Aquí tienes el artículo de: Junio, 2025

El cuarto paso en la construcción de tu SGI para las TICs: ISO 9001 (continuación)

En el artículo anterior compartía con ustedes, que la cuarta lección aprendida que me dejaron estos seis años de trabajo con normas ISO, para diversas organizaciones, áreas o departamentos de TI, es que después de formalizar el Sistema de Gestión de Calidad o SGC (ISO 9001), a partir del aprovechamiento de los procesos definidos para el Sistema de Gestión de Servicios o SGS (ISO 20000-1) y complementado con el Sistema de Gestión de Seguridad de la Información o SGSI (ISO 27001) y también con el Sistema de Gestión de Continuidad del Negocio o SGCN (ISO 22301), se puede comenzar a robustecer el Sistema de Gestión Integral o SGI, mediante el uso y adopción de los lineamientos establecidos por otras normas ISO afines, pero no certificables. Tal es el caso del desarrollo, profundización y/o fortalecimiento de la práctica general de gestión de riesgos. Dicha práctica se puede robustecer mediante la incorporación de diversos elementos, principios, actividades, conceptos y métodos, que pueden aplicar tanto a los resultados del SGI (SGS + SGSI + SGCN + SGC), como a los riesgos de seguridad de la información o los relacionados con el servicio de TI o bien la continuidad de negocio. La norma ISO que puede ayudar a este propósito, es la ISO 31000, misma que establece guías o lineamientos para la gestión de riesgos en cualquier tipo y tamaño de organización, creando y protegiendo el valor a través de una efectiva gestión del riesgo.

Gestión de riesgos aplicable a los sistemas de gestión

De acuerdo con las respectivas secciones “6.1 Acciones para el manejo de riesgos y oportunidades”, de las diferentes normas ISO utilizadas hasta ahora como referencia, para la implementación de los cuatro sistemas de gestión, que conforman el Sistema de Gestión Integral o SGI propuesto para tus TICs, la organización tiene la obligación de considerar las cuestiones externas (referencia a la sección 4.1) y los requisitos de las partes interesadas (referencia a la sección 4.2), al planear el SGI y/o cualquiera de sus sistemas de gestión que lo componen (SGS + SGSI + SGCN + SGC), para determinar los riesgos y las oportunidades que será indispensable tratar, con el fin de asegurar que se pueden lograr los resultados previstos (menor incertidumbre), incrementar los efectos deseables (oportunidades), prevenir o reducir los efectos no deseados (riesgos) y lograr la mejora del SGI. Para el logro de todo lo anterior, la organización deberá planear las acciones que sean proporcionales a los impactos, para tratar adecuadamente los riesgos y las oportunidades identificadas, así como definir la forma de integrar dichas acciones en sus procesos, manteniendo una evaluación periódica de la eficacia de estas. De entre las opciones que se suelen utilizar comúnmente para tratar los riesgos, se encuentran las siguientes: 1) evitar el riesgo,  2) eliminar o reducir la fuente del riesgo y 3) mantener el riesgo, y para las oportunidades: 1) asumir el riesgo, 2) potenciar la probabilidad de ocurrencia y 3) adoptar nuevas prácticas.

Adicionalmente, los diferentes sistemas de gestión que integran el SGI, requieren la aplicación especializada de la gestión de riesgos para la identificación, análisis, evaluación y tratamiento de los riesgos relacionados con la seguridad de la información de la organización, como lo es para el caso del Sistema de Gestión de Seguridad de la Información (ISO 27001); o los riesgos relacionados con los incidentes disruptivos (escenarios de riesgo) que pueden afectar la continuidad del negocio, como lo es para el caso del Sistema de Gestión de Continuidad del Negocio (ISO 22301); o los riesgos relacionados con los incidentes del servicio que afectan su disponibilidad, como lo es para el caso del Sistema de Gestión de Servicios (ISO 20000-1); o finalmente los riesgos de puedan afectar la conformidad de los productos y servicios entregados por la organización, como lo es para el caso del Sistema de Gestión de Calidad (ISO 9001).

Como se podrá notar o concluir de todo lo anterior, la adopción y el desarrollo de una práctica de gestión de riesgos, al interior de toda la organización, es un aspecto que se vuelve clave para la buena operación, la mejora continua y éxito sostenido del SGI, así como de sus sistemas de gestión que lo componen. Por lo anterior, es recomendable adoptar un enfoque de trabajo integrado para realizar la gestión de riesgos de la organización, pudiéndose ampliar aún más su alcance en función de las necesidades (aunque en ocasiones puede ser más conveniente desarrollar prácticas de gestión de riesgos, por separado).

ISO 31000: para el desarrollo de tu práctica de gestión de riesgos

Uno de los estándares internacionales que sigue tomando cada vez mayor relevancia y preferencia, para el desarrollo de la “práctica de gestión de riesgos” al interior de las organizaciones, es la norma internacional ISO 31000:2018, la cual propone para tal fin, un conjunto de tres componentes en materia de gestión del riesgo, que son:

1. una serie de ocho principios,
2. un marco de referencia y
3. un proceso general.

Con base en los tres componentes anteriores (principios, marco de referencia y proceso general), la norma busca lograr lo siguiente:

• Proporcionar asistencia en el establecimiento de la estrategia organizacional.
• Una mayor certeza en el logro de los objetivos organizacionales.
• Lograr una gestión de los riesgos eficaz, eficiente y coherente.
• Sopesar adecuadamente durante el análisis de riesgos, la incidencia del comportamiento humano y los factores culturales.
• Dotar con información relevante al proceso de toma de decisiones.
• La creación y protección del valor en la organización.
• Lograr una integración con todas las actividades y partes interesadas de la organización.
• Contribuir a la mejora continua del SGI y sus sistemas de gestión respectivos.

Componentes de la norma ISO 31000

Como ya se dijo anterior, la norma ISO 31000 proporciona una serie de directrices fundamentales para gestionar el riesgo de cualquier tipo de organización, adaptándose a su contexto y a cualquier tipo de riesgo. Por lo tanto, contrario a lo que se podría pensar, no es una norma específica para un tipo de industria o sector (ej. solamente para el sector de las TICs o para el sector Bancario o para el sector Aeroespacial o Aeronáutico), sino que su ámbito de aplicación es general.

Tomando como base la estructura establecida por la norma 31000 (componentes), a continuación se presenta una breve descripción de cada uno de los tres componentes, que en su conjunto configuran las guías o lineamientos establecidos para la gestión de riesgos general:

1. Principios: compuesto de ocho principios en total (ej. integrada, adaptada, inclusiva, dinámica, etc.), los cuales proporcionan la orientación necesaria sobre las características que debe tener una gestión de riesgos eficaz y eficiente, partiendo de la “comunicación de su valor” para la organización y explicando su intención y propósito.
2. Marco de referencia: compuesto de seis partes en total (ej. liderazgo y compromiso, integración, diseño, implementación, etc.), las cuales buscan asistir a la organización en la integración de la gestión de riesgos, en las actividades y funciones significativas con el apoyo de la alta dirección, e integrándola a la gobernanza y al proceso de toma de decisiones habitual.
3. Proceso: compuesto de seis etapas o fases en total, las cuales implican la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de establecimiento del alcance-contexto-criterio, valoración y tratamiento, registro e informe, comunicación y consulta, seguimiento y revisión de los riesgos.

En el siguiente artículo, continuaré explicándote otras lecciones aprendidas de estos años de observación y cuestionamiento consultivo para descubrir juntos, ¿qué otras cosas se pueden hacer  con un SGI para las TICs, después de robustecer la práctica general de gestión de riesgos con la ISO 31000? ¡Espéralo!, seguramente seguirá despertando tu interés por las normas ISO aplicables a las organizaciones, áreas o departamentos de TI.

Referencias consultadas

1. International Standard ISO 9001:2015. Quality management systems – Requirements.

2. International Standard ISO 31000:2018. Risk management – Guidelines. Second edition.