accesskey_mod_content

As especificacións UNE como complemento das normas ISO para o goberno, xestión e calidade dos Sistemas e Tecnoloxías da Información

  • Escoitar
  • Imprimir PDF
  • Compartir

02 abril 2024

Ante a proliferación de estándares relacionados co TIC, publicamos este artigo pondo o foco en dous deles: o ISO 20000 (xestión do servizo) e o ISO 27000 (seguridade e privacidade da información) establecendo a relación entre estes e as especificacións UNE.

A estandarización é fundamental para mellorar a eficiencia e a interoperabilidade no goberno e a xestión de datos. A adopción de estándares proporciona un marco común para organizar, intercambiar e interpretar os datos, facilitando a colaboración e garantindo a consistencia e calidade dos mesmos. O estándares ISO, elaborados a nivel internacional e as normas UNE, desenvolvidas especificamente para o mercado español, son amplamente recoñecidos neste ámbito. Ambos os catálogos de boas prácticas, aínda que comparten obxectivos similares, difiren no seu alcance xeográfico e enfoque de desenvolvemento, permitindo ás organizacións seleccionar as normas máis adecuadas para as súas necesidades e contexto específico.

Ante a publicación, hai uns meses, de as  especificacións UNE 0077, 0078, 0079, 0080, e 0081 sobre goberno, xestión, calidade, madurez, e avaliación de calidade de datos , os usuarios poden ter dúbidas sobre como se relacionan estas e as normas ISO que xa teñen implementadas na súa organización. 

Normas ISO máis habituais relacionadas co dato

O estándares ISO ten a gran vantaxe de ser abertos, dinámicos e agnósticos ás tecnoloxías subxacentes. Do mesmo xeito, encárganse de axuntar as mellores prácticas consensuadas e decididas por distintos grupos de profesionais e investigadores en cada un dos campos de actuación. Se pomos o foco nos estándares relacionados co TIC, xa existe un marco de estándares sobre goberno, xestión e calidade dos sistemas de información onde destacan, entre outras:

  • A nivel de goberno:
  1. ISO 38500  para o goberno de TI.
  • A nivel de xestión:
  1. ISO 8000  para sistemas de xestión de datos e datos mestres.
  2. ISO 20000  para a xestión dos servizos.
  3. ISO 25000  para a calidade do produto xerado (tanto software como datos).
  4. ISO 27000  e  ISO 27701  para a xestión da seguridade e privacidade da información.
  5. ISO 33000  para a avaliación de procesos.jkkl0ñ-.

A estes estándares hai que sumar outros que tamén son de uso habitual nas empresas como:

  • Sistema de xestión de calidade baseado niso 9000
  • Sistema de xestión ambiental proposto niso 14000

Estas normas  úsanse desde hai anos para o goberno e xestión do TIC  e teñen a gran vantaxe de que, ao basearse nos mesmos principios, poden  usarse perfectamente de maneira conxunta . Así, por exemplo, é moi útil reforzar mutuamente a seguridade dos sistemas de información baseados na familia de normas ISO/IEC 27000 con a  xestión de servizos baseados na familia de normas ISO/IEC 20000 .

A relación entre as normas ISO e as especificacións UNE sobre o dato

As especificacións UNE 0077, 0078, 0079, 0080 e 0081 complementan as normas ISO existentes sobre goberno, xestión e calidade de datos ao proporcionar directrices específicas e detalladas que se enfocan nos aspectos particulares da contorna española e as necesidades do mercado nacional.

Cando se expuxeron as especificacións UNE 0077, 0078, 0079, 0080, e 0081, baseáronse nos principais estándares ISO, co fin de integrarse facilmente nos sistemas de xestión xa dispoñibles nas organizacións (mencionados anteriormente), como pode verse na seguinte figura:

Figura 1. Relación das especificacións UNE cos diferentes estándares ISO para o TIC

Exemplo de aplicación da norma UNE 0078

A seguir, preséntase un exemplo para ver como se integran dunha forma máis clara as normas UNE e o ISO que moitas organizacións xa teñen implantadas desde hai anos, tomando como referencia ÚNEA 0078. Aínda que todas as especificacións UNE do dato atópanse entrelazadas coa maioría das normas ISO de goberno, xestión e calidade de TI, a especificación UNE 0078 de xestión de datos está máis relacionada cos sistemas de xestión de seguridade da información (ISO 27000) e xestión dos servizos de TI (ISO 20000). Na Táboa 1 pódese ver a relación para cada proceso con cada estándar ISO.

Proceso UNE 0078: Xestión de Datos 

Relacionado con ISO 20000 

Relacionado con ISO 27000 

‍(ProcDat) Procesamento do dato 

 

 

(InfrTec) Xestión da infraestrutura tecnolóxica 

X

X

(ReqDat) Xestión de requisitos do dato

X

X

(ConfDat) Xestión da configuración do dato 

 

 

‍(DatHist) Xestión de datos histórico

X

(SegDat) Xestión da seguridade do dato

X

X

‍(Metdat) Xestión do metadato

 

X

‍(ArqDat) Xestión da arquitectura e deseño do metadato 

 

X

‍(CIIDat) Compartición, intermediación e integración do dato

X

 

‍(MDM) Xestión do dato mestre

 

‍(RRHH) Xestión de recursos humanos

 

 

‍(CVidDat) Xestión do ciclo de vida do dato 

X

 

‍D(AnaDat) Análise do dato esigualdad

 

 

 

Relación da norma UNE 0078 con ISO 20000

Canto á interrelación ISO 20000-1 coa especificación UNE 0078 a seguir preséntase un caso de uso no que unha organización quere pór a disposición datos relevantes para o seu consumo en toda a organización a través de distintos servizos. A implementación integrada de UNE 0078 e ISO 20000-1 permite ás organizacións:

  • Asegurar que os datos críticos para o negocio son xestionados e protexidos adecuadamente.
  • Mellorar a eficiencia e efectividade dos servizos de TI, asegurando que a infraestrutura tecnolóxica apoia as necesidades do negocio e dos usuarios finais
  • Aliñar a xestión de datos e a xestión de servizos de TI cos obxectivos estratéxicos da organización, mellorando a toma de decisións e a competitividade no mercado

A relación entre ambas as maniféstase en como a infraestrutura tecnolóxica xestionada segundo ÚNEA 0078 soporta a entrega e xestión de servizos de TI conforme a ISO 20000-1.

Para iso, é necesario contar, polo menos, con:

  1. En primeiro lugar, para o caso de posta a disposición de datos como un servizo, é necesario contar con unha infraestrutura de TI ben xestionada e segura. Isto é esencial, por unha banda, para a implementación efectiva de procesos de xestión de servizos de TI, como os incidentes e problemas, e por outro, para asegurar a continuidade do negocio e a dispoñibilidade dos servizos de TI.
  2. En segundo lugar, unha vez disponse da infraestrutura, e ése consciente de que o dato vai ser disposto para o seu consumo nalgún momento, é necesario xestionar os principios de compartición e intermediación do este dato. Para iso, na especificación UNE 0078, cóntase co proceso de Compartición, intermediación e integración do dato. O seu principal obxectivo é habilitar a súa adquisición e/ou entrega para o seu consumo ou compartición, observando se fose necesario o despregamento de mecanismos de intermediación, así como a integración do mesmo. Este proceso de ÚNEA 0078 estaría relacionado con varios dos expostos niso 20000-1, tales como o proceso de Xestión de relacións co negocio, xestión de niveis de servizo, a xestión da demanda e a xestión da capacidade dos datos que son postos a disposición.

Relación da norma UNE 0078 con ISO 27000

Así mesmo, a infraestrutura tecnolóxica creada e xestionada para un obxectivo específico debe asegurar uns mínimos en materia de seguridade e privacidade de datos, por tanto, será necesaria a implantación de boas prácticas incluídas niso 27000 e ISO 27701 para xestionar a infraestrutura desde a perspectiva da seguridade e privacidade da información, mostrando así un claro exemplo de interrelación entre o tres sistemas de xestión: servizos, seguridade e privacidade da información, e datos.

Non só é primordial que o dato sexa posto ao servizo das organizacións e cidadáns dunha forma óptima, senón que é necesario ademais prestar especial atención á seguridade do dato ao longo de todo o seu ciclo de vida durante a posta en servizo. É neste punto onde o estándar ISO 27000 achega todo o seu valor. O estándar ISO 27000, e en particular ISO 27001 cumpre os seguintes obxectivos:

  • Especifica os requisitos para un sistema de xestión de seguridade da información (SGSI).
  • Céntrase na protección da información contra accesos non autorizados, a integridade dos datos e a confidencialidade.
  • Axuda ás organizacións a identificar, avaliar e xestionar os riscos de seguridade da información.

Nesta liña, a súa interrelación coa especificación UNE 0078 de Xestión de Datos vén marcada a través do proceso de Xestión de seguridade do dato. A través da aplicación dos distintos mecanismos de seguridade, compróbase que a información manexada nos sistemas non ten accesos non autorizados, mantendo a súa integridade e confidencialidade ao longo de todo o ciclo de vida do dato. Do mesmo xeito, pódese construír unha terna nesta relación co proceso de xestión de seguridade de datos da especificación UNE 0078 e co proceso de UNE 20000-1 de Operación SGSTI- Xestión de Seguridade da Información.

A seguir, na Figura 2 preséntase como a especificación UNE 0078 complementa ao actuais ISO 20000 e ISO 27000 aplicado ao exemplo comentado anteriormente.

Figura 2. Relación de procesos UNE 0078 con ISO 20000 e ISO 27000 aplicados ao caso de compartición de datos

A través dos casos anteriores pódese albiscar que a gran vantaxe da especificación UNE 0078 é que se integran perfectamente cos sistemas de xestión de seguridade e de xestión de servizos existentes nas organizacións. O mesmo ocorre co resto das normas UNE 0077, 0079, 0080, e 0081. Por tanto, se unha organización que xa ten implantados ISO 20000 ou ISO 27000 quere levar a cabo iniciativas de goberno, xestión e calidade de datos, recoméndase o aliñamento entre os distintos sistemas de xestión coas especificacións UNE, posto que se reforzan mutuamente desde o punto de vista da seguridade, dos servizos e dos datos.

Fonte orixinal da noticia(Abre en nova xanela)

  • Información e datos do sector público