Integrated risk management process improvement framework in it settings based on ISO standards

Laburpena

Resum L'Organització Internacional per a l'Estandardització (ISO) proposa Estàndards de Sistemes de Gestió (ESG), sent el més popular la norma ISO 9001 i, en el domini de les TI, d'una banda, la norma ISO/IEC 20000-1 per al sistema de gestió de serveis de TI i, per l’altra, la norma ISO/IEC 27001 per al sistema de gestió de seguretat de la informació. Amb un enfocament basat en processos i un pensament basat en el risc, la norma ISO 21500 aborda la gestió de projectes. Aquests quatre estàndards ISO abans esmentats, són de gran interès per a molts professionals que treballen en entorns de TI i que estan preocupats per la integració de les activitats basades en processos, implementant mecanismes per establir vincles entre departaments (tant de TI com altres) amb reptes de gestió de riscs per abordar. Per entorns de TI s'han d'entendre empreses de TI i departaments de TI, que abasten tant desenvolupament com operacions, amb activitats basades en projectes i no basades en ells. Prenent els estàndards ISO com a consens internacional de bones pràctiques i amb l'objectiu de millorar i integrar la gestió de riscs en entorns de TI, es planteja la següent pregunta principal de la investigació: "Com millorar els processos de gestió de riscs en entorns de TI des d'una perspectiva integrada i de sistemes de gestió en múltiples estàndards ISO?". Aquesta investigació pretén explorar la gestió de riscs en entorns de TI des de l'angle dels següents estàndards ISO: ISO 31000, referència internacional en gestió de riscs, ISO Annex SL (estructura d'alt nivell per als ESG), ISO 9001 , ISO 21500, ISO/IEC 20000-1 i ISO/IEC 27001 (així com també ISO/IEC 27005 per a entrades complementàries en gestió de riscs de seguretat de la informació). Aquesta investigació es basa en els principis de Design Science per crear artefactes en entorns de TI. S'ha seguit un conjunt de sis activitats per crear un model de referència de processos (Process Reference Model, PRM) i un model d'avaluació de processos (Process Assessment Model, PAM) per a processos integrats de gestió de riscs basats en estàndards ISO (Integrated Risk Management processes based on ISO Standards, IRMIS), amb iteracions i interaccions per millorar la solució proposada relacionada amb el problema a ser resolt. La contribució d'aquesta investigació consisteix en tres línies principals. La primera tracta sobre la identificació d'activitats de gestió de riscs en diversos estàndards ISO seleccionats que defineixen sistemes de gestió. Consisteix en el mapatge de la norma ISO 31000 amb els següents estàndards ISO seleccionats: ISO Annex SL, ISO 9001, ISO 9001, ISO 21500, ISO/IEC 20000-1 i ISO/IEC 27001 i ISO / IEC 27005. La segona línia d’investigació tracta sobre la realització de la integració de les activitats de gestió de riscs en entorns de TI amb l'obtenció de processos dedicats de sistemes de gestió i processos específics de gestió de riscs. La tercera línia de recerca tracta sobre la millora dels processos de gestió de riscs, del PRM de IRMIS i del seu PAM per a l'avaluació de processos. Per assolir aquest resultat, s'ha aplicat el Procés de Transformació a la norma ISO 31000 i als altres estàndards seleccionats, per poder desenvolupar el PRM i el PAM de IRMIS. El PRM i el PAM de IRMIS constitueixen el resultat final d'un marc integrat de millora de la gestió de riscs en entorns de TI basats en estàndards ISO.