AENOR cuenta con tres plataformas de confianza que ayudan a las organizaciones a hacer frente a los riesgos y amenazas en la actual era digital. Reúnen soluciones con el objetivo de proporcionar seguridad y confianza con garantías de resiliencia y continuidad en los sistemas de gestión, servicios TIC o privacidad de los datos.
Boris Delgado
Director de Soluciones de Digitalización y Tecnología
Carlos Manuel Fernández
Asesor Estratégico de TI
AENOR
Los riesgos y amenazas están presentes más que nunca en la realidad del mundo actual. Buen ejemplo de ello es la invasión de Rusia a Ucrania, que está teniendo graves consecuencias globales. Además, estamos inmersos en una nueva realidad marcada por la pandemia originada por el COVID-19. Todo esto hace que sociedad, gobierno y empresas hayan cambiado la forma de trabajar y relacionarse.
Es por ello, que la confianza se refuerza como un activo fundamental. Las organizaciones que sean capaces de generar una relación de confianza con sus empleados, clientes, stakeholders y sociedad podrán hacer frente y recuperarse de estas situaciones con mayor facilidad. Y en este escenario, una correcta gestión de las TIC se convierte en una potente herramienta para alcanzar esa confianza.
AENOR ha desarrollado tres plataformas de confianza que incluyen soluciones para ayudar a las organizaciones a alcanzar sus retos en el ámbito TIC basadas en el Ecosistema Digital de AENOR (ver gráfico). Se trata de las Plataformas de Confianza: “Fortalecer la seguridad y la continuidad”, “Proteger la seguridad y privacidad de los datos” y “Garantizar la calidad del software y datos”.
Plataformas de Confianza TIC basadas en el Ecosistema Digital con ISO de AENOR
Seguridad y continuidad
La Plataforma de Confianza: ”Fortalecer la seguridad y continuidad” se presenta como una solución a los riesgos TIC actuales y futuros, como parte del Ecosistema Digital de AENOR concretamente el modelo de gobierno y gestión de las TIC (ver figura 1). En consecuencia, el objetivo de esta plataforma es proporcionar seguridad, resiliencia y confianza ante los escenarios de riesgos y amenazas de esta era digital en los procesos de negocio, sistemas y servicios de TIC de las organizaciones.
Cuenta con tres principales soluciones de evaluación de la conformidad relacionadas entre sí y basadas en normas o estándares internacionales: Sistema de Gestión de Continuidad de Negocio ISO 22301, Sistema de Gestión de Seguridad de la Información ISO/IEC 27001 y Sistema de Gestión de Servicios de Tecnologías de la Información ISO/IEC 20000-1.
Actualmente, más de 900 organizaciones certificadas por AENOR en estos sistemas de gestión confían en estas herramientas para desempeñar sus actividades con resiliencia, calidad y seguridad en el ámbito TIC. Y es que se trata de aliadas imprescindibles para conseguir, por ejemplo, que el teletrabajo sea una realidad.
Una correcta gestión de las TIC se convierte en una potente herramienta para generar confianza en las organizaciones
Proteger la seguridad y privacidad de los datos
Un elemento necesario para conseguir la confianza a que se aludía anteriormente es la capacidad de transmitir certeza en la seguridad y privacidad de los datos. Y es que cada vez más, la sociedad reclama a las organizaciones demostrar con convicción la diligencia debida en la gestión de sus datos personales. La Plataforma de Confianza: “Proteger la Seguridad y Privacidad de los datos”, agrega las soluciones de certificación del modelo de Ciberseguridad y Privacidad basado en estándares/normas
internacionales ISO con las mejores prácticas, así como en las actuales leyes y reglamentaciones españolas, europeas y latinoamericanas en materia de privacidad y seguridad.
Destacan aquellas relacionadas con Seguridad y Privacidad de la Información; en particular, la certificación ISO/IEC 27701 de privacidad de la información o las soluciones para los Servicios de TI. El objetivo de esta plataforma es generar y devolver la confianza a las organizaciones y, por ende, a las personas y la sociedad actual, donde la seguridad y la privacidad de los datos personales y la información de los clientes tienen más importancia que nunca
El estándar internacional de Privacidad de la Información ISO/IEC 27701 establece un Sistema de Gestión de Privacidad de la Información que define y complementa a los requisitos necesarios en la ISO/IEC 27001 con relación a la privacidad y protección de los datos de carácter personal. Es decir, se trata de una extensión certificable de la ISO/IEC 27001 de Sistema de Gestión de Seguridad de la Información y que considera también al estándar/norma ISO/IEC 27002 sobre Controles de Seguridad de la Información. El objetivo de la ISO/IEC 27701 es la gestión de la privacidad de la información, teniendo en cuenta a los responsables y encargados de tratamientos de datos de carácter personal, bajo el análisis de riesgos de privacidad y la mejora continua.
Certificación ISO/IEC 27014 de Controles seguridad nube, ISO/IEC 27018 de Aplicación de controles SI específicos de privacidad son otras de las soluciones que incluye esta plataforma.
AENOR ha sido pionera en la evaluación y certificación de la calidad de los procesos y producto software y de datos
Garantizar la calidad del software y datos
La Plataforma de Confianza: ”Garantizar la Calidad del Software y los Datos” presenta un conjunto de soluciones basadas en estándares/normas ISO que generen confianza entre organizaciones y personas en el ámbito de los riesgos TIC relacionados con el desarrollo y mantenimiento del software y la calidad de los datos. Esta plataforma es parte del Ecosistema Digital de AENOR, concretamente del Modelo de Gobierno y Gestión de las TIC y del Modelo de Gobierno, Gestión y Calidad de Datos para Smart Data.
Entre las soluciones que reúne esta plataforma se puede destacar la certificación de Calidad de Procesos de Ciclo de Vida del Software– SPICE-ISO 33000/ISO 12207, cuyo objetivo es la calidad en los procesos de ingeniería del Software, a través de niveles de madurez (de 2 a 5) en sus procesos. Asimismo, la certificación de procesos ciclo de vida del software basado en la Norma ISO/IEC 29110 establece dos procesos considerados como mínimos y que una pequeña factoría de software debe llevar a cabo cuando realiza proyectos de desarrollo de software: Gestión de proyectos-PM (Project Management) e Implementación de Software–SI (Software Implementation).
También hay que destacar la certificación de Calidad del Producto (Software)–ISO 25010, que determina la calidad del Producto Software (aplicativos) evaluando sus diferentes características, como la mantenibilidad (capacidad del producto software para ser modificado de forma eficaz, eficiente y sin errores) o la funcionalidad (capacidad del producto software para cumplir con los requisitos del usuario).
La certificación de Gobierno, Gestión y Calidad de Datos–ISO/IEC 33000/ISO 8000–MAMD, que establece un Ciclo de Ingeniería del Dato a través de la madurez de los procesos; y la certificación Calidad del Producto (Datos)–ISO/IEC
25012, cuyo objetivo es la calidad de los propios repositorios o bases de datos (ya sean ficheros, bases de datos relacionales, bases de datos NO-SQL, almacenes de datos, data lakes, big data, etc.) considerando las reglas de negocio (Business Rules) y el dato como activo principal en las organizaciones, también forman parte de esta plataforma.
AENOR ha sido pionera en la evaluación y certificación de la calidad de los procesos y producto software y de los datos. Con más de diez años de experiencia en España, Europa y Latam, organizaciones como Telefónica, Siemens, Viajes El Corte Inglés, Buró de Crédito (México), Cámara de Comercio de Italia o el Ministerio de Economía de Italia han puesto en valor sus factorías de software y la calidad de sus datos con la implantación de los estándares descritos y su correspondiente certificación por parte de AENOR.
Por último, no debemos olvidar las buenas prácticas ISO (open standard internaciones) para los nuevos retos que ya están sobre la mesa: blockchain, BigData y su relación con la Inteligencia Artificial, modelos matemáticos, datos y algoritmos que decidirán sobre cómo actuar ante una crisis como la actual y las que puedan venir.