Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Edición
2021-07
Organización y digitalización de la
información en obras de edificación e
ingeniería civil aplicando BIM (Building
Information Modelling) – Gestión de la
información aplicando BIM –
Parte 5:
Enfoque basado en la seguridad para la
gestión de la información
Número de referencia
UNIT-ISO 19650-5:2020
como norma:
Prólogo ............................................................................................................................................................................ v
Introducción ................................................................................................................................................................ vi
1 Objeto ................................................................................................................................................................... 1
2 Referencias normativas................................................................................................................................. 1
3 Términos y Definiciones ............................................................................................................................... 2
4 Establecimiento de la necesidad de un enfoque basado en la seguridad mediante un
proceso de evaluación de la sensibilidad ........................................................................................................... 4
4.1 Realización del proceso de evaluación de la sensibilidad ......................................................................... 4
4.2 Comprensión del rango de riesgos de seguridad .......................................................................................... 4
4.3 Identificación de las sensibilidades de la organización.............................................................................. 4
4.4 Establecimiento de sensibilidades de terceros .............................................................................................. 5
4.5 Registro del resultado de la evaluación de la sensibilidad ....................................................................... 6
4.6 Revisión de la evaluación de la sensibilidad ................................................................................................... 6
4.7 Determinación de la necesidad de un enfoque basado en la seguridad .............................................. 6
4.8 Registro del resultado del proceso de triaje de seguridad........................................................................ 7
4.9 Se necesita un enfoque basado en la seguridad............................................................................................. 8
4.10 No se necesita un enfoque basado en la seguridad ................................................................................... 8
5 Inicio del enfoque basado en la seguridad ............................................................................................. 8
5.1 Establecer la gobernanza, las responsabilidades y las obligaciones del enfoque basado en la
seguridad .............................................................................................................................................................................. 8
5.2 Inicio del desarrollo del enfoque basado en la seguridad ...................................................................... 10
6 Desarrollo de una estrategia de seguridad ......................................................................................... 10
6.1 Generalidades ........................................................................................................................................................... 10
6.2 Evaluación de los riesgos de seguridad ......................................................................................................... 11
6.3 Desarrollo de medidas de mitigación de riesgos de seguridad ............................................................ 11
6.4 Documentación de los riesgos de seguridad residuales y admisibles ............................................... 12
6.5 Revisión de la estrategia de seguridad ........................................................................................................... 12
7 Desarrollo de un plan de gestión de la seguridad............................................................................. 13
7.1 Generalidades ........................................................................................................................................................... 13
7.2 Suministro de información a terceros ............................................................................................................ 13
7.3 Seguridad logística.................................................................................................................................................. 14
7.4 Gestión de las obligaciones y responsabilidades en materia de seguridad .................................... 15
7.5 Vigilancia y auditoría ............................................................................................................................................. 15
7.6 Revisión del plan de gestión de la seguridad ............................................................................................... 15
8 Desarrollo de un plan de gestión de brechas e incidentes de seguridad ................................. 16
En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este
documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota
de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este
documento ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas
ISO/IEC (ver www.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de alguno o
todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el
desarrollo de este documento se indicarán en la Introducción y/o en la lista ISO de declaraciones de
patente recibidas (ver www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información que se proporciona para
comodidad del usuario y no constituye una recomendación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos
específicos de ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la
información acerca de la adhesión de ISO a los principios de la Organización Mundial del Comercio
(OMC) respecto a los Obstáculos Técnicos al Comercio (OTC), ver www.iso.org/iso/foreword.html.
Este documento ha sido elaborado por el Comité Técnico ISO/TC 59, Edificación y obra civil, Subcomité
SC 13, Organización y digitalización de la información de edificación y obra civil incluyendo la
modelización de la información de edificación (BIM), en colaboración con el Comité Europeo de
Normalización (CEN) Comité Técnico CEN/TC 442, Modelos de información relativos a la edificación,
conforme al acuerdo de cooperación técnica entre ISO y CEN (Acuerdo de Viena).
En el sitio web de ISO se puede encontrar un listado de todas las partes de la serie de
normas ISO 19650.
Cualquier comentario o pregunta sobre este documento deberían dirigirse al organismo nacional de
normalización del usuario. En www.iso.org/members.html se puede encontrar un listado completo de
estos organismos.
La combinación del entorno construido, físico y digital, debería permitir el cumplimiento de los
objetivos futuros en materia fiscal, financiera, funcional, de sostenibilidad y de crecimiento. Esto
repercutirá en los procesos de adquisición, desarrollo y operación, incluyendo una mayor colaboración
entre disciplinas y sectores. También dará lugar a un mayor uso de herramientas digitales y de
disponibilidad de información. El uso de las tecnologías de la información ya está apoyando nuevas
formas de trabajo, como el desarrollo off-site, la construcción basada en elementos prefabricados y la
automatización on-site. Los sistemas ciberfísicos avanzados permiten, mediante sensores (el elemento
cibernético o informático) que controlan las partes físicas del sistema, trabajar en tiempo real para
producir resultados en el mundo real. Se espera que esos sistemas permitan alcanzar beneficios tales
como una mayor eficiencia energética y una mejor gestión del ciclo de vida de los activos, mediante la
captura de información en tiempo real sobre el uso y estado del activo. Estos sistemas ya se utilizan en
el transporte, los servicios públicos, las infraestructuras, los edificios, la industria, los servicios de
salud y de defensa, así como en el desarrollo de comunidades inteligentes cuando son capaces de
interactuar como entornos ciberfísicos integrados.
Este documento ofrece un marco para ayudar a las organizaciones a comprender las cuestiones
fundamentales sobre las vulnerabilidades y la naturaleza de los controles necesarios para gestionar los
riesgos de seguridad que se producen a un nivel tolerable para las partes interesadas. Su propósito no
es, de ninguna manera, socavar la colaboración o los beneficios que pueden generar el uso de BIM, los
métodos de trabajo colaborativos y las tecnologías digitales.
El término "organización" incluye no sólo las partes contratadas y contratantes, como se define en la
norma ISO 19650-1, sino también a aquellas organizaciones que están del lado de la demanda pero
que no participan directamente en una contratación.
La Figura 1 muestra la integración de este enfoque basado en la seguridad junto a otras estrategias,
políticas, planes y requisitos de información de la organización para, mediante tecnología digital, llevar
a cabo el desarrollo de proyectos, así como el mantenimiento y la operación de los activos, utilizando
BIM.
Leyenda
A estrategias y políticas coherentes y coordinadas
B planes coherentes y coordinados
C requisitos de información coherentes y coordinados
D actividades realizadas durante la fase de operación de los activos
E actividades realizadas durante la fase de desarrollo del activo (ver también la norma ISO 19650-2)
1 planes y objetivos de la organización
2 plan/política de gestión estratégica de activos (ver la norma ISO 55000)
3 estrategia de seguridad
4 otras estrategias y políticas de la organización
5 plan de gestión de activos (ver la norma ISO 55000)
6 plan de gestión de la seguridad
7 otros planes de la organización
8 requisitos de información del activo (AIR)
9 requisitos de información de seguridad (que forman parte del plan de gestión de la seguridad)
10 requisitos de información de la organización (OIR)
11 caso de negocio estratégico y programa estratégico
12 uso operacional del activo
13 medición del desempeño y acciones de mejora
NOTA No hay un orden implícito en la numeración de A, B y C.
Figura 1 – Integración del enfoque basado en la seguridad dentro del proceso más amplio de
BIM
NOTA La norma ISO 19650-1 contiene información sobre conceptos y principios, incluyendo OIR y AIR, para una
mejor comprensión del enfoque basado en la seguridad en el contexto de la serie de normas ISO 19650.
Leyenda
A iniciar un enfoque basado en la seguridad
B desarrollar una estrategia de seguridad
C desarrollar un plan de gestión de la seguridad
S Sí
N No
1 mediante el proceso de triaje de seguridad (en inglés, security triage), determinar si se requiere un enfoque
basado en la seguridad
2 establecer acuerdos relativos a gobernanza, responsabilidad y rendición de cuentas del enfoque basado en la
seguridad
3 comenzar el desarrollo del enfoque basado en la seguridad
4 evaluar los riesgos de seguridad
5 desarrollar las medidas para reducir los riesgos de seguridad
6 documentar los riesgos de seguridad admisibles
7 desarrollar políticas y procesos para implementar las medidas de mitigación de riesgos de seguridad
8 desarrollar los requisitos de información de seguridad
9 elaborar los requisitos relativos al suministro de información a terceros (third parties)
10 desarrollar de los requisitos de seguridad logística
11 elaborar un plan de gestión de violaciones/incidentes de seguridad
12 trabajar con las partes contratadas, haya o no un contrato formal, para integrar el enfoque basado en la
seguridad, incluida la elaboración de acuerdos de intercambio de información cuando sea necesario
13 monitorear, auditar y revisar
14 proteger cualquier información comercial y personal sensible (no se requiere otro enfoque basado en la
seguridad)
15 revisar si hay algún cambio en la iniciativa, proyecto, activo, producto o servicio que pueda afectar a su
sensibilidad.
Figura 2 – Proceso de implementación del enfoque basado en la seguridad
establecido en este documento
Parte 5:
Enfoque basado en la seguridad para la gestión de la
información
1 Objeto
Este documento especifica los principios y requisitos para la gestión de la información basada en la
seguridad en una etapa de madurez descrita como "Building Information Modelling (BIM) según la
serie de normas ISO 19650", conforme se define en la norma ISO 19650-1, así como la gestión de la
seguridad de la información sensible que se obtiene, crea, procesa y almacena como parte o en
relación a cualquier iniciativa, proyecto, activo, producto o servicio.
Establece los pasos necesarios para crear y desarrollar una cultura y una mentalidad enfocadas a la
seguridad adecuada y proporcionada en las organizaciones con acceso a información sensible,
incluyendo la necesidad de monitorear y auditar el cumplimiento.
El enfoque descrito es aplicable a lo largo del ciclo de vida de una iniciativa, proyecto, activo, producto
o servicio, tanto proyectado como existente, durante el cual se obtiene, crea, procesa o almacena
información sensible.
Este documento está concebido para cualquier organización que emplee tecnologías y gestione la
información para la creación, diseño, construcción, fabricación, operación, gestión, modificación,
mejora, demolición o reciclaje de activos o productos, así como la prestación de servicios, en el sector
de la construcción. También es de interés y relevancia para las organizaciones que deseen proteger su
información comercial, información personal y su propiedad intelectual.
2 Referencias normativas
Los documentos que a continuación se indican, en su totalidad o en parte, constituyen requisitos de
este documento. Para referencias con fecha, solo aplica la edición citada. Para las referencias no
fechadas se aplica la última edición del documento referenciado (incluyendo cualquier modificación).