La perspectiva de Cyber Academy
ISO 31000 es la norma genérica de gestión de riesgos. Principios, marco de referencia y proceso iterativo. NO es un sistema de gestión certificable; no existe el ISO 31000 Lead Auditor, a pesar de lo que afirman algunos catálogos. El itinerario PECB es Foundation → Risk Manager → Lead Risk Manager. Se utiliza cuando la gestión del riesgo abarca un alcance más amplio que la seguridad de la información.
Una norma genérica, no un sistema de gestión
ISO 31000 es la referencia internacional para gestionar el riesgo de cualquier tipo, en cualquier organización. Es deliberadamente genérica. Los mismos principios, el mismo marco de referencia y el mismo proceso se aplican tanto si el riesgo en cuestión es financiero, operativo, estratégico, de seguridad, ambiental o cibernético. Esa amplitud es precisamente el objetivo. Una decisión de compra, la entrada en un nuevo mercado y una exposición a un ransomware pueden evaluarse todas con el mismo vocabulario y la misma lógica, lo que permite a un consejo de administración comparar riesgos que de otro modo quedarían en silos separados con valoraciones incompatibles.
El malentendido más frecuente es tratar ISO 31000 como ISO 27001 o ISO 22301. No es una norma de requisitos y no es certificable. No existe ningún sistema de gestión ISO 31000 que auditar ni ninguna cualificación de Auditor Líder ISO 31000, por mucho que algunos catálogos de formación lo anuncien. La norma ofrece directrices que adaptar, no requisitos a los que conformarse. Las organizaciones la integran en su forma de operar actual, en lugar de añadir un sistema certificado independiente.
Principios, marco de referencia y proceso
ISO 31000 se construye sobre tres partes conectadas que los profesionales aprenden a mantener diferenciadas. Los principios establecen cómo es una buena gestión del riesgo: está integrada en la organización, estructurada, adaptada al contexto, inclusiva con las partes interesadas, dinámica, basada en la mejor información disponible y orientada a crear y proteger valor. El marco de referencia trata del liderazgo y la gobernanza, de cómo se ordena, se diseña, se implementa, se evalúa y se mejora la gestión del riesgo a lo largo del tiempo para que realmente arraigue. El proceso es el motor operativo que se ejecuta de forma repetida.
- Establecer el contexto. Definir el alcance, los objetivos y el entorno interno y externo en el que vive el riesgo.
- La identificación, el análisis y la evaluación del riesgo, que juntos forman la apreciación del riesgo.
- El tratamiento del riesgo. Elegir cómo modificar el riesgo y, después, implementar y verificar los controles.
- La comunicación, la consulta, el seguimiento y la revisión, que envuelven todo el ciclo y lo mantienen actualizado.
Cómo se relaciona con normas vecinas
ISO 31000 es la norma matriz. ISO 27005 aplica la misma lógica de proceso al riesgo de seguridad de la información y se alinea con un sistema de gestión de seguridad de la información ISO 27001. EBIOS Risk Manager, el método francés publicado por ANSSI, es una forma concreta y guiada por escenarios de realizar una apreciación del riesgo de seguridad que se corresponde con las mismas etapas. Ninguno de estos contradice ISO 31000; la especializan. Un risk manager que comprende el proceso genérico puede moverse entre ellos sin volver a aprender los fundamentos, razón por la cual la norma se enseña primero.
El vocabulario se comparte a través de la Guía ISO 73, el documento complementario que define los términos de la gestión del riesgo para que «probabilidad», «consecuencia» y «tratamiento del riesgo» signifiquen lo mismo en todos los documentos y equipos. Acordar pronto esas definiciones evita las discusiones sobre valoración que descarrilan muchos talleres de riesgo.
Qué hacen realmente los profesionales con ella
En la práctica, ISO 31000 da forma al registro de riesgos, a los talleres de apreciación y a la línea de reporte hacia la dirección. Un risk manager la utiliza para justificar por qué un riesgo se asigna, se valora y se trata de determinada manera, y para demostrar que el enfoque es coherente en lugar de improvisado caso por caso. Como la norma no es certificable, la forma reconocida de demostrar competencia es a través de una credencial personal. El itinerario de PECB recorre Foundation, luego Risk Manager y luego Lead Risk Manager, avanzando desde el conocimiento de los conceptos hasta liderar un programa de gestión del riesgo en toda una organización.
Frequently asked questions
01¿Se puede obtener una certificación en ISO 31000?
No. ISO 31000 es una guía, no una norma de requisitos, por lo que no existe ninguna certificación organizativa contra ella. La competencia se demuestra mediante credenciales personales como las certificaciones PECB Risk Manager o Lead Risk Manager, no mediante un sistema de gestión auditado.
02¿Existe una cualificación de Auditor Líder ISO 31000?
No, a pesar de que algunos catálogos incluyen una. Los esquemas de Auditor Líder existen para normas de sistemas de gestión certificables como ISO 27001. ISO 31000 no es certificable, por lo que la progresión reconocida es Foundation, luego Risk Manager y luego Lead Risk Manager.
03¿Cuál es la diferencia entre ISO 31000 e ISO 27005?
ISO 31000 es la norma genérica de gestión del riesgo a nivel de toda la organización, que cubre cualquier tipo de riesgo. ISO 27005 aplica el mismo proceso específicamente al riesgo de seguridad de la información y se alinea con un sistema de gestión ISO 27001. ISO 27005 especializa ISO 31000 en lugar de competir con ella.
04¿Cuándo debería una organización usar ISO 31000 en lugar de un método específico de seguridad?
Usa ISO 31000 cuando el riesgo es más amplio que la seguridad de la información, por ejemplo riesgo empresarial, estratégico, financiero u operativo que necesita un único marco compartido. Para el riesgo de seguridad de la información en concreto, sitúa ISO 27005 o EBIOS Risk Manager por debajo.
05¿Cuáles son los tres componentes principales de ISO 31000?
Los principios, que describen cómo es una gestión del riesgo eficaz; el marco de referencia, que rige cómo se lidera y se integra la gestión del riesgo; y el proceso, el ciclo iterativo de contexto, apreciación, tratamiento y comunicación y revisión continuas.