En lo que se refiere a la Gestión de Riesgos, hay muchas normas ISO que los expertos del área deben estar al tanto. Estas normativas están encaminadas a establecer la gestión de las empresas en diferentes sectores y son expresadas por el Organismo Internacional de Estandarización (ISO). Su beneficio reside en que funcionan como un lenguaje común entre organizaciones. De este modo, la ejecución de una ISO permite a una organización evidenciar que cumple con unos requisitos de calidad que son registrados internacionalmente. No obstante, son diversas las normas de gestión de riesgos, si más, hay algunas cuya comprensión es indispensable para los profesionales del sector.

A continuación, nombraremos algunas de las normas relacionadas con la gestión de los riesgos.

ISO 31000 Gestión de Riesgos

Evidentemente, la norma más significativa en Gestión de Riesgos es la ISO 31000. Esta norma instaura las directrices y principios que debe cumplir un Sistema de Gestión de Riesgos. La actual versión actualizada de esta norma es del año 2018.

ISO 9001

Esta normativa ordena cómo debe ser un Sistema de Gestión de la Calidad en la organización. En su última versión, ISO 9001:2015, incluye el pensamiento basado en riesgos.

Norma ISO 55000 de Gestión de Activos

A lo referente a la ISO 55000 es conjunto de tres normas que aprueban establecer un Sistema de Gestión de Activos en las empresas. Se define como de una norma de Gestión de Riesgos principalmente beneficiosa en el ámbito económico. El estándar está encaminado a todo tipo de activos, incluyendo los intangibles.

ISO 27001 Seguridad de la Información

Otra norma que corresponde conocer es la ISO 27001. Este estándar internacional forma las claves para establecer un Sistema de Gestión de Seguridad de la Información (SGSI). En otras palabras, ayuda a resguardar toda la información sensible que manejan las organizaciones, como por ejemplo pueden ser los datos de los clientes.

ISO 45001

Para aquellos expertos dedicados a la Salud Ocupacional y a la Gestión de Riesgos Laborales, la ISO 45001 es todo un referido. La norma contiene lecciones y comisiones para establecer un Sistema de Seguridad y Salud en el Trabajo. Su creación, consiente a las empresas evitar y prevenir daños y accidentes de sus trabajadores.

ISO 19011:2018

La normativa internacional ISO 19011:2018 es esencial para quienes intenten ser auditores internos o pretendan trabajar para casas certificadoras. Esta medida ofrece las claves para ejecutar una auditoría de sistemas de gestión, o sea se utiliza para evaluar si la empresa está cumpliendo o no con una determinada norma ISO. Así pues, de la misma manera es una norma esencial para la Gestión de Riesgos corporativos.

Gestión de Desastres Naturales y Emergencias ISO 22320

Esta es una norma de Gestión de Riesgos esencial en países que están propensos a desastres naturales y emergencias. Las empresas que siguen este estándar están capacitadas para facilitar una respuesta eficaz ante un incidente. Las emergencias pueden ir desde una inundación hasta un terremoto, además es una norma certificable.

ISO 19600

En lo relacionado con Cumplimiento Legal Corporativo o más conocida como Compliance sin duda es la norma ISO 19600, la cual establece los requisitos para poner en marcha un Sistema de Gestión de Compliance. Gracias a esto, las empresas impiden sanciones por infringir determinadas leyes.

Para la prevención de los sobornos ISO 37001

Así mismo como ISO 19600, la regulación más importante en Compliance es la ISO 37001. La última versión de esta norma es de 2016, accede a una empresa demostrar ante sus clientes viables que está involucrado con prácticas antisoborno. En el sector financiero, esta normativa antisoborno es esencial para la Gestión de Riesgo

Para abarcar nuestro siguiente punto es porque están vital tenerlas en cuenta dentro de nuestras organizaciones, además de implementar un sistema de gestión de riesgos.

• Desarrollar la posibilidad de alcanzar los objetivos propuestos.
• Formar un conocimiento sobre la necesidad de identificar y tratar los riesgos.
• Identificar a tiempo los riesgos a los que está exhibida la organización.
• Obedece los requisitos legales, normas internacionales y reglamentos convenientes.
• Fomentar la gestión proactiva.
• Mejora el gobierno corporativo.
• Perfecciona la franqueza y dignidad de las partes implicadas.
• Rebaja las pérdidas y resguarda los bienes de la empresa.
• Ordena una base confiable para la planificación y la toma de decisiones.
• Progresa la eficiencia operativa, la eficacia.
• Aumenta el rendimiento de la salud y la seguridad, así también la gestión ambiental
• Incrementa la gestión de incidentes en la organización.
• Progresa el aprendizaje, la cultura organizacional, la permisividad.
• Genera valor a la organización.
• Adecuado manejo a la indecisión.
• Amigable al cambio.
• Instaura y resguarda los valores, logro de objetivos / mejora de desempeño.

Los Indicadores SGSI

Los indicadores de Seguridad de la Información son métricas con el objetivo de realizar evaluaciones sobre la eficacia y eficiencia del tratamiento de riesgos dentro de un sistema de gestión, también se da la posibilidad de que se lleven seguimientos de los planes de acción que se están ejecutando.

Se debe tener en cuenta en la norma ISO 27001, la cual está dirigida a la seguridad de la información dentro de las organizaciones, los indicadores juegan un papel importante dentro de las gestiones de riesgos y se encomienda que estos se representados en cuadros para su administración sea más sencillo, esto permite que se pueda llevar a cabo un mejor control y que en el momento de generar reportes sobre la seguridad de la información sea de una forma precisa. Cada uno de los indicadores debe contar con un proceso donde se demuestre si es eficaz.

Los indicadores de gestión de seguridad de la información son los siguientes:

1.- Organización de la seguridad de la información. Este indicador vela por identificar y realizar seguimientos al compromiso de las directivas con respecto al tema de seguridad de la información. Además, permite que se designen a quienes serán los responsables de esta temática dentro de la organización.

2.- Cubrimiento del SGSI, activos de la información. Este indicador es importante ya que, gracias a este, se puede llevar a cabo el seguimiento a los activos críticos y controles relacionados.

3.- Tratamiento de Eventos. Es un indicador de gestión el cual se puede identificar como se encuentra el tratamiento de eventos asociados.

4.- Plan Sensibilización. Es un indicador que se encuentra relacionado con los temas sensibles en la seguridad de la información, los cuales son suministrados por parte de los usuarios. Cabe recalcar que estas mediciones se ejecutan a través de las auditorias.

5.- Cumplimiento de políticas dentro de la organización. Es este indicador, se encuentra dentro del grupo de indicadores de cumplimiento donde permite que se cumpla de manera eficaz las políticas trazadas de seguridad de la información de la organización.

6.- Identificación de los lineamientos de seguridad en la organización: Es un indicador de cumplimiento que brinda posibilidad de realizar evaluaciones de que tan capacitados se encuentra el recurso humano frente a los temas y los equipos que se van a manipular en este proceso.

7.- Control de Acceso. Este es un indicador de cumplimiento cuyo papel es identificar si existen políticas o normas relacionadas al control de acceso de la organización.

8.- Adquisición y mantenimiento del software. Este indicador permite identificar el grado de protección de la infraestructura tecnológica de la organización.

9.- Implementación de los procesos. Este indicador permite examinar si existen normas relacionados al registro y auditorias de seguridad de la información. Cabe resaltar que este indicador hace parte del grupo de cumplimiento de indicadores.

10.- Políticas de Privacidad y de confidencialidad. Este es un indicador de cumplimiento, conocer las políticas implementadas dentro de la organización en relación a la privacidad y confidencialidad de la información.

11.- Políticas de integridad de la información. También es un indicador de cumplimiento, son la medida que se tienen en cuenta con la finalidad de resguardar la integridad de la información de la organización.

12.- Servicio disponible. Este es un indicador de cumplimiento, que busca corroborar el nivel de disponibilidad del servicio y de la información.

13.- Ataques Cibernéticos. Es uno de los indicadores mas importantes, es un indicador de cumplimiento y revele o nos indica la probabilidad de que la organización pueda sufrir amenazas o en su defecto ya sufrió alguno.

14.- Implementación de Controles. Este es un indicador e gestión, que permite realizar evaluaciones sobre las implementaciones de controles dentro del sistema de gestión de seguridad de la información.

Para concluir, los puntos señalados anterior constituyen a los indicadores de seguridad de la información, donde ha contribuido de manera importante, para identificar y considerar para llevar a cabo una exitosa implementación del sistema de seguridad de la información.  Algo importante para destacar que la mayoría de las violaciones de ciberseguridad se deben a errores humanos. Por esta razón para minimizar el nivel de incidentes y vulnerabilidades, es importante las capacitaciones en seguridad de la información para todos lo colaboradores.

Software de gestión de indicadores clave de riesgo KRI

Toda esta labor de monitorización, recolección de información, cálculo y control requiere una gran cantidad de tiempo y esfuerzo. Esto implica que, salvo que se consiga automatizar la totalidad o al menos una buena parte de esta gestión, la monitorización de los riesgos mediante KRI tenderá a quedar relevada a un segundo plano. Esto es así ya que requerirá más recursos que aporten beneficio.

El uso del Software ISOTools para la gestión de riesgo e indicadores facilita toda esta labor. La herramienta permite a los responsables que el proceso de definición, alimentación y gestión del mismo se pueda realizar desde un mismo lugar. Todo ello, de forma sencilla.

Además, el uso de un software de gestión de indicadores permitirá establecer sistemas de alarma y avisos. De esta forma es posible estar siempre en previos de la posibilidad de materialización de un riesgo. Cuando el indicador clave de riesgo alcanza niveles por encima de la tolerancia definida por los responsables habrá que actuar.

Prevención de Riesgos Laborales

La Seguridad y Salud en el trabajo es un tema fundamental en toda organización, garantizar el bienestar de los colaboradores para que realicen sus labores sin sufrir accidentes o enfermedades laborales es un reto que muchas empresas pretenden alcanzar, para lo cual muchas de estas adoptan un sistema de gestión de Seguridad y Salud en el Trabajo (SG-SST), el cual permita la interacción de trabajadores y empleadores en la prevención de riesgos laborales.

La norma ISO 45001:2018, estable un marco de referencia para un sistema de gestión de Seguridad y Salud en el trabajo, gestionando los riesgos laborales y se basa en el ciclo de mejora continua, PHVA o ciclo de Deming, desde la planificación y ejecución de actividades para identificar y evaluar los riesgos asociados en los procesos claves, incluyendo también formas de verificación y medición se puede generar una cultura de prevención de riesgos laborales.

La Política de Seguridad y Salud en el Trabajo es el punto de partida en el sistema de gestión de SST, pues representa el compromiso y liderazgo de la alta dirección con la prevención de accidentes y enfermedades ocupacionales, el cumplimiento normativo de los requisitos legales aplicables, la participación activa de los trabajadores en el reconocimiento de los peligros y riesgos de las actividades de trabajo y que se permita la mejora continua del sistema.

Luego de definir la Política de SST se plantea el alcance del SG-SST, que debe incluir a todos los stakeholders o involucrados en el sistema de gestión, agentes de los procesos externos e internos, dependiendo de la naturaleza de las actividades de la empresa.  También definir los objetivos y metas del SG de SST, es importante definir metas claras que sean coherentes con la estructura de la organización y que se puedan medir. El sistema de gestión debe estar integrado a la naturaleza y el contexto de los procesos de negocio.

Otro punto crucial de la norma son las consideraciones para la identificación de los peligros y riesgos de las actividades, es importante definir mecanismos donde los trabajadores puedan ser parte del proceso de la identificación de los riesgos, pues son ellos los que conocen más los detalles de sus trabajos, y este punto va muy acorde a otro que es el de la consulta y participación activa de los trabajadores en el sistema de gestión de seguridad, un ejemplo de esto se da con los comités de seguridad donde un grupo conformado tanto por trabajadores y empleadores elegidos por elecciones analizan y toman acuerdos relevantes en temas en los temas de SST de la empresa.

Después de identificar los riesgos para cada actividad de trabajo estos deben ser evaluados mediante alguna metodología lo que se traduce a la práctica en las matrices de riesgos o matrices IPERC y procedimientos de identificación de peligros y riegos, que permiten tener una visión general de los riesgos en cada actividad de trabajo, valorar la criticidad de los riesgos y colocar controles para cada caso. Entre esos controles principales tenemos los controles de la eliminación, sustitución, control de ingeniería, controles administrativos y Equipos de protección personal.

Posteriormente a la evaluación y el reconocimiento de los riesgos y aplicación de los controles se pueden crear los programas y planes, procedimientos e instructivos que sirven para estandarizar, controlar la gestión de estos riesgos. Es importante que la empresa brinde las herramientas necesarias para el reconocimiento, evaluación y tratamiento de los riesgos, por lo que estos deben ser siempre comunicados a los trabajadores mediante capacitaciones o inducciones, actividades que permitan que ellos mismos puedan reconocerlos y tratarlos. Si se produjeran accidentes o incidentes, estos deben ser investigados para analizar las causas raíces y tomar acciones y controles para evitar un evento posterior.

El Sistema de Gestión de SST tiene también medios para medir el desempeño y verificar la eficacia de los resultados contrastándolos con los objetivos y metas propuestas, lo cual permite identificar oportunidades de mejora continua, podríamos medir la cantidad de incidentes, accidentes, o enfermedades ocupacionales en ciertos periodos generando estadísticas e indicadores que permitan realizar las comparaciones, la eficacia de los controles que se planificaron o el cumplimiento de los requisitos legales, la cantidad de trabajadores capacitados, etc. Entre estos medios tenemos las actividades de supervisión, inspecciones de seguridad, auditorías internas, externas y revisión por la dirección. Inicialmente, dijimos que la alta dirección debe mantener su compromiso desde la Política de SST, y también debe comprobar y revisar los resultados obtenidos del sistema de gestión SST para adaptar y adecuarla al contexto dinámico de la organización en cada periodo planificado.

La mejora continua debe estar presente en cada parte del proceso, identificando oportunidades para hacer más eficiente los controles que se determinen en la gestión de los riegos laborales en la organización.

Software para ISO45001

ISOTools, el Software para ISO 45001, le proporciona todas las herramientas para cumplir con los requisitos de la norma ISO 45001. Dispone de un potente sistema para gestionar los incidentes, minimizando el riesgo de reiteración y permitiendo el cumplimiento y seguimiento de las medidas incluidas en el plan de actividades preventivas. No permita que la gestión de su sistema basado en la norma ISO 45001 le supere en tiempo o forma, y busque la mejor solución.

Además, permite gestionar todo el ciclo de vida de los incidentes acaecidos, desde el registro, clasificación, comunicación a partes interesadas y análisis causal hasta la definición de los planes de acción necesarios, cuyas medidas podrá evaluar para comprobar su eficacia.

Esta gestión integral que incide en el análisis de causas favorece un conocimiento en la organización que previene de futuros incidentes.