La integración de Sistemas de Gestión, como estrategia en el Análisis y la Gestión de Riesgos.

Autor: John Gil Vargas Centro de Seguridad Informática y Certificación Electrónica (CSICE)-FIIIDT. 

 

Cada vez más las organizaciones recurren al uso de tecnologías más avanzadas y más complejas aplicadas al control de sus procesos y el manejo de la información sensible; este escenario de mejora tecnológica, muy probablemente, enfrenta a la organización a múltiples y diferentes amenazas igualmente complejas capaces de explotar sus vulnerabilidades, la confidencialidad, integridad, disponibilidad y el no repudio de la información en la organización. Debido a esto es primordial, para él aumento de su competitividad y si desean continuar operando, establecer de manera obligatoria un sistema de gestión integral que permita:

1. Identificar sus activos vitales de información.
2. Identificar las amenazas a los que se encuentran expuestos sus activos.
3. Implantar los controles pertinentes en los procesos que los operan.
4. Estimar la frecuencia de materialización y valoración del impacto que tendrá en la organización dichas amenazas. Entre Otros.

Por lo tanto, un Sistema Integrado de La Calidad y de la Seguridad de la Información es una decisión estratégica que involucra a toda la organización y para poder llegar a tener éxito debe ser apoyada por la alta gerencia. Esta herramienta de gestión es denomina Sistema de Gestión Integrado (SGI). Un SIG permite una visión global de la organización donde cada uno de los elementos que la compone debe actuar teniendo en cuenta al resto, por tanto, un Sistema de Gestión Integrado puede definirse como: “…Una  serie  de actividades  que interactúan  para  dar  dirección,  articular,  alinear  los  requisitos  de  los subsistemas que  lo  componen,  el  sistema  de  gestión  integrada  nos  posibilita  y  simplifica  la implementación de un solo sistema de gestión para la organización…”.

La integración de Sistema de Gestión de Seguridad de la Información (SGSI) con Estándares de Calidad viene facilitada por el hecho de que tanto ISO 9001:2015 como ISO/IEC 27001:2015 (Ambas en su última actualización) se basan en el ciclo de Deming o modelo PDCA (Plan, Do, Check, Act) aplicado a los procesos del propio Sistema. Asimismo, ambas normas regulan los requisitos de un sistema que está orientado a los procesos de negocio de cada organización.

Al hacer una comparativa inicial de estos 2 estándares, podemos notar:

1. ISO 9001:2015 no ofrece ningún requisito o describe algún proceso documentado acerca de la Gestión del Riesgo.
2. ISO/IEC 27001:2015 si hace referencia a las normas ISO 31000 y ISO 27005, como estándares de apoyo y que resultan de gran utilidad a la hora de abordar la Gestión de Riegos.
3. ISO/IEC 27001:2015 comparte, desde la perspectiva de Calidad, una serie de procedimientos con la ISO 9001:2015 cuyo alcance y objetivo son considerados como una ampliación de esta normativa
   • Control de la Documentación y de los Registros
   • Acciones preventivas y correctivas
   • Gestión de No Conformidades
   • Responsabilidades y Revisión del SG por parte de la Alta Gerencia
   • Mejora Continua y Auditoría Interna

Ambas normativas comparten la misma base, a lo que al propio Sistema de Gestión se refiere, facilitando el desarrollo de la integración. Para ello existen diversos métodos que pueden ser adoptados de acuerdo con el alcance o los objetivos de la organización, sin embargo es posible establecer un método de “secuencia genérica” que sirva como modelo base para su implementación como se describe:

1. Auditoría inicial
2. Planificación
3. Identificación
4. Evaluación de riesgos
5. Sistema de monitoreo integral de riesgo

Partiendo de  este principio, centraremos la atención en lo correspondiente a la Evaluación de Riesgos. En tal sentido, el establecer un análisis de riesgo es de suma importancia y fundamental en la actualidad, sin embargo, a la hora de establecerlo es fundamental entender que “No toda la información es igual de valiosa, ni guarda el mismo riesgo de exposición”. En función a estos parámetros se deben adaptar las características de los procedimientos de seguridad con la implementación de un mayor o menor nivel seguridad; esto con la finalidad de estructurar el análisis de manera coherente y eficiente optimizando los recursos existentes en la organización.

Hoy por hoy la técnicas utilizadas a nivel estratégico para la identificación y análisis de los riesgos son muy variadas y para cada posible escenario o contexto de aplicación existe una técnica, esto implica que es la propia organización quien debe establecer cuál o cuáles son las más relevantes en canto su adaptabilidad, aplicabilidad y de menor coste.

Un SGI permite dar un enfoque multidisciplinario que está sustentado un estudio objetivo, de manera tal que se eviten sesgos que conduzcan a la toma de decisiones ineficiente dado que existe una amplia gama de causas y consecuencias posibles.

En este contexto, podemos determinar inicialmente las técnicas y métodos empleados para la identificación y análisis de riesgos. Dichos métodos varían y se adecuan a las necesidades y objetivos de la organización. Entre ellos tenemos:

1. Método de encuestas de percepción, el cual basa su análisis en las opiniones de expertos en el área de riesgos luego de realizar una evaluación inicial del entorno organizacional, permitiendo identificar los riesgos de forma explícita y realista.
2. Método Empírico se basa en el análisis de modelos estadísticos que identifican lo que podría suceder, basándose en registros históricos propios y realizado por personal de interno con gran experiencia y trayectoria en la organización.
3. Método Centrado en las Evidencias, este método se apoya principalmente en datos históricos obtenidos de 3ras fuentes o extraídos de literatura contemporánea.
4. Método de Chek-List que permite realizar calificaciones y verificaciones basándose en datos de historia reciente o modelos teóricos. Se pueden diseñar para ser aplicado a nivel estratégico u operativo, y es posible aplicarlo mediante la elaboración de cuestionarios, entrevistas, talleres estructurados o combinaciones de los tres, en forma presencial o remota. 

Una vez determinado el método a utilizar, el siguiente paso es la identificación de riesgos. Este proceso debe tomarse como parte de un proceso sistemático, que desde un enfoque defensivo, permite detectar y minimizar las posibles causas y su probabilidad de generar algún impacto negativo. Normalmente la instalación de algunos sistemas de control permite minimizar los diversos y posibles efectos que deba afrontar la organización; además los riesgos no pueden ser eliminados, pero si podemos minimizar su impacto.

Entendiendo que, según su origen los riesgos pueden ser de tipo Interno o Externo y las características que diferencian a los mismos suelen ser más variadas, su análisis involucra distintos niveles en la organización. Un ejemplo de estos es:

1.  Los riesgos asociados a las Decisiones que toma la Alta Gerencia sobre la dirección o gestión del negocio, los cuales pueden definirse como Riesgos Estratégicos.
2. Los riesgos asociados a los accidentes laborales denominados Riesgos Operacionales.
3. Los riesgos asociados a las resoluciones o regulaciones de ámbito legal o contractuales llamados Riesgos Legales y Contractuales.
4. Muy recientemente los riesgos asociados a Riesgos por Pandemias provocadas por la aparición nuevos virus como la Influenza Humana AH1N1, Gripe Aviar o Porcina, Corona Virus COVID-19.
5. Los Riesgos Políticos están asociados a cambios en las políticas regulatorias por parte de los entes gubernamentales.

Identificados los riesgos se procede con su análisis, para ello se recurre a una serie de técnicas que, de manera conjunta o individual, nos proporcionaran una resultado acorde con las necesidades y el contexto organizacional. Durante este proceso de análisis es necesaria la participación de distintas áreas o múltiples grupos que aporten opiniones y perspectivas diferentes  desde un ángulo experto. Dichas técnicas permiten:

1. Determinar la probabilidad de que ocurra y las consecuencias que tendría o el impacto del riesgo.
2. Comprender la naturaleza del riesgo considerando detalladamente factores de incertidumbres, fuentes del riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia.
3. Determinar la probabilidad de que ocurra y las consecuencias que tendría el impacto del riesgo se conoce como  Nivel de Riesgo (NR = Impacto X Probabilidad)

El principal objetivo es priorizar los riesgos, esto permite concentrar los recursos disponibles en aquellos riesgos que representan una mayor amenaza u oportunidad para la organización. Las técnicas de mayor uso y de mejor eficiencia de resultado según estudios realizados son las siguientes:

1. “What – If” Es un análisis que se utiliza en la identificación de los riesgos y es implementada en las etapas iníciales su objetivo es plantear y analizar las posibles consecuencias productos de las desviaciones permitiendo encontrar las causas y planificar las acciones correspondientes.
2. “5 – Why?” Este método plantea una estrategia de gestión que se basa en la formulación de preguntas repetitivas (¿…Porque?) como fórmula para determinar y gestionar la Causa Raíz de ese evento y requiere de la participación de diversas áreas para su análisis.
3. “Análisis FMEA” El Failure Mode and Effective Analysis busca gestionar de manera anticipada las fallas que puedan presentarse en un proyecto en los procesos operativos de la organización. Su metodología se basa en Identificar, Clasificar y Minimizar los riesgos y su impacto atendiendo de forma prioritaria las posibles fallas mas graves según su frecuencia y grado de detección.
4. “Análisis DOFA” Esta metodología ya conocida identifica factores en el contexto interno y externo para ayudar a establecer objetivos y las estrategias considerando el riesgo; esto permite evaluar el equilibrio entre los recursos y las capacidades internas de la organización con las oportunidades y amenazas externas.
5. Otras Técnicas de mayor uso son: Diagrama de Ishikawa, Lista de chequeo y el Método PESTLE,está  ultima se define por su siglas ya que considera la evaluación de los riesgos bajo el contexto de diferentes factores como lo Político, Económico, Social, Tecnológico, Legal y Ético.

¿Cómo seleccionar la técnica y el método correcto para la identificación y análisis de riesgos?

A pesar de que las terminologías utilizadas son diferentes las distintas técnicas  y métodos presentados guardan una gran similitud en su propósito abarcando diferentes sectores y distintos escenarios. Los factores, que la organización, debe evaluar para la selección adecuada de alguno de ellos se ha de basar en los objetivos propuestos por la organización para el análisis, el grado de experiencia y de experticia del capital humano con el que se cuenta para llevar a cabo el estudio, el grado de compromiso que defina la alta gerencia al momento de la toma de decisiones, el tipo de riesgo que es objeto de estudio, el grado de disponibilidad de la información y datos para el estudio, los recursos tecnológicos disponible, la capacidad de respuesta ante la magnitud potencial de las consecuencias           y por ultimo y no menos importante asumir la actualización constante de la evaluación de riesgo haciendo que resulte detectable, repetible, comprobable y sostenible en el tiempo.        

Podemos establecer muchas similitudes y muchas diferencias en el enfoque y el concepto de Gestión de Riesgos desde el punto de vista de un SIG. Sin embargo, existe una definición sobre el riesgo que es común: “…él riesgo, es el efecto de la incertidumbre en los objetivos.”.

La incertidumbre, por supuesto, se genera a partir de información deficiente o del desconocimiento acerca de un evento que puede causar un incidente con impacto negativo sobre la organización. Es por ello que el proceso de análisis de riesgos facilita a las organizaciones a identificar eventos adversos y al aplicar un enfoque racional en el riesgo, tiene efectos positivos para las organizaciones,  ya  que permiten mejorar la capacidad para lograr los objetivos propuestos.

Los riesgos siempre estarán presentes. No podemos eliminarlos, pero si podemos minimizar su impacto. Conocer las diferencias en las gestiones de riesgos de las normas ISO, resulta esencia en el cumplimiento de ese objetivo.

 

Referencias

• ISO. The ISO Survey of Management System Standard Certifications (1993-2015) [base de datos en línea].
• https://www.iso.org/files/live/sites/isoorg/files/standards/conformity_assessment/certification/doc/Survey-data/iso_9001_iso_survey2015.xls
• LABOUCHEIX, Vincent. Tratado de la calidad total. México: Limusa, 2001
• https://calidadgestion.wordpress.com
• SO 31000:2018 – Gestión del Riesgos – Directrices
• ISO IEC 31010:2019 – Risk management – Risk assessment techniques
• https://www.escuelaeuropeaexcelencia.com/2017/07/diferencias-gestion-riesgos-normas-iso-9001-iso-31000-e-iso-27001/

 

Contacto: jgvargasfii@gmail.com