Las 9 certificaciones para la transformación digital

Miles de empresas están inmersas en su transformación digital. Se trata de un proceso que viene determinado por el auge de las tecnologías emergentes como Internet de las Cosas (IoT), cloud computing, big data o industria 4.0. Realizada correctamente, esta transformación les ayudará a mejorar la competitividad porque mejora su eficiencia.

Ante este reto, la dirección de las organizaciones debería plantearse al menos tres cuestiones:

• ¿Los Sistemas de Información o el proyecto de Transformación Digital utiliza las mejores prácticas para conseguir sus objetivos, con un coste adecuado?
• ¿Le preocupa a la organización si sus datos son correctos para realizar Business Inteligence e Inteligencia Artificial para tomar decisiones adecuadas?
• ¿Conoce y gestiona adecuadamente los Ciberriesgos de la actual era digital?

Como respuesta a estas preguntas, AENOR propone un Ecosistema Digital que consiste en tres modelos interrelacionados que conviven entre sí para esta Nueva Era Digital. Estos tres modelos están constituidos por estándares internacionales, normas ISO, que son las mejores prácticas consensuadas por más de 150 países. (Ver figura 1)

El Ecosistema Digital de AENOR se fundamenta en dos grandes principios: el análisis, gestión y mitigación de los riesgos de las Tecnologías de la Información en las organizaciones; y el ciclo de mejora continua, conocido por sus siglas en inglés PDCA (Plan, Do, Check, Act).

Si pensamos en las actuales y futuras estructuras de los Centros de Procesos de Datos (CPD), el Modelo de Gobierno y Gestión de las TIC soporta las funciones del CPD en modo local (on premise) o externalizado-nube (outsourcing-cloud).

Si tenemos en cuenta que esta era digital es un cambio disruptivo, donde el dato es el petróleo del siglo XXI y elemento principal en la transformación digital de las organizaciones, el modelo de Gobierno, Gestión y Calidad del Dato da respuesta a esta revolución digital.

Es un hecho que la Ciberseguridad y el cumplimiento legal en tecnologías de la información es transversal a cualquier sistema/tecnología de información, por este motivo AENOR ha desarrollado el modelo de Ciberseguridad y Privacidad.

Como es reconocido, los sistemas de información son el eje principal para cualquier organización. Por ello, hay una interrelación entre el ecosistema y las mejores prácticas en continuidad de negocio como son la ISO 22301 –el estándar internacional que incluye los requisitos para implantar un Sistema de Gestión de Continuidad de Negocio–, que permite a las organizaciones continuar con su actividad empresarial, pública o privada, ante incidentes críticos (resiliencia).

El primer modelo se orienta al Gobierno y Gestión de las TIC en las áreas de Buen Gobierno de TI y DEVOPS (Development-Operations: servicios de desarrollo de software y servicios de TI) para dar Calidad y Seguridad en los servicios de TI.

La aplicación de este modelo sirve como base para poder realizar la innovación en la transformación digital con sostenibilidad. Es decir, la innovación en la organización teniendo bien asentados los cimientos de servicios de TI.

Los sistemas que componen este modelo atienden a las tres áreas señaladas: Gobierno de TI, Desarrollo (Development-DEV) y Operaciones/Explotación (Explotación-OPS).

El área de Gobierno de TI lo abarca la certificación según el estándar ISO 38500, sobre gobernanza de TI. Su objetivo es alinear, integrar y cumplir los objetivos definidos en el plan estratégico de la organización con el plan de TIC de la misma, con eficiencia, eficacia y economía.

Por su parte, la Gestión de TI se compone de dos entornos conocidos como DEVOPS (Development –desarrollo de software– y Operations –servicios de TI). El área de desarrollo de software lo constituyen dos sistemas certificables:

• Ingeniería/servicios de Software– SPICE-ISO 33000/ISO 12207. Tiene como objetivo la calidad en los procesos de ingeniería del Software, a través de niveles de madurez en sus procesos. Este sistema, denominado SPICE, utiliza estándares abiertos (open standard), es muy pragmático, ajustado en costes, y orientado al ciclo de vida de desarrollo del software (SDLC-Software Development Life Cycle), considerando cualquier tipo de metodología (Clásicas como cascada, iterativa o Agiles-SCRUM). Pudiéndose aplicar para cualquier factoría de software con independencia de su tamaño.
• Calidad del Producto (Software) – ISO 25010. Determina la calidad del producto Software (aplicativos) evaluando sus diferentes características como la mantenibilidad (capacidad del producto software a ser modificado de forma eficaz, eficiente y sin errores) o la funcionalidad (capacidad del producto software a cumplir con los requisitos del usuario), etc. El área de Operaciones/explotación (OPS – Operations), lo constituyen otros dos sistemas también certificables:
• Calidad en los servicios de TI (ISO 20000-1 – Sistema de Gestión de Servicios de TI). Su objetivo es conseguir que un proveedor de servicios de TI [CPD – on premise (local) u outsourcing (nube)] proporcione servicios de TI con una calidad adecuada, cumpliendo con los acuerdos de nivel de servicio (SLA) con sus clientes y stakeholders, a un coste apropiado
• Seguridad en los Servicios de TI (ISO/IEC 27001, ISO/IEC 27002 – Sistema de Gestión de Seguridad de Información). Tiene como objetivo devolver la confianza a clientes y stakeholders en relación a la seguridad de los sistemas de información.

El segundo modelo se orienta al Gobierno, Gestión y Calidad de los Datos en las organizaciones. Considera al dato como el principal activo de la organización y elemento principal en la transformación digital. Es decir, es la materia prima para la inteligencia de negocio, considerando el dato como input para la ciencia analítica de los datos (Business Intelligence y la Inteligencia Artificial), tanto para Small Data como para Big Data.

Este modelo es Data-Driven y Customer-Centric porque ayuda al CEO (Chief Executive Officer) a conocer el valor de los datos para tomar mejores decisiones estratégicas y ejecutivas. Al CIO (Chief Information Officer) le permite destinar recursos humanos y tecnológicos para la ejecución de las actividades relacionadas con los datos. Y al CDO (Chief Data Officer) a tener identificadas formalmente responsabilidades respecto a los datos que gestiona y utiliza.

De esta forma, los usuarios y stakeholders pueden tener absoluta confianza de que los procesos de negocio que utilizan funcionan con datos fiables y que los resultados que se obtengan puedan satisfacer sus objetivos.

Los sistemas de los que se compone este modelo son tres:

• Gobierno, Gestión y Calidad de Datos – ISO 33000/ISO 8000 – MAMD, cuyo fin es establecer los requisitos necesarios (procesos) para asegurar el buen gobierno, la gestión y la calidad de los datos para maximizar el beneficio en las organizaciones.
• Calidad del Producto (Datos) – ISO 25012, tiene como objetivo la calidad de los propios repositorios o bases de datos (ya sean ficheros, bases de datos relacionales, bases de datos NO-SQL, almacenes de datos, data lakes, big data, etc.) considerando el dato como activo principal de la organización.
• UNE 178301 – Open Data, datos abiertos en el entorno de ciudades inteligentes.

• Seguridad de la información (ISO 27001 – SGSI), citada anteriormente ya se considera como una commodity para las organizaciones. Es la base de la seguridad del ecosistema digital ya que implanta la Ciberseguridad/Seguridad orientada a los procesos y objetivos del negocio considerando los riesgos de TIC (Tecnologías de la Información y Comunicaciones).
• El sistema de gestión de seguridad de la información (SGSI) se puede complementar con la ISO 27032 que añade controles específicos para la ciberseguridad. Contempla ciberriesgos y ciberamenazas propias de esta nueva era digital, como ataques de ingeniería social, acceso no autorizado a sistemas informáticos (Hacking); o software malicioso de secuestro y cifrado de información (Ransomware). Además, incorpora controles relacionados con la seguridad en el desarrollo de software (security-by-design).
• Ciberseguridad en cloud (seguridad y privacidad). Al SGSI se pueden incorporar las extensiones de controles que aportan seguridad (ISO 27017) y privacidad (ISO 27018) adicional para entornos cloud en cualquiera de sus modalidades (IaaS-Infraestructure as a Service, PaaS-Platform as a Service SaaS-Software as a Service).
• Esquema Nacional de Seguridad (ENS) – El Real Decreto 3/2010 establece la política de seguridad en la utilización de medios electrónicos a través de principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Aplica a las administraciones públicas españolas y a aquellas organizaciones privadas que proveen servicios o soluciones tecnológicas a las AA.PP.
• Reglamento General de Protección de Datos (RGPD) – UE 2016/679. El Reglamento General de Protección de Datos (RGPD) UE 2016/679, de obligado cumplimiento desde mayo 2018, establece un nuevo marco jurídico sobre la protección de los datos personales y sobre la libre circulación de los mismos. Su objetivo es ofrecer más control a los ciudadanos sobre su información personal en el entorno SMAC y la transformación digital, como ya citamos anteriormente.
• Reglamento eIDAS-PSC (Pres-tadores de Servicios cualificados de Confianza) – UE 910/2014. El Reglamento de la UE 910/2014 relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior (eIDAS) tiene como objetivo establecer los criterios para los servicios de confianza. Determina un marco jurídico para los servicios cualificados como firma electrónica, los sellos electrónicos, los sellos de tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica certificada y los servicios de certificados para la autenticación de sitios web.

AENOR, como entidad certificadora internacional y líder en las certificaciones TIC en España e Iberoamérica, realiza la evaluación de conformidad con respecto a estos estándares ISO. Es decir, evalúa la correcta implantación de estos estándares considerando el tipo y tamaño de organización, su actividad y sus objetivos. La auditoría de certificación de AENOR es una herramienta de la Dirección que aporta confianza y transparencia a la organización.

Además, AENOR incorpora en las soluciones de certificación el mentoring y benchmarking como elementos diferenciadores y de valor añadido a sus clientes, siendo la única entidad certificadora en disponer de las acreditaciones de reconocimiento internacional por la Entidad Nacional de Acreditación–ENAC, en ISO 22301 –continuidad de negocio–, ISO/IEC 27001 –seguridad de la información–, el Real Decreto 3/2010 (ENS-Esquema Nacional de Seguridad) y el Reglamento Europeo 910/2014–eIDAS.

Es decir, a través de las auditorías de certificación de AENOR la alta Dirección de las organizaciones tiene una herramienta de seguimiento y comprobación de la eficacia y eficiencia de los Sistemas de Información y de su proyecto de transformación digital. AENOR les confirma años tras año que están en el buen camino hacia la digitalización y datificación.

El Ecosistema Digital de AENOR tiene como principio de diseño la certificación individual de cada sistema o la posible agrupación de los diferentes sistemas (como un pack o bundle de certificaciones), aportando una solución única a las necesidades de Gobierno, Gestión, Calidad y Seguridad de las TIC y los Datos.

Así, ejemplos de bundles podrían ser Calidad y Seguridad en los servicios de TI (ISO 20000-1 + ISO/IEC 27001); Seguridad y Privacidad en Cloud (ISO/IEC 27001 + ISO/IEC 27017 + ISO/IEC 27018); Calidad en DEVOPS (SPICE-ISO 33000 + ISO 20000-1); Ciberseguridad del Dato (ISO 27001 + ISO 25012/ISO 25024). También es posible una certificación holística de los modelos que componen el ecosistema digital.

Normas

• UNE-EN ISO/IEC 27001:2017 Sistemas de Gestión de la Seguridad de la Información. Requisitos
• ISO/IEC 27017:2015 Code of practice for information security controls based on ISO/IEC 27002 for cloud services
• ISO/IEC 27018:2014 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
• ISO/IEC 27032:2012 Information technology -- Security techniques -- Guidelines for cybersecurity
• Familia UNE-ISO/IEC 20000 Tecnología de la información. Gestión del Servicio
• UNE-ISO/IEC 38500:2013 Gobernanza corporativa de la Tecnología de la Información (TI)
• UNE-EN ISO 22301:2015 Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del Negocio. Especificaciones

Publicaciones

• Modelo de madurez de ingeniería del software Versión 2.0
• Cómo implantar un SGSI según UNE-EN ISO/IEC 27001 y su aplicación en el Esquema Nacional de Seguridad. Edición 2018
• Guía práctica de ISO/IEC 20000-1 para servicios TIC

Cursos

• Experto en seguridad de la información
• Especialista Implantador ISO 27001 e ISO 20000
• Auditor Jefe ISO 27001 e ISO 20000
• Esquema Nacional de Seguridad. Conceptos, implantación, evaluación y auditoría
• Sistemas de gestión de continuidad del negocio. ISO 22301
• Auditoría de la Norma ISO 22301
• Indicadores y concienciación en seguridad de la información
• Riesgos de ciberseguridad. Datos en la nube (cloud) y seguridad del control industrial (ICS)
• Fundamentos jurídicos de la seguridad de la información
• Especialista en Protección de Datos 
• Experto DPD – Itinerario 1 – Para profesionales con más de 3 años de experiencia
• Experto DPD – Itinerario 2 – Para profesionales de 2 a 3 años de experiencia
• Experto DPD – Itinerario 3 – Para profesionales con menos de 2 años de experiencia
• Preparación para el examen de certificación DPD

Las certificaciones, a pesar de ser vistas por algunas organizaciones como un requisito legal, orientadas de forma adecuada son una herramienta de gran ayuda para la transformación de las empresas.

En los últimos años, en el Consejo General de la Abogacía Español hemos trabajado en certificaciones clave para la actividad profesional de más de 154.000 letrados y para la gestión de los 83 Colegios de Abogados. En el año 2010 certificamos nuestros procesos de Asistencia Jurídica Gratuita, Censo y Certificaciones con la ISO 9001. Posteriormente, en 2013, certificamos los servicios de IT según las Normas ISO/IEC 20000 e ISO/IEC 27001, y en marzo de 2014 el Consejo se convirtió en la primera institución en obtener el certificado AENOR según el Esquema Nacional de Seguridad (ENS). En noviembre de 2015 recibimos el primer certificado de AENOR al Sistema de Gestión de Evidencias Electrónicas, según la Norma UNE 71505, en nuestro producto BuroSMS (SMS con certificación de acuse de recibo). Por último, en julio de 2017, obtuvimos para nuestra Autoridad de Certificación (ACA) el certificado eIDAS.

Sin estar obligados a conseguir todas ellas, hemos encontrado que muchos conceptos asociados a las certificaciones nos ayudan a orientar la organización hacia la calidad. Las revisiones y auditorías periódicas, la filosofía de mejora continua, la aplicación de mejores prácticas y la orientación a procedimientos son herramientas prácticas que permiten ordenar el trabajo diario.

La adopción de estos estándares, en particular del ENS, nos ha permitido estar en condiciones óptimas para afrontar los requisitos de las medidas de seguridad que establece el nuevo RGPD.

Para conseguir estos resultados, además del imprescindible apoyo interno, hemos tenido la suerte de contar con un partner, el equipo de AENOR, que ha tenido la visión y la flexibilidad de hacernos ver que las normas están para servir al negocio y no al revés, dando un enfoque práctico y útil a los procesos. Por supuesto, hay muchas formas de hacer bien las cosas, pero a nosotros el trabajo continuo en las certificaciones nos ayuda sin duda a mejorar la organización.

Tanto Adif como Adif AV tienen implantado un Sistema de Gestión de la Calidad ISO 9001:2015 con el que gobiernan el alcance de todos sus procesos que, siguiendo la metodología BPM, ha permitido tener identificados un total de 99 entre procesos clave, soporte y estratégicos. Además, en su búsqueda de la excelencia y mejora continua, cuenta con el Sello EFQM 500+ y ha apostado por la implantación y desarrollo de nuevos sistemas de gestión. Es el caso de las certificaciones ISO 20000-1 de Gestión del Servicio TI, recientemente obtenida, e ISO 27001 de Gestión de la Seguridad de la Información, que abren el camino a otros aspectos relacionados con la ciberseguridad y el servicio especializado al cliente en las tecnologías de información, que previsiblemente podrán abordarse de una manera más sistemática en un futuro cercano al abordar el Esquema Nacional de Seguridad (ENS).

La transformación digital está arrastrando a todas las empresas, ya sean del sector TI o no, para que sean más rápidas en el time to market. Esto ha supuesto que la potencia en los proveedores de servicio, no solo entendida como capacidad de proceso, haya evolucionado incrementándose considerablemente. Tecnologías como DevOps y cloud computing han soportado ese incremento de exigencia de los usuarios, pero asaltan cuestiones como ¿controlamos y auditamos correctamente a nuestros proveedores cloud?, ¿las subidas a producción del departamento de desarrollo no empeorarán el rendimiento de nuestros sistemas?, ¿estarán nuestros profesionales preparados para soportar todo este cambio tecnológico? o ¿realmente ofrecemos una buena experiencia de usuario?

Adif debe responder a estas preguntas. Y la respuesta común a todas ellas es la certificación ISO 20000-1, que implica comprender y definir los procesos, medir, analizar y mejorar. Todo comienza a encajar perfectamente con el paradigma SMAC (por las siglas en inglés de social, móvil, analíticas y la nube), IoT, machine learning, contenedores, blockchain, bots, etc. La tecnología es un elemento importante, pero no suficiente. Estamos inmersos en una revolución industrial, la 4.0, en la que los drivers se centran en el medio ambiente y la atención al ciudadano. En el año 2050 se espera que el 70 % de la población mundial viva en ciudades. Adif es un ente público que basa su nueva orientación estratégica en tres pilares: seguridad, servicio y sostenibilidad, apoyados en dos impulsores transversales que son la Innovación y la Transformación Digital. Buscamos con ello alinearnos con las expectativas creadas por esa revolución industrial, poniendo nuevas vías que nos ayuden en la transformación de la mano de la certificación ISO 20000-1.