accesskey_mod_content

Les especificacions UNIX com a complement de les normes ISO per al govern, gestió i qualitat dels Sistemes i Tecnologies de la Informació

  • Escoltar
  • Imprimir PDF
  • Compartir

02 abril 2024

Davant la proliferació d'estàndards relacionats amb les TIC, publiquem este article posant el focus en dos d'ells: l'ISO 20000 (gestió del servici) i l'ISO 27000 (seguretat i privacitat de la informació) establint la relació entre estos i les especificacions UNIX.

L'estandardització és fonamental per a millorar l'eficiència i la interoperabilitat en el govern i la gestió de dades. La adopció d'estàndards proporciona un marc comú per a organitzar, intercanviar i interpretar les dades, facilitant la col·laboració i garantint la consistència i qualitat dels mateixos. Els estàndards ISO, elaborats a nivell internacional i les normes UNIX, desenvolupades específicament per al mercat espanyol, són àmpliament reconeguts en este àmbit. Tots dos catàlegs de bones pràctiques, encara que compartixen objectius similars, diferixen en el seu abast geogràfic i enfocament de desenvolupament, permetent a les organitzacions seleccionar les normes més adequades per a les seues necessitats i context específic.

Davant la publicació, fa uns mesos, de les  especificacions UNIX 0077, 0078, 0079, 0080, i 0081 sobre govern, gestió, qualitat, maduresa, i avaluació de qualitat de dades , els usuaris poden tindre dubtes sobre com es relacionen estes i les normes ISO que ja tenen implementades en la seua organització. 

Normas ISO més habituals relacionades amb la dada

Els estàndards ISO té el gran avantatge de ser oberts, dinàmics i agnòstics a les tecnologies subjacents. De la mateixa manera, s'encarreguen de conjuminar les millors pràctiques consensuades i decidides per diferents grups de professionals i investigadors en cadascun dels camps d'actuació. Si posem el focus en els estàndards relacionats amb les TIC, ja existix un marc d'estàndards sobre govern, gestió i qualitat dels sistemes d'informació on destaquen, entre unes altres:

  • A nivell de govern:
  1. ISO 38500  per al govern de TU.
  • A nivell de gestió:
  1. ISO 8000  per a sistemes de gestió de dades i dades mestres.
  2. ISO 20000  per a la gestió dels servicis.
  3. ISO 25000  per a la qualitat del producte generat (tant programari com a dades).
  4. ISO 27000  i  ISO 27701  per a la gestió de la seguretat i privacitat de la informació.
  5. ISO 33000  per a l'avaluació de processos.jkkl0ñ-.

A estos estàndards cal sumar uns altres que també són d'ús habitual en les empreses com:

  • Sistema de gestió de qualitat basat en ISO 9000
  • Sistema de gestió mediambiental proposat en ISO 14000

Estes normes  s'usen des de fa anys per al govern i gestió de les TIC  i tenen el gran avantatge que, en basar-se en els mateixos principis, poden  usar-se perfectament de manera conjunta . Així, per exemple, és molt útil reforçar mútuament la seguretat dels sistemes d'informació basats en la família de normes ISO/IEC 27000 amb la  gestió de servicis basats en la família de normes ISO/IEC 20000 .

La relació entre les normes ISO i les especificacions UNIX sobre la dada

Les especificacions UNIX 0077, 0078, 0079, 0080 i 0081 complementen les normes ISO existents sobre govern, gestió i qualitat de dades en proporcionar directrius específiques i detallades que s'enfoquen en els aspectes particulars de l'entorn espanyol i les necessitats del mercat nacional.

Quan es van plantejar les especificacions UNIX 0077, 0078, 0079, 0080, i 0081, es van basar en els principals estàndards ISO, amb la finalitat de integrar-se fàcilment en els sistemes de gestió ja disponibles en les organitzacions (esmentats anteriorment), com pot veure's en la següent figura:

Figura 1. Relació de les especificacions UNIX amb els diferents estàndards ISO per a les TIC

Exemple d'aplicació de la norma UNIX 0078

A continuació, es presenta un exemple per a veure com s'integren d'una forma més clara les normes UNIX i les ISO que moltes organitzacions ja tenen implantades des de fa anys, prenent com a referència la UNIX 0078. Encara que totes les especificacions UNIX de la dada es troben entrellaçades amb la majoria de les normes ISO de govern, gestió i qualitat de TU, l'especificació UNIX 0078 de gestió de dades està més relacionada amb els sistemes de gestió de seguretat de la informació (ISO 27000) i gestió dels servicis de TU (ISO 20000). En la Taula 1 es pot veure la relació per a cada procés amb cada estàndard ISO.

Procés UNIX 0078: Gestió de Dades 

Relacionat amb ISO 20000 

Relacionat amb ISO 27000 

‍(ProcDat) Processament de la dada 

 

 

(InfrTec) Gestió de la infraestructura tecnològica 

X

X

(ReqDat) Gestió de requisits de la dada

X

X

(ConfDat) Gestió de la configuració de la dada 

 

 

‍(DatHist) Gestió de dades històric

X

(SegDat) Gestió de la seguretat de la dada

X

X

‍(Metdat) Gestió de la metadada

 

X

‍(ArqDat) Gestió de l'arquitectura i disseny de la metadada 

 

X

‍(CIIDat) Compartición, intermediació i integració de la dada

X

 

‍(MDM) Gestió de la dada mestra

 

‍(RH) Gestió de recursos humans

 

 

‍(CVidDat) Gestió del cicle de vida de la dada 

X

 

‍D(AnaDat) Anàlisi de la dada esigualdad

 

 

 

Relació de la norma UNIX 0078 amb ISO 20000

Quant a la interrelació ISO 20000-1 amb l'especificació UNIX 0078 a continuació es presenta un cas d'ús en el qual una organització vol posar a disposició dades rellevants per al seu consum en tota l'organització a través de diferents servicis. La implementació integrada d'UNIX 0078 i ISO 20000-1 permet a les organitzacions:

  • Assegurar que les dades crítiques per al negoci són gestionats i protegits adequadament.
  • Millorar l'eficiència i efectivitat dels servicis de TU, assegurant que la infraestructura tecnològica recolza les necessitats del negoci i dels usuaris finals
  • Alinear la gestió de dades i la gestió de servicis de TU amb els objectius estratègics de l'organització, millorant la presa de decisions i la competitivitat en el mercat

La relació entre les dos es manifesta en com la infraestructura tecnològica gestionada segons la UNIX 0078 suporta l'entrega i gestió de servicis de TU conforme a ISO 20000-1.

Per a açò, és necessari explicar, almenys, amb:

  1. En primer lloc, per al cas de posada a la disposició de dades com un servici, és necessari comptar amb una infraestructura de TU ben gestionada i segura. Açò és essencial, d'una banda, per a la implementació efectiva de processos de gestió de servicis de TU, com els incidents i problemes, i per un altre, per a assegurar la continuïtat del negoci i la disponibilitat dels servicis de TU.
  2. En segon lloc, una vegada es disposa de la infraestructura, i s'és conscient que la dada va a ser disposat per al seu consum en algun moment, és necessari gestionar els principis de compartició i intermediació d'aquesta dada. Per a açò, en l'especificació UNIX 0078, es compta amb el procés de Compartició, intermediació i integració de la dada. El seu principal objectiu és habilitar la seua adquisició i/o entrega per al seu consum o compartició, observant si fóra necessari el desplegament de mecanismes d'intermediació, així com la integració del mateix. Este procés de la UNIX 0078 estaria relacionat amb varis dels plantejats en ISO 20000-1, tals com el procés de Gestió de relacions amb el negoci, gestió de nivells de servici, la gestió de la demanda i la gestió de la capacitat de les dades que són posats a disposició.

Relació de la norma UNIX 0078 amb ISO 27000

Així mateix, la infraestructura tecnològica creada i gestionada per a un objectiu específic ha d'assegurar uns mínims en matèria de seguretat i privacitat de dades, per tant, serà necessària la implantació de bones pràctiques incloses en ISO 27000 i ISO 27701 per a gestionar la infraestructura des de la perspectiva de la seguretat i privacitat de la informació, mostrant així un clar exemple d'interrelació entre els tres sistemes de gestió: servicis, seguretat i privacitat de la informació, i dades.

No solament és primordial que la dada siga lloc al servici de les organitzacions i ciutadans d'una forma òptima, sinó que és necessari a més prestar especial atenció a la seguretat de la dada al llarg de tot el seu cicle de vida durant la posada en servici. És en este punt on l'estàndard ISO 27000 aporta tot el seu valor. L'estàndard ISO 27000, i en particular ISO 27001 complix els següents objectius:

  • Especifica els requisits per a un sistema de gestió de seguretat de la informació (SGSI).
  • Se centra en la protecció de la informació contra accessos no autoritzats, la integritat de les dades i la confidencialitat.
  • Ajuda a les organitzacions a identificar, avaluar i gestionar els riscos de seguretat de la informació.

En esta línia, la seua interrelació amb l'especificació UNIX 0078 de Gestió de Dades vé marcada a través del procés de Gestió de seguretat de la dada. A través de l'aplicació dels diferents mecanismes de seguretat, es comprova que la informació manejada en els sistemes no té accessos no autoritzats, mantenint la seua integritat i confidencialitat al llarg de tot el cicle de vida de la dada. De la mateixa manera, es pot construir una terna en esta relació amb el procés de gestió de seguretat de dades de l'especificació UNIX 0078 i amb el procés d'UNIX 20000-1 d'Operació SGSTI- Gestió de Seguretat de la Informació.

A continuació, en la Figura 2 es presenta com l'especificació UNIX 0078 complementa a les actuals ISO 20000 i ISO 27000 aplicat a l'exemple comentat anteriorment.

Figura 2. Relació de processos UNIX 0078 amb ISO 20000 i ISO 27000 aplicats al cas de compartició de dades

A través dels casos anteriors es pot albirar que el gran avantatge de l'especificació UNIX 0078 és que s'integren perfectament amb els sistemes de gestió de seguretat i de gestió de servicis existents en les organitzacions. El mateix ocorre amb la resta de les normes UNIX 0077, 0079, 0080, i 0081. Per tant, si una organització que ja té implantats ISO 20000 o ISO 27000 vol dur a terme iniciatives de govern, gestió i qualitat de dades, es recomana l'alineament entre els diferents sistemes de gestió amb les especificacions UNIX, ja que es reforcen mútuament des del punt de vista de la seguretat, dels servicis i de les dades.

Font original de la notícia(Obri en nova finestra)

  • Informació i dades del sector públic