Las 9 certificaciones para la transformación digital

AENOR ha desarrollado un Ecosistema Digital para acompañar a las organizaciones en su proceso de transformación digital. Este ecosistema está compuesto por nueve certificaciones que abarcan cuestiones como Gobierno y gestión TIC, Gobierno, gestión y calidad de datos, y Ciberseguridad y Compliance.

  • Facebook
  • Twitter
  • Google+
  • Pinterest
  • LinkedIn

Video

Las 9 certificaciones para la transformación digital

En detalle

Experiencias

Herramienta de transformación

Francisco J. López
Director IT
Consejo General de la Abogacía Española

Las certificaciones, a pesar de ser vistas por algunas organizaciones como un requisito legal, orientadas de forma adecuada son una herramienta de gran ayuda para la transformación de las empresas.

Evolución, revolución, transformación

Carlos Adrados Bueno
Subdirector de Calidad y Cliente
Antonio Ramón García
Dirección de Transformación Digital y Sistemas
Adif

Tanto Adif como Adif AV tienen implantado un Sistema de Gestión de la Calidad ISO 9001:2015 con el que gobiernan el alcance de todos sus procesos que, siguiendo la metodología BPM, ha permitido tener identificados un total de 99 entre procesos clave, soporte y estratégicos.

Boris Delgado
Gerente TIC
Carlos Manuel Fernández
Asesor estratégico
TIC
AENOR

Miles de empresas están inmersas en su transformación digital. Se trata de un proceso que viene determinado por el auge de las tecnologías emergentes como Internet de las Cosas (IoT), cloud computing, big data o industria 4.0. Realizada correctamente, esta transformación les ayudará a mejorar la competitividad porque mejora su eficiencia.

 

Ante este reto, la dirección de las organizaciones debería plantearse al menos tres cuestiones:

 

  • ¿Los Sistemas de Información o el proyecto de Transformación Digital utiliza las mejores prácticas para conseguir sus objetivos, con un coste adecuado?
  • ¿Le preocupa a la organización si sus datos son correctos para realizar Business Inteligence e Inteligencia Artificial para tomar decisiones adecuadas?
  • ¿Conoce y gestiona adecuadamente los Ciberriesgos de la actual era digital?

 

Como respuesta a estas preguntas, AENOR propone un Ecosistema Digital que consiste en tres modelos interrelacionados que conviven entre sí para esta Nueva Era Digital. Estos tres modelos están constituidos por estándares internacionales, normas ISO, que son las mejores prácticas consensuadas por más de 150 países. (Ver figura 1)

 

El Ecosistema Digital de AENOR se fundamenta en dos grandes principios: el análisis, gestión y mitigación de los riesgos de las Tecnologías de la Información en las organizaciones; y el ciclo de mejora continua, conocido por sus siglas en inglés PDCA (Plan, Do, Check, Act).

 

Si pensamos en las actuales y futuras estructuras de los Centros de Procesos de Datos (CPD), el Modelo de Gobierno y Gestión de las TIC soporta las funciones del CPD en modo local (on premise) o externalizado-nube (outsourcing-cloud).

 

Si tenemos en cuenta que esta era digital es un cambio disruptivo, donde el dato es el petróleo del siglo XXI y elemento principal en la transformación digital de las organizaciones, el modelo de Gobierno, Gestión y Calidad del Dato da respuesta a esta revolución digital.

 

Es un hecho que la Ciberseguridad y el cumplimiento legal en tecnologías de la información es transversal a cualquier sistema/tecnología de información, por este motivo AENOR ha desarrollado el modelo de Ciberseguridad y Privacidad.

 

Como es reconocido, los sistemas de información son el eje principal para cualquier organización. Por ello, hay una interrelación entre el ecosistema y las mejores prácticas en continuidad de negocio como son la ISO 22301 –el estándar internacional que incluye los requisitos para implantar un Sistema de Gestión de Continuidad de Negocio–, que permite a las organizaciones continuar con su actividad empresarial, pública o privada, ante incidentes críticos (resiliencia).

El Ecosistema Digital de AENOR se fundamenta en dos grandes principios: el análisis, gestión y mitigación de los riesgos de las Tecnologías de la Información en las organizaciones; y el ciclo de mejora continua, conocido por sus siglas en inglés PDCA (Plan, Do, Check, Act)

Primer modelo

El primer modelo se orienta al Gobierno y Gestión de las TIC en las áreas de Buen Gobierno de TI y DEVOPS (Development-Operations: servicios de desarrollo de software y servicios de TI) para dar Calidad y Seguridad en los servicios de TI.

 

La aplicación de este modelo sirve como base para poder realizar la innovación en la transformación digital con sostenibilidad. Es decir, la innovación en la organización teniendo bien asentados los cimientos de servicios de TI.

 

Los sistemas que componen este modelo atienden a las tres áreas señaladas: Gobierno de TI, Desarrollo (Development-DEV) y Operaciones/Explotación (Explotación-OPS).

 

El área de Gobierno de TI lo abarca la certificación según el estándar ISO 38500, sobre gobernanza de TI. Su objetivo es alinear, integrar y cumplir los objetivos definidos en el plan estratégico de la organización con el plan de TIC de la misma, con eficiencia, eficacia y economía.

 

Por su parte, la Gestión de TI se compone de dos entornos conocidos como DEVOPS (Development –desarrollo de software– y Operations –servicios de TI). El área de desarrollo de software lo constituyen dos sistemas certificables:

 

  • Ingeniería/servicios de Software– SPICE-ISO 33000/ISO 12207. Tiene como objetivo la calidad en los procesos de ingeniería del Software, a través de niveles de madurez en sus procesos. Este sistema, denominado SPICE, utiliza estándares abiertos (open standard), es muy pragmático, ajustado en costes, y orientado al ciclo de vida de desarrollo del software (SDLC-Software Development Life Cycle), considerando cualquier tipo de metodología (Clásicas como cascada, iterativa o Agiles-SCRUM). Pudiéndose aplicar para cualquier factoría de software con independencia de su tamaño.
  • Calidad del Producto (Software) – ISO 25010. Determina la calidad del producto Software (aplicativos) evaluando sus diferentes características como la mantenibilidad (capacidad del producto software a ser modificado de forma eficaz, eficiente y sin errores) o la funcionalidad (capacidad del producto software a cumplir con los requisitos del usuario), etc. El área de Operaciones/explotación (OPS – Operations), lo constituyen otros dos sistemas también certificables:
  • Calidad en los servicios de TI (ISO 20000-1 – Sistema de Gestión de Servicios de TI). Su objetivo es conseguir que un proveedor de servicios de TI [CPD – on premise (local) u outsourcing (nube)] proporcione servicios de TI con una calidad adecuada, cumpliendo con los acuerdos de nivel de servicio (SLA) con sus clientes y stakeholders, a un coste apropiado
  • Seguridad en los Servicios de TI (ISO/IEC 27001, ISO/IEC 27002 – Sistema de Gestión de Seguridad de Información). Tiene como objetivo devolver la confianza a clientes y stakeholders en relación a la seguridad de los sistemas de información.

Las certificaciones de AENOR corroboran que las organizaciones avanzan correctamente en su proceso de digitalización y “datificación”

Segundo modelo

El segundo modelo se orienta al Gobierno, Gestión y Calidad de los Datos en las organizaciones. Considera al dato como el principal activo de la organización y elemento principal en la transformación digital. Es decir, es la materia prima para la inteligencia de negocio, considerando el dato como input para la ciencia analítica de los datos (Business Intelligence y la Inteligencia Artificial), tanto para Small Data como para Big Data.

 

Este modelo es Data-Driven y Customer-Centric porque ayuda al CEO (Chief Executive Officer) a conocer el valor de los datos para tomar mejores decisiones estratégicas y ejecutivas. Al CIO (Chief Information Officer) le permite destinar recursos humanos y tecnológicos para la ejecución de las actividades relacionadas con los datos. Y al CDO (Chief Data Officer) a tener identificadas formalmente responsabilidades respecto a los datos que gestiona y utiliza.

 

De esta forma, los usuarios y stakeholders pueden tener absoluta confianza de que los procesos de negocio que utilizan funcionan con datos fiables y que los resultados que se obtengan puedan satisfacer sus objetivos.

 

Los sistemas de los que se compone este modelo son tres:

 

AENOR es la única certificadora que cuenta con la acreditación de ENAC para ISO 22301, ISO/IEC 27001, ENS y eiDAS

Tercer modelo

Transversal a todo el ecosistema digital, y por tanto a los dos modelos citados, se encuentra la Ciberseguridad y el Cumplimiento legal en las Tecnologías de la Información. Este modelo ofrece soluciones a los nuevos ciberriesgos y amenazas a los que se enfrentan las organizaciones, públicas y privadas, a la hora de afrontar su transformación digital.

 

Los sistemas que componen este modelo son seis:

  • Seguridad de la información (ISO 27001 – SGSI), citada anteriormente ya se considera como una commodity para las organizaciones. Es la base de la seguridad del ecosistema digital ya que implanta la Ciberseguridad/Seguridad orientada a los procesos y objetivos del negocio considerando los riesgos de TIC (Tecnologías de la Información y Comunicaciones).
  • El sistema de gestión de seguridad de la información (SGSI) se puede complementar con la ISO 27032 que añade controles específicos para la ciberseguridad. Contempla ciberriesgos y ciberamenazas propias de esta nueva era digital, como ataques de ingeniería social, acceso no autorizado a sistemas informáticos (Hacking); o software malicioso de secuestro y cifrado de información (Ransomware). Además, incorpora controles relacionados con la seguridad en el desarrollo de software (security-by-design).
  • Ciberseguridad en cloud (seguridad y privacidad). Al SGSI se pueden incorporar las extensiones de controles que aportan seguridad (ISO 27017) y privacidad (ISO 27018) adicional para entornos cloud en cualquiera de sus modalidades (IaaS-Infraestructure as a Service, PaaS-Platform as a Service SaaS-Software as a Service).
  • Esquema Nacional de Seguridad (ENS) – El Real Decreto 3/2010 establece la política de seguridad en la utilización de medios electrónicos a través de principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Aplica a las administraciones públicas españolas y a aquellas organizaciones privadas que proveen servicios o soluciones tecnológicas a las AA.PP.
  • Reglamento General de Protección de Datos (RGPD) – UE 2016/679. El Reglamento General de Protección de Datos (RGPD) UE 2016/679, de obligado cumplimiento desde mayo 2018, establece un nuevo marco jurídico sobre la protección de los datos personales y sobre la libre circulación de los mismos. Su objetivo es ofrecer más control a los ciudadanos sobre su información personal en el entorno SMAC y la transformación digital, como ya citamos anteriormente.
  • Reglamento eIDAS-PSC (Pres-tadores de Servicios cualificados de Confianza) – UE 910/2014. El Reglamento de la UE 910/2014 relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior (eIDAS) tiene como objetivo establecer los criterios para los servicios de confianza. Determina un marco jurídico para los servicios cualificados como firma electrónica, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.

 

AENOR, como entidad certificadora internacional y líder en las certificaciones TIC en España e Iberoamérica, realiza la evaluación de conformidad con respecto a estos estándares ISO. Es decir, evalúa la correcta implantación de estos estándares considerando el tipo y tamaño de organización, su actividad y sus objetivos. La auditoría de certificación de AENOR es una herramienta de la Dirección que aporta confianza y transparencia a la organización.

 

Además, AENOR incorpora en las soluciones de certificación el mentoring y benchmarking como elementos diferenciadores y de valor añadido a sus clientes, siendo la única entidad certificadora en disponer de las acreditaciones de reconocimiento internacional por la Entidad Nacional de Acreditación–ENAC, en ISO 22301 –continuidad de negocio–, ISO/IEC 27001 –seguridad de la información–, el Real Decreto 3/2010 (ENS-Esquema Nacional de Seguridad) y el Reglamento Europeo 910/2014–eIDAS.

 

Es decir, a través de las auditorías de certificación de AENOR la alta Dirección de las organizaciones tiene una herramienta de seguimiento y comprobación de la eficacia y eficiencia de los Sistemas de Información y de su proyecto de transformación digital. AENOR les confirma años tras año que están en el buen camino hacia la digitalización y datificación.

 

El Ecosistema Digital de AENOR tiene como principio de diseño la certificación individual de cada sistema o la posible agrupación de los diferentes sistemas (como un pack o bundle de certificaciones), aportando una solución única a las necesidades de Gobierno, Gestión, Calidad y Seguridad de las TIC y los Datos.

 

Así, ejemplos de bundles podrían ser Calidad y Seguridad en los servicios de TI (ISO 20000-1 + ISO/IEC 27001); Seguridad y Privacidad en Cloud (ISO/IEC 27001 + ISO/IEC 27017 + ISO/IEC 27018); Calidad en DEVOPS (SPICE-ISO 33000 + ISO 20000-1); Ciberseguridad del Dato (ISO 27001 + ISO 25012/ISO 25024). También es posible una certificación holística de los modelos que componen el ecosistema digital.

Figura 1. Ecosistema Digital de AENOR

Figura 1. Ecosistema Digital de AENOR

Figura 2. Ciberseguridad & privacidad

Figura 2. Ciberseguridad & privacidad

Las 9 certificaciones de transformación digital

Las 9 certificaciones de transformación digital

*Desarrollado en colaboración con AQCLAB - Laboratorio acreditado por ENAC

Normas, publicaciones y cursos relacionados

Normas

 

 

Publicaciones

 

 

 

Cursos

 

 

Video. Las 9 certificaciones para la transformación digital

AENOR ha desarrollado un ecosistema digital para acompañar a las organizaciones en su proceso de transformación digital. Este ecosistema está compuesto por nueve certificaciones que abarcan cuestiones como Gobierno y gestión TIC; Gobierno, gestión y calidad de datos, y Ciberseguridad y Compliance.

Experiencias

Herramienta de transformación

Francisco J. López
Director IT
Consejo General de la Abogacía Española

Las certificaciones, a pesar de ser vistas por algunas organizaciones como un requisito legal, orientadas de forma adecuada son una herramienta de gran ayuda para la transformación de las empresas.

 

En los últimos años, en el Consejo General de la Abogacía Español hemos trabajado en certificaciones clave para la actividad profesional de más de 154.000 letrados y para la gestión de los 83 Colegios de Abogados. En el año 2010 certificamos nuestros procesos de Asistencia Jurídica Gratuita, Censo y Certificaciones con la ISO 9001. Posteriormente, en 2013, certificamos los servicios de IT según las Normas ISO/IEC 20000 e ISO/IEC 27001, y en marzo de 2014 el Consejo se convirtió en la primera institución en obtener el certificado AENOR según el Esquema Nacional de Seguridad (ENS). En noviembre de 2015 recibimos el primer certificado de AENOR al Sistema de Gestión de Evidencias Electrónicas, según la Norma UNE 71505, en nuestro producto BuroSMS (SMS con certificación de acuse de recibo). Por último, en julio de 2017, obtuvimos para nuestra Autoridad de Certificación (ACA) el certificado eIDAS.

 

Sin estar obligados a conseguir todas ellas, hemos encontrado que muchos conceptos asociados a las certificaciones nos ayudan a orientar la organización hacia la calidad. Las revisiones y auditorías periódicas, la filosofía de mejora continua, la aplicación de mejores prácticas y la orientación a procedimientos son herramientas prácticas que permiten ordenar el trabajo diario.

 

La adopción de estos estándares, en particular del ENS, nos ha permitido estar en condiciones óptimas para afrontar los requisitos de las medidas de seguridad que establece el nuevo RGPD.

 

Para conseguir estos resultados, además del imprescindible apoyo interno, hemos tenido la suerte de contar con un partner, el equipo de AENOR, que ha tenido la visión y la flexibilidad de hacernos ver que las normas están para servir al negocio y no al revés, dando un enfoque práctico y útil a los procesos. Por supuesto, hay muchas formas de hacer bien las cosas, pero a nosotros el trabajo continuo en las certificaciones nos ayuda sin duda a mejorar la organización.

Experiencias

Evolución, revolución, transformación

Carlos Adrados Bueno
Subdirector de Calidad y Cliente
Antonio Ramón García
Dirección de Transformación Digital y Sistemas
Adif

Tanto Adif como Adif AV tienen implantado un Sistema de Gestión de la Calidad ISO 9001:2015 con el que gobiernan el alcance de todos sus procesos que, siguiendo la metodología BPM, ha permitido tener identificados un total de 99 entre procesos clave, soporte y estratégicos. Además, en su búsqueda de la excelencia y mejora continua, cuenta con el Sello EFQM 500+ y ha apostado por la implantación y desarrollo de nuevos sistemas de gestión. Es el caso de las certificaciones ISO 20000-1 de Gestión del Servicio TI, recientemente obtenida, e ISO 27001 de Gestión de la Seguridad de la Información, que abren el camino a otros aspectos relacionados con la ciberseguridad y el servicio especializado al cliente en las tecnologías de información, que previsiblemente podrán abordarse de una manera más sistemática en un futuro cercano al abordar el Esquema Nacional de Seguridad (ENS).

 

La transformación digital está arrastrando a todas las empresas, ya sean del sector TI o no, para que sean más rápidas en el time to market. Esto ha supuesto que la potencia en los proveedores de servicio, no solo entendida como capacidad de proceso, haya evolucionado incrementándose considerablemente. Tecnologías como DevOps y cloud computing han soportado ese incremento de exigencia de los usuarios, pero asaltan cuestiones como ¿controlamos y auditamos correctamente a nuestros proveedores cloud?, ¿las subidas a producción del departamento de desarrollo no empeorarán el rendimiento de nuestros sistemas?, ¿estarán nuestros profesionales preparados para soportar todo este cambio tecnológico? o ¿realmente ofrecemos una buena experiencia de usuario?

 

Adif debe responder a estas preguntas. Y la respuesta común a todas ellas es la certificación ISO 20000-1, que implica comprender y definir los procesos, medir, analizar y mejorar. Todo comienza a encajar perfectamente con el paradigma SMAC (por las siglas en inglés de social, móvil, analíticas y la nube), IoT, machine learning, contenedores, blockchain, bots, etc. La tecnología es un elemento importante, pero no suficiente. Estamos inmersos en una revolución industrial, la 4.0, en la que los drivers se centran en el medio ambiente y la atención al ciudadano. En el año 2050 se espera que el 70 % de la población mundial viva en ciudades. Adif es un ente público que basa su nueva orientación estratégica en tres pilares: seguridad, servicio y sostenibilidad, apoyados en dos impulsores transversales que son la Innovación y la Transformación Digital. Buscamos con ello alinearnos con las expectativas creadas por esa revolución industrial, poniendo nuevas vías que nos ayuden en la transformación de la mano de la certificación ISO 20000-1.

Números anteriores

Consulte números anteriores en esta sección, los números a partir de marzo de 2018 están disponibles en versión Online y todos están disponibles para descarga en PDF. Utilice los cursores o desplace las revistas para acceder a los contenidos.
Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.