Normas para una transformación digital efectiva

Cerca de 40 normas UNE impulsan el buen gobierno de las organizaciones en seis áreas estratégicas: corporativo, resiliencia, relaciones entre organizaciones, seguridad y salud en el trabajo, transformación digital y actividades sostenibles.

La normalización apoya el buen gobierno de las organizaciones a través de la elaboración de estándares que les permite disponer de una visión estratégica con un enfoque panorámico 360º. La transformación digital es, sin duda, uno de los capítulos que forma parte de las estrategias de las organizaciones, que son cada vez más conscientes del papel de las TI como soporte al negocio, así como de su capacidad para generar ingresos económicos. Por lo tanto, se hace imprescindible que los órganos de gobierno se involucren en las decisiones estratégicas sobre Tecnología de la Información.

En este artículo se abordan tres ámbitos claves para que la transformación digital sea efectiva y los estándares que están apoyando esta evolución:

• Gestión y Gobierno de las TI
• Ciberseguridad
• Industria 4.0

En el proceso de transformación digital en el que vivimos inmersos, se pasa de una concepción de las TIC puramente técnica a una consideración prioritaria de las mismas en los procesos de gestión empresarial y gobierno. A medida que el Gobierno Corporativo ha adquirido mayor importancia, también lo ha hecho el Gobierno de TI. Hoy en día, no alinear la TI con la estrategia y la dirección del negocio es uno de los mayores riesgos para la alta dirección.

De esta manera, la gestión de servicios de TI se enfoca para alinear los procesos y servicios de TI con los objetivos de negocio, con el fin de ayudar a que las organizaciones crezcan bajo un marco de gobierno que proporcione a los responsables de las organizaciones el poder de tomar decisiones basadas en los resultados que obtengan al dirigir, monitorizar y evaluar el uso de las TI en su entidad.

La Norma UNE-ISO/IEC 38500 Gobernanza Corporativa de la Tecnología de la Información (TI) establece unos principios rectores en el ámbito de dirección de las organizaciones (incluyendo a los propietarios, los miembros del consejo de administración, comité de dirección, socios…) para poder dirigir, evaluar y controlar el uso efectivo y eficaz de las TI. Es aplicable a todas las organizaciones tanto públicas como privadas, independientemente de su tamaño y de su grado de utilización de las TI.

Las normas de la Serie ISO 20000 Gestión del Servicio son también relevantes en este ámbito:

• UNE-ISO/IEC 20000-1 Tecnologías de la información Gestión de Servicios. Parte 1: Requisitos del Sistema de Gestión de Servicios (SGS)
• UNE-ISO/IEC 20000-2 Tecnología de la información. Gestión del Servicio. Parte 2: Directrices para la aplicación del Sistema de Gestión del Servicio (SGS)
• UNE-ISO/IEC 20000-3 Tecnología de la información. Gestión del Servicio. Parte 3: Directrices para la definición del alcance y la aplicabilidad de la Norma ISO/IEC 20000-1

Los sistemas de TI desempeñan un papel crítico en la práctica totalidad de las empresas. La implantación de las normas de la serie garantiza que la gestión de servicios TI se realiza bajo unas condiciones determinadas y un nivel alto de calidad en los mismos.

Cuando nos referimos a servicios TI hablamos de servicios cuya provisión depende de las tecnologías de la información, pudiendo ser tanto servicio a clientes externos o servicios para grupos internos de la organización y necesarios para el desarrollo de la actividad de su negocio.

En el escenario actual, cualquier organización se apoya en servicios TI para alcanzar sus objetivos estratégicos, tales como aumento de su competitividad, mayor cuota de mercado o mayor rentabilidad y eficiencia. El objetivo de la serie ISO 20000 es ofrecer una metodología a través de la definición de 13 procesos y la implantación de un sistema de gestión basado en un ciclo de mejora continua (PDCA).

El estándar UNE-ISO/IEC 20000-1 es el referencial internacional para la certificación de Sistemas de Gestión del Servicio (SGS).

La ciberseguridad es un área transversal y fundamental para dar apoyo al despliegue de la Transformación Digital. La utilización masiva de la tecnología de la información en los procesos empresariales, productivos y en los productos reportará enormes ventajas, pero trae consigo un escenario donde surgen nuevas ciberamenazas y ciberriesgos. La información es, hoy en día, uno de los principales activos de una empresa. Por eso, garantizar su confidencialidad, integridad y disponibilidad en un mundo conectado es un reto.

Según un estudio de Deloitte, los sectores que se encuentran por encima de los dos incidentes de media al año son Seguros, TMT (Telecomunicaciones, Medios de comunicación y Tecnología), Fabricación, Banca y Administración Pública.

En el marco de la gestión empresarial contamos con la familia de estándares ISO 27000, de reconocimiento internacional y cuya implantación ha conseguido instaurar la cultura de la protección de la información en el ámbito corporativo poniendo siempre el foco en la mejora continua del control de riesgos y amenazas.

Este modelo se establece a través de una serie de controles de seguridad, necesarios para proteger la confidencialidad, integridad y disponibilidad de la información empresarial. Cada organización debe elegir aquellos controles que se adapten mejor a sus necesidades, no solo en el área de tecnología, sino también dentro de otros departamentos como el de recursos humanos, seguridad financiera, comunicaciones y otros más.

El establecimiento e implementación de un sistema de gestión de la seguridad de la información por una organización está condicionado por sus necesidades y objetivos, sus requisitos de seguridad, los procesos organizativos utilizados y su tamaño y estructura.

Por su parte, la Norma UNE-EN ISO/IEC 27002 Seguridad de la información, ciberseguridad y protección de la privacidad. Controles de seguridad de la información ha evolucionado desde su primera versión de 2005. Así, cuenta con una nueva edición recientemente publicada por ISO que reorienta su título hacia la ciberseguridad y la privacidad, priorizando el enfoque y protección de los activos de información en base a la resiliencia, protección, defensa y gestión, alcanzando una mejor aproximación a las necesidades actuales en seguridad de la información.

Para facilitar su implantación, integra varios controles e introduce 11 nuevos. Así, los actualiza de 114 a 93, de ellos 37 son de tipo organizacional, ocho de personas, 14 físicos y 34 controles tecnológicos.

La transformación digital afecta a todo tipo de organizaciones. Pero, sin duda, la aplicación de las tecnologías de la información a la industria manufacturera es un elemento revitalizador que puede reducir la brecha competitiva de los países occidentales. El cambio es tan disruptivo que se considera una nueva revolución industrial, la cuarta en este caso, acuñándose términos como Industria 4.0 o Smart Manufacturing para referirse a la incorporación masiva de la tecnología de la información a toda la cadena de valor de los procesos relacionados con la industria manufacturera. Esta integración de la tecnología de la información se traducirá en la optimización e interacción de los procesos de investigación y desarrollo, diseño, producción, logística y la prestación de servicios asociados.

Uno de los mayores retos de este nuevo paradigma es guiar a las empresas en el proceso de implantación. En este sentido, hay dos especificaciones UNE que contribuyen en este camino:

• Especificación UNE 0060:2018 Industria 4.0. Sistema de gestión para la digitalización. Requisitos
• Especificación UNE 0061:2019 Industria 4.0. Sistema de gestión para la digitalización. Criterios para la evaluación de requisitos

El sistema de gestión de las Especificaciones UNE 0060 y UNE 0061 propone abordar el proyecto de digitalización apoyándose en la experiencia de los sistemas de gestión internacionalmente aceptados, para evitar el riesgo de acudir a una acumulación de tecnología sin haber asentado los objetivos que se persiguen en el proceso de transformación. Su objetivo es convertirse en una guía para abordar el proceso de digitalización industrial, como herramienta para que una empresa de cualquier tamaño promueva la digitalización de sus proveedores y estén preparadas para cualquier modelo de evaluación de la conformidad. La filosofía de las especificaciones se basa en la digitalización de los procesos clave de negocio, que son aquellos que tienen un impacto significativo en los ingresos, costes o experiencia de los clientes y de los que es esperable un mayor retorno proveniente de su transformación digital.

En el marco de las acciones de recuperación económica de España, desde UNE hemos publicado dos informes divulgativos sobre cómo la normalización contribuye a la transformación digital y a la transición ecológica, para potenciar que la sociedad saque partido a estos trabajos estratégicos en los que UNE ya canaliza la contribución y liderazgo español en los foros europeos e internacionales.

Asimismo, a lo largo de 2019 y 2020, se han publicado varios informes de normalización, con objeto de recopilar y dar a conocer los desarrollos normativos en diferentes sectores como muestra del apoyo de la normalización al despliegue de las políticas públicas, entre otras, el apoyo a la transición ecológica y la transformación digital, la industria 4.0 o el sector del agua.