglomerado urbano, el análisis
“efectos indeseados” se expresan como el multicriterio podría aplicarse a uno o
número de víctimas derivadas del riesgo. varios casos

9
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

LOS ACUERDOS DE BASILEA

Se crearon y han evolucionado, énfasis en metodologías internas, revisión

siempre con el fin de reducir al máximo de la supervisión y disciplina de mercado.
el endeudamiento de las entidades
financieras y garantizar la capacidad de El acuerdo Basilea III, aprobado en
respuesta ante el riesgo operacionales, diciembre de 2010, intentó adaptarse
de crédito y de mercado. El acuerdo a la magnitud de la crisis económica,
de Basilea I, se firmó en 1988, esta- atendiendo a la exposición de gran parte
bleció unos principios básicos en los de los bancos de todo el mundo a los
que debía fundamentarse la actividad “activos tóxicos” en los balances de los
bancaria como el capital regulatorio, bancos y en los derivados que circulaban
requisito de permanencia, capacidad en el mercado. El temor al efecto dominó
de absorción de pérdidas y de protec- que pudiera causar la insolvencia de los
ción ante quiebra. Este capital debía ser bancos, hizo que se establecieron nuevas
suficiente para hacer frente a los riesgos recomendaciones como:
de crédito, mercado y tipo de cambio.
El acuerdo establecía también que el ► Endurecimiento de los criterios y
capital mínimo de la entidad bancaria aumento de la calidad del volumen de
debía ser el 8% del total de los activos capital para asegurar su mayor capa-
de riesgo (crédito, mercado y tipo de cidad para absorber pérdidas.
cambio sumados).
► Modificación de los criterios de cál-
El acuerdo Basilea II, aprobado en culo de los riesgos para disminuir el
2004. Desarrollaba de manera más nivel de exposición real.
extensa el cálculo de los activos pon-
derados por riesgo y permitía que las ► Constitución de colchones de capital
entidades bancarias aplicaran calificacio- durante los buenos tiempos que per-
nes de riesgo basadas en sus modelos mitan hacer frente el cambio de ciclo
internos, siempre que estuviesen previa- económico.
mente aprobadas por el supervisor. Este
acuerdo incorporaba, por lo tanto, nuevas ► Introducción de un nuevo apalanca-
tendencias en la medición y el seguimiento miento como medida complementaria
de las distintas clases de riesgo. Se hizo de solvencia.

10
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

Los tres pilares de Basilea:

► PILAR I – Requerimiento mínimo de PILAR III – DISCIPLINA DE MERCADO.

capital. Posee riesgos de crédito, ries- La supervisión bancaria tomó importan-
gos de mercado y riesgo operativo. cia cuando Basilea le dio la posibilidad
al sector financiero de diseñar sus pro-
► PILAR II – Proceso de Supervisión pios modelos de evaluación de riesgos.
Bancaria. Se le otorga un rol funda- Precisamente, el análisis de riesgo finan-
mental y los principios básicos son: ciero evalúa todas las amenazas que
podrían afectar a la compañía, también
a. Los bancos deberán contar con un su nivel de impacto y de exposición;
proceso para evaluar la suficiencia de además, traza estrategias para mitigar y
capital total en función de su perfil de evitar esas amenazas. Antes de hacer el
riesgo y con una estrategia de mante- análisis de riesgos, el comité encargado
nimiento de sus niveles de capital. deberá identificarlos, valorar la afectación,
desde las pérdidas económicas hasta la
b. Los supervisores deberán examinar inestabilidad de la empresa como daño
las estrategias y evaluaciones inter- reputaciones y pérdida de credibilidad.
nas de la suficiencia de capital de
los bancos, así como la capacidad Por otra parte, algunos de los riesgos
de estos para vigilar y garantizar su identificados son:
cumplimiento y deberán intervenir
cuando no queden satisfechos con el ► El crecimiento del comercio electró-
resultado. nico conlleva ciertos riesgos, fraude
interno y externo y problemas relacio-
c. Los supervisores deberán esperar nados con la seguridad del sistema.
que los bancos operen por encima de
los coeficientes mínimos de capital y ► La creación de bancos que ofrecen
deberán tener la capacidad de exigir- servicios a gran escala, hace nece-
les que mantengan capital por encima sario el mantenimiento continuo de
del mínimo. controles internos de alto nivel y de
sistemas de copias de seguridad.
d. Los supervisores deberán intervenir
con prontitud para evitar que el capital ► Los bancos pueden aplicar técnicas
descienda por debajo de los mínimos de cobertura del riesgo, para opti-
y deberán exigir la inmediata adop- mizar su exposición a los riesgos de
ción de medidas correctivas. mercado y de crédito, pero estas
11
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

coberturas pueden generar a su vez

otros tipos de riesgo (ej. riesgo legal).

► La creciente utilización de acuer-

dos de subcontratación y la mayor
participación en los sistemas de
compensación y liquidación pueden
reducir ciertos riesgos, pero también
pueden plantear otros muy significati-
vos para los bancos.

SISTEMA DE GESTIÓN DE CONTINUIDAD DE

NEGOCIO (SGCN) – ISO 22301

ISO 22301 es una norma internacional de gestión de continuidad de negocio que

identifica los fundamentos de un Sistema de Gestión de la Continuidad de negocio,
estableciendo el proceso, los principios y la terminología de esta gestión. Se usa para
asegurar a las partes interesadas clave que su empresa está totalmente preparada y
que puede cumplir con los requisitos internos, regulatorios y del cliente.

La norma proporciona a las organizaciones un marco que asegura que ellos pueden
continuar trabajando durante las circunstancias más difíciles e inesperadas, siempre
protegiendo a sus empleados, manteniendo su reputación y proporcionando la capa-
cidad de continuar trabajando y comercializando.

La norma ISO 22301 puede ser aplicada a todo tipo y tamaño de organizaciones
que quieran:

► Establecer, implantar, mantener y mejorar un SGCN.

► Demostrar conformidad con la política establecida de la continuidad de negocio

de la organización.

12
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

► Dar a las partes interesadas confianza ► Nuevas leyes o regulaciones.

en su conformidad y compromiso
con las buenas prácticas reconocidas Enmarcadas en algunas de estas áreas,
internacionalmente. encontramos una serie de situaciones de
riesgo frecuentes y recurrentes:
La norma ISO 22301 está organizada
según la siguiente estructura: ► Un deficiente control de acceso a los
sistemas informáticos.
Ámbito de aplicación referencias nor-
mativas, términos y definiciones, contexto ► Existencia de vulnerabilidades web.
de la organización, liderazgo, planifica-
ción, soporte, operación, evaluación del ► Falta de formación y concienciación
desempeño y Mejor. entre los trabajadores.

Principales riesgos para la continuidad ► Procesos de gestión ante incidentes de

del negocio: seguridad ineficaces o mal planteados.

► Interrupciones no planificadas en TI y ► Problemas de adaptación a los cam-

telecomunicaciones. bios regulatorios y normativos.

► Ciberataques. ► Inexistencia o insuficiente control del

acceso a la red de los usuarios internos
► Brechas de datos. y terceros, tales como proveedores o
invitados a la red corporativa.
► Malas condiciones climatológicas.
► Fugas de información.
► Interrupción del suministro de red.
► Existencia de vulnerabilidades en los
► Fuego. filtros informativos que provocan frau-
des y robos de información.
► Incidentes de seguridad.
► Uso de software inseguro.
► Incidentes de salud y seguridad.
► Falta de planificación en la continuidad
► Actos de terrorismo. de negocio.

13
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

ISO 27001 – SEGURIDAD DE LA INFORMACIÓN

Norma internacional emitida por la

Organización Internacional de Normaliza-
ción (ISO) que describe cómo gestionar
la seguridad de la información en una
empresa. La revisión más reciente de esta
norma fue publicada en 2013 y ahora su
nombre completo es ISO/IEC 27001:2013.
La primera revisión se publicó en 2005 y
fue desarrollada en base a la norma britá-
nica BS 7799-2.

ISO 27001 puede ser implementada

en cualquier tipo de organización, con
o sin fines de lucro, privada o pública,
pequeña o grande. Está redactada por
los mejores especialistas del mundo en el
tema y proporciona una metodología para
implementar la gestión de la seguridad
de la información en una organización.
Se ha convertido en la principal norma a
nivel mundial para enfrentar los riesgos en
la seguridad de la información y muchas
empresas han certificado su cumplimiento.

El eje central de ISO 27001 es proteger

la confidencialidad, integridad y disponibi-
lidad de la información en una empresa.
Esto lo hace investigando cuáles son los
potenciales problemas que podrían afec-
tar la información (es decir, la evaluación
de riesgos) y luego definiendo lo que es
necesario hacer para evitar que estos pro-
blemas se produzcan (es decir, mitigación
o tratamiento del riesgo).
14
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

Por lo tanto, la filosofía principal de la norma ► Uso aceptable de los activos (punto
ISO 27001 se basa en la gestión de riesgos: A.8.1.3)
investigar dónde están los riesgos y luego
tratarlos sistemáticamente. Las medidas de ► Política de control de acceso (punto
seguridad (o controles) que se van a imple- A.9.1.1)
mentar se presentan, por lo general, bajo la
forma de políticas, procedimientos e imple- ► Procedimientos operativos para ges-
mentación técnica (por ejemplo, software y tión de TI (punto A.12.1.1)
equipos). La mayor parte de la implementa-
ción de ISO 27001 estará relacionada con ► Principios de ingeniería para sistema
determinar las reglas organizacionales (por seguro (punto A.14.2.5)
ejemplo, redacción de documentos) necesa-
rias para prevenir violaciones de la seguridad. ► Política de seguridad para proveedo-
res (punto A.15.1.1)
Alguna documentación obligatoria de
ISO 27001: ► Procedimiento para gestión de inci-
dentes (punto A.16.1.5)
► Alcance del SGSI (punto 4.3)
► Procedimientos para continuidad del
► Objetivos y política de seguridad de la negocio (punto A.17.1.2)
información (puntos 5.2 y 6.2)
► Requisitos legales, normativos y con-
► Metodología de evaluación y trata- tractuales (punto A.18.1.1)
miento de riesgos (punto 6.1.2)
► Registros de capacitación, habili-
► Plan de tratamiento de riesgos (pun- dades, experiencia y calificaciones
tos 6.1.3 e y 6.2) (punto 7.2)

► Informe de evaluación de riesgos ► Monitoreo y resultados de medición

(punto 8.2) (punto 9.1)

► Definición de roles y responsabilida- ► Resultados de auditorías internas

des de seguridad (puntos A.7.1.2 y (punto 9.2)
A.13.2.4)
► Resultados de la revisión por parte de
► Inventario de activos (punto A.8.1.1) la dirección (punto 9.3)

15
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

ISO 20000 – CERTIFICACIÓN DE TECNOLOGÍA

DE LA INFORMACIÓN

La certificación ISO 20000 demuestra

la fiabilidad y calidad de sus servicios de
TI a los empleados, accionistas y clientes.
Uno de los requerimientos de un ITSM
sobre ISO 20000 consiste en la necesidad
de realizar un análisis de riesgos sobre la
política de gestión de servicios. Es común
en muchas implantaciones confundir este
requerimiento con uno de los procesos
realizados en ISO 27001, Gestión de
seguridad de la información, donde se
realiza un exhaustivo análisis y amenazas
sobre los activos que queremos proteger.
Más allá de realizar un análisis del proceso
de seguridad de la información, uno de los
13 procesos que conforman el arco iris de
una ISO 20000, el análisis de riesgos, en
adelante AARR, de un ITSM debería refle-
jar todas aquellas situaciones (también
amenazas y vulnerabilidades) que pudie-
ran interrumpir la gestión de servicios.

Sobre el AARR en ISO 20000 se deben

tener las siguientes consideraciones:

En la Norma ISO 20000:2011 se hace

referencia explícita al término como
«Riesgo – el efecto de la incertidumbre
sobre los objetivos» en la sección 4 de
la norma, capítulo que marca el Ciclo
P-D-C-A. Los requisitos específicos rela-
cionados con los riesgos son:
16
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

► Asegurar que los riesgos de los servi- can hacia la gestión de los riesgos de los
cios son evaluados y gestionados. servicios y en la Norma ISO 27001, lo
hacen hacia la evaluación de los riesgos
► Establecer el enfoque que se adopte enfocados hacia los activos que confor-
para la gestión de los riesgos y los man y contienen la información, con el fin
criterios para la aceptación de riesgos de asegurarlo.

► Identificación, evaluación y gestión de Por tanto, definir un análisis de riesgos

los riesgos de los servicios que se enfoca únicamente en la seguridad
de los activos de información en un ITSM,
► Establecer objetivos de mejora (entre puede considerarse incompleto, ya que los
otros) para la reducción de riesgos servicios tienen más componentes que los
que puede tener el activo «información» y
► Definir el enfoque de la evaluación de otras variables, además de la «seguridad».
riesgos de la organización
Se debe pensar en relación al análisis
► Identificar los riesgos, identificando del riesgo de un servicio en romper los
activos, amenazas, vulnerabilidad e moldes de las metodologías que se cen-
impactos que sobre los activos puede tran en analizar riesgos de seguridad en
tener una pérdida de confidencialidad, activos de información, para ello, se pro-
integridad y disponibilidad. pone desgranar un servicio y siguiendo
la metodología ITIL(R), se puede hacer,
Podemos concluir, por tanto, que en la usando las 4 “Pes” (Procesos, Personas,
norma ISO 20000 los requisitos se enfo- Productos y proveedores).

NORMA TECNICA COLOMBIANA NTC 5254

La administración de Riesgos es una parte fundamental de la Gobernabilidad cor-

porativa que busca contribuir eficientemente en la identificación, análisis, tratamiento,
comunicación y monitoreo de los riesgos del negocio. La norma técnica colombiana
de gestión del riesgo 5254 es una traducción idéntica de la norma técnica austra-
liana AS/NZ 4360:2004 de amplia aceptación y reconocimiento a nivel mundial para
la gestión de riesgos independiente de la industria o el negocio que desee emplearla.
Allí también esta consignada una vital recomendación a los administradores de nego-
cios: “La Gestión de riesgos debe formar parte de la cultura organizacional…quienes
17
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

gestionan el riesgo de forma eficaz y eficiente tienen más probabilidad de alcanzar sus
objetivos y hacerlo a menor costo”.

Esta norma tiene como objeto proporcionar una guía para permitir a cualquier
empresa el logro de:

► Mejor identificación de oportunidades y amenazas

► Tener una base rigurosa para la toma de decisiones y la planificación

► Gestión proactiva y no reactiva

► Mejorar la conformidad con la legislación pertinente

► Mejorar la gestión de incidentes y la reducción de las pérdidas y el costo del riesgo.

GUÍA PARA LA ADMINISTRACIÓN DEL RIESGO.

DEPARTAMENTO ADMINISTRATIVO DE LA
FUNCIÓN PÚBLICA (DAFP)

La administración del riesgo para las entidades públicas en todos sus órdenes
cobra hoy mayor importancia, dado el dinamismo y los constantes cambios que el
mundo globalizado de hoy exige. Estos cambios hacen que dichas entidades deban
enfrentarse a factores internos y externos que pueden crear incertidumbre sobre el
logro de sus objetivos. Es importante recordar que el Estado colombiano, mediante el
Decreto 1537 de 2001, estableció una serie de elementos técnicos requeridos para el
desarrollo adecuado y fortalecimiento del Sistema de Control Interno de las diferentes
entidades y organismos de la Administración Pública, uno de ellos es la “Adminis-
tración del Riesgo”, considerando que la identificación y análisis del riesgo entrega
información suficiente y objetiva que les permitirá aumentar la probabilidad de alcanzar
sus objetivos institucionales.

Así mismo a través del Decreto 1599 de 2005 se adoptó el Modelo Estándar de
Control Interno (MECI) para todas las entidades del Estado, en el que la “Administra-
ción del Riesgo” se define como uno de los componentes del Subsistema de Control
18
 S5| Normalización Nacional e Internacional de
Índice
la Gestión del Riesgo a nivel Empresarial

Estratégico y en el Anexo Técnico como 3. Involucrar y comprometer a todos

“el conjunto de elementos de control que, los servidores de las entidades de
al interrelacionarse, permiten a la entidad la Administración Pública en la bús-
pública evaluar aquellos eventos negativos, queda de acciones encaminadas a
tanto internos como externos, que puedan prevenir y administrar los riesgos.
afectar o impedir el logro de sus objetivos
institucionales o los eventos positivos que 4. Cumplir con los requisitos legales y
permitan identificar oportunidades para reglamentarios pertinentes.
un mejor cumplimiento de su función. Se
constituye en el componente de control 5. Mejorar el Gobierno.
que al interactuar sus diferentes elementos
le permite a la entidad pública auto contro- 6. Proteger los recursos del Estado.
lar aquellos eventos que pueden afectar el
cumplimiento de sus objetivos”. 7. Establecer una base confiable para la
toma de decisiones y la planificación.
Cuando la administración del riesgo se
implementa y se mantiene, le permite a la 8. Asignar y usar eficazmente los recur-
entidad cumplir con los siguientes objetivos: sos para el tratamiento del riesgo.

1. Aumentar la probabilidad de alcanzar 9. Mejorar la eficacia y eficiencia operativa.

los objetivos y proporcionar a la admi-
nistración un aseguramiento razonable 10. Mejorar el aprendizaje y la flexibilidad
con respecto al logro de los mismos. organizacional.

2. Ser consciente de la necesidad de De manera general la metodología

identificar y tratar los riesgos en todos usada en esta herramienta es basada en
los niveles de la entidad. la Norma ISO 31000.

19