Integrated risk management process improvement framework in it settings based on ISO standards

Abstract

[cat] L'Organització Internacional per a l'Estandardització (ISO) proposa Estàndards de Sistemes de Gestió (ESG), sent el més popular la norma ISO 9001 i, en el domini de les TI, d'una banda, la norma ISO/IEC 20000-1 per al sistema de gestió de serveis de TI i, per l’altra, la norma ISO/IEC 27001 per al sistema de gestió de seguretat de la informació. Amb un enfocament basat en processos i un pensament basat en el risc, la norma ISO 21500 aborda la gestió de projectes. Aquests quatre estàndards ISO abans esmentats, són de gran interès per a molts professionals que treballen en entorns de TI i que estan preocupats per la integració de les activitats basades en processos, implementant mecanismes per establir vincles entre departaments (tant de TI com altres) amb reptes de gestió de riscs per abordar. Per entorns de TI s'han d'entendre empreses de TI i departaments de TI, que abasten tant desenvolupament com operacions, amb activitats basades en projectes i no basades en ells. Prenent els estàndards ISO com a consens internacional de bones pràctiques i amb l'objectiu de millorar i integrar la gestió de riscs en entorns de TI, es planteja la següent pregunta principal de la investigació: "Com millorar els processos de gestió de riscs en entorns de TI des d'una perspectiva integrada i de sistemes de gestió en múltiples estàndards ISO?". Aquesta investigació pretén explorar la gestió de riscs en entorns de TI des de l'angle dels següents estàndards ISO: ISO 31000, referència internacional en gestió de riscs, ISO Annex SL (estructura d'alt nivell per als ESG), ISO 9001 , ISO 21500, ISO/IEC 20000-1 i ISO/IEC 27001 (així com també ISO/IEC 27005 per a entrades complementàries en gestió de riscs de seguretat de la informació). Aquesta investigació es basa en els principis de Design Science per crear artefactes en entorns de TI. S'ha seguit un conjunt de sis activitats per crear un model de referència de processos (Process Reference Model, PRM) i un model d'avaluació de processos (Process Assessment Model, PAM) per a processos integrats de gestió de riscs basats en estàndards ISO (Integrated Risk Management processes based on ISO Standards, IRMIS), amb iteracions i interaccions per millorar la solució proposada relacionada amb el problema a ser resolt. La contribució d'aquesta investigació consisteix en tres línies principals. La primera tracta sobre la identificació d'activitats de gestió de riscs en diversos estàndards ISO seleccionats que defineixen sistemes de gestió. Consisteix en el mapatge de la norma ISO 31000 amb els següents estàndards ISO seleccionats: ISO Annex SL, ISO 9001, ISO 9001, ISO 21500, ISO/IEC 20000-1 i ISO/IEC 27001 i ISO / IEC 27005. La segona línia d’investigació tracta sobre la realització de la integració de les activitats de gestió de riscs en entorns de TI amb l'obtenció de processos dedicats de sistemes de gestió i processos específics de gestió de riscs. La tercera línia de recerca tracta sobre la millora dels processos de gestió de riscs, del PRM de IRMIS i del seu PAM per a l'avaluació de processos. Per assolir aquest resultat, s'ha aplicat el Procés de Transformació a la norma ISO 31000 i als altres estàndards seleccionats, per poder desenvolupar el PRM i el PAM de IRMIS. El PRM i el PAM de IRMIS constitueixen el resultat final d'un marc integrat de millora de la gestió de riscs en entorns de TI basats en estàndards ISO.

[spa] La Organización Internacional para la Estandarización (ISO) propone Estándares de Sistemas de Gestión (ESG), siendo el más popular la norma ISO 9001 y, en el dominio de las TI, por una parte, la norma ISO/IEC 20000-1 para el sistema de gestión de servicios de TI y, por otra, la norma ISO/IEC 27001 para el sistema de gestión de seguridad de la información. Con un enfoque basado en procesos y un pensamiento basado en el riesgo, la norma ISO 21500 aborda la gestión de proyectos. Estos cuatro estándares ISO antes mencionados, son de gran interés para muchos profesionales que trabajan en entornos de TI y que están preocupados por la integración de las actividades basadas en procesos, implementando mecanismos para establecer vínculos entre departamentos (tanto de TI como otros) con retos de gestión de riesgos por abordar. Por entornos de TI se deben entender empresas de TI y departamentos de TI, que abarcan tanto desarrollo como operaciones, con actividades basadas en proyectos y no basadas en ellos. Tomando los estándares ISO como consenso internacional de buenas prácticas y con el objetivo de mejorar e integrar la gestión de riesgos en entornos de TI, se plantea la siguiente pregunta principal de la investigación: "¿Cómo mejorar los procesos de gestión de riesgos en entornos de TI desde una perspectiva integrada y de sistemas de gestión en múltiples estándares ISO?". Esta investigación pretende explorar la gestión de riesgos en entornos de TI desde el ángulo de los siguientes estándares ISO: ISO 31000, referencia internacional en gestión de riesgos, ISO Annex SL (estructura de alto nivel para los ESG), ISO 9001, ISO 21500, ISO/IEC 20000-1 e ISO/IEC 27001 (así como también ISO/IEC 27005 para entradas complementarias en gestión de riesgos de seguridad de la información). Esta investigación se basa en los principios de Design Science para crear artefactos en entornos de TI. Se ha seguido un conjunto de seis actividades para crear un modelo de referencia de procesos (Process Reference Model, PRM) y un modelo de evaluación de procesos (Process Assessment Model, PAM) para procesos integrados de gestión de riesgos basados en estándares ISO (Integrated Risk Management processes based on ISO Standards, IRMIS), con iteraciones e interacciones para mejorar la solución propuesta relacionada con el problema a ser resuelto. La contribución de esta investigación consiste en tres líneas principales. La primera trata sobre la identificación de actividades de gestión de riesgos en varios estándares ISO seleccionados que definen sistemas de gestión. Consiste en el mapeo de la norma ISO 31000 con los siguientes estándares ISO seleccionados: ISO Annex SL, ISO 9001, ISO 9001, ISO 21500, ISO/IEC 20000-1 e ISO/IEC 27001 e ISO/IEC 27005. La segunda línea de investigación trata sobre la realización de la integración de las actividades de gestión de riesgos en entornos de TI con la obtención de procesos dedicados de sistemas de gestión y procesos específicos de gestión de riesgos. La tercera línea de investigación trata sobre la mejora de los procesos de gestión de riesgos, del PRM de IRMIS y de su PAM para la evaluación de procesos. Para alcanzar este resultado, se ha aplicado el Proceso de Transformación a la norma ISO 31000 y a los otros estándares seleccionados, para poder desarrollar el PRM y el PAM de IRMIS. El PRM y el PAM de IRMIS constituyen el resultado final de un marco integrado de mejora de la gestión de riesgos en entornos de TI basados en estándares ISO.

[eng] The International Organization for Standardization (ISO) proposes management system standards (MSSs), with the most popular one: ISO 9001, and in the IT domain ISO/IEC 20000-1 for IT service management system and ISO/IEC 27001 for information security management system. With also a process-based approach and risk-based thinking, the ISO 21500 standard tackles project management. These four ISO standards are of high interest for many practitioners in IT settings, concerned by the integration of process-based activities, implementing mechanisms for making the link between IT and non-IT entities of their organization with risk management challenges to address. IT settings mean IT companies and IT departments, covering both development and operations sides, with project and non-project based activities. In order to improve and integrate risk management in IT settings with ISO standards as the basis representing international consensus of practices, the following main research question is targeted: “How to improve risk management processes in IT settings from an integrated and management system perspective in multiple ISO standards?”. This research intends to explore risk management in IT settings from the angle of the following ISO standards: ISO 31000, the international reference in risk management, ISO Annex SL (high level structure for MSSs), ISO 9001, ISO 21500, ISO/IEC 20000-1 and ISO/IEC 27001 (as well as ISO/IEC 27005 on information security risk management for complementary inputs). This research is based on Design Science principles for creating artefacts in IT settings. A set of six activities was followed for creating a process reference model (PRM) and a process assessment model (PAM) for integrated risk management processes based on ISO standards (IRMIS), with iterations and interactions for improving the proposed solution related to the problem to be solved. The research contribution consists in three main lines. The first one deals with identifying risk management activities throughout various selected ISO standards targeting management systems. It consists in the mapping of ISO 31000 with the following ISO selected standards: ISO Annex SL, ISO 9001, ISO 9001, ISO 21500, ISO/IEC 20000-1 and ISO/IEC 27001 and ISO/IEC 27005. The second research line deals with driving integration for risk management activities in IT settings with the elicitation of management systems dedicated processes, and risk management specific processes. The third research line deals with improving risk management processes throughout the IRMIS PRM and PAM enabling process assessment. For reaching this result, the Transformation process is applied to ISO 31000 and selected standards in order to fully develop the IRMIS PRM and PAM. The IRMIS PRM and PAM constitute the final outcome for an integrated risk management improvement framework in IT settings based on ISO standards.