Un SGI para mis TICs: ¿y después de la ISO 9001, qué sigue?
(Por David Mondragón Tapia)
El cuarto paso en la construcción de tu SGI para las TICs: ISO 9001 (continuación)
En el artículo anterior compartía con ustedes, que la cuarta lección aprendida que me dejaron estos seis años de trabajo con normas ISO, para diversas organizaciones, áreas o departamentos de TI, es que después de formalizar el Sistema de Gestión de Calidad o SGC (ISO 9001), a partir del aprovechamiento de los procesos definidos para el Sistema de Gestión de Servicios o SGS (ISO 20000-1) y complementado con el Sistema de Gestión de Seguridad de la Información o SGSI (ISO 27001) y también con el Sistema de Gestión de Continuidad del Negocio o SGCN (ISO 22301), se puede comenzar a robustecer el Sistema de Gestión Integral o SGI, mediante el uso y adopción de los lineamientos establecidos por otras normas ISO afines, pero no certificables. Tal es el caso del desarrollo, profundización y/o fortalecimiento de la práctica general de gestión de riesgos. Dicha práctica se puede robustecer mediante la incorporación de diversos elementos, principios, actividades, conceptos y métodos, que pueden aplicar tanto a los resultados del SGI (SGS + SGSI + SGCN + SGC), como a los riesgos de seguridad de la información o los relacionados con el servicio de TI o bien la continuidad de negocio. La norma ISO que puede ayudar a este propósito, es la ISO 31000, misma que establece guías o lineamientos para la gestión de riesgos en cualquier tipo y tamaño de organización, creando y protegiendo el valor a través de una efectiva gestión del riesgo.
Gestión de riesgos aplicable a los sistemas de gestión
De acuerdo con las respectivas secciones “6.1 Acciones para el manejo de riesgos y oportunidades”, de las diferentes normas ISO utilizadas hasta ahora como referencia, para la implementación de los cuatro sistemas de gestión, que conforman el Sistema de Gestión Integral o SGI propuesto para tus TICs, la organización tiene la obligación de considerar las cuestiones externas (referencia a la sección 4.1) y los requisitos de las partes interesadas (referencia a la sección 4.2), al planear el SGI y/o cualquiera de sus sistemas de gestión que lo componen (SGS + SGSI + SGCN + SGC), para determinar los riesgos y las oportunidades que será indispensable tratar, con el fin de asegurar que se pueden lograr los resultados previstos (menor incertidumbre), incrementar los efectos deseables (oportunidades), prevenir o reducir los efectos no deseados (riesgos) y lograr la mejora del SGI. Para el logro de todo lo anterior, la organización deberá planear las acciones que sean proporcionales a los impactos, para tratar adecuadamente los riesgos y las oportunidades identificadas, así como definir la forma de integrar dichas acciones en sus procesos, manteniendo una evaluación periódica de la eficacia de estas. De entre las opciones que se suelen utilizar comúnmente para tratar los riesgos, se encuentran las siguientes: 1) evitar el riesgo, 2) eliminar o reducir la fuente del riesgo y 3) mantener el riesgo, y para las oportunidades: 1) asumir el riesgo, 2) potenciar la probabilidad de ocurrencia y 3) adoptar nuevas prácticas.
Adicionalmente, los diferentes sistemas de gestión que integran el SGI, requieren la aplicación especializada de la gestión de riesgos para la identificación, análisis, evaluación y tratamiento de los riesgos relacionados con la seguridad de la información de la organización, como lo es para el caso del Sistema de Gestión de Seguridad de la Información (ISO 27001); o los riesgos relacionados con los incidentes disruptivos (escenarios de riesgo) que pueden afectar la continuidad del negocio, como lo es para el caso del Sistema de Gestión de Continuidad del Negocio (ISO 22301); o los riesgos relacionados con los incidentes del servicio que afectan su disponibilidad, como lo es para el caso del Sistema de Gestión de Servicios (ISO 20000-1); o finalmente los riesgos de puedan afectar la conformidad de los productos y servicios entregados por la organización, como lo es para el caso del Sistema de Gestión de Calidad (ISO 9001).
Como se podrá notar o concluir de todo lo anterior, la adopción y el desarrollo de una práctica de gestión de riesgos, al interior de toda la organización, es un aspecto que se vuelve clave para la buena operación, la mejora continua y éxito sostenido del SGI, así como de sus sistemas de gestión que lo componen. Por lo anterior, es recomendable adoptar un enfoque de trabajo integrado para realizar la gestión de riesgos de la organización, pudiéndose ampliar aún más su alcance en función de las necesidades (aunque en ocasiones puede ser más conveniente desarrollar prácticas de gestión de riesgos, por separado).
ISO 31000: para el desarrollo de tu práctica de gestión de riesgos
Uno de los estándares internacionales que sigue tomando cada vez mayor relevancia y preferencia, para el desarrollo de la “práctica de gestión de riesgos” al interior de las organizaciones, es la norma internacional ISO 31000:2018, la cual propone para tal fin, un conjunto de tres componentes en materia de gestión del riesgo, que son:
Con base en los tres componentes anteriores (principios, marco de referencia y proceso general), la norma busca lograr lo siguiente:
Componentes de la norma ISO 31000
Como ya se dijo anterior, la norma ISO 31000 proporciona una serie de directrices fundamentales para gestionar el riesgo de cualquier tipo de organización, adaptándose a su contexto y a cualquier tipo de riesgo. Por lo tanto, contrario a lo que se podría pensar, no es una norma específica para un tipo de industria o sector (ej. solamente para el sector de las TICs o para el sector Bancario o para el sector Aeroespacial o Aeronáutico), sino que su ámbito de aplicación es general.
Tomando como base la estructura establecida por la norma 31000 (componentes), a continuación se presenta una breve descripción de cada uno de los tres componentes, que en su conjunto configuran las guías o lineamientos establecidos para la gestión de riesgos general:
En el siguiente artículo, continuaré explicándote otras lecciones aprendidas de estos años de observación y cuestionamiento consultivo para descubrir juntos, ¿qué otras cosas se pueden hacer con un SGI para las TICs, después de robustecer la práctica general de gestión de riesgos con la ISO 31000? ¡Espéralo!, seguramente seguirá despertando tu interés por las normas ISO aplicables a las organizaciones, áreas o departamentos de TI.
Referencias consultadas
1. International Standard ISO 9001:2015. Quality management systems – Requirements.
2. International Standard ISO 31000:2018. Risk management – Guidelines. Second edition.
Necesitamos su consentimiento para cargar las traducciones
Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.