[cat] L'Organització Internacional per a l'Estandardització (ISO) proposa Estàndards de
Sistemes de Gestió (ESG), sent el més popular la norma ISO 9001 i, en el domini de
les TI, d'una banda, la norma ISO/IEC 20000-1 per al sistema de gestió de serveis
de TI i, per l’altra, la norma ISO/IEC 27001 per al sistema de gestió de seguretat de
la informació. Amb un enfocament basat en processos i un pensament basat en el
risc, la norma ISO 21500 aborda la gestió de projectes. Aquests quatre estàndards
ISO abans esmentats, són de gran interès per a molts professionals que treballen en
entorns de TI i que estan preocupats per la integració de les activitats basades en
processos, implementant mecanismes per establir vincles entre departaments (tant
de TI com altres) amb reptes de gestió de riscs per abordar. Per entorns de TI s'han
d'entendre empreses de TI i departaments de TI, que abasten tant desenvolupament
com operacions, amb activitats basades en projectes i no basades en ells.
Prenent els estàndards ISO com a consens internacional de bones pràctiques
i amb l'objectiu de millorar i integrar la gestió de riscs en entorns de TI, es planteja
la següent pregunta principal de la investigació: "Com millorar els processos de gestió
de riscs en entorns de TI des d'una perspectiva integrada i de sistemes de gestió en
múltiples estàndards ISO?". Aquesta investigació pretén explorar la gestió de riscs en
entorns de TI des de l'angle dels següents estàndards ISO: ISO 31000, referència
internacional en gestió de riscs, ISO Annex SL (estructura d'alt nivell per als ESG),
ISO 9001 , ISO 21500, ISO/IEC 20000-1 i ISO/IEC 27001 (així com també ISO/IEC
27005 per a entrades complementàries en gestió de riscs de seguretat de la
informació).
Aquesta investigació es basa en els principis de Design Science per crear artefactes
en entorns de TI. S'ha seguit un conjunt de sis activitats per crear un model de
referència de processos (Process Reference Model, PRM) i un model d'avaluació de
processos (Process Assessment Model, PAM) per a processos integrats de gestió de
riscs basats en estàndards ISO (Integrated Risk Management processes based on ISO
Standards, IRMIS), amb iteracions i interaccions per millorar la solució proposada
relacionada amb el problema a ser resolt. La contribució d'aquesta investigació
consisteix en tres línies principals. La primera tracta sobre la identificació d'activitats de gestió de riscs en diversos estàndards ISO seleccionats que defineixen
sistemes de gestió. Consisteix en el mapatge de la norma ISO 31000 amb els
següents estàndards ISO seleccionats: ISO Annex SL, ISO 9001, ISO 9001, ISO
21500, ISO/IEC 20000-1 i ISO/IEC 27001 i ISO / IEC 27005. La segona línia
d’investigació tracta sobre la realització de la integració de les activitats de gestió de
riscs en entorns de TI amb l'obtenció de processos dedicats de sistemes de gestió i
processos específics de gestió de riscs. La tercera línia de recerca tracta sobre la
millora dels processos de gestió de riscs, del PRM de IRMIS i del seu PAM per a
l'avaluació de processos. Per assolir aquest resultat, s'ha aplicat el Procés de
Transformació a la norma ISO 31000 i als altres estàndards seleccionats, per poder
desenvolupar el PRM i el PAM de IRMIS. El PRM i el PAM de IRMIS constitueixen el
resultat final d'un marc integrat de millora de la gestió de riscs en entorns de TI
basats en estàndards ISO.
[spa] La Organización Internacional para la Estandarización (ISO) propone Estándares de
Sistemas de Gestión (ESG), siendo el más popular la norma ISO 9001 y, en el
dominio de las TI, por una parte, la norma ISO/IEC 20000-1 para el sistema de
gestión de servicios de TI y, por otra, la norma ISO/IEC 27001 para el sistema de
gestión de seguridad de la información. Con un enfoque basado en procesos y un
pensamiento basado en el riesgo, la norma ISO 21500 aborda la gestión de
proyectos. Estos cuatro estándares ISO antes mencionados, son de gran interés para
muchos profesionales que trabajan en entornos de TI y que están preocupados por
la integración de las actividades basadas en procesos, implementando mecanismos
para establecer vínculos entre departamentos (tanto de TI como otros) con retos de
gestión de riesgos por abordar. Por entornos de TI se deben entender empresas de
TI y departamentos de TI, que abarcan tanto desarrollo como operaciones, con
actividades basadas en proyectos y no basadas en ellos.
Tomando los estándares ISO como consenso internacional de buenas
prácticas y con el objetivo de mejorar e integrar la gestión de riesgos en entornos de
TI, se plantea la siguiente pregunta principal de la investigación: "¿Cómo mejorar los
procesos de gestión de riesgos en entornos de TI desde una perspectiva integrada y de
sistemas de gestión en múltiples estándares ISO?". Esta investigación pretende
explorar la gestión de riesgos en entornos de TI desde el ángulo de los siguientes
estándares ISO: ISO 31000, referencia internacional en gestión de riesgos, ISO
Annex SL (estructura de alto nivel para los ESG), ISO 9001, ISO 21500, ISO/IEC
20000-1 e ISO/IEC 27001 (así como también ISO/IEC 27005 para entradas
complementarias en gestión de riesgos de seguridad de la información).
Esta investigación se basa en los principios de Design Science para crear
artefactos en entornos de TI. Se ha seguido un conjunto de seis actividades para
crear un modelo de referencia de procesos (Process Reference Model, PRM) y un
modelo de evaluación de procesos (Process Assessment Model, PAM) para procesos
integrados de gestión de riesgos basados en estándares ISO (Integrated Risk
Management processes based on ISO Standards, IRMIS), con iteraciones e
interacciones para mejorar la solución propuesta relacionada con el problema a ser resuelto. La contribución de esta investigación consiste en tres líneas principales. La
primera trata sobre la identificación de actividades de gestión de riesgos en varios
estándares ISO seleccionados que definen sistemas de gestión. Consiste en el
mapeo de la norma ISO 31000 con los siguientes estándares ISO seleccionados: ISO
Annex SL, ISO 9001, ISO 9001, ISO 21500, ISO/IEC 20000-1 e ISO/IEC 27001 e
ISO/IEC 27005. La segunda línea de investigación trata sobre la realización de la
integración de las actividades de gestión de riesgos en entornos de TI con la
obtención de procesos dedicados de sistemas de gestión y procesos específicos de
gestión de riesgos. La tercera línea de investigación trata sobre la mejora de los
procesos de gestión de riesgos, del PRM de IRMIS y de su PAM para la evaluación de
procesos. Para alcanzar este resultado, se ha aplicado el Proceso de Transformación
a la norma ISO 31000 y a los otros estándares seleccionados, para poder desarrollar
el PRM y el PAM de IRMIS. El PRM y el PAM de IRMIS constituyen el resultado final
de un marco integrado de mejora de la gestión de riesgos en entornos de TI basados
en estándares ISO.
[eng] The International Organization for Standardization (ISO) proposes management
system standards (MSSs), with the most popular one: ISO 9001, and in the IT
domain ISO/IEC 20000-1 for IT service management system and ISO/IEC 27001 for
information security management system. With also a process-based approach and
risk-based thinking, the ISO 21500 standard tackles project management. These
four ISO standards are of high interest for many practitioners in IT settings,
concerned by the integration of process-based activities, implementing mechanisms
for making the link between IT and non-IT entities of their organization with risk
management challenges to address. IT settings mean IT companies and IT
departments, covering both development and operations sides, with project and
non-project based activities.
In order to improve and integrate risk management in IT settings with ISO
standards as the basis representing international consensus of practices, the
following main research question is targeted: “How to improve risk management
processes in IT settings from an integrated and management system perspective in
multiple ISO standards?”. This research intends to explore risk management in IT
settings from the angle of the following ISO standards: ISO 31000, the international
reference in risk management, ISO Annex SL (high level structure for MSSs), ISO
9001, ISO 21500, ISO/IEC 20000-1 and ISO/IEC 27001 (as well as ISO/IEC 27005
on information security risk management for complementary inputs).
This research is based on Design Science principles for creating artefacts in
IT settings. A set of six activities was followed for creating a process reference model
(PRM) and a process assessment model (PAM) for integrated risk management
processes based on ISO standards (IRMIS), with iterations and interactions for
improving the proposed solution related to the problem to be solved. The research
contribution consists in three main lines. The first one deals with identifying risk
management activities throughout various selected ISO standards targeting
management systems. It consists in the mapping of ISO 31000 with the following
ISO selected standards: ISO Annex SL, ISO 9001, ISO 9001, ISO 21500, ISO/IEC
20000-1 and ISO/IEC 27001 and ISO/IEC 27005. The second research line deals with driving integration for risk management activities in IT settings with the
elicitation of management systems dedicated processes, and risk management
specific processes. The third research line deals with improving risk management
processes throughout the IRMIS PRM and PAM enabling process assessment. For
reaching this result, the Transformation process is applied to ISO 31000 and
selected standards in order to fully develop the IRMIS PRM and PAM. The IRMIS
PRM and PAM constitute the final outcome for an integrated risk management
improvement framework in IT settings based on ISO standards.