La perspectiva de Cyber Academy
ISO 31000 es la norma internacional de orientación para la gestión de riesgos: principios, marco y proceso, aplicable a cualquier organización y a cualquier tipo de riesgo. No es certificable; el recorrido de PECB es Foundation, Risk Manager y, después, Lead Risk Manager. No existe el ISO 31000 Lead Auditor: ISO 31000 es una guía, no una norma de sistema de gestión, por lo que no hay nada contra lo que auditar.
TL;DR
- 1ISO 31000 es una guía, no un sistema de gestión certificable. No existe el Lead Auditor.
- 2Recorrido de PECB: Foundation (2 días), Risk Manager (5 días), Lead Risk Manager (5 días). La credencial sénior es Lead Risk Manager.
- 3Foundation aporta el vocabulario, los principios y el modelo de proceso. Es un requisito previo obligatorio para las credenciales sénior.
- 4Risk Manager aplica ISO 31000 a un alcance concreto. Lead Risk Manager dirige el programa de riesgos empresariales en todas las funciones.
- 5Complementa a ISO 27005 (riesgo específico de la seguridad de la información) y a EBIOS RM (escenarios cibernéticos estratégicos): distintas perspectivas sobre la misma disciplina de riesgo.
Cómo funciona realmente el recorrido de ISO 31000 en una organización
ISO 31000 no es algo que se implante como se implanta un sistema de gestión. No hay Statement of Applicability, ni cláusulas obligatorias que satisfacer, ni ciclo de auditoría de seguimiento. Lo que se construye en su lugar es un marco de gestión de riesgos: una forma de identificar, analizar, tratar, supervisar y reportar el riesgo de manera coherente en toda la organización, y un proceso que las personas con funciones operativas siguen de verdad. La norma le aporta los principios y el vocabulario; el trabajo consiste en hacerlos reales en su gobernanza, sus comités y sus puntos de decisión.
Por eso el recorrido se desarrolla como lo hace. Foundation le aporta el lenguaje compartido para que "probabilidad", "criterios de riesgo", "apetito de riesgo" y "riesgo residual" signifiquen lo mismo para todos los que están en la sala. Risk Manager le enseña a ejecutar el proceso dentro de un alcance definido: un departamento, un programa, una línea de producto. Lead Risk Manager le enseña a diseñar y dirigir el propio marco entre las funciones, lo que es un trabajo de gobernanza tanto como técnico.
El recorrido es secuencial por diseño. Foundation es el requisito previo para las credenciales sénior, por lo que la mayoría de los profesionales empiezan con el curso ISO 31000 Foundation antes de decidir si necesitan el nivel Risk Manager o Lead Risk Manager.
Elegir su nivel: Risk Manager o Lead Risk Manager
La decisión no tiene que ver con la jerarquía sobre el papel, sino con aquello de lo que será responsable. Risk Manager es para la persona que ejecuta el proceso de riesgo dentro de un alcance y es propietaria de un registro de riesgos: facilita talleres, puntúa los riesgos según criterios acordados, propone tratamientos y mantiene el registro fiable a lo largo del tiempo. Lead Risk Manager es para la persona que tiene que dar coherencia al conjunto en toda la organización: definir los criterios y el apetito de riesgo, diseñar el marco, integrarlo con la estrategia y con las demás funciones de aseguramiento, y reportar al consejo.
Una prueba útil: si su trabajo es responder "cuáles son nuestros principales riesgos en esta área y qué estamos haciendo al respecto", Risk Manager es el nivel adecuado. Si su trabajo es responder "es nuestro marco de gestión de riesgos adecuado para su propósito, y puede la dirección confiar en él para tomar decisiones", necesita Lead Risk Manager. Muchas personas cursan primero Risk Manager, gestionan un programa durante uno o dos años y luego cursan Lead Risk Manager cuando pasan a un puesto empresarial o cercano al de CISO.
| Nivel | Duración | Alcance | A quién se adapta |
|---|---|---|---|
| Foundation | 2 días | Principios, marco y modelo de proceso; solo vocabulario, sin responsabilidad de implementación | Cualquiera que necesite el lenguaje compartido: analistas, jefes de proyecto, auditores de otros ámbitos, recién llegados al riesgo |
| Risk Manager | 5 días | Aplicar el proceso de ISO 31000 dentro de un alcance definido; ser propietario y gestionar un registro de riesgos | Profesionales que facilitan evaluaciones y gestionan el riesgo de un departamento, programa o producto |
| Lead Risk Manager | 5 días | Diseñar y dirigir el marco de riesgo empresarial; fijar criterios y apetito; reportar a la dirección | Responsables de riesgo, CISOs y puestos sénior de GRC responsables de todo el programa |
Por qué no existe el ISO 31000 Lead Auditor
Esta pregunta surge constantemente porque la mayoría de las demás credenciales ISO vienen en parejas: Lead Implementer y Lead Auditor, en correspondencia con la norma certificable que tienen detrás. ISO 31000 no tiene Lead Auditor porque no hay nada contra lo que auditar. Una auditoría comprueba la conformidad con requisitos, las declaraciones "shall" de una norma de sistema de gestión como ISO 27001 o ISO 9001. ISO 31000 contiene orientación, el "should" de las buenas prácticas, no requisitos. No se puede certificar a una organización conforme a ISO 31000, por lo que no se puede ejecutar una auditoría de certificación contra ella, por lo que no existe una credencial de auditor.
Eso no significa que la gestión de riesgos escape al aseguramiento. Se evalúa de forma indirecta. Cuando un auditor de ISO 27001 examina su proceso de evaluación y tratamiento de riesgos, está comprobando la conformidad con las cláusulas 6.1 y 8.2/8.3 de ISO 27001, e ISO 31000 (a menudo a través de ISO 27005) es la referencia reconocida sobre cómo debería ser ese proceso. Así, el Lead Risk Manager construye el marco, y el auditor del sistema de gestión comprueba si el marco se aplica allí donde una norma certificable lo exige. Son dos trabajos distintos, y confundirlos es el malentendido más habitual que la gente trae a la sala de formación.
Cómo complementa ISO 31000 a ISO 27005 y EBIOS RM
No son normas que compitan entre sí; son distintas perspectivas sobre la misma disciplina, y los profesionales sénior las usan juntas. ISO 31000 es el marco genérico que se aplica a cualquier riesgo en cualquier organización. ISO 27005 estrecha ese marco al riesgo de seguridad de la información, con el detalle de activos, amenazas y vulnerabilidades que necesita un ISMS. EBIOS Risk Manager, el método francés (ANSSI), aborda el problema desde escenarios de ataque estratégicos y el ecosistema de atacantes y partes interesadas, lo que resulta sólido para el riesgo cibernético de alto impacto y cada vez más esperado en los sectores públicos y regulados de la UE.
El patrón práctico es por capas: ISO 31000 fija los principios, el marco y el proceso que comparte toda la organización; ISO 27005 Risk Manager le aporta el método específico de seguridad de la información que se acopla a un ISMS conforme a ISO 27001; y EBIOS Risk Manager le aporta la visión basada en escenarios y centrada en el atacante para los riesgos cibernéticos más importantes. No se contradicen entre sí, y el vocabulario de ISO 31000 es lo que permite a un equipo moverse entre ellos sin confusión.
| ISO 31000 | ISO 27005 | EBIOS RM | |
|---|---|---|---|
| Alcance | Cualquier riesgo, cualquier organización | Riesgo de seguridad de la información | Escenarios de riesgo cibernético estratégico |
| Función | Principios, marco, proceso | Método de riesgo específico de SI para un ISMS | Análisis impulsado por el atacante y el ecosistema |
| Se combina con | Gobernanza empresarial | Certificación ISO 27001 | ANSSI / sector regulado y público |
| Enfoque | Genérico y descendente | Activo, amenaza, vulnerabilidad | Impulsado por escenarios y partes interesadas |
Relevancia más allá de lo cibernético, y los errores habituales
Como ISO 31000 es independiente del tipo de riesgo, el mismo marco cubre el riesgo operativo, financiero, de cadena de suministro, de proyectos, de seguridad, de cumplimiento y estratégico. Ese es su verdadero valor para un CISO que quiere un asiento en la mesa empresarial: hablar ISO 31000 significa hablar el lenguaje que el consejo y la función de riesgo más amplia ya utilizan, no un dialecto cibernético que tengan que traducir. La credencial viaja bien fuera de la seguridad, lo cual es parte de por qué se sitúa en el centro de una carrera seria de GRC y no en su periferia.
Los errores son consistentes entre organizaciones. La gente trata el registro de riesgos como un artefacto de cumplimiento que se produce una vez al año en lugar de como una herramienta viva de decisión. Definen criterios de riesgo con los que nadie está de acuerdo, de modo que la puntuación se convierte en teatro. Confunden el apetito de riesgo (una decisión de la dirección) con la tolerancia al riesgo (el rango operativo), y no fijan ninguno de los dos de forma explícita, lo que significa que las decisiones de tratamiento no tienen anclaje. Y se saltan Foundation, metiendo a todo un equipo en un curso de Risk Manager donde la mitad de la sala todavía discute qué significa "probabilidad".
Si está construyendo un programa en lugar de simplemente presentarse a un examen, el orden que funciona es: pasar al equipo por ISO 31000 Foundation para tener un vocabulario compartido, pasar a los responsables de su alcance por ISO 31000 Risk Manager, y hacer que quien sea propietario del marco empresarial curse ISO 31000 Lead Risk Manager. Esa secuencia evita el modo de fallo más costoso, que es un marco que solo una persona entiende.
Frequently asked questions
01¿Por qué no existe el ISO 31000 Lead Auditor?
ISO 31000 es una guía, no una norma de sistema de gestión. No hay un sistema certificable contra el que auditar. Algunos catálogos de formación anuncian un ISO 31000 Lead Auditor; esa credencial no existe dentro del programa de PECB. Quienes la solicitan suelen referirse al ISO 27001 Lead Auditor (que audita el ISMS empleando la metodología de riesgo de ISO 27005) o al ISO/IEC 27005 Risk Manager (que aplica la metodología a la seguridad de la información).
Si su auditor espera una auditoría de ISO 31000, replíquele: no existe un criterio de conformidad certificable. Lo más probable es que se refiera a una evaluación de madurez del marco de gestión de riesgos, que es un ejercicio diferente.
02Risk Manager o Lead Risk Manager, ¿cuál es el adecuado para mí?
Risk Manager (5 días) está dirigido a profesionales que gestionan un alcance de riesgo definido: un departamento, un programa, una filial. El curso le enseña a operar ISO 31000 dentro de ese alcance. La mayoría de los analistas de GRC y responsables de riesgo se quedan en este nivel.
Lead Risk Manager (5 días) está dirigido a profesionales sénior que gestionan el programa de riesgos empresariales: definir el apetito de riesgo, diseñar el marco, integrar el riesgo entre las unidades de negocio y reportar al consejo. Es obligatorio cuando el cargo es Head of Risk, Chief Risk Officer o equivalente.
03¿Cómo se relaciona ISO 31000 con ISO 27005?
Distintos alcances. ISO 31000 es la orientación genérica de gestión de riesgos: se aplica al riesgo financiero, operativo, estratégico, de cumplimiento, de seguridad de la información, a cualquier cosa. ISO 27005 es la aplicación de los principios de ISO 31000 específicamente al riesgo de seguridad de la información en el contexto de un ISMS conforme a ISO 27001.
Un profesional de riesgo con credenciales de ISO 31000 opera en toda la empresa. Un especialista en riesgo de seguridad de la información con credenciales de ISO 27005 opera dentro del alcance del ISMS. Los profesionales sénior suelen tener ambas.
04¿Es ISO 31000 relevante fuera de la ciberseguridad?
Sí, mucho. ISO 31000 es independiente del sector. Se utiliza en la gestión del riesgo financiero (junto a los marcos de Basilea y Solvencia), en la gestión del riesgo empresarial (junto a COSO ERM), en el riesgo de la cadena de suministro, el riesgo ambiental, el riesgo de proyectos y el riesgo operativo. Los principios y el modelo de proceso son idénticos en todos los ámbitos; solo cambian las categorías de activos y amenazas.




