Practica2.2 ISO31000
Contenido
Ejercicio 1 2
¿En qué consiste la ISO 31000? 2
¿Es certificable? 2
¿Qué otras ISOS están relacionadas con la ISO 31000? 3
¿Qué beneficios puede traer aplicar las ISO 31000 a una empresa? 3
¿Esta normativa está centrada en las grandes empresas o puede aplicar a cualquiera? 3
¿Qué aspectos tiene que realizar, definir y concretar una empresa para aplicar las recomendaciones de la ISO? 4
EJERCICIO 2 6
1.- Identificación de activos: 6
2.- Identificación de amenazas: 7
3.- Identificación de vulnerabilidades: 7
4.- Análisis de impacto: 8
5.- Probabilidad de ocurrencia de riesgos 8
6.- Valoración del riesgo: 9
7.- Priorización y gestión de riesgos: 9
8.- Creación de un plan de acción 9
CONLUSION 10
Ejercicio 1
¿En qué consiste la ISO 31000?
La norma ISO 31000 es un conjunto de directrices y principios internacionales que proporcionan un enfoque sistemático y estructurado para la identificación, evaluación, tratamiento y monitoreo de riesgos en cualquier organización. La norma fue publicada por primera vez en 2009 y su última actualización se llevó a cabo en 2018. Su objetivo principal es ayudar a las organizaciones a proteger sus activos, cumplir con sus objetivos y mejorar la toma de decisiones.
La norma establece 8 principios que deben ser seguidos por cualquier organización que desee implementar un sistema de gestión de riesgos basado en la ISO 31000. Estos principios son:
Integración: La gestión de riesgos debe integrarse en todos los niveles de la organización y en todos los procesos.
Estructurada: La gestión de riesgos debe tener un enfoque estructurado en la gobernanza de la organización.
Personalización: La gestión de riesgos debe adaptarse a las necesidades y características específicas de cada organización.
Inclusión: Todos los interesados relevantes deben participar en el proceso de gestión de riesgos.
Dinamismo: La gestión de riesgos debe ser proactiva y capaz de adaptarse a cambios en el entorno interno y externo.
Mejora continua: La organización debe buscar constantemente oportunidades para mejorar su enfoque de gestión de riesgos.
Basada en la información: La toma de decisiones en la gestión de riesgos debe basarse en información precisa y actualizada.
Factores humanos y culturales: El comportamiento humano y la cultura influyen en la gestión de riesgos.
¿Es certificable?
No , la ISO 31000 no es certificable , solo son buenas prácticas para la gestión de riesgos pero no te dan ningún certificado por cumplirlas.
¿Qué otras ISOS están relacionadas con la ISO 31000?
A parte de la ISO 31000 que es la más famosa dentro de la gestión de riesgos , encontramos otras ISOS que se relacionan con ella como:
ISO 9001: Esta normativa ordena cómo debe ser un Sistema de Gestión de la Calidad en la organización. En su última versión, ISO 9001:2015, incluye el pensamiento basado en riesgos.
ISO 55000: A lo referente a la ISO 55000 es conjunto de tres normas que aprueban establecer un Sistema de Gestión de Activos en las empresas. Se define como de una norma de Gestión de Riesgos principalmente beneficiosa en el ámbito económico. El estándar está encaminado a todo tipo de activos, incluyendo los intangibles.
ISO 27001: Este estándar internacional forma las claves para establecer un Sistema de Gestión de Seguridad de la Información (SGSI). En otras palabras, ayuda a resguardar toda la información sensible que manejan las organizaciones, como por ejemplo pueden ser los datos de los clientes.
ISO 45001: Para aquellos expertos dedicados a la Salud Ocupacional y a la Gestión de Riesgos Laborales, la ISO 45001 es todo un referido. La norma contiene lecciones y comisiones para establecer un Sistema de Seguridad y Salud en el Trabajo. Su creación, consiente a las empresas evitar y prevenir daños y accidentes de sus trabajadores.
¿Qué beneficios puede traer aplicar las ISO 31000 a una empresa?
Los beneficios que pueden introducir a una empresa esta ISO pueden ser:
Mejorar la eficiencia operativa.
Tener una mejor gobernabilidad interna de la organización.
Aumentar la confianza de partes externas.
Mejorar su rendimiento y la sostenibilidad.
Acentuar su calidad.
Reducir los costes.
La disminución o desaparición de incidentes inesperados.
¿Esta normativa está centrada en las grandes empresas o puede aplicar a cualquiera?
Esta normativa se puede aplicar a cualquier empresa tanto grande como pequeña , ya que mediante sus directivas se ajusta dependiendo del número de empleados , el tipo de empresa que sea , su ámbito , etc…
¿Qué aspectos tiene que realizar, definir y concretar una empresa para aplicar las recomendaciones de la ISO?
Para la implantación de la ISO 31000 debemos seguir 6 simples pasos que detallaremos a continuación:
Paso 1: Definición de objetivos
En primer lugar, para implementar ISO 31000 se deberán definir los objetivos del proceso, el “para qué” se implanta el Sistema de Gestión de Riesgos y el alcance que este tendrá en la organización. Para ello es fundamental la implicación de la alta dirección ya que además de participar en la definición deberán dar difusión a estos objetivos de forma que lleguen a todas las partes implicadas.
Paso 2: Nombrar a los responsables del Sistema de Gestión de Riesgos
La coordinación de la gestión del Sistema de Gestión de Riesgos deberá ser delegada en un responsable de confianza de la alta dirección, que, a su vez, contará con un equipo de trabajo, idealmente no superando las 10 personas (en función del tamaño de la organización y el alcance del Sistema de Gestión de Riesgos.
Esta responsabilidad también se podría llegar a externalizar en caso de que la organización, por tamaño o capacidad, no fuera capaz de llevar a cabo las tareas que implicará. Este proceso suele ser más costoso y aportar menos resultados ya que implicará un periodo de adaptación de la entidad subcontratada hasta llegar a integrarse en el día a día de la organización.
Paso 3: Identificar los riesgos
Este es posiblemente uno de los pasos más críticos de la implantación del Sistema de Gestión de Riesgos ya que en caso de no tener todos los riesgos en cuenta es posible que, llegado el caso, todo el trabajo quede sin utilidad al materializarse un riesgo no contemplado.
Para la identificación de riesgos los responsables del Sistema de Gestión de Riesgos deberán reunirse con los responsables de los departamentos que se definan y determinar los riesgos potenciales que se pudieran producir, al mismo tiempo que se priorizan en función del impacto.
Paso 4: Análisis de Riesgos
Una vez identificados es momento de analizarlos y determinar en qué medida estos afectarían a la organización. Para su análisis, se deberá tener en cuenta la probabilidad de materialización del riesgo y el impacto que, en caso de materializarse, tendría sobre el funcionamiento normal de la compañía.
Con estos dos factores se elaborará una matriz con dos ejes (probabilidad e impacto) y se ubicará cada riesgo identificado sobre ella, identificando aquellos en los que centrar la atención y el esfuerzo.
Paso 5: Definir la respuesta a cada riesgo:
Una vez identificados, analizados y priorizados se deberá plantear la solución más oportuna para cada caso, buscando los siguientes objetivos (ordenados por prioridad):
Supresión del riesgo: Su eliminación total.
Transferencia del riesgo: Conseguir que impacte en otras áreas u organizaciones.
Mitigación del riesgo: Reducir su probabilidad de aparición o el impacto que supondría.
Explotación del riesgo: En ocasiones un riesgo puede suponer una oportunidad. Si es así se debe aprovechar.
Aceptación del riesgo: Se suele reservar para aquellos riesgos que presentan un bajo impacto o bien para los que no se tiene posibilidad de ninguno de los tipos de actuación anteriores.
Paso 6: Planificar el tratamiento del riesgo:
Estas respuestas deben estar planificadas de forma que se pueda trabajar correctamente para la consecución de lo proyectado. En cualquier caso, para una correcta gestión, deberán establecerse los sistemas de monitorización, medición y revisión oportunos, así como los medios necesarios para ejecutar la respuesta definida para cada riesgo.
EJERCICIO 2
Sistema de la información: Cogeremos como ejemplo el sistema informático de la Azucarera que es la empresa en la que trabajo actualmente. Intentaré no dar tampoco demasiados detalles ya que sino la practica quedaría demasiado larga.
1.- Identificación de activos:
+ Datos:
- Información de clientes: facturas , inventarios , auditorias , datos fiscales , datos económicos …
- Información de empleados: datos médicos , datos bancarios , datos fiscales , dirección , nominas , unidad familiar….
- Información de la empresa: Planes a futuro , informes de gastos , información de procesos , bloqueos y etiquetados , datos de laboratorio , contratos ….
- Información de subcontratas: contratos , datos de empleados de subcontratas , nominas , etc…
+ Servidores
- Servidores virtualizados: F501 , F502 , VTX 2802 ….
- Servidores físicos: F2802 , F4302 , F5001…
- Servidores informática OT : SMC28 , FT4304, FOT5001…
-Servidores Standalone: CES01F28 …..
+ Equipos de red
- Switches: Aruba JL262A , Procurve 2520-8 , HP J9137A…
- Router: Huawei 1430 , Cisco 21000 …
- Puntos de Acceso (AP): AP305C , AP121 , Ubiquity PPQQ
- Columnas de pesaje de camiones: C2812 , C2813 , C2814
- Arduinos
- Cámaras de seguridad CCTV
- Portátiles: HP 840 G5 , HP 740 G2….
- Móviles: Sansung G2 , Samsung a23 …
- Tablets: Samsung g7 …
- Ordenadores de sobremesa: CREMA , BETIS , TELES….
+ Software de gestión interna:
- ITOP
- EVALOS
- INSIGHT
- QUALYS
- ALADDIN
- OPENPROJECT
- Open AUDIT
+ Personal
- Empleados oficina , empleados de mantenimiento , empleados de fabricación , empleados agrícolas , adminsitradores de sistemas , programadores backend/frontend , responsables de fábrica , ingenieros, directivos , gestoría jurídica , empleados de laboratorio , empleados centro de envasado ….
2.- Identificación de amenazas:
Ciberataque: Phising , Leaks, Denegacion de servicio , Ransomware , Malware , Spear phising..
Desastres naturales: Incendios , Inundaciones , Tornados..
Errores humanos: Configuraciones incorrectas , accesos no autorizados , errores no planeados…
Ataque al producto final: Manipulación del producto , Introducción de cuerpos extraños en el azúcar
Terrorismo: Ciberdelincuencia , Ataques terroristas …
3.- Identificación de vulnerabilidades:
- No usar gestores de contraseñas
- Falta de concienciación en los empleados
- Dejar información en post its a la vista
- Scripts para automatizar ciertos procesos
- Mal inventariado del material informático
- Introducción de material informático no perteneciente a la empresa
4.- Análisis de impacto:
- Exposición de datos de clientes: Alto
- Exposición datos de personal externo: Medio
- Exposición datos empleados: Alto
- Exposición datos de la empresa: Alto
- Parada de servicios: Critico
- Perdida de información: Alto
- Destrucción de material informático: Medio
- Despido de empleados: Bajo
- Exposición en redes sociales: Alto
5.- Probabilidad de ocurrencia de riesgos
- Ciberataques: Alto , debido a la evolución de las amenazas informáticas que cambian cada dia.
- Terrorismo: Bajo , de momento en el país en el que vivimos el terrorismo no es tan frecuente como en otros países.
- Desastres naturales: Bajo , veo más probable el hecho de que nos enfrentemos a una sequía extrema a que nos ataque un huracán o un tsunami.
- Errores humanos: Medio , si que es verdad que aunque siempre alguien puede tener un error y provocar grandes amenazas para la empresa , Azucarera hace un buen trabajo de formación y concienciación con los empleados.
- Pérdida de información: Medio , tenemos buenas salvaguardas para en caso de pérdida de información poder recuperarla de forma rápida minimizando la perdida de esta.
- Manipulación de producto final: Medio , podemos decir que tenemos buenas medida de seguridad para que eso no pase , análisis constante de muestreo de producto , cámaras de seguridad , control de accesos…
- Exposición en redes sociales: Bajo , contamos con un buen equipo de marketing , además la empresa ayuda a causas benéficas , esta bien relacionada , etc…
- Filtrado de información: Alto , aunque tenemos buenas medidas , nada te impide que un empleado descontento filtre información importante de la empresa y más si ese empleado desempeña un cargo critico en la empresa.
6.- Valoración del riesgo:
- Exposición datos de clientes: Alto
- Exposición datos empresa-empleados: Alto
- Ciberataques: Alto
- Manipulación producto final: Medio-Alto
- Exposición redes sociales: Bajo-Medio
- Perdida información: Bajo-Medio
- Errores humanos: Bajo-Medio
- Terrorismo: Bajo
- Desastres naturales: Bajo
7.- Priorización y gestión de riesgos:
- Parada de producción de azúcar por fallo en sistemas informáticos: Tener los sistemas actualizados , tener sistemas de respaldo , utilización de SAIS , equipos IDS /IPS para prevenir posibles ataques DDOS..
- Perdida de información: Tener CRDs en sitios separados geográficamente , copias de seguridad , auditorias , buena gestión de contraseñas….
- Exposición datos de la empresa por ataque informático: Tener medidas anti encriptación (ransomware) , formación en ciberseguridad a los empleados , auditorias constantes , software actualizado , firewalls , dmz ….
- Manipulación en producto final: Cámaras FOOD DEFENSE , análisis y muestreo de azúcar , control de accesos , correcta vestimenta en los empleados (batas , gorros , guantes …)
- Exposición en redes sociales: Equipo de marketing competente , ayuda en causas benéficas , buena conducta con clientes y empleados…
8.- Creación de un plan de acción
-Designación de un equipo de seguridad responsable de supervisar e implementar las medidas de seguridad.
-Programación de sesiones de formación para el personal sobre buenas prácticas de seguridad.
-Establecimiento de procedimientos regulares de respaldo y pruebas de recuperación.
-Auditorias tanto internas como externas
-Certificación en ISOS
-Cumplimiento normativas
CONLUSION
Me ha parecido una práctica interesante sobre todo la segunda parte de la evaluación de riesgos ya que te hace reflexionar a que tipos de riesgos se enfrenta tu empresa y como podrías abordarlos. Tipos de soluciones que podráas dar , que nuevas medidas se podrían implantar , que haces ya bien , que no , etc…
Last updated