BLOG

Gestión de Riesgos

Gestión de riesgos ISO 31000: métodos para realizar un análisis de causa raíz

La gestión de riesgos ISO 31000 exige realizar análisis de causa raíz. No es suficiente con conocer la causa inmediata de un problema, sino que es preciso ahondar hasta encontrar la fuente, el origen del evento. Solo así podremos garantizar la no repetición.

La gestión de riesgos ISO 31000 hace uso de diversas herramientas para hacer un análisis de causa raíz. Ninguna de ellas es obligatoria ni imprescindible. Pero lo cierto es que emplearlas y, a ser posible, de modo conjunto resultará muy eficaz.

6 pasos básicos en la evaluación y tratamiento de riesgos en ISO 27001

evaluación y tratamiento de riesgos en ISO 27001

La evaluación y tratamiento de riesgos en ISO 27001 es un punto imprescindible para implantar un sistema de gestión de seguridad de la información. Forma parte del corazón de este estándar internacional, pero conseguir que esa tarea sea efectiva requiere conocer y aplicar correctamente el proceso.

Plan de respuesta a riesgos: 4 estrategias a seguir tras la evaluación

Plan de respuesta a riesgos

Tanto la evaluación como el plan de respuesta a riesgos se deben revisar periódicamente. Esto es debido a que la gestión de riesgos es una tarea siempre vigente porque estos son dinámicos. Siempre tenemos que estar alerta ante la aparición de nuevos riesgos, al cambio de algunos de ellos, y, algunas veces, a la extinción de otros.

En este proceso cíclico, el plan de respuesta a riesgos debe atender a los resultados de la evaluación, que, a su vez, se fundamentan en la identificación precedente. Y reaccionar en consecuencia de modo proporcionado.

Establecer el contexto para la gestión de riesgos en ISO 9001

el contexto para la gestión de riesgos en ISO 9001

Comprender y definir el contexto para la gestión de riesgos en ISO 9001 es una de las modificaciones más importantes promovidas por la revisión 2015 de la norma. Esto supone que el sistema de gestión de la calidad tome en consideración, para la gestión de riesgos, el contexto en el que la organización está insertada.

Además de establecer ese contexto, la organización debe demostrar haberlo hecho. Contar con algunas pautas, como las que ofrecemos a continuación, puede facilitar llevar a cabo este proceso.

Aclaraciones importantes acerca del riesgo residual en ISO 27001

riesgo residual en ISO 27001

El concepto de riesgo residual en ISO 27001 es el mismo que se conoce en el área de gestión de riesgos aplicada a cualquier otro estándar, o en cualquier área de la organización. El término es utilizado con frecuencia, pero generalmente no se entiende ni la importancia ni el significado real que tiene, especialmente para la seguridad de la información.

Su definición es sencilla: el riesgo residual en ISO 27001 es aquel que persiste, aun después de tomar las medidas necesarias para tratar los riesgos identificados. A continuación, nos acercamos un poco más a esta cuestión explicando cómo funciona y se gestiona el riesgo residual en ISO 27001 y cómo saber qué nivel del mismo es aceptable para la organización.

Gestión de riesgos: diferencias entre incidentes y problemas

diferencias entre incidentes y problemas

Los gestores responsables del área de riesgos necesitan mantener un ambiente de operación seguro y libre de incertidumbre. Para ello puede ser de gran utilidad conocer las diferencias entre incidentes y problemas, pues esta cuestión resulta altamente recurrente en la gestión de riesgos.

Lo cierto es que la gestión de incidentes y la gestión de problemas, son parte esencial de cualquier buen programa de gestión de riesgos. Por este motivo, hoy abordaremos la diferencia entre ambos, lo que puede evitar la toma de ciertas decisiones erróneas a algunos profesionales de la gestión de riesgos.

8 cuestiones importantes de ISO 31000:2018

La norma ISO 31000 en su nueva versión proporciona una visión más holística y estratégica a los profesionales de la gestión de riesgos. Se incorpora, por tanto, una nueva perspectiva y además constituye un estándar más claro y objetivo para sus usuarios en todo el mundo. Por ello, resulta interesante resaltar algunas cuestiones importantes de ISO 31000:2018 con respecto a su versión anterior de 2009.

Metodología para el análisis de riesgos según ISO 9001

Las organizaciones deben implementar una metodología para el análisis de riesgos según ISO 9001, no porque la norma lo exija, sino porque es la forma apropiada para identificar riesgos y tomar decisiones sobre cómo gestionarlos o eliminarlos.

El propósito de una metodología para el análisis de riesgos según ISO 9001 es encontrar problemas potenciales que, eventualmente, pueden surgir durante la elaboración de un producto o en la ejecución de un proceso específico. Así, será posible jerarquizar el riesgo y realizar alguna acción al respecto.

Propietarios de riesgos vs. propietarios de activos en ISO 27001:2013

Propietarios de riesgos es un concepto novedoso que incorporó la edición 2013 de la norma ISO 27001. Novedoso y a la vez polémico, ya que generó confusión entre los profesionales de la seguridad de la información, pues parece que reemplaza al antiguo “propietarios de activos” y persiste la duda sobre si este último sigue siendo válido o no.

¿Quiénes son los propietarios de riesgos en ISO 27001:2013?, ¿reemplazan a los “propietarios de activos” presentes en la revisión 2005 de la norma? Estas son las preguntas que respondemos en nuestra entrada de hoy.

BLOG

Gestión de Riesgos

Categorías