Nuevos estándares comentados: BS 31100, BS 25777-1, ISO 27005 ISO 28000
La “Gestión del Riesgo” en todos los quehaceres organizacionales se esta convirtiendo en un requerimiento para el aumento de la competitividad de la empresa.
Si la empresa esta inmiscuida en la instauración de un modelo de seguridad de información como el ISO 27001:2005 el concepto y manejo del riesgo de los activos de información es fundamental. Si la empresa esta involucrada en la implantación de un sistema de manejo de continuidad del negocio, tal como el modelo BS 25999-2:2007 o el BS 25777-1:2008, el manejo adecuado de los riesgos de las actividades críticas del negocio es importantísima.
Han aparecido una serie de estándares, que tienen impacto en los nuevos mercados internacionales.
BS 31100:2008 Gestión del Riesgo. Código de Buenas Prácticas
El BS 31100 es un estándar clave para la gestión del riesgo. Da un excelente entendimiento sobre como desarrollar, implementar y mantener una efectiva gestión del riesgo en las organizaciones. La utilización efectiva del BS 31100 ayudará a incrementar la eficacia de las organizaciones.
Organizaciones de todo tipo y tamaños se ven envueltas con riesgos que afectan el logro de sus objetivos. Usualmente el “riesgo” tiene una connotación negativa. La gestión del riesgo tiene que ver con la explotación de oportunidades potenciales así como la de prevenir problemas.
La efectiva gestión del riesgo, puede permitir alcanzar los objetivos organizacionales, de la siguiente manera:
El BS 31100 provee recomendaciones para el proceso e implementación de la gestión del riesgo en la empresa.
El estándar puede obtenerse PULSANDO AQUÍ
Norma BS 25777-1:2008 sobre Gestión de la Continuidad del Negocio TIC
En Diciembre del 2008, se publicó la norma BS 25777:2008, un código de buenas prácticas sobre Gestión de la Continuidad en Tecnología de Información y Comunicación (TIC). Una norma relacionada con la ya publicada BS 25999-2:2007 sobre continuidad de negocio, define un código de buenas prácticas sobre continuidad centrado en las infraestructuras TIC de las organizaciones.
La aparición de una norma de estas características es muy importante por dos razones fundamentales. La primera de ellas es que va a servir para separar formalmente la continuidad TIC de la continuidad de negocio, así se evitará las confusiones al respecto.
La segunda razón, es que esta norma detalla un marco mucho más definido de actuación en materia de continuidad TIC. Esta nueva norma, centrada en el ámbito tecnológico, permitirá disponer de una referencia mucho más útil a la hora de hablar de continuidad en entornos TI.
Habrá que hacer seguimiento a partir de ahora a los movimientos en el sector en torno a esta nueva norma. Sobre todo porque, siguiendo la filosofía clásica de las normas BS, se prevé que para finales de este año aparezca la parte 2 de la norma, que ya será una especificación de los requerimientos necesarios para desarrollar un Sistema de Gestión de la Continuidad TIC, y por tanto un esquema certificable específico para la continuidad TIC, con el interés que estos temas pueden despertar.
El estándar puede obtenerse PULSANDO AQUÍ
ISO/IEC 27005:2008 Tecnología de Información – Técnicas de seguridad – Gestión de Riesgos de Seguridad de Información
El ISO/IEC 27005:2008 provee lineamientos para la gestión del riesgo para la seguridad de información. Apoya los conceptos generales especificados en el ISO/IEC 27001 y esta diseñada para asistir a la implementación adecuada de seguridad de la información basada en un enfoque de gestión del riesgo.
El ISO/IEC 27005:2008 es aplicable a todo tipo de organización, que intente gestionar sus riesgos que pudieran comprometer la seguridad de información de la empresa.
Si la empresa esta inmiscuida en la implantación del ISO 27001:2005, su lectura y su comprensión es un requerimiento.
El Estándar Puede Obtenerse PULSANDO AQUÍ
ISO 28000:2007 - Sistemas de Gestión de la Seguridad para la Cadena
de Suministro
Aunque, en la teoría, esta norma internacional es aplicable a organizaciones de cualquier tamaño que trabajen en cualquiera de las fases de la cadena de suministro, en la práctica parece haber sido pensada fundamentalmente para la gestión de la seguridad relacionada con el transporte marítimo. Así, ya en la propia introducción, se relaciona a esta norma con la ISO 20858: Evaluaciones y Plan de Seguridad de la instalación Marítima y Portuaria. De hecho, las únicas certificaciones realizadas hasta el momento han sido las del Puerto de Houston y los terminales del operador portuario DP World en sus terminales de los puertos de Dubai y Djibouti.
El Estándar Puede Obtenerse PULSANDO AQUÍ
Autor: Alberto G. Alexander, Ph.D, CBRM, CBRA - Director Gerente
Fuente: Eficiencia Gerencial y Productividad S.A.
Si la empresa esta inmiscuida en la instauración de un modelo de seguridad de información como el ISO 27001:2005 el concepto y manejo del riesgo de los activos de información es fundamental. Si la empresa esta involucrada en la implantación de un sistema de manejo de continuidad del negocio, tal como el modelo BS 25999-2:2007 o el BS 25777-1:2008, el manejo adecuado de los riesgos de las actividades críticas del negocio es importantísima.
Han aparecido una serie de estándares, que tienen impacto en los nuevos mercados internacionales.
- El BS 31100 “Gestión del Riesgo: Código de Buenas Prácticas”,
- El BS 25777-1:2008 “Código de Buenas Prácticas para la Continuidad del Negocio en Tecnología de Información y Comunicación”,
- El ISO/IEC 27005:2008 “Gestión de Riesgos de Información, y
- El ISO 28000:2007 “Sistemas de Gestión de la Seguridad para la Cadena de Suministros”.
BS 31100:2008 Gestión del Riesgo. Código de Buenas Prácticas
El BS 31100 es un estándar clave para la gestión del riesgo. Da un excelente entendimiento sobre como desarrollar, implementar y mantener una efectiva gestión del riesgo en las organizaciones. La utilización efectiva del BS 31100 ayudará a incrementar la eficacia de las organizaciones.
Organizaciones de todo tipo y tamaños se ven envueltas con riesgos que afectan el logro de sus objetivos. Usualmente el “riesgo” tiene una connotación negativa. La gestión del riesgo tiene que ver con la explotación de oportunidades potenciales así como la de prevenir problemas.
La efectiva gestión del riesgo, puede permitir alcanzar los objetivos organizacionales, de la siguiente manera:
- Reduciendo la probabilidad de aparición de eventos que pudiesen tener un negativo impacto en el negocio.
- Incrementando la probabilidad de la aparición de eventos que pudiesen tener un positivo impacto en el negocio.
- Identificando oportunidades donde el tomar riesgos pudiese beneficiar a la empresa.
- Mejorando el proceso de toma de decisiones, transparencia y visibilidad.
El BS 31100 provee recomendaciones para el proceso e implementación de la gestión del riesgo en la empresa.
El estándar puede obtenerse PULSANDO AQUÍ
Norma BS 25777-1:2008 sobre Gestión de la Continuidad del Negocio TIC
En Diciembre del 2008, se publicó la norma BS 25777:2008, un código de buenas prácticas sobre Gestión de la Continuidad en Tecnología de Información y Comunicación (TIC). Una norma relacionada con la ya publicada BS 25999-2:2007 sobre continuidad de negocio, define un código de buenas prácticas sobre continuidad centrado en las infraestructuras TIC de las organizaciones.
La aparición de una norma de estas características es muy importante por dos razones fundamentales. La primera de ellas es que va a servir para separar formalmente la continuidad TIC de la continuidad de negocio, así se evitará las confusiones al respecto.
La segunda razón, es que esta norma detalla un marco mucho más definido de actuación en materia de continuidad TIC. Esta nueva norma, centrada en el ámbito tecnológico, permitirá disponer de una referencia mucho más útil a la hora de hablar de continuidad en entornos TI.
Habrá que hacer seguimiento a partir de ahora a los movimientos en el sector en torno a esta nueva norma. Sobre todo porque, siguiendo la filosofía clásica de las normas BS, se prevé que para finales de este año aparezca la parte 2 de la norma, que ya será una especificación de los requerimientos necesarios para desarrollar un Sistema de Gestión de la Continuidad TIC, y por tanto un esquema certificable específico para la continuidad TIC, con el interés que estos temas pueden despertar.
El estándar puede obtenerse PULSANDO AQUÍ
ISO/IEC 27005:2008 Tecnología de Información – Técnicas de seguridad – Gestión de Riesgos de Seguridad de Información
El ISO/IEC 27005:2008 provee lineamientos para la gestión del riesgo para la seguridad de información. Apoya los conceptos generales especificados en el ISO/IEC 27001 y esta diseñada para asistir a la implementación adecuada de seguridad de la información basada en un enfoque de gestión del riesgo.
El ISO/IEC 27005:2008 es aplicable a todo tipo de organización, que intente gestionar sus riesgos que pudieran comprometer la seguridad de información de la empresa.
Si la empresa esta inmiscuida en la implantación del ISO 27001:2005, su lectura y su comprensión es un requerimiento.
El Estándar Puede Obtenerse PULSANDO AQUÍ
ISO 28000:2007 - Sistemas de Gestión de la Seguridad para la Cadena
de Suministro
La Seguridad de la Cadena de Suministro contempla la presencia de peligros de cualquier tipo en las cadenas de abastecimientos. Para poder reconocer estos riesgos, es necesario un control de toda la cadena de suministros y una evaluación de los riesgos en las interfaces.
Los requisitos económicos, el alza de costos y la constante introducción de nuevas regulaciones sobre la seguridad hacen que las condiciones básicas sean cada vez más difíciles.
Los sistemas de gestión de la Seguridad para la Cadena de Suministros más efectivos se establecen, se usan y se actualizan en el contexto de un Sistema de Gestión estructurado y se incluye en todas las actividades gerenciales de la organización.
Esta norma define los requerimientos para un Sistema de Gestión de la Seguridad para la Cadena de Suministros para organizaciones de cualquier tipo que estén involucradas en las cadenas de suministros, que deban probar fehacientemente que pueden controlar los peligros para los productos terminados y transportados de modo de garantizar que dichos productos son seguros en el momento de su consumo o uso.
Se aplica a todas las organizaciones, cualquiera sea su tamaño, que quieran participar en algún eslabón de la cadena de suministros.
Ventajas de la Certificación ISO 28000
Esta certificación demuestra que una empresa u organización cumple con los requerimientos por los cuales es capaz de:
- Planificar, implementar, usar, mantener y actualizar un Sistema de Gestión para la Seguridad de la Cadena de Suministros cuyo propósito consiste en suministrar productos cuyo uso indicado esté garantizado y que éstos sean seguros para el consumidor
- Demostrar su adhesión a los requerimientos legales aplicables.
- Examinar y evaluar los requerimientos del cliente y los acuerdos que los clientes hayan hecho con terceros en referencia al producto y garantizar la seguridad del proceso para aumentar la satisfacción del cliente.
- Comunicar eficientemente los intereses de la Seguridad de la Cadena de Suministros a los proveedores y clientes y a todos los involucrados en la cadena de entrega.
- Cumplir con sus propias políticas de seguridad y declarar los acuerdos realizados.
Aunque, en la teoría, esta norma internacional es aplicable a organizaciones de cualquier tamaño que trabajen en cualquiera de las fases de la cadena de suministro, en la práctica parece haber sido pensada fundamentalmente para la gestión de la seguridad relacionada con el transporte marítimo. Así, ya en la propia introducción, se relaciona a esta norma con la ISO 20858: Evaluaciones y Plan de Seguridad de la instalación Marítima y Portuaria. De hecho, las únicas certificaciones realizadas hasta el momento han sido las del Puerto de Houston y los terminales del operador portuario DP World en sus terminales de los puertos de Dubai y Djibouti.
El Estándar Puede Obtenerse PULSANDO AQUÍ
Autor: Alberto G. Alexander, Ph.D, CBRM, CBRA - Director Gerente
Fuente: Eficiencia Gerencial y Productividad S.A.
Excelente información.
ResponderBorrarEsta información aun es valida hoy 17/Sep/2015 ?
Veo que este articulo fue publicado en el 2009
Muy buena pagina.