miércoles, 24 de febrero de 2016

Las normas ISO y los riesgos - Parte II


En el año 2015 se ha publicado la IRAM 31000, norma que aplica en particular a la gestión de riesgos, en el marco de una gestión de un SGSI.
En particular, el tratamiento del riesgo se define como el proceso para modificarlo.
 
Las notas y definiciones que fundamentan dicha definición son las siguientes:
 
“NOTA 1. El tratamiento del riesgo puede implicar:
  1. evitar el riesgo al decidir no comenzar o no continuar con la actividad que da origen al riesgo;
  2. aceptar el riesgo o aumentarlo en búsqueda de una oportunidad;
  3. eliminar la fuente de riesgo (2.16)
  4. modificar la probabilidad (2.19);
  5. modificar las consecuencias (2.18);
  6. compartir el riesgo con otra parte o partes (lo que incluye contratos y financiar el riesgo); y
  7. retener el riesgo mediante una decisión informada.
NOTA 2. Los tratamientos de riesgos que abordan las consecuencias negativas suelen denominarse mitigación de riesgos, eliminación de riesgos, prevención de riesgos y reducción de riesgos.
NOTA 3. El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.
NOTA IRAM. Definición 3.8.1 de la IRAM-ISO Guía 73:2009.”
De esta forma, queda referenciada la guía 73:2009 que fue modificada por la ISO 27000:2014.
Para realizar un autodiagnóstico de nuestra empresa y/o sistema de gestión implantado, o en vías de implantación, podemos ingresar al siguiente link:
Posiblemente, nos llevemos una sorpresa al conocer los riesgos y/o amenazas a los cuales nuestra información está expuesta.
 
Lo imposible no existe, pero lo improbable puede suceder. Sino, ¿quién hubiera dicho hasta fines de 2015 que tendríamos que considerar como amenaza un “temblor” en Buenos Aires, Argentina? Y el temblor llegó…
 
 
Autora:
Ing. Lic. Marcela Meyorin Lorenzo
IT Infraestructure & Security
CISA, Lead Auditor 25999/22301, ITIL v.3 Foundation/ISO-IEC 20000/AI9001