Integrated risk management process improvement framework in it settings based on ISO standards

Resumen

La Organización Internacional para la Estandarización (ISO) propone Estándares de Sistemas de Gestión (ESG), siendo el más popular la norma ISO 9001 y, en el dominio de las TI, por una parte, la norma ISO/IEC 20000-1 para el sistema de gestión de servicios de TI y, por otra, la norma ISO/IEC 27001 para el sistema de gestión de seguridad de la información. Con un enfoque basado en procesos y un pensamiento basado en el riesgo, la norma ISO 21500 aborda la gestión de proyectos. Estos cuatro estándares ISO antes mencionados, son de gran interés para muchos profesionales que trabajan en entornos de TI y que están preocupados por la integración de las actividades basadas en procesos, implementando mecanismos para establecer vínculos entre departamentos (tanto de TI como otros) con retos de gestión de riesgos por abordar. Por entornos de TI se deben entender empresas de TI y departamentos de TI, que abarcan tanto desarrollo como operaciones, con actividades basadas en proyectos y no basadas en ellos. Tomando los estándares ISO como consenso internacional de buenas prácticas y con el objetivo de mejorar e integrar la gestión de riesgos en entornos de TI, se plantea la siguiente pregunta principal de la investigación: "¿Cómo mejorar los procesos de gestión de riesgos en entornos de TI desde una perspectiva integrada y de sistemas de gestión en múltiples estándares ISO?". Esta investigación pretende explorar la gestión de riesgos en entornos de TI desde el ángulo de los siguientes estándares ISO: ISO 31000, referencia internacional en gestión de riesgos, ISO Annex SL (estructura de alto nivel para los ESG), ISO 9001, ISO 21500, ISO/IEC 20000-1 e ISO/IEC 27001 (así como también ISO/IEC 27005 para entradas complementarias en gestión de riesgos de seguridad de la información). Esta investigación se basa en los principios de Design Science para crear artefactos en entornos de TI. Se ha seguido un conjunto de seis actividades para crear un modelo de referencia de procesos (Process Reference Model, PRM) y un modelo de evaluación de procesos (Process Assessment Model, PAM) para procesos integrados de gestión de riesgos basados en estándares ISO (Integrated Risk Management processes based on ISO Standards, IRMIS), con iteraciones e interacciones para mejorar la solución propuesta relacionada con el problema a ser resuelto. La contribución de esta investigación consiste en tres líneas principales. La primera trata sobre la identificación de actividades de gestión de riesgos en varios estándares ISO seleccionados que definen sistemas de gestión. Consiste en el mapeo de la norma ISO 31000 con los siguientes estándares ISO seleccionados: ISO Annex SL, ISO 9001, ISO 9001, ISO 21500, ISO/IEC 20000-1 e ISO/IEC 27001 e ISO/IEC 27005. La segunda línea de investigación trata sobre la realización de la integración de las actividades de gestión de riesgos en entornos de TI con la obtención de procesos dedicados de sistemas de gestión y procesos específicos de gestión de riesgos. La tercera línea de investigación trata sobre la mejora de los procesos de gestión de riesgos, del PRM de IRMIS y de su PAM para la evaluación de procesos. Para alcanzar este resultado, se ha aplicado el Proceso de Transformación a la norma ISO 31000 y a los otros estándares seleccionados, para poder desarrollar el PRM y el PAM de IRMIS. El PRM y el PAM de IRMIS constituyen el resultado final de un marco integrado de mejora de la gestión de riesgos en entornos de TI basados en estándares ISO.