UNIVERSIDAD AUTÓNOMA “GABRIEL RENÉ MORENO”

FACULTAD DE INGENIERÍA EN CIENCIAS DE LA

COMPUTACIÓN Y TELECOMUNICACIONES

CARRERA DE INGENIERÍA DE SISTEMAS

“ISO/IEC 31000”

INTEGRANTES:
GIACOMAN BARBA JULIO
GUZMAN MARTINEZ VINX JUNIOR
LABRANDERO PEREZ CRISTHIAN

MATERIA:
AUDITORÍA INFORMÁTICA

DOCENTE:
ING. JULIO CÉSAR BECERRA

17-Septiembre-2018

Santa Cruz – Bolivia

 TABLA DE CONTENIDO

INTRODUCCIÓN ........................................................................................................................ 1
CAPÍTULO I: OBJETIVOS........................................................................................................ 2
1.1 OBJETIVO GENERAL .......................................................................... 2

1.2 OBJETIVOS ESPECÍFICOS ................................................................. 2

CAPÍTULO II: AUDITORÍA INFORMÁTICA .......................................................................... 3

2.1 ¿QUE ES ISO/IEC 31000?........................................................................ 3

2.2 ¿DONDE SE APLICA ISO/IEC 31000? .................................................... 3

2.3 ¿EN QUE CONSISTE ESTA NORMA? .................................................... 4

2.4 ¿PROCESO DE LA NORMA ISO/IEC 31000? ......................................... 5

CAPÍTULO III: CONCLUSIONES Y RECOMENDACIONES .............................................. 8

3.1 CONCLUSIONES ...................................................................................... 8

3.2 RECOMENDACIONES ............................................................................. 8

BIBLIOGRAFIAS ........................................................................................................................ 9
INTRODUCCIÓN

En la actualidad los riesgos en la empresas es un tema a tomar muy en cuenta,

por esto el tener conocimiento de las normas para prevenir estos riesgos es
vital para las empresas, por este motivo el objetivo de este documento es
realizar un resumen de los principales conceptos de la norma ISO/IEC 31000,
para tener conocimiento de esta.

ISO/IEC 31000 1
CAPÍTULO I: OBJETIVOS

1.1 OBJETIVO GENERAL

Realizar un trabajo investigación para conocer los conceptos y procesos la

norma ISO/IEC 31000 y explicar al curso.

1.2 OBJETIVOS ESPECÍFICOS

- Realizar un búsqueda de para recolectar información.

- Identificar los conceptos más importantes.
- Realizar un resumen de los conceptos y elaborar un documento de los
puntos más resaltantes.
- Realizar una presentación con diapositivas para la explicación pertinente
al curso.

ISO/IEC 31000 2
CAPÍTULO II: AUDITORÍA INFORMÁTICA

2.1 ¿QUE ES ISO/IEC 31000?

“ISO 31000 es la norma internacional para la Gestión de Riesgos. Al

proporcionar principios y Guía exhaustivos, esta norma ayuda a las
organizaciones en sus análisis y evaluaciones de riesgos. Aunque todas las
organizaciones gestionan los riesgos de algún modo, las recomendaciones de
mejores prácticas de esta norma internacional se desarrollaron para mejorar las
técnicas de gestión y garantizar la seguridad en el lugar de trabajo en todo
momento.

Mediante la implantación de los principios y Guía de la norma ISO 31000 en su

organización, podrá mejorar su eficacia operativa, su gobernanza y la confianza
de las partes interesadas, al mismo tiempo que minimiza cualquier posible
pérdida. Esta norma internacional también le ayuda a fomentar el desempeño
de Seguridad y Salud, establecer una base sólida para la toma de decisiones y
fomentar una gestión proactiva en todas las áreas.”1

2.2 ¿DONDE SE APLICA ISO/IEC 31000?

“Esta norma se aplica a cualquier empresa independientemente del tamaño ya

sea pública, privada o comunitaria, puesto que se aplica a la mayoría de las
actividades empresariales, incluyendo la planificación, operaciones de gestión y
procesos de comunicación.”2

1 Fuente: https://www.bsigroup.com/es-ES/ISO-31000-Gestion-de-Riesgos/
2 Fuente: https://www.isotools.org/normas/riesgos-y-seguridad/iso-31000/

ISO/IEC 31000 3
2.3 ¿EN QUE CONSISTE ESTA NORMA?

“ISO 31000 aporta sus beneficios a organizaciones públicas, privadas o del

sector cooperativo, ya que es posible aplicarla a todo tipo de actividades o
negocios, mediante el uso de herramientas que incluyen la planificación,
operaciones de gestión y procesos de comunicación.”3

A pesar de que todas las organizaciones gestionan, de una u otra forma, los
riesgos, las recomendaciones y las prácticas indicadas en este estándar
internacional, han sido desarrollados para mejorar las técnicas de gestión de
riesgos y garantizar así la seguridad en el lugar de trabajo en todo momento.

Si hablamos de la Gestión de Riesgos ISO 31000 y sus beneficios, no

dejaremos de mencionar la capacidad que tiene para mejorar la eficiencia
operativa, la gobernabilidad al interior de la organización y la confianza que
despierta en las partes interesadas.

Igualmente, esta norma ayuda a mejorar el rendimiento en salud y seguridad, al

establecer una base sólida para la toma de decisiones y fomentar la gestión
proactiva en todas las áreas.

“Hoy en día más que nunca, los riesgos a los que están expuestos las
organizaciones pueden tener consecuencias tanto en el rendimiento económico,
en la imagen y reputación profesional, así como en el impacto sobre el medio
ambiente y la seguridad. Por lo tanto, la gestión del riesgo es una ayuda
efectiva a las organizaciones para su desempeño en un ambiente lleno de
incertidumbre.”4

3 Fuente: https://www.isotools.org/2017/10/15/gestion-de-riesgos-iso-31000-y-sus-beneficios/

4 Fuente: http://ingertec.com/iso-31000/

ISO/IEC 31000 4
2.4 ¿PROCESO DE LA NORMA ISO/IEC 31000?

Establecer el contexto

En esta etapa, calificamos los riesgos y establecemos si son de contexto interno

o externo. Se entiende por contexto externo, aquel riesgo que se deriva de
factores culturales, sociales, políticos, jurídicos, reglamentarios, financieros,
tecnológicos, económicos, o relativos a la competencia.

El riesgo de control interno, está relacionado con el capital, el tiempo, el recurso

humano, los procesos, la estructura organizativa, las responsabilidades, las
funciones, la estrategia, los procesos de toma de decisiones, etc.

El enfoque

Delimitar el contexto, ayuda a mejorar el enfoque en la definición de los riesgos

en su organización, sincronizándolo con los objetivos que se desea alcanzar.
Esto es de vital importancia, porque si se comete un error aquí, se perderá el
trabajo en el resto de los pasos subsiguientes. Es el enfoque del contexto, el

ISO/IEC 31000 5
que define las metas, los objetivos, las actividades, las responsabilidades y los
métodos.

Identificación de Riesgos

En este paso, tomamos los riesgos específicos, los reconocemos, describimos y

obtenemos una lista completa de ellos y de los eventos que los pueden generar,
aumentar, acelerar, o, por el contrario, reducir o retardar.

Sobre algunos de esos eventos, la organización puede o no tener control, de

sus causas y sus consecuencias. Lo importante es contar con un registro
detallado de estos riesgos, sobre los que ya conocemos su contexto y el
enfoque con que debemos gestionarlos.

Análisis de riesgos

En este punto, evaluamos las causas y las fuentes de riesgos, sus

consecuencias, negativas y positivas – pueden existir -, y las probabilidades de
que se produzcan tales consecuencias. El análisis tiene como objetivo
fundamental, entender la probabilidad real de que el riesgo ocurra, y el impacto
que tendrá en caso de suceder.

Evaluación de riesgos

La evaluación ayuda a tomar decisiones, sobre la base obtenida del análisis. Si

el análisis nos arroja una probabilidad de un 90%, por ejemplo, definitivamente
el riesgo es inminente y de alto impacto. Es preciso generar acciones
inmediatas para prevenir ese riesgo o minimizar su impacto. Esto nos conduce
al siguiente paso.

Tratamiento de los riesgos

Este es el paso en el que se toman decisiones. Es el momento de actuar, y

emprender acciones que modifiquen el riesgo. ¿Qué es modificar un riesgo?:
Aliviarlo, prevenirlo, eliminarlo, cambiar su rumbo, etc.

ISO/IEC 31000 6
Comunicación y consulta

Este paso tiene una característica especial. Es continuo e iterativo. Resulta de

la obtención de información, mediante la participación en diferentes espacios
dialogo, foros, debates con las partes interesadas.

Monitoreo

Se trata de un proceso continuo de verificación, supervisión y observación

crítica, que pretende identificar cambios en la situación que pudiesen generar
nuevos riesgos, o afectar la eficacia del plan de Gestión de Riesgos.

Cuando las condiciones cambian, las probabilidades de los riesgos, y los

mismos riesgos, también cambian. Imaginemos que estoy en la oficina,
escribiendo este artículo. ¿Cuál es la probabilidad de ser asaltado o golpeado?;
Probablemente extremadamente baja. Tanto como para no considerarla y no
tomar acciones frente a ese riesgo.

Pero sí, por un cambio de condiciones un sismo, una amenaza terrorista debo
abandonar la oficina y tomar mi ordenador portátil, para trabajar en la calle,
dada la premura de la obligación laboral actual, la probabilidad de ser golpeado
o asaltado, aumenta en forma sensible.

ISO/IEC 31000 7
CAPÍTULO III: CONCLUSIONES Y RECOMENDACIONES

3.1 CONCLUSIONES

Como conclusión la norma ISO/IEC 31000 se enfoca en la identificación de

los riesgos que pueden afectar en una empresa, estableciendo principios y
requisitos para que toda organización pueda implementar una gestión de
riesgos. Aunque no certifica, pero si tiene su objetivo centrado en la práctica
eficaz de prevenir sucesos no deseados en la empresa. Dotando un
escenario de seguridad, comunicación, eficiencia, control de los riesgos.

3.2 RECOMENDACIONES

Como recomendación se aconseja estar actualizado con el último estándar

ISO/IEC 31000 que actualmente es la versión 2018, que considerablemente
se centra en ocho principios factores para la clave del éxito en la gestión de
riesgos y ya no en los once de la anterior versión. Se recomienda
especialmente la actualización ya que esta va de la mano con las amenazas
más recientes en riegos de las organizaciones.

ISO/IEC 31000 8
BIBLIOGRAFIAS
https://www.bsigroup.com/es-ES/ISO-31000-Gestion-de-Riesgos/
https://www.isotools.org/normas/riesgos-y-seguridad/iso-31000/
http://ingertec.com/iso-31000/
https://www.isotools.org/2017/10/15/gestion-de-riesgos-iso-31000-y-sus-
beneficios/

ISO/IEC 31000 9