A estandarización é fundamental para mellorar a eficiencia e a interoperabilidade no goberno e a xestión de datos. A adopción de estándares proporciona un marco común para organizar, intercambiar e interpretar os datos, facilitando a colaboración e garantindo a consistencia e calidade dos mesmos. O estándares ISO, elaborados a nivel internacional e as normas UNE, desenvolvidas especificamente para o mercado español, son amplamente recoñecidos neste ámbito. Ambos os catálogos de boas prácticas, aínda que comparten obxectivos similares, difiren no seu alcance xeográfico e enfoque de desenvolvemento, permitindo ás organizacións seleccionar as normas máis adecuadas para as súas necesidades e contexto específico.
Ante a publicación, hai uns meses, de as especificacións UNE 0077, 0078, 0079, 0080, e 0081 sobre goberno, xestión, calidade, madurez, e avaliación de calidade de datos , os usuarios poden ter dúbidas sobre como se relacionan estas e as normas ISO que xa teñen implementadas na súa organización.
Normas ISO máis habituais relacionadas co dato
O estándares ISO ten a gran vantaxe de ser abertos, dinámicos e agnósticos ás tecnoloxías subxacentes. Do mesmo xeito, encárganse de axuntar as mellores prácticas consensuadas e decididas por distintos grupos de profesionais e investigadores en cada un dos campos de actuación. Se pomos o foco nos estándares relacionados co TIC, xa existe un marco de estándares sobre goberno, xestión e calidade dos sistemas de información onde destacan, entre outras:
- A nivel de goberno:
- ISO 38500 para o goberno de TI.
- A nivel de xestión:
- ISO 8000 para sistemas de xestión de datos e datos mestres.
- ISO 20000 para a xestión dos servizos.
- ISO 25000 para a calidade do produto xerado (tanto software como datos).
- ISO 27000 e ISO 27701 para a xestión da seguridade e privacidade da información.
- ISO 33000 para a avaliación de procesos.jkkl0ñ-.
A estes estándares hai que sumar outros que tamén son de uso habitual nas empresas como:
- Sistema de xestión de calidade baseado niso 9000
- Sistema de xestión ambiental proposto niso 14000
Estas normas úsanse desde hai anos para o goberno e xestión do TIC e teñen a gran vantaxe de que, ao basearse nos mesmos principios, poden usarse perfectamente de maneira conxunta . Así, por exemplo, é moi útil reforzar mutuamente a seguridade dos sistemas de información baseados na familia de normas ISO/IEC 27000 con a xestión de servizos baseados na familia de normas ISO/IEC 20000 .
A relación entre as normas ISO e as especificacións UNE sobre o dato
As especificacións UNE 0077, 0078, 0079, 0080 e 0081 complementan as normas ISO existentes sobre goberno, xestión e calidade de datos ao proporcionar directrices específicas e detalladas que se enfocan nos aspectos particulares da contorna española e as necesidades do mercado nacional.
Cando se expuxeron as especificacións UNE 0077, 0078, 0079, 0080, e 0081, baseáronse nos principais estándares ISO, co fin de integrarse facilmente nos sistemas de xestión xa dispoñibles nas organizacións (mencionados anteriormente), como pode verse na seguinte figura:
Exemplo de aplicación da norma UNE 0078
A seguir, preséntase un exemplo para ver como se integran dunha forma máis clara as normas UNE e o ISO que moitas organizacións xa teñen implantadas desde hai anos, tomando como referencia ÚNEA 0078. Aínda que todas as especificacións UNE do dato atópanse entrelazadas coa maioría das normas ISO de goberno, xestión e calidade de TI, a especificación UNE 0078 de xestión de datos está máis relacionada cos sistemas de xestión de seguridade da información (ISO 27000) e xestión dos servizos de TI (ISO 20000). Na Táboa 1 pódese ver a relación para cada proceso con cada estándar ISO.
Proceso UNE 0078: Xestión de Datos |
Relacionado con ISO 20000 | Relacionado con ISO 27000 |
(ProcDat) Procesamento do dato |
|
|
(InfrTec) Xestión da infraestrutura tecnolóxica |
X | X |
(ReqDat) Xestión de requisitos do dato |
X | X |
(ConfDat) Xestión da configuración do dato |
|
|
(DatHist) Xestión de datos histórico |
X | |
(SegDat) Xestión da seguridade do dato |
X | X |
(Metdat) Xestión do metadato |
X |
|
(ArqDat) Xestión da arquitectura e deseño do metadato |
X |
|
(CIIDat) Compartición, intermediación e integración do dato |
X |
|
(MDM) Xestión do dato mestre |
|
|
(RRHH) Xestión de recursos humanos |
|
|
(CVidDat) Xestión do ciclo de vida do dato |
X |
|
D(AnaDat) Análise do dato esigualdad |
|
Relación da norma UNE 0078 con ISO 20000
Canto á interrelación ISO 20000-1 coa especificación UNE 0078 a seguir preséntase un caso de uso no que unha organización quere pór a disposición datos relevantes para o seu consumo en toda a organización a través de distintos servizos. A implementación integrada de UNE 0078 e ISO 20000-1 permite ás organizacións:
- Asegurar que os datos críticos para o negocio son xestionados e protexidos adecuadamente.
- Mellorar a eficiencia e efectividade dos servizos de TI, asegurando que a infraestrutura tecnolóxica apoia as necesidades do negocio e dos usuarios finais
- Aliñar a xestión de datos e a xestión de servizos de TI cos obxectivos estratéxicos da organización, mellorando a toma de decisións e a competitividade no mercado
A relación entre ambas as maniféstase en como a infraestrutura tecnolóxica xestionada segundo ÚNEA 0078 soporta a entrega e xestión de servizos de TI conforme a ISO 20000-1.
Para iso, é necesario contar, polo menos, con:
- En primeiro lugar, para o caso de posta a disposición de datos como un servizo, é necesario contar con unha infraestrutura de TI ben xestionada e segura. Isto é esencial, por unha banda, para a implementación efectiva de procesos de xestión de servizos de TI, como os incidentes e problemas, e por outro, para asegurar a continuidade do negocio e a dispoñibilidade dos servizos de TI.
- En segundo lugar, unha vez disponse da infraestrutura, e ése consciente de que o dato vai ser disposto para o seu consumo nalgún momento, é necesario xestionar os principios de compartición e intermediación do este dato. Para iso, na especificación UNE 0078, cóntase co proceso de Compartición, intermediación e integración do dato. O seu principal obxectivo é habilitar a súa adquisición e/ou entrega para o seu consumo ou compartición, observando se fose necesario o despregamento de mecanismos de intermediación, así como a integración do mesmo. Este proceso de ÚNEA 0078 estaría relacionado con varios dos expostos niso 20000-1, tales como o proceso de Xestión de relacións co negocio, xestión de niveis de servizo, a xestión da demanda e a xestión da capacidade dos datos que son postos a disposición.
Relación da norma UNE 0078 con ISO 27000
Así mesmo, a infraestrutura tecnolóxica creada e xestionada para un obxectivo específico debe asegurar uns mínimos en materia de seguridade e privacidade de datos, por tanto, será necesaria a implantación de boas prácticas incluídas niso 27000 e ISO 27701 para xestionar a infraestrutura desde a perspectiva da seguridade e privacidade da información, mostrando así un claro exemplo de interrelación entre o tres sistemas de xestión: servizos, seguridade e privacidade da información, e datos.
Non só é primordial que o dato sexa posto ao servizo das organizacións e cidadáns dunha forma óptima, senón que é necesario ademais prestar especial atención á seguridade do dato ao longo de todo o seu ciclo de vida durante a posta en servizo. É neste punto onde o estándar ISO 27000 achega todo o seu valor. O estándar ISO 27000, e en particular ISO 27001 cumpre os seguintes obxectivos:
- Especifica os requisitos para un sistema de xestión de seguridade da información (SGSI).
- Céntrase na protección da información contra accesos non autorizados, a integridade dos datos e a confidencialidade.
- Axuda ás organizacións a identificar, avaliar e xestionar os riscos de seguridade da información.
Nesta liña, a súa interrelación coa especificación UNE 0078 de Xestión de Datos vén marcada a través do proceso de Xestión de seguridade do dato. A través da aplicación dos distintos mecanismos de seguridade, compróbase que a información manexada nos sistemas non ten accesos non autorizados, mantendo a súa integridade e confidencialidade ao longo de todo o ciclo de vida do dato. Do mesmo xeito, pódese construír unha terna nesta relación co proceso de xestión de seguridade de datos da especificación UNE 0078 e co proceso de UNE 20000-1 de Operación SGSTI- Xestión de Seguridade da Información.
A seguir, na Figura 2 preséntase como a especificación UNE 0078 complementa ao actuais ISO 20000 e ISO 27000 aplicado ao exemplo comentado anteriormente.
A través dos casos anteriores pódese albiscar que a gran vantaxe da especificación UNE 0078 é que se integran perfectamente cos sistemas de xestión de seguridade e de xestión de servizos existentes nas organizacións. O mesmo ocorre co resto das normas UNE 0077, 0079, 0080, e 0081. Por tanto, se unha organización que xa ten implantados ISO 20000 ou ISO 27000 quere levar a cabo iniciativas de goberno, xestión e calidade de datos, recoméndase o aliñamento entre os distintos sistemas de xestión coas especificacións UNE, posto que se reforzan mutuamente desde o punto de vista da seguridade, dos servizos e dos datos.