Contenido

1 ESTANDARES DE GESTION DE RIESGOS ...................................................................................... 3

1.1 ISO 31000 ...................................................................................................................... 3
1.1.1. VENTAJAS .............................................................................................................. 3
1.1.2. PRINCIPIOS ............................................................................................................ 4
1.1.3. MARCO DE TRABAJO ...................................................................................... 4
1.1.4. PROCESO ........................................................................................................... 7
1.1.5. BENEFICIOS....................................................................................................... 8
1.2 GESTION DE RIESGOS EN LA ISO 9001: 2015 ................................................................ 9
1.2.1. IDENTIFICAR RIESGOS ..................................................................................... 10
1.2.2. EVALUAR LA VULNERABILIDAD PARA CADA UNO DE LOS RIESGOS. 12
1.2.2. PREPARAR PLANES DE CONTIGENCIA ....................................................... 13
1.2.2. ADQUIRIR DIFERENTES SEGUROS ............................................................... 13
1.2.2. MEJORAR .............................................................................................................. 13
1.3 SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN ISO 27001: 2014 .......... 14
Beneficios de ISO 27001................................................................................................. 14
1.4 RESPONSABILIDAD SOCIAL CORPORATIVA ISO 26000 ................................................ 16
Por qu es importante ISO 26000? ..................................................................... 17
Qu contiene ISO 26000? .................................................................................... 18
Qu va a lograr ISO 26000? ................................................................................ 19
1.5 SISTEMA DE GESTIN DE SEGURIDAD Y SEGURIDAD EN EL TRABAJO ISO 45001 ...... 19
Beneficios de ISO/DIS 45001 ......................................................................................... 19
Estructura de alto nivel: Una norma ms fcil y efectiva............................................ 20
Evolucin ISO 45001:2017 ............................................................................................. 21
Enfoque principal .............................................................................................................. 21
1.6 GESTIN DE CONTINUIDAD DE NEGOCIOS ISO 22301................................................ 22
Estructura de la norma .................................................................................................... 22
Contexto de la Organizacin en la prctica.................................................................. 23
Planificacin en la prctica.............................................................................................. 24
Liderazgo en la prctica .................................................................................................. 24
Apoyo ................................................................................................................................. 25
Funcionamiento ................................................................................................................ 25
Evaluacin de desempeo .............................................................................................. 26
 Mejoramiento..................................................................................................................... 26
2 METODOLOGA DE GESTIN DEL RIESGO................................................................. 26
2.1 MAGERIT ........................................................................................................................... 26
2.2 RISKPAC ............................................................................................................................. 30
2.3 OCTAVE.............................................................................................................................. 32
2.3.1 DESCRIPCION GENERAL DE OCTAVE ..................................................... 33
2.3.1.1. METODO CLAVE ............................................................................................... 34
2.3.2 CARACTERISTICAS Y VENTAJAS DE LOS METODOS ......................... 37
2.4. GESTION DE RIESGO BAJO EL ENFOQUE DE PMI ............................................................. 38
2.5. PRIMA ............................................................................................................................... 43
1 ESTANDARES DE GESTION DE RIESGOS
1.1 ISO 31000

ISO 31000 es la norma internacional para la Gestin de Riesgos. Al

proporcionar principios y Gua exhaustivos, esta norma ayuda a las
organizaciones en sus anlisis y evaluaciones de riesgos. Tanto si trabaja
en una empresa pblica, privada o comunitaria, puede beneficiarse de la
norma ISO 31000, puesto que se aplica a la mayora de las actividades
empresariales, incluyendo la planificacin, operaciones de gestin y
procesos de comunicacin. Aunque todas las organizaciones gestionan
los riesgos de algn modo, las recomendaciones de mejores prcticas de
esta norma internacional se desarrollaron para mejorar las tcnicas de
gestin y garantizar la seguridad en el lugar de trabajo en todo momento.

Mediante la implantacin de los principios y Gua de la norma ISO 31000

en su organizacin, podr mejorar su eficacia operativa, su gobernanza y
la confianza de las partes interesadas, al mismo tiempo que minimiza
cualquier posible prdida. Esta norma internacional tambin le ayuda a
fomentar el desempeo de Seguridad y Salud, establecer una base slida
para la toma de decisiones y fomentar una gestin proactiva en todas las
reas.
1.1.1. VENTAJAS

Mejorar de forma proactiva la eficacia operativa y la gobernanza

Generar confianza entre las partes interesadas con el uso de
tcnicas de riesgos
Aplicar controles de sistemas de gestin para analizar riesgos y
minimizar posibles prdidas
Mejorar el desempeo y fiabilidad de los sistemas de gestin
Responder a los cambios de forma eficaz y proteger su empresa
mientras crece
1.1.2. PRINCIPIOS

En primer trmino, una efectiva gestin debera satisfacer una serie

de Principios segn el listado que sigue.

1. Crear y proteger el valor.

2. Estar integrada a todos los procesos de la organizacin.
3. Ser parte de la toma de decisiones.
4. Tratar explcitamente la incertidumbre.
5. Ser sistemtica, estructurada y oportuna.
6. Basarse en la mejor informacin disponible.
7. Alinearse al contexto y al perfil de riesgos de la organizacin.
8. Tener en cuenta los factores humanos y culturales
9. Ser transparente e inclusiva.
10. Ser dinmica, iterativa y sensible al cambio.
11. Facilitar la mejora continua.

1.1.3. MARCO DE TRABAJO

Marco de trabajo o marco de referencia, o estructura de soporte,

cuyo objetivo es integrar l proceso de gestin de riesgos al gobierno
corporativo.

La ISO 31000 recomienda desarrollar, implementar y mejorar en

forma continua un marco de referencia, cuyo propsito es integrar
el proceso de la gestin, de riesgos en el gobierno, estrategia y
planificacin, gestin, informes de los procesos, polticas, valores y
cultura de toda organizacin.

El marco de trabajo, que puede verse grficamente en la figura,

sigue bsicamente los lineamientos del ciclo de vida PDCA
(Planificar, Hacer, Verificar, Actuar) luego de una etapa previa de
Mandato y compromiso
 Mandato y
compromiso de
la direccin

Diseo del marco

de trabajo para la
gestin de riesgos

Mejoramiento Implementacin
contino del de la gestin de
marco de trabajo riesgos

Monitoreo y
revisin de marco
de trabajo

Para el caso, la norma establece una serie de mandatos a cumplir

por parte de la gerencia para asegurar la efectividad de la gestin
de riesgos, lo que requiere un compromiso fuerte y sostenido por
parte de la gerencia, as como una planificacin estratgica y
rigurosa. Dichos mandatos conforman los puntos:

Articular y evaluar la poltica de gestin de riesgos.

Determinar de los indicadores de desempeo de
desempeo alineados con los de la organizacin.
Asegurar el lineamiento de los objetivos de la gestin de
riesgos con los objetivos y estrategias de la organizacin.
Asegurar las conformidades legales y regulatorias.
Asignar rendicin de cuentas y responsabilidades
conforme los diferentes niveles de la organizacin.
Asegurar que se dispongan los recursos necesarios para la
gestin de riesgos.
 Comunicar los beneficios de la gestin de riesgos a todas
las partes interesadas
Asegurar que se mantenga el marco de trabajo apropiado
para la gestin.

Las cuatro fases propias del ciclo PDCA se refiere a:

1. El diseo del marco de referencia para la gestin de riesgo,

que incluye los siguientes puntos.
a. Comprensin de la organizacin y su contexto, tanto
interno como externo.
b. Poltica de gestin de riesgos.
c. Integracin con los procesos de la organizacin.
d. Rendicin de cuentas.
e. Recursos
f. Establecimiento de las comunicaciones internas y los
mecanismos de informes.
g. Establecimiento de las comunicaciones externas y los
mecanismos de informes.
2. La implementacin del marco de referencia de riesgos, en
dos aspectos.
a. Implementacin del marco de trabajo para la gestin de
riesgos.
b. Implementacin del proceso de gestin de riesgos.
3. El monitoreo y revisin de la efectividad del marco de
trabajo. Establecimiento de las medidas de desempeo,
revisin peridica del avance y desviaciones, informes y
revisin de la efectividad del marco de trabajo.
4. La mejora continua del marco de trabajo. Decisiones para
mejorar la gestin de riesgos y la cultura.
1.1.4. PROCESO

Bsicamente el Proceso de gestin de riesgos tiene tres etapas:

Establecimiento del contesto, valuacin de riesgos y tratamiento de
los mismos.

A su vez, la valuacin (assessment) de los riesgos est constituida

en forma progresiva por la identificacin, anlisis y evaluacin
(evaluation) de riesgos.

Establecimiento del contexto

Valuacin de riesgos
Comunicacin y consultas

Identificacin de riesgos

Monitoreo y revisin
Anlisis de riesgos

Evaluacin de riesgos

Tratamiento de riesgos

Un verdadero pilar de la norma es establecer el contexto en el que

opera la organizacin.

Concretamente se trata de establecer tanto el contexto interno

como externo, es decir, los entornos correspondientes en los que
la organizacin busca alcanzar sus objetivos, as como tambin
establecer el proceso para la gestin de riesgos, y la definicin de
los criterios de evaluacin de los mismos.
 Algunos de estos parmetros son similares a los que se consideran
en la fase de Diseo del marco de Trabajo, pero en esta etapa hay
que considerarlas en mayor detalle en referencia al proceso de
gestin de riesgos.

Por su parte, en el paso de seleccin de opciones de tratamiento

de los riesgos, la norma de una lista de opciones aplicables en
forma individual o concurrente en dicho tratamiento, que se
muestran a continuacin.

Evitar el riesgo decidiendo no comenzar o continuar con la

actividad que da lugar al riesgo en cuestin.
Aceptar o incrementar el riesgo con el objetivo de concretar una
oportunidad.
Remover la fuente de riesgo.
Cambiar la probabilidad
Cambiar las consecuencias (impactos).
Compartir el riesgo con terceros (incluyendo contratos y
financiamiento del riesgo).
Retener el riesgo por decisin propia.

El proceso de Gestin de riesgos finalmente se cierra con la

interconexin de todas las tapas mencionadas con la comunicacin
y consultas por un lado, y el monitoreo y revisin por otro.

1.1.5. BENEFICIOS

La norma ISO 31000 esta diseada para ayudar a las

organizaciones a:

Aumentar la probabilidad de lograr los objetivos.

Fomentar la gestin proactiva.
Ser consciente de la necesidad de identificar y tratar el riesgo
en toda la organizacin.
Mejorar en la identificacin de oportunidades y amenazas.
 Cumplir con las exigencias legales y reglamentarias
pertinentes, as como las normas internacionales.
Mejorar la informacin financiera.
Mejorar la gobernabilidad.
Mejorar la confianza de los grupos de inters (stakeholder).
Establecer una base confiable para la toma de decisiones y la
planificacin.
Mejorar los controles
Asignar y utilizar con eficacia los recursos para el tratamiento
del riesgo.
Mejorar la eficacia y eficiencia operacional.
Mejorar la salud y seguridad, as como la proteccin del medio
ambiente.
Mejorar la prevencin de perdidas, as como la gestin de
incidentes.
Minimizar las perdidas.
Mejorar l aprendizaje organizacional.
Mejorar la capacidad de recuperacin de la organizacin.

1.2 GESTION DE RIESGOS EN LA ISO 9001: 2015

Riesgos existen en cualquier negocio, sea cual sea el sector en el que
desarrolla su actividad y sea cual sea su tamao, son unos elementos
inherentes a ellos.

La correcta gestin del riesgo, hace que sus efectos se vean mitigados y
sus consecuencias no sean tan adversas como lo seran si el riesgo no se
gestionase.

El concepto de pensamiento basado en el riesgo siempre ha estado

implcito en la norma ISO-9001, aunque en esta nueva versin se
fortalece y se incorpora a todo el Sistema de Gestin de la Calidad. En la
versin 2015 de ISO9001 este concepto reforzado se incorpora en los
requisitos de establecimiento, implementacin, mantenimiento y mejora
del Sistema de Gestin de la Calidad.

Recordemos que todos los procesos de una organizacin estn expuestos

a unos riesgos, y siendo el Sistema de Gestin de la Calidad un proceso
ms no va a dejar de estar expuesto a ellos.

Eliminar por completo el riesgo de una organizacin no es posible, es

necesario encontrar el equilibrio entre los esfuerzos invertidos en su
gestin y el riesgo residual que nos queda.

Para quien comience en esta actividad, debe saber que la gestin de

riesgos no es una labor difcil, pero que tampoco basta con adquirir
diferentes seguros de proteccin sin tener en consideracin otras formas
de atender al riesgo.

Comenzaremos con un plan sencillo y fcil de seguir, formado por 5

pasos, ya habr tiempo de madurarlo.

1.2.1. IDENTIFICAR RIESGOS

La mayora de los negocios comparten una serie de riesgos

comunes y contienen otros especficos de su organizacin. Existen
algunas guas o listas que nos pueden ayudar a verificar si esos
riesgos comunes que comparten la mayora de las organizaciones
nos afecta a la nuestra tambin.

Inicialmente se nos puede ocurrir pensar en riesgos como:

Prdidas provocadas por interrupcin de la actividad del

negocio. La actividad de un negocio puede verse
interrumpida por numerosos accidentes o incidentes, como
por ejemplo un incendio o una inundacin. En este caso la
empresa no solo deja de vender sus productos o servicios,
sino que tambin pierde bienes como equipos, maquinarias
o instalaciones con los que contaba para satisfacer al
cliente. Si nos anticipamos a estas cuestiones podemos
tratar este tipo de riesgo.
Prdidas de propiedad. Una organizacin puede perder
propiedades debido a actos delictivos o por cualquier dao
fsico acontecido.
Prdidas de personal clave. Una organizacin puede perder
un empleado relevante por muerte, discapacidad o
enfermedad, lo que implicara unos costes econmicos
elevados. Otro ejemplo puede ser una persona que deja su
puesto actual de trabajo para irse a otro lugar. Si se trata de
una persona clave en nuestra empresa las consecuencias
pueden ser catastrficas.
Prdidas por responsabilidad. En este caso hablaramos de
responsabilidad legal por haber causado daos y perjuicios
a los dems.
Daos ocasionados en los trabajadores. Si un trabajador
sufre un accidente durante el desempeo de sus funciones
la empresa tendr que afrontar unos costes que dependern
de la magnitud de la lesin.

Si nos centramos en el Sistema de Gestin de la Calidad ISO

9001 podemos identificar riesgos como estos:

Uso de documentacin obsoleta.

 Que se dupliquen tareas o actividades.
Que no se detecten todas las no conformidades que se
estn produciendo.
Que las personas desconozcan los procedimientos de
trabajo.
Que la gestin de la documentacin sea excesivamente
burocrtica.
Que los planes de formacin carezcan de eficacia.
Que las auditoras internas del sistema de gestin no sean
eficaces.
Que la metodologa que tenemos para evaluar la
satisfaccin de los clientes no sea la ms adecuada.
Que los indicadores no nos aporten informacin sobre la
eficacia y eficiencia de los procesos.
Que los objetivos del sistema de gestin de calidad no se
lleven a cabo por falta de recursos.

1.2.2. EVALUAR LA VULNERABILIDAD PARA CADA UNO DE LOS

RIESGOS
La vulnerabilidad depende de la probabilidad de que el riesgo se
materialice y del coste que implicara que esto ocurriese.

Lo que debe hacer una organizacin es cuantificar los riesgos

identificados, es decir establecer cules son conveniente tratar y
cules no, segn corresponda.

Nos quedaremos con los que creemos conveniente tratar e

intentaremos proteger a nuestra organizacin contra ellos.

Si la materializacin de un riesgo supone un coste econmico menor

que la gestin del mismo es necesario plantearse un anlisis ms
profundo del mismo, por ejemplo.
1.2.2. PREPARAR PLANES DE CONTIGENCIA
Un plan de contingencia es un instrumento para la gestin adecuada,
en este caso de los riesgos de una organizacin. Para gestionar el
riesgo podemos hacer uso de prcticas como:

Creacin de polticas que aumenten la seguridad de los

trabajadores ante situaciones de riesgo.
Instalacin de un sistema de seguridad que ayude a la
organizacin a prevenir prdidas de bienes.
Entrenar a gerentes potenciales en las funciones y
responsabilidades de sus superiores para que el negocio no
deje de funcionar por prdida de personal clave.
Hay que elaborar un plan de contingencia integral y creativo,
no nos podemos quedar en la simplicidad.

1.2.2. ADQUIRIR DIFERENTES SEGUROS

Hablamos de seguros que minimicen el riesgo, son una parte
esencial en la gestin de los mismos. Algunos de los que podemos
hacer uso en cualquier organizacin son:

De responsabilidad de producto.
De responsabilidad profesional.
De responsabilidad civil.
De propiedad comercial.

Si nuestra organizacin no cuenta con planes de gestin de riesgo,

tendremos que pagar un coste ms alto por nuestros seguros.

1.2.2. MEJORAR
Con determinada frecuencia los planes de gestin de riesgos deben
ser revisados para que no pierdan su adecuacin e idoneidad.

La revisin debe involucrar a propietarios, jefes de departamentos y

al consultor de gestin de riesgos.
 El buen desempeo de nuestra organizacin en cuanto a la gestin
de riesgos ser un reclamo importante para atraer a nuevos
inversionistas y, por tanto para aumentar nuestro capital.

1.3 SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN ISO

27001: 2014

Esta norma ha sido preparada para proporcionar los requisitos para

establecer, implementar y mejorar continuamente un sistema de gestin
de seguridad de la informacin. La adopcin de un sistema de gestin de
seguridad de la informacin es una decisin estratgica para una
organizacin. El establecimiento e implementacin de un sistema de
gestin de seguridad de la informacin de la organizacin, los requisitos
de seguridad, los procesos organizativos utilizados y el tamao y
estructura de la organizacin. Se espera que todos estos factores
influyentes cambien con el tiempo.

El sistema de gestin de la seguridad de informacin preserva la

confidencialidad, integridad y disponibilidad de la informacin aplicando
un proceso de gestin de riesgos y proporciona confianza a las partes
interesadas en el sentido en que los riesgos se manejan adecuadamente.

Es importante que el sistema de gestin de la seguridad de la informacin

sea parte de y est integrado con los procesos de la organizacin y la
estructura de gestin general y que la seguridad de la informacin se
considere en el diseo de procesos, sistemas y controles de la
informacin. Se espera que la implementacin de un sistema de gestin
de seguridad de la informacin crezca a escala en concordancia con las
necesidades de la organizacin.

Las partes internas y externas pueden utilizar esta norma para evaluar la
capacidad que tiene la organizacin de cumplir los requisitos de seguridad
de informacin de la propia organizacin.

Beneficios de ISO 27001

Proporciona un lenguaje comn y conceptos generales para seguridad de la
informacin, facilitando la confianza en socios de negocios que tengan un SGSI
conforme con la norma, especialmente si este requiere certificacin en ISO/IEC 27001
por un organismo de certificacin acreditado.

Incrementa la confianza de los stakeholders en la organizacin.

Aplicacin de las mejores prcticas en seguridad de la informacin, aceptadas

globalmente y adaptando los mejores controles a sus circunstancias especficas,
mantenindolas de cara a cambios internos o externos.

Ayuda a satisfacer las necesidades y expectativas de la sociedad:

Requisitos legales
Requisitos contractuales
Requisitos regulatorios, etc.

1. Beneficios para emprendedores:

Proporciona confianza y permite incorporarse en una cadena de valor
especifica.
No es necesario certificarse para ayudar en el cumplimiento de
otras empresas
Puede enfocarse en aspectos especficos del SGSI, como uno o
ms controles.
Puede mejorar su oferta incluyendo aspectos de seguridad de la
informacin atractivos para sus clientes.

2. Beneficios Para pequeas empresas

Ordena y alinea la organizacin hacia un modelo de gestin.
Ayuda a identificar los procesos principales y el aporte de valor a la
organizacin.
Proporciona un enfoque de gestin del riesgo que ayuda a la
organizacin a mantener los riesgos de seguridad de la informacin
en niveles aceptables.
Permite participar en cadenas de valor donde la informacin sea un
aspecto relevante, etc.

3. Beneficios Para empresas medianas

 Permite y facilita la insercin en cadenas de valor tanto nacionales
como internacionales, principalmente en reas de gestin de
informacin (tanto fsica como automatizada).
La certificacin abre oportunidades de nuevos mercados
internacionales.
La especialidad permite brindar servicios remotos a diversos
pases.

4. Beneficios Para entidades pblicas

Ayuda en el cumplimiento normativo legal Incrementa la
confianza de los ciudadanos en la institucin.
Permite un apropiado flujo de informacin necesaria para la toma
de decisiones tanto en forma local como sectorial.
Permite abordar un enfoque integrado entre seguridad de la
informacin y proteccin de datos personales (Ley 29733).
Permite fortalecer y asegurar mecanismos apropiados de
transparencia y gobierno abierto, etc.

1.4 RESPONSABILIDAD SOCIAL CORPORATIVA ISO 26000

ISO 26000 es una Norma internacional ISO que ofrece gua en

Responsabilidad Social. Est diseada para ser utilizada por
organizaciones de todo tipo, tanto en los sectores pblico como privado,
en los pases desarrollados y en desarrollo, as como en las economas
en transicin. La norma les ayudar en su esfuerzo por operar de la
manera socialmente responsable que la sociedad exige cada vez ms.
ISO 26000 contiene guas voluntarias, no requisitos, y por lo tanto no es
para utilizar como una norma de certificacin como la ISO 9001:2008 y la
ISO 14001:2004.
 Por qu es importante ISO 26000?

Para las organizaciones la sostenibilidad de los negocios significa no slo el

suministro de productos y servicios que satisfagan al cliente, hacindolo sin
poner en peligro el medio ambiente, sino tambin operar de una manera
socialmente responsable. La presin para hacerlo proviene de los clientes,
consumidores, gobiernos, asociaciones y el pblico en general. Al mismo
tiempo, lderes organizacionales con visin de futuro reconocen que el xito
duradero debe basarse en prcticas de negocio crebles y en la prevencin
de actividades, tales como la contabilidad fraudulenta y la explotacin
laboral. Por un lado, se han dado una serie de declaraciones de alto nivel
sobre principios relacionados con la RS y, por otra parte, hay muchos
programas e iniciativas individuales de RS. El desafo es cmo poner en
prctica los principios y cmo implementar la RS efectiva y eficazmente
incluso cuando la comprensin sobre lo que significa responsabilidad social
puede variar de un programa a otro. Adems, iniciativas anteriores han
tendido a centrarse en responsabilidad social corporativa, mientras que la
ISO 26000 proporciona una gua en RS no slo para las organizaciones
empresariales, sino tambin para las organizaciones del sector pblico de
todo tipo. La experiencia de ISO est en el desarrollo armonizado de
acuerdos internacionales basados en dobles niveles de consenso: entre las
principales categoras de las partes interesadas y entre los pases (ISO es
una red de organismos nacionales de normalizacin de 163 pases). De ISO
26000 se desprende una comprensin global relevante de lo que es la
responsabilidad social y lo que las organizaciones tienen que hacer para
operar de una manera socialmente responsable.

Qu contiene ISO 26000?

El contenido de la norma ISO 26000 est estructurado de la siguiente

manera:

Prlogo

Introduccin

1. Objeto y campo de aplicacin

2. Trminos y definiciones
3. Comprender la responsabilidad social
4. Principios de la responsabilidad social
5. Reconocer la responsabilidad social e involucrarse con las partes
interesadas
6. Orientacin sobre materias fundamentales de responsabilidad social
7. Orientacin sobre la integracin de la responsabilidad social en toda
la organizacin.

Anexo A Ejemplos de iniciativas voluntarias y herramientas para la

responsabilidad social

Anexo B Abreviaturas

Bibliografa

La orientacin provista en estas secciones pretende ser clara y

comprensible - incluso para los no especialistas -, as como objetiva y
aplicable a todo tipo de organizaciones, incluidas las grandes, pequeas
y medianas empresas, administraciones pblicas y organizaciones
gubernamentales.
 Qu va a lograr ISO 26000?
ISO 26000 integrar la experiencia internacional en responsabilidad
social, lo que significa qu asuntos la organizacin necesita abordar con
el fin de operar de una manera socialmente responsable y qu es una
mejor prctica en la aplicacin de la RS. ISO 26000 ser una herramienta
de RS poderosa para ayudar a las organizaciones a pasar de las buenas
intenciones a las buenas acciones.

1.5 SISTEMA DE GESTIN DE SEGURIDAD Y SEGURIDAD EN EL

TRABAJO ISO 45001

Norma que, dentro de un marco de gestin, presenta los requisitos que

ayudarn a las organizaciones a reducir esta carga econmica, a mejorar
la salud y el bienestar de sus empleados, a reducir los riesgos, accidentes
y el estrs en el lugar de trabajo, y a crear mejores y ms seguras
condiciones laborales en todo el mundo.

Esta norma promueve, en el medio empresarial, una cultura positiva y

responsable de salud y seguridad.

Para su elaboracin se han tomado en cuenta otras normas

internacionales en esta rea, tales como OHSAS 18001:2007; las
directrices OIT-OSH de la Organizacin del Trabajo; diversas normas
nacionales; y las normas y convenios internacionales del trabajo de la OIT

La norma ayudar a las organizaciones a proporcionar un lugar de trabajo

seguro para los trabajadores y resto de personas; evitando fallecimientos,
lesiones y problemas de salud relacionadas con el trabajo, accidentes
laborales, etc. as como mejorar de manera continua el desempeo de
la Seguridad y Salud en el Trabajo.

Beneficios de ISO/DIS 45001

ISO/DIS 45001 lleva la gestin de la seguridad y salud laboral y, la mejora
continua al ncleo de la organizacin.

Esta nueva norma es una oportunidad para que las organizaciones alineen su
direccin estratgica con su sistema de gestin de SST. Adems, se hace
mayor hincapi en mejorar el desempeo en materia de salud y seguridad en
el trabajo.

Algunos de los mltiples beneficios de sistemas de gestin de seguridad y

salud laboral son:

Disminuir el ndice de lesiones, enfermedades y muertes relacionadas

con el trabajo
Eliminar o reducir los riesgos relacionados con la SST
Mejorar el desempeo y la efectividad de la SST
Demostrar su responsabilidad corporativa y cumplir con los requisitos de
la cadena de suministro
Proteger la reputacin de marca
Motivar e involucrar a los empleados mediante consultas y participacin
Aumentar la conciencia y cultura de SST
Garantizar que los trabajadores tienen un papel activo.
La determinacin de los peligros y riesgos de S & SO asociados a sus
actividades; tratar de eliminarlos, o poner en los controles para reducir al
mnimo sus efectos potenciales.

Estructura de alto nivel: Una norma ms fcil y efectiva

La ISO 45001 sigue la misma estructura de alto nivel que ya incluyen todas
las normas nuevas y revisadas, lo que ayuda a las empresas a reunir todas
sus certificaciones en un sistema de gestin integrado. Adems, la nueva
estructura uniforme aporta mayor claridad y aplicabilidad a la norma.

Asimismo, los puntos individuales se han redefinido con la transformacin del

sistema de gestin de seguridad y salud laboral y adquieren un mayor
significado: el mayor enfoque a la "eficacia" del sistema de gestin debe
preocuparse de que el sistema de gestin de seguridad y salud laboral no
termine en un activismo ciego, sino que sea implementado en la empresa con
la ayuda de medidas razonables y medibles. Adems, la conciencia interna
proporciona a la ISO 45001 mayor relevancia, ms all de la mera formacin
o instruccin de los empleados.
Evolucin ISO 45001:2017
En junio de 2013 se establece en Inglaterra el comit ISO/PC 283 por
el comit Tcnico de Administracin (ISO/TMB), Asignando la secretara
tcnica al BSI. (se alinea el estndar con la ISO 9001:2015 y la ISO
14001:2015) asisten 87 delegados de 23 pases miembros. Secretario:
Charles Corrie.
Del 31 de marzo al 4 de abril 2014 es la 2da reunin en Marruecos,
Desde ese entonces, el comit ISO/PC 283s incluye:
59 participating countries
15 observer countries
16 liaison members. (INLAC )
En febrero 4 al 8 de 2015 en Trinidad y Tobago es la 3a reunin. Se
elabora desde esa vez el primer borrador CD1.
Para Julio del 1 al 5 de 2015 en reunin en Dublin, Irlanda del Norte se
aprueba el CD2.
En Finales de enero 31 a febrero 4, de 2016 en reunin de Ottawa
Canada, se aprueba el borrador del DIS 1.
La sexta reunin del comit ISO PC 283 que desarrolla la norma ISO
45001, se realiza del 30 de septiembre al 4 de octubre 2016 en la ciudad
de Klaipeda en Lithuania.

Enfoque principal
Compromiso De Alta Gerencia
Necesidad Para Demostrar Liderazgo
Participacin De Los Colaboradores
Desarrollo Y Operacin Como Un Sistema De Gestin
Identificacin Y Anlisis De Riesgos
Responsabilidad Con Los Trabajadores Bajo Control De La Empresa
Proveer Una Plataforma Para Mejora Continua
Integrar El Sistema De Gestin Como Parte Del Negocio
Necesidades Para Prevenir Enfermedades, (Incluyendo Agotamiento
Mental)
Necesidad De Reconocer Las Causas De La Enfermedad Inmediatas
(Accidentes O Epidemias)
 Reconocer Las Enfermedades De Alta Exposicin (Radiacin, Cncer)

1.6 GESTIN DE CONTINUIDAD DE NEGOCIOS ISO 22301

ISO 22301 es una norma internacional de gestin de continuidad de

negocio. Esta ha sido creada en respuesta a la fuerte demanda internacional
que obtuvo la norma britnica original, BS 25999-2 y otras normas.

ISO 22301 identifica los fundamentos de un Sistema de Gestin de la

Continuidad de negocio, estableciendo el proceso, los principios y la
terminologa de gestin de continuidad de negocio.

Proporciona una base de entendimiento, desarrollo e implantacin

de continuidad de negocio dentro de la organizacin. Se usa para asegurar
a las partes interesadas clave que su empresa est totalmente preparada y
que puede cumplir con los requisitos internos, regulatorios y del cliente.

La norma proporciona a las organizaciones un marco que asegura que ellos

pueden continuar trabajando durante las circunstancias ms difciles e
inesperadas, siempre protegiendo a sus empleados, manteniendo su
reputacin y proporcionando la capacidad de continuar trabajando y
comercializando.

La norma ISO 22301 puede ser aplicada a todo tipo y tamao de

organizaciones que quieran:

Establecer, implantar, mantener y mejorar un SGCN.

Demostrar conformidad con la poltica establecida de la continuidad de

negocio de la organizacin.

Dar a las partes interesadas confianza en su conformidad y compromiso

con las buenas prcticas reconocidas internacionalmente.

Estructura de la norma
mbito de aplicacin.

Referencias normativas.
 Trminos y definiciones.

Contexto de la organizacin. Consiste en identificar el alcance

del SGCN, teniendo en cuenta los objetivos estratgicos de la
organizacin, sus productos y servicios claves, su tolerancia al riesgo,
as como cualquier obligacin reglamentaria.

Liderazgo. La alta direccin debe demostrar un compromiso continuo

con el SGCN. A travs de su liderazgo y acciones, la direccin puede
crear un ambiente en el cual el personal est completamente involucrado
y el sistema de gestin pueda funcionar de manera eficaz en sinergia
con los objetivos de la organizacin.

Planificacin. Se establecen objetivos estratgicos y principios para la

orientacin del SGCN en su totalidad.

Soporte. La gestin diaria de un Sistema de Gestin de la Continuidad

de Negocio, se basa en el uso de los recursos apropiados para cada
actividad. Estos recursos incluyen personal competente, toma de
conciencia y comunicacin, etc. todo esto debe estar apoyado por la
documentacin que sea necesaria.

Operacin. Despus de la planificacin del SGCN, la organizacin debe

ponerlo en funcionamiento.

Evaluacin del desempeo. La norma ISO 22301 requiere un

seguimiento permanente del sistema, as como revisiones peridicas
para mejorar su operacin.

Mejora. La organizacin puede mejorar continuamente la eficacia de su

sistema de gestin a travs del uso de la poltica de continuidad de
negocio, los objetivos, los resultados de auditoras, los indicadores, las
acciones correctivas y preventivas y la revisin por la direccin.

Contexto de la Organizacin en la prctica

Entender la organizacin y su contexto.
 Entender las necesidades y expectativas de las partes interesadas:
determinando las partes interesadas relevantes para el SGCN y los
requisitos legales y reglamentarios.
Determinar el alcance del SGCN: especificando y explicando su alcance,
as como las exclusiones, asegurando que cumpla los requisitos del
SGCN. As mismo, se debe definir el alcance en trminos de la
naturaleza, tamao y complejidad de la organizacin.
Sistema de Gestin de la Continuidad de Negocio: establecer,
implementar, mantener y mejorar el SGCN de forma continua,
incluyendo los procesos necesarios en conformidad con los requisitos de
esta norma.

Planificacin en la prctica
Las acciones para cubrir riesgos y oportunidades deben ser:

Determinar los riesgos y oportunidades que necesitan ser abordados para

que el sistema pueda alcanzar los resultados previstos.
Reducir los riesgos (efectos no deseados).
Planificar, integrar e implementar las acciones necesarias en los procesos
del SGCN.

Los objetivos de la continuidad de negocio se pueden alcanzar:

Asegurando que se establecen y se comunican las funciones y los niveles

pertinentes.
Siendo consistente con la poltica definida.
Considerando el nivel mnimo aceptable por la organizacin.
Monitoreando y actualizando, segn sea apropiado.
Determinado responsabilidades, actividades a realizar, recursos
necesarios y evaluacin de resultados.

Liderazgo en la prctica
Existe un compromiso de la direccin para garantizar:

Que los objetivos y polticas del SGCN son compatibles con la estrategia
de la organizacin y se integran a sus procesos de negocio.
 La provisin de los recursos necesarios, orientando y apoyando a las
personas en la comunicacin de la importancia del sistema.
Que el sistema obtiene los resultados esperados y fomente el
mejoramiento continuo

Apoyo
Determinar y proporcionar los recursos necesarios.
Asegurar que las personas sean competentes, considerando la
educacin, formacin y experiencia, tomando acciones para que ellas
adquieran dicha competencia.
Toma de conciencia: conocer su rol durante los incidentes de
interrupcin y las consecuencias de su incumplimiento.
Determinar las comunicaciones internas y externas necesarias (qu,
cundo, a quin) garantizando la disponibilidad de los medios de
comunicacin.
Informacin documentada: respecto al desarrollo, actualizacin, control
(distribucin, almacenamiento, versiones), disponibilidad y proteccin
(acceso y modificacin).

Funcionamiento
Debe existir una planificacin, ejecucin y control de los procesos necesarios
para implementar las acciones definidas, cambios planificados e imprevistos

Respecto al anlisis de impacto en el negocio y apreciacin del riesgo

debemos establecer, implementar y mantener un proceso formal y
documentado realizando una evaluacin de riesgo.

Anlisis de impacto:

Identificacin de actividades que apoyan la prestacin de productos y

servicios.
Evaluacin de los impactos del tiempo de interrupcin.
Identificacin de las dependencias y recursos.

Evaluacin de riesgo:

Identificar los riesgos de interrupcin de activos, sistemas, informacin,

personas y proveedores.
 Analizar y evaluar los riesgos relacionados con la interrupcin que
requieran el tratamiento.

La estrategia de continuidad de negocio, debe estar basada en el resultado

del anlisis de impacto y la evaluacin del riesgo, cumplir con los tiempos
definidos, as como mitigar, responder y gestionar los impactos.

Evaluacin de desempeo
Realizar una evaluacin de procedimientos de continuidad:

En forma peridica mediante revisiones, ejercicios, informes post-

incidentes y evaluaciones de desempeo, reflejando los cambios
significativos en los procedimientos en forma oportuna.
Cumplimiento de requisitos legales y reglamentarios.
Permite tomar medidas proactivas, antes de que se produzca una no
conformidad.

La auditora interna permite:

La objetividad, imparcialidad y competencia para el proceso.

Definir los criterios y alcance de cada auditora, conservando evidencias.
Intervalos planificados para informar si el SGCN est en conformidad
con los requisitos propios establecidos por la organizacin y por esta
norma.

Mejoramiento
Identificar las no conformidades, determinar las causas y tomar las
medidas necesarias para controlarlas y corregirlas.
Revisar la eficacia de las acciones correctivas establecidas.
Mantener evidencias.
Mejorar continuamente la idoneidad, adecuacin y eficacia del SGCN.

2 METODOLOGA DE GESTIN DEL RIESGO

2.1 MAGERIT
Es la metodologa de anlisis y gestin de riesgos elaborada por el
Consejo Superior de Administracin Electrnica, como respuesta a la
percepcin de que la Administracin, y, en general, toda la sociedad,
dependen de forma creciente de las tecnologas de la informacin para el
cumplimiento de su misin.

La razn de ser de MAGERIT est directamente relacionada con la

generalizacin del uso de las tecnologas de la informacin, que supone
unos beneficios evidentes para los ciudadanos; pero tambin da lugar a
ciertos riesgos que deben minimizarse con medidas de seguridad que
generen confianza.

MAGERIT interesa a todos aquellos que trabajan con informacin digital

y sistemas informticos para tratarla. Si dicha informacin, o los servicios
que se prestan gracias a ella, son valiosos, MAGERIT les permitir saber
cunto valor est en juego y les ayudar a protegerlo. Conocer el riesgo
al que estn sometidos los elementos de trabajo es, simplemente,
imprescindible para poder gestionarlos. Con MAGERIT se persigue una
aproximacin metdica que no deje lugar a la improvisacin, ni dependa
de la arbitrariedad del analista.

El anlisis y gestin de los riesgos es un aspecto clave del Real Decreto

3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica que tiene la
finalidad de poder dar satisfaccin al principio de proporcionalidad en el
cumplimiento de los principios bsicos y requisitos mnimos para la
proteccin adecuada de la informacin. MAGERIT es un instrumento para
facilitar la implantacin y aplicacin del Esquema Nacional de Seguridad.

Siguiendo la terminologa de la normativa ISO 31000, Magerit responde a

lo que se denomina Proceso de Gestin de los Riesgos dentro del
Marco de Gestin de Riesgos. En otras palabras, MAGERIT implementa
el Proceso de Gestin de Riesgos dentro de un marco de trabajo para que
los rganos de gobierno tomen decisiones teniendo en cuenta los riesgos
derivados del uso de tecnologas de la informacin.
 Hay varias aproximaciones al problema de analizar los riesgos soportados
por los sistemas TIC: guas informales, aproximaciones metdicas y
herramientas de soporte. Todas buscan objetivar el anlisis de riesgos
para saber cun seguros (o inseguros) son los sistemas y no llamarse a
enga-o. El gran reto de todas estas aproximaciones es la complejidad
del problema al que se enfren-tan; complejidad en el sentido de que hay
muchos elementos que considerar y que, si no se es riguroso, las
conclusiones sern de poco fiar. Es por ello que en Magerit se persigue
una aproxi-macin metdica que no deje lugar a la improvisacin, ni
dependa de la arbitrariedad del analista.

MAGERIT PERSIGUE LOS SIGUIENTES OBJETIVOS:

Directos:

1. Concienciar a los responsables de las organizaciones de

informacin de la existencia de riesgos y de la necesidad de gestionarlos

2. Ofrecer un mtodo sistemtico para analizar los riesgos derivados

del uso de tecnologas de la informacin y comunicaciones (TIC)

3. Ayudar a descubrir y planificar el tratamiento oportuno para

mantener los riesgos bajo control

Indirectos:

1. Preparar a la Organizacin para procesos de evaluacin,

auditora, certificacin o acreditacin, segn corresponda en cada caso
 Tambin se ha buscado la uniformidad de los informes que recogen los
hallazgos y las conclusiones de las actividades de anlisis y gestin de
riesgos:

Modelo de valor

Caracterizacin del valor que representan los activos para la Organizacin as

como de las dependencias entre los diferentes activos.

Mapa de riesgos

Relacin de las amenazas a que estn expuestos los activos.

Declaracin de aplicabilidad

Para un conjunto de salvaguardas, se indica sin son de aplicacin en el

sistema de informacin bajo estudio o si, por el contrario, carecen de sentido.

Evaluacin de salvaguardas

Evaluacin de la eficacia de las salvaguardas existentes en relacin al riesgo

que afrontan.

Estado de riesgo

Caracterizacin de los activos por su riesgo residual; es decir, por lo que

puede pasar to-mando en consideracin las salvaguardas desplegadas.

Informe de insuficiencias

Ausencia o debilidad de las salvaguardas que aparecen como oportunas para

reducir los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del
sistema, entendidas como puntos dbilmente protegidos por los que las
amenazas podran materializarse.

Cumplimiento de normativa

Satisfaccin de unos requisitos. Declaracin de que se ajusta y es conforme

a la normativa correspondiente.
 Plan de seguridad

Conjunto de proyectos de seguridad que permiten materializar las decisiones

de tratamiento de riesgos

CMO DEFINE MAGERIT EL PROCESO DE ANLISIS DE RIESGOS?

A la hora de llevar a cabo un proyecto de anlisis y gestin de riesgos de

acuerdo con MAGERIT proponen 3 etapas diferenciadas:

1. Planificacin del proyecto

2. Anlisis de riesgos

3. Gestin de riesgos

2.2 RISKPAC
Todas las metodologas que se desarrollan en la actualidad estn pensadas
para su aplicacin en herramientas. La primera de esta familia la desarroll
PROFILE ANLISIS CORPORATION, y la primera instalacin en cliente data
de 1984. Segn DATAPRO es el software ms vendido. Su enfoque es
metodologa cualitativa. Sus resultados son exportables a procesadores de
texto, bases de datos, hoja electrnica o sistemas grficos. Est estructurada
en tres niveles: Entorno, Procesador y Aplicaciones con 26 categoras de
riesgo en cada nivel. Tiene un Qu pasa si...? con un nivel de riesgo de
evaluacin subjetiva del 1 al 5 y ofrece una lista de contramedidas o
recomendaciones bsicas para ayudar al informe final o plan de acciones.

RISKPAC es un programa automatizado de anlisis de riesgos que puede

detectar y ayudar a eliminar vulnerabilidades en la seguridad de los datos.
Una conjuncin de sistema experto y facilidad de uso, RiskPAC automatiza el
proceso de evaluacin de riesgo y ayuda a determinar la seguridad, auditora
y los controles de management deben ejecutarse para reducir la exposicin al
riesgo.

Permite modificar los cuestionarios estndar provistos por CSCI, o

desarrollar sus propios cuestionarios para automatizar una metodologa
manual. Permite desarrollar una librera de recomendaciones propia para
acciones correctivas, scoring de nivel de control de riesgos, desarrollo de
pantallas de ayuda dentro de RISKPAC, generacin de reportes.

CARACTERISTICAS

Documente de acuerdo con las especificaciones ISO 14971, sin ningn

gasto adicional. Compile sus archivos de gestin de riesgos de forma
cmoda y a prueba de auditora con el RiskPack.

Le ahorra el retroceso / retroceso manual de los riesgos, las medidas de

control de riesgos y la implementacin y verificacin.

Le brinda una visin general rpida de cmo est "listo para la auditora"
su archivo de gestin de riesgos.

Le ayuda a crear un archivo de gestin de riesgos que cumpla con los

requisitos de la FDA e ISO 14971.
COMO FUNCIONA?

2.3 OCTAVE

Una evaluacin efectiva de riesgos en la seguridad de la informacin

considera tanto los temas organizacionales como los tcnicos, examina
cmo la gente emplea la infraestructura en forma diaria. La evaluacin es
de vital importancia para cualquier iniciativa de mejora en seguridad,
porque genera una visin a lo ancho de la organizacin de los riesgos de
seguridad de la informacin, proveyndonos de una base para mejorar a
partir de all. Para que una empresa comprenda cules son las
necesidades de seguridad de la informacin, OCTAVE es una tcnica de
planificacin y consultora estratgica en seguridad basada en el riesgo.

En contra de la tpica consultora focalizada en tecnologa, que tiene

como objetivo los riesgos tecnolgicos y el foco en los temas tcticos, el
objetivo de OCTAVE es el riesgo organizacional y el foco son los temas
relativos a la estrategia y a la prctica. Cuando se aplica OCTAVE, un
pequeo equipo de gente desde los sectores operativos o de negocios
hasta los departamentos de tecnologa de la informacin (IT) trabajan
juntos dirigidos a las necesidades de seguridad, balanceando tres
aspectos: Riesgos Operativos, Prcticas de seguridad Y Tecnologa.

HISTORIA Y EVOLUCIN
 OCTAVE apunta a dos aspectos diferentes: riesgos operativos y prcticas
de seguridad. La tecnologa es examinada en relacin a las prcticas de
seguridad, permitiendo a las compaas tomar decisiones de proteccin
de informacin basados en los riesgos de confidencialidad, integridad y
disponibilidad de los bienes relacionados a la informacin crtica.

El mtodo OCTAVE permite la comprensin del manejo de los recursos,

identificacin y evaluacin de riesgos que afectan la seguridad dentro de
una organizacin. Exige llevar la evaluacin de la organizacin y del
personal de la tecnologa de la informacin por parte del equipo de anlisis
mediante el apoyo de un patrocinador interesado en la seguridad.

El mtodo OCTAVE se enfoca en tres fases para examinar los problemas

organizacionales y tecnolgicos:

Identificacin de la informacin a nivel gerencial.

Identificacin de la informacin a nivel operacional.

Identificacin de la informacin a nivel de usuario final.

Estos tres pasos dan lugar a otros 5 procesos para completar los 8
puntos de los que consta OCTAVE:

Consolidacin de la informacin y creacin de perfiles de amenazas.

Identificacin de componentes claves.

Evaluacin de componentes seleccionados.

Anlisis de riesgos de los recursos crticos.

Desarrollo de estrategias de proteccin.

2.3.1 DESCRIPCION GENERAL DE OCTAVE

Hay tres mtodos OCTAVE:

Los mtodos de OCTAVE se basan en los criterios del estndar con

un enfoque en la prctica y evaluacin de la seguridad basada en la
informacin de riesgo. Estos criterios establecen los principios
fundamentales y los atributos de gestin de riesgos que son utilizados
por los mtodos de OCTAVE.

2.3.1.1. METODO CLAVE

El mtodo fue desarrollado teniendo en cuenta grandes
organizaciones de 300 ms empleados, pero el tamao no fue
la nica consideracin. Por ejemplo, las grandes organizaciones
suelen tener una jerarqua de mltiples capas y es probable que
mantengan su propia infraestructura informtica, junto con la
capacidad interna para ejecutar herramientas de evaluacin de la
vulnerabilidad e interpretar los resultados en relacin a los activos
crticos. El mtodo utiliza una ejecucin en tres fases que examina
las cuestiones organizacionales y tecnolgicas, monta una visin
clara de la organizacin y sus necesidades de informacin y
seguridad de la misma. Se compone de una serie de talleres,
facilitados o llevados a cabo por un equipo de anlisis
interdisciplinario de tres a cinco personas de la propia
organizacin. El mtodo aprovecha el conocimiento de mltiples
niveles de la organizacin, centrndose en:

Identificar los elementos crticos y las amenazas a esos activos.

La identificacin de las vulnerabilidades, tanto organizativas y

tecnolgicas, que exponen a las amenazas, creando un riesgo a
la organizacin.

El desarrollo de una estrategia basada en la proteccin de

prcticas y planes de mitigacin de riesgos para apoyar la misin
de la organizacin y las prioridades.

Estas actividades son apoyadas por un catlogo de buenas

prcticas, as como encuestas y hojas de clculo que se puede
utilizar para obtener y captar informacin durante los debates y la
solucin de sesiones-problema.

Gua para la implementacin:

 Proporciona todo lo que un equipo de anlisis de necesidades
debe utilizar para llevar a cabo una evaluacin de su organizacin.
Incluye un conjunto completo de procesos detallados, hojas de
trabajo, y las instrucciones para cada paso en el mtodo, as como
material de apoyo y orientacin para la ejecucin.

Material Introductorio Material del Mtodo Materiales Adicionales

Preparacin de la direccin. Para cada fase y proceso: Libro perfil de Activos.

Adaptacin de la direccin.Resumen. Catlogo de prcticas.

Directrices detalladas.
Administracin superior de Hojas de trabajo. OCTAVE de flujo de datos.
informacin. Diapositivas y apuntes.
Completos ejemplos de
Participantes de informacin resultados.

2.3.1.2. METODO OCTAVE-S:

Fue desarrollado en respuesta a las necesidades de
organizaciones ms pequeas alrededor de 100 personas o
menos. Cumple con los mismos criterios que el mtodo Octave
pero est adaptado a los limitados medios y restricciones nicas de
las pequeas organizaciones. Octave-S utiliza un proceso
simplificado y ms hojas de trabajo diferentes, pero produce el
mismo tipo de resultados. Las dos principales diferencias en esta
versin de Octave son:

- Octave-S requiere un pequeo equipo de 3-5 personas que

entienden la amplitud y profundidad de la empresa. Esta versin no
comienza con el conocimiento formal sino con la obtencin de
talleres para recopilar informacin sobre los elementos
importantes, los requisitos de seguridad, las amenazas y las
 prcticas de seguridad. El supuesto es que el equipo de anlisis de
esta informacin ya se conoce.

- Octave-S incluye slo una exploracin limitada de la infraestructura

informtica. Las pequeas empresas con frecuencia externalizan
sus procesos de TI por completo y no tienen la capacidad de
ejecutar o interpretar los resultados de las herramientas de
vulnerabilidad.

Gua de implementacin:

Proporciona la mayor parte de lo que necesita un equipo de anlisis

para llevar a cabo una evaluacin. Incluye hojas de trabajo y
orientaciones para cada actividad, as como una introduccin, la
gua de preparacin, y un ejemplo completo. No se incluye an la
adaptacin de orientacin a reuniones o de informacin.

Material Introductorio Material del Mtodo Materiales Adicionales

Introduccin. Para cada fase y proceso: Los ejemplos de resultados
Directrices. completos.
Preparacin de Orientacin.
Hojas de Trabajo.

2.3.1.3. METODO OCTAVE ALLEGRO:

Es una variante simplificada del mtodo de Octave que se centra
en los activos de la informacin. Igual que los anteriores mtodos
de Octave, Allegro se puede realizar de entrada en un taller de
entorno colaborativo, pero tambin es muy apropiado para las
personas que desean realizar la evaluacin de riesgo sin una
amplia participacin de la organizacin o experiencia. Debido a que
el enfoque principal de Octave Allegro es el activo de la
informacin, la organizacin de otros importantes activos se
identifican y evalan en funcin de los activos de informacin a la
que estn conectados. Este proceso elimina la posible confusin
sobre el alcance y reduce la posibilidad de que la recoleccin de
datos y de anlisis se realice para los activos que no estn
 claramente definidos, fuera del alcance de la evaluacin, o que
necesitan ms de la descomposicin. Consta de ocho pasos
organizados en cuatro fases:

Fase 1 - Evaluacin de los participantes desarrollando criterios de

medicin del riesgo con las directrices de la organizacin: la misin
de la organizacin, los objetivos y los factores crticos de xito.

Fase 2 - Cada uno de los participantes crean un perfil de los activos

crticos de informacin, que establece lmites claros para el activo,
identifica sus necesidades de seguridad, e identifica todos sus
contenedores.

Fase 3 - Los participantes identifican las amenazas a la informacin

de cada activo en el contexto de sus contenedores.

Fase 4 - Los participantes identifican y analizan los riesgos para los

activos de informacin y empiezan a desarrollar planes de
mitigacin.

2.3.2 CARACTERISTICAS Y VENTAJAS DE LOS METODOS

Es dirigido a equipos pequeos de trabajo a travs de las unidades
de negocio y de TI de la organizacin con el fin de trabajar juntos para
abordar las necesidades de seguridad de la organizacin. Cada
mtodo se puede adaptar a una organizacin en un nico entorno de
riesgo, la seguridad, resistencia a los objetivos y el nivel de habilidad.
Octave traslad a la organizacin hacia una visin basada en el riesgo
operativo de la seguridad y las direcciones de la tecnologa en un
contexto de negocios.

Fases:

VSAN: Valoracin de Seguridad de Alto Nivel.

VSA: Valoracin de Seguridad de Aplicaciones.

VSR: Valoracin de Seguridad de Redes.

VSS: Valoracin de Seguridad de Servidores.

 VST: Valoracin de Seguridad de Telecomunicaciones

2.4. GESTION DE RIESGO BAJO EL ENFOQUE DE PMI

La Gestin de los Riesgos del Proyecto incluye los procesos relacionados

con llevar a cabo la planificacin de la gestin, la identificacin, el anlisis,
la planificacin de respuesta a los riesgos, as como su monitoreo y control
en un proyecto. Los objetivos de la Gestin de los Riesgos del Proyecto
son aumentar la probabilidad y el impacto de eventos positivos, y disminuir
la probabilidad y el impacto de eventos negativos para el proyecto.

Estos procesos interactan entre s y con los procesos de las otras reas
de conocimiento. Cada proceso puede implicar el esfuerzo de una o ms
personas, dependiendo de las necesidades del proyecto. Cada proceso
se ejecuta por lo menos una vez en cada proyecto y en una o ms fases
del proyecto, en caso de que el mismo est dividido en fases. Aunque los
procesos se presentan aqu como elementos diferenciados con interfaces
bien definidas, en la prctica se superponen e interactan de formas que
no se detallan aqu.

Los riesgos de un proyecto se ubican siempre en el futuro. Un riesgo es

un evento o condicin incierta que, si sucede, tiene un efecto en por lo
menos uno de los objetivos del proyecto. Los objetivos pueden incluir el
alcance, el cronograma, el costo y la calidad.

El evento de riesgo es que la agencia que otorga el permiso puede tardar

ms de lo previsto en emitir el permiso o, en el caso de una oportunidad,
que la cantidad limitada de personal disponible asignado al proyecto
pueda terminar el trabajo a tiempo y, por consiguiente, realizar el trabajo
con una menor utilizacin de recursos. Si alguno de estos eventos
inciertos se produce, puede haber un impacto en el costo, el cronograma
o el desempeo del proyecto. Las condiciones de riesgo podran incluir
aspectos del entorno del proyecto o de la organizacin que pueden
contribuir a poner en riesgo el proyecto, tales como prcticas deficientes
de direccin de proyectos, la falta de sistemas de gestin integrados, la
concurrencia de varios proyectos o la dependencia de participantes
externos que no pueden ser controlados.

Los riesgos del proyecto tienen su origen en la incertidumbre que est

presente en todos los proyectos. Los riesgos conocidos son aqullos que
han sido identificados y analizados, lo que hace posible planificar
respuestas para tales riesgos.

Para tener xito, la organizacin debe comprometerse a tratar la gestin

de riesgos de una manera proactiva y consistente a lo largo del proyecto.
Debe hacerse una eleccin consciente a todos los niveles de la
organizacin para identificar activamente y perseguir una gestin eficaz
durante la vida del proyecto. Los riesgos existen desde el momento en
que se concibe un proyecto. Avanzar en un proyecto sin adoptar un
enfoque proactivo en materia de gestin de riesgos aumenta el impacto
que puede tener la materializacin de un riesgo sobre el proyecto y que,
potencialmente, podra conducirlo al fracaso.

El Grfico 8-1 brinda una descripcin general de los procesos de Gestin

de los Riesgos del Proyecto, a saber:

2.4.1 PLANEAMIENTO DE GESTION DE RIESGOS

Planificar la Gestin de Riesgos es el proceso por el cual se define
cmo realizar las actividades de gestin de riesgos para un proyecto.
Una planificacin cuidadosa y explcita mejora la probabilidad de
xito de los otros cinco procesos de gestin de riesgos. La
planificacin de los procesos de gestin de riesgos es importante
para asegurar que el nivel, el tipo y la visibilidad de gestin de riesgos
sean acordes tanto con los riesgos como con la importancia del
proyecto para la organizacin.

La planificacin tambin es importante para proporcionar los

recursos y el tiempo suficientes para las actividades de gestin de
riesgos y para establecer una base acordada para evaluar los
riesgos. El proceso Planificar la Gestin de Riesgos debe iniciarse
tan pronto como se concibe el proyecto y debe completarse en las
fases tempranas de planificacin del mismo
2.4.2 IDENTIFICACION DE RIESGOS
Identificar los Riesgos es el proceso por el cual se determinan los
riesgos que pueden afectar el proyecto y se documentan sus
caractersticas. Entre las personas que participan en la identificacin
de riesgos se pueden incluir: el director del proyecto, los miembros
del equipo del proyecto, el equipo de gestin de riesgos (si est
asignado), clientes, expertos en la materia externos al equipo del
proyecto, usuarios finales, otros

Directores del proyecto, interesados y expertos en gestin de

riesgos. Identificar los Riesgos es un proceso iterativo debido a que
se pueden descubrir nuevos riesgos o pueden evolucionar conforme
el proyecto avanza a lo largo de su ciclo de vida. La frecuencia de
iteracin y quines participan en cada ciclo vara de una situacin a
otra. El formato de las declaraciones de riesgos debe ser consistente
para asegurar la capacidad de comparar el efecto relativo de un
evento de riesgo con otros eventos en el marco del proyecto. El
proceso debe involucrar al equipo del proyecto de modo que pueda
desarrollar y mantener un sentido de propiedad y responsabilidad
por los riesgos y las acciones de respuesta asociadas. Los
interesados externos al equipo del proyecto pueden proporcionar
informacin objetiva adicional.

2.4.3 ANALISIS CUALITATIVO DE RIESGOS

Realizar el Anlisis Cualitativo de Riesgos es el proceso que consiste
en priorizar los riesgos para realizar otros anlisis o acciones
posteriores, evaluando y combinando la probabilidad de ocurrencia
y el impacto de dichos riesgos. Las organizaciones pueden mejorar
el desempeo del proyecto concentrndose en los riesgos de alta
prioridad.

El proceso Realizar el Anlisis Cualitativo de Riesgos evala la

prioridad de los riesgos identificados usando la probabilidad relativa
de ocurrencia, el impacto correspondiente sobre los objetivos del
proyecto si los riesgos se presentan, as como otros factores, tales
 como el plazo de respuesta y la tolerancia al riesgo por parte de la
organizacin asociados con las restricciones del proyecto en cuanto
a costos, cronograma, alcance y calidad. Realizar el Anlisis
Cualitativo de Riesgos es por lo general un medio rpido y
econmico de establecer prioridades para la planificacin de la
respuesta a los riesgos y sienta las bases para realizar el anlisis
cuantitativo de riesgos, si se requiere.

2.4.4 ANALISIS CUALITATIVO DE RIESGOS

Realizar el Anlisis Cuantitativo de Riesgos es el proceso que
consiste en analizar numricamente el efecto de los riesgos
identificados sobre los objetivos generales del proyecto. El proceso
Realizar el Anlisis Cuantitativo de Riesgos se aplica a los riesgos
priorizados mediante el proceso Realizar el Anlisis Cualitativo de
Riesgos por tener un posible impacto significativo sobre las
demandas concurrentes del proyecto.

Tambin presenta un enfoque cuantitativo para tomar decisiones en

caso de incertidumbre. Por lo general, el proceso Realizar el Anlisis
Cuantitativo de Riesgos se realiza despus del proceso Realizar el
Anlisis Cualitativo de Riesgos. En algunos casos, es posible que el
proceso Realizar el Anlisis Cuantitativo de Riesgos no sea
necesario para desarrollar una respuesta efectiva a los riesgos. La
disponibilidad de tiempo y presupuesto, as como la necesidad de
declaraciones cualitativas o cuantitativas acerca de los riesgos y sus
impactos, determinarn mtodos emplear para un proyecto en
particular. Las tendencias pueden indicar la necesidad de ms o
menos acciones en materia de gestin de riesgos.

2.4.5 PLANEAMIENTO DE RESPUESTAS

Planificar la Respuesta a los Riesgos es el proceso por el cual se
desarrollan opciones y acciones para mejorar las oportunidades y
reducir las amenazas a los objetivos del proyecto. Se realiza
despus de los procesos Realizar el Anlisis Cualitativo de Riesgos
 y Realizar el Anlisis Cuantitativo de Riesgos (en el caso de que ste
se aplique). Incluye la identificacin y asignacin de una persona (el
propietario de la respuesta a los riesgos) para que asuma la
responsabilidad de cada respuesta a los riesgos acordada y
financiada.

Las respuestas a los riesgos planificadas deben adaptarse a la

importancia del riesgo, ser rentables con relacin al desafo por
cumplir, realistas dentro del contexto del proyecto, acordadas por
todas las partes involucradas y deben estar a cargo de una persona
responsable. Tambin deben ser oportunas. A menudo, se requiere
seleccionar la mejor respuesta a los riesgos entre varias opciones.

La seccin Planificar la Respuesta a los Riesgos presenta las

metodologas utilizadas comnmente para planificar las respuestas
a los riesgos. Los riesgos incluyen las amenazas y las oportunidades
que pueden afectar el xito del proyecto, y se debaten las respuestas
para cada una de ellas.

2.4.6 MONITOREO Y CONTROL DE RIESGOS PMI

Monitorear y Controlar los Riesgos es el proceso por el cual se

implementan planes de respuesta a los riesgos, se rastrean los
riesgos identificados, se monitorean los riesgos residuales, se
identifican nuevos riesgos y se evala la efectividad del proceso
contra los riesgos a travs del proyecto. Las respuestas a los riesgos
planificadas que se incluyen en el plan para la direccin del proyecto
se ejecutan durante el ciclo de vida del proyecto, pero el trabajo del
proyecto debe monitorearse continuamente para detectar riesgos
nuevos, riesgos que cambian o que se vuelven obsoletos.

El proceso Monitorear y Controlar los Riesgos aplica tcnicas, tales

como el anlisis de variacin y de tendencias, que requieren el uso
de informacin del desempeo generada durante la ejecucin del
 proyecto. Otras finalidades del proceso Monitorear y Controlar los
Riesgos son determinar si:

Los supuestos del proyecto siguen siendo vlidos

Los anlisis muestran que un riesgo evaluado ha cambiado o

puede descartarse

Se respetan las polticas y los procedimientos de gestin de

riesgos

Las reservas para contingencias de costo o cronograma deben

modificarse para alinearlas con la evaluacin actual de los riesgos.

El proceso Monitorear y Controlar los Riesgos puede implicar la

seleccin de estrategias alternativas, la ejecucin de un plan de
contingencia o de reserva, la implementacin de acciones
correctivas y la modificacin del plan para la direccin del proyecto.
Monitorear y Controlar los Riesgos tambin incluye una actualizacin
a los activos de los procesos de la organizacin, incluidas las bases
de datos de las lecciones aprendidas del proyecto y las plantillas de
gestin de riesgos para beneficio de proyectos futuros.

2.5. PRIMA
Prevencin de Riesgos Informticos con Metodologa Abierta.

Es una metodologa de clasificacin de la informacin y de obtencin de

los procedimientos de control y pretende:

Cubrir necesidades de los proyectos de un plan de seguridad

Ser adaptable
Determinar cuestionarios para identificar fallas de controles
Proporcionar un sistema de ayuda

2.5.1. OBJETIVOS
Establecer y mejorar un entramado de contramedidas que
garanticen que la probabilidad de que las amenazas se
materialicen en hechos (por falta de control) sea lo ms baja
posible o al menos quede reducida de una forma razonable en
costo beneficio.
2.5.2. PASOS PARA LA METODOLOGIA PRIMA
Identificacin de la informacin.
Inventario de entidades de informacin residente y operativa.
Inventario de programas, ficheros de datos, soporte de
informacin.
Identificacin de propietarios. Son los que necesitan para su
trabajo, usan o custodian la informacin.
Definicin de jerarquas de informacin. Suelen ser cuatro.
Definicin de la matriz de clasificacin. Consiste en definir las
polticas, estndares por tipos y jerarquas de informacin.
Confeccin de la matriz de clasificacin. Se relaciona cada
entidad de informacin con los elementos que se correlacin
(transaccin, ficheros, soportes, propietarios, jerarqua).
Realizacin del plan de acciones. Se confecciona el plan de
acciones.
Implantacin y mantenimiento. Se implanta el plan de
acciones y se mantiene actualizado.

Todos estos riegos podemos:

Evitarlos: No construir un centro donde exista peligro

constante de inundaciones.
Transferirlos: Uso de un centro de clculo contratado.
Reducirlos: Sistema de deteccin y extincin de incendios.
Asumirlos: Que es lo que hacemos si no se controla el riesgo
en absoluto.

2.5.3. CARACTERISTICAS
Cubrir las necesidades de los profesionales que desarrollan
cada uno de los proyectos necesarios de un plan de
seguridad.
Fcilmente adaptable a cualquier tipo de herramienta.
 Posee cuestionarios de preguntas para la identificacin de
debilidades o faltas de controles.
Posee listas de ayuda para los usuarios menos
experimentados de debilidades, riesgos y contramedidas.
Permite fcilmente la generacin de informes finales.
Las listas de ayuda y los cuestionarios son abiertos.